AWS Resource Groups & Tag Editor

解決する課題

• アカウント内のリソースが膨大で、特定のアプリや環境に属するものをまとめて把握できない → タグ条件で論理グループ化したい
• 個々のリソースを開いてタグを直す作業が煩雑で、タグ付けの抜けや表記ゆれが残る → 複数リソースのタグを一括で検索・編集したい
• コスト配分タグや権限制御の前提となるタグ運用が徹底できず、按分や制御が破綻する → タグの整備を起点に運用基盤を整えるしたい
• プロジェクト単位でリソースの状態や監視をまとめて見たいが、サービスごとに画面が分かれている → グループを軸に横断ビューを得るしたい

主要概念と用語

• リソースグループ（Resource Group）: 共通のタグやCloudFormationスタックといった条件でまとめたリソースの論理的な集合。物理的にリソースを移動するわけではなく、条件に一致するものを動的に束ねる
• タグベースグループ: 指定したタグのキーと値に一致するリソースを集めるグループ。条件を満たすリソースが増えれば自動的にグループの対象になる
• CloudFormationスタックベースグループ: あるスタックでプロビジョニングされたリソース群をそのままグループとして扱う方式
• タグ（Tag）: リソースに付与するキーと値の組。Environment や Project などの分類軸を表し、検索・課金按分・権限制御の基礎になる
• Tag Editor: 複数のリソースを横断してタグを検索し、まとめて追加・編集・削除できる管理画面。リージョンやリソース種別を跨いで操作できる
• Resource Groups Tagging API: タグの取得・付与・削除や、タグ条件でのリソース検索をプログラムから行う共通API
• タグポリシー: AWS Organizations の機能で、組織全体でタグのキーや値の表記を標準化・強制する仕組み（Tag Editor とは別機能だが連携して使う）

仕様・制限・クォータ

• リソースグループは リージョン単位 で作成・管理する。グループに含まれるのは、原則としてそのリージョンのリソース
• グループの定義方法は タグベース と CloudFormationスタックベース の2系統がある
• すべてのAWSサービスがタグやグループ化に対応しているわけではなく、対応リソース種別は限られる。未対応のサービスはグループに現れない
• タグには 1リソースあたりのタグ数 や キー・値の文字数 に上限があり、利用できる文字種にも制約がある。大文字小文字は区別される
• Tag Editor と Tagging API での 一括操作には1回あたりの件数上限 があり、大量リソースはページングや分割が必要になる
• リソースグループ自体の作成に追加料金はかからない。クォータの具体値は変動するため公式ドキュメントで確認する

内部の仕組み

リソースグループは、リソースそのものを移動・コピーするものではなく、クエリ（条件式）に一致するリソースを動的に集める 仕組みです。タグベースグループでは「このキーがこの値であるリソース」という条件を保存し、グループを開くたびにその条件で対象を解決します。そのため後から条件に合致するリソースを作れば、自動的にグループのメンバーとして扱われます。

タグの検索・付与・削除は、内部的に Resource Groups Tagging API を共通の入口として動きます。Tag Editor のコンソール操作も、CLIやSDKからの一括タグ付けも、この共通APIを介してリージョンやサービスを横断します。タグ付け対象のサービス側がこのAPIに対応していることが前提です。

作成したグループは、Systems Manager をはじめとする他サービスのスコープとして再利用できます。たとえば「特定タグのEC2インスタンス群」をグループ化し、それをパッチ適用や自動化の対象範囲として指定する、といった連携が成り立ちます。

設計パターン / ベストプラクティス

• タグ設計を先に決める: Environment / Project / Owner / CostCenter など分類軸を標準化し、キーと値の表記を統一してからグループ化する
• 必須タグの強制: タグポリシーやIaC（CloudFormation・Terraform）でタグ付けを必須化し、後追いの手作業を減らす
• Tag Editor は是正に使う: 既存リソースの抜け漏れや表記ゆれを横断検索で洗い出し、まとめて補正する用途に向く
• グループを操作スコープに再利用: パッチ適用や自動化、コスト可視化など、複数サービスの作業範囲としてグループを使い回す
• 環境・アプリ単位で粒度を揃える: グループの粒度が細かすぎても粗すぎても運用しにくいため、運用単位（アプリ×環境など）に合わせる

運用・監視

• 定期的に Tag Editor で タグ未付与・表記ゆれのリソースを洗い出し、是正する運用を回す
• リソースグループを Systems Manager の対象スコープに指定し、パッチや自動化を群単位で実行する
• グループを軸にした横断ビューで、特定アプリや環境に属するリソースの一覧と状態をまとめて把握する
• タグの一括変更は影響範囲が広いため、事前に検索結果（対象リソース）を確認してから適用する
• コスト配分タグの整備状況を点検し、按分レポートに必要なタグが揃っているかを確認する

コスト

リソースグループの作成・管理や Tag Editor の利用、Resource Groups Tagging API の呼び出しに対する 直接の追加料金は基本的にかかりません。ただし、整備したタグを コスト配分タグ として有効化して請求の按分に使ったり、グループを Systems Manager などの操作スコープとして使ったりする場合は、それぞれの連携先サービスの料金が発生します。つまり Resource Groups と Tag Editor 自体は無償に近い管理機能であり、コスト面の価値は「タグ整備を通じて按分・最適化の土台を作る」ところにあります。最新の料金条件は公式の料金ページで確認してください。

セキュリティ

• タグは IAMの属性ベースアクセス制御（ABAC） の条件にも使えるため、タグの付与・編集権限を握ることは間接的に権限境界へ影響しうる。タグ編集権限は必要な範囲に絞る
• Tagging API や Tag Editor の操作は CloudTrail に記録される。誰がどのタグを変更したかを監査で追えるようにする
• 機密情報をタグのキーや値に入れない。タグは検索・表示される前提のメタデータであり、秘匿情報の格納先ではない
• 組織全体でタグの表記を標準化するには タグポリシー を併用し、許可するキーや値を統制する

関連サービス・比較

ハンズオン / CLI例

# タグベースのリソースグループを作成（Environment=Prod のリソースを束ねる）
aws resource-groups create-group \
  --name prod-resources \
  --resource-query '{
    "Type": "TAG_FILTERS_1_0",
    "Query": "{\"ResourceTypeFilters\":[\"AWS::AllSupported\"],\"TagFilters\":[{\"Key\":\"Environment\",\"Values\":[\"Prod\"]}]}"
  }'

# 指定グループに属するリソース一覧を取得
aws resource-groups list-group-resources --group-name prod-resources

# Tagging API で特定タグを持つリソースを横断検索
aws resourcegroupstaggingapi get-resources \
  --tag-filters Key=Environment,Values=Prod

# 複数リソースにタグを一括付与（ARN を指定）
aws resourcegroupstaggingapi tag-resources \
  --resource-arn-list arn:aws:ec2:ap-northeast-1:123456789012:instance/i-0abc123 \
  --tags Project=Web,CostCenter=CC100