Cloud-Tagging-Strategie: Best Practices für Kostenzuordnung und Governance
Group COO & CISO
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Können Sie genau sagen, welches Team, welche Anwendung und welche Umgebung für jeden Dollar Ihrer Cloud-Ausgaben verantwortlich ist?Das Ressourcen-Tagging ist die Grundlage der Cloud-Governance. Ohne konsistentes Tagging ist eine Kostenzuordnung nicht möglich, Sicherheitsrichtlinien können nicht auf bestimmte Workloads abzielen und Compliance-Berichte erfordern manuellen Aufwand.
Wichtige Erkenntnisse
- Tagging ist die Grundlage von FinOps:Ohne Tags können Sie keine Kosten zuordnen, keine Richtlinien durchsetzen oder Compliance-Berichte erstellen.
- Tags durch Richtlinie erzwingen:Das freiwillige Markieren schlägt fehl. Verwenden Sie AWS SCPs, Azure Policy oder GCP Organization Policies, um Tags bei der Ressourcenerstellung anzufordern.
- Beginnen Sie mit 5–7 obligatorischen Tags:Eigentümer, Anwendung, Umgebung, Kostenstelle, Kritikalität, Datenklassifizierung und Compliance-Bereich.
- Tag-Compliance automatisieren:Suchen Sie täglich nach nicht markierten Ressourcen und führen Sie eine automatische Korrektur oder Warnung durch.
Empfohlenes Tag-Schema
| Tag-Schlüssel | Zweck | Beispielwerte | Obligatorisch |
|---|---|---|---|
| Eigentümer | Teamverantwortlicher | Plattformteam, Sicherheitsteam, Datenteam | Ja |
| Anwendung | System-/Anwendungsname | Kundenportal, Abrechnungs-API, Datenpipeline | Ja |
| Umwelt | Bereitstellungsphase | Produktion, Inszenierung, Entwicklung, Test | Ja |
| CostCentre | Finanzzuweisung | CC-1001, CC-2045 | Ja |
| Kritikalität | Geschäftliche Bedeutung | Stufe 1, Stufe 2, Stufe 3 | Ja |
| Datenklassifizierung | Datenvertraulichkeit | öffentlich, intern, vertraulich, eingeschränkt | Empfohlen |
| ComplianceScope | Anwendbare Vorschriften | DSGVO, Hipaa, PCI-DSS, NIS2 | Empfohlen |
Tag-Durchsetzung
AWS: Dienstkontrollrichtlinien
AWS SCPs können die Ressourcenerstellung ohne erforderliche Tags verweigern. Erstellen Sie einen SCP, der Besitzer-, Anwendungs- und Umgebungs-Tags für EC2-Instanzen, RDS-Datenbanken, S3-Buckets und Lambda-Funktionen erfordert. Wenden Sie den SCP auf alle Organisationseinheiten an. Ohne Tags erstellte Ressourcen werden auf der Ebene API abgelehnt.
Azure: Azure Richtlinie
Die Azure-Richtlinie bietet integrierte Definitionen für die Tag-Erzwingung. Verwenden Sie die Richtlinie „Tag für Ressourcen erforderlich“, um die Bereitstellung ohne obligatorische Tags zu verweigern. Verwenden Sie „Ein Tag von der Ressourcengruppe erben“, um Ressourcengruppen-Tags automatisch auf untergeordnete Ressourcen anzuwenden. Weisen Sie Richtlinien auf Verwaltungsgruppenebene zur unternehmensweiten Durchsetzung zu.
Terraform: Tag-Erzwingung in IaC
Fügen Sie Standard-Tags in der Terraform-Anbieterkonfiguration hinzu, um sicherzustellen, dass alle Ressourcen automatisch Baseline-Tags erhalten. Verwenden Sie Checkov oder tfsec, um Terraform-Konfigurationen vor der Bereitstellung auf fehlende Tags zu scannen. Dadurch werden Tagging-Lücken erkannt, bevor Ressourcen erstellt werden.
Brauchen Sie Unterstützung bei Cloud-Tagging-Strategie?
Unsere Cloud-Architekten unterstützen Sie bei Cloud-Tagging-Strategie — von der Strategie bis zur Umsetzung. Buchen Sie ein kostenloses 30-Minuten-Beratungsgespräch ohne Verpflichtung.
Tag-Compliance-Überwachung
- Täglicher Scan:AWS Konfigurationsregeln oder Azure Richtlinienkonformitätsscan identifizieren Ressourcen ohne Tags
- Wochenbericht:Tag-Compliance-Bericht nach Team, der den Prozentsatz der ordnungsgemäß markierten Ressourcen zeigt
- Automatische Korrektur:Markieren Sie Ressourcen, die ohne Tags erstellt wurden, automatisch mit Standardwerten (z. B. Besitzer=nicht zugewiesen) und benachrichtigen Sie das Team
- Gamifizierung:Veröffentlichen Sie Team-Tag-Compliance-Scores, um einen freundlichen Wettbewerb zu fördern
Wie Opsio Tagging implementiert
- Tag-Strategie-Design:Wir entwerfen Tag-Schemata, die Kostenzuordnung, Sicherheitsrichtlinien und Compliance-Berichte unterstützen.
- Richtliniendurchsetzung:Wir implementieren SCPs, Azure-Richtlinie und IaC-Validierung, um Tags zum Zeitpunkt der Erstellung durchzusetzen.
- Compliance-Überwachung:Wir verfolgen die Tag-Compliance über alle Konten hinweg und berichten wöchentlich über die Abdeckung.
- Behebung:Wir identifizieren und beheben nicht markierte Ressourcen und stellen so eine Tag-Konformität von über 95 % sicher.
Häufig gestellte Fragen
Wie viele Tags sollte ich verwenden?
Beginnen Sie mit 5–7 obligatorischen Tags. AWS unterstützt bis zu 50 Tags pro Ressource, Azure unterstützt 50, GCP unterstützt 64 Labels. Mehr Tags sorgen für mehr Granularität, erhöhen aber den Verwaltungsaufwand. Fügen Sie bei Bedarf optionale Tags hinzu, anstatt zu versuchen, im Voraus ein umfassendes Schema zu entwerfen.
Was ist mit Ressourcen, die nicht markiert werden können?
Einige Cloud-Ressourcen unterstützen keine Tags (z. B. bestimmte Netzwerkkomponenten, einige Unterressourcen verwalteter Dienste). Verwenden Sie hierfür die Kostenzuordnung auf Konto-/Abonnementebene oder kennzeichnen Sie die übergeordnete Ressource. Dokumentieren Sie Ausnahmen in Ihrer Tagging-Richtlinie.
Über den Autor
Group COO & CISO at Opsio
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.