Amazon Web Services ブログ

Trusted Advisor Organizational Dashboard の詳しい概要

本稿は、2023 年 2 月 28 日に AWS Cloud Operations & Migrations Blog で公開された “A detailed overview of Trusted Advisor Organizational Dashboard” を翻訳したものです。

Amazon Web Service (AWS) 上でビジネスが成長するにつれて、リソースを最適化し、AWS のベストプラクティスに従う必要性も高まります。AWS Trusted Advisor は、セキュリティ、パフォーマンス、コスト最適化、耐障害性、運用上の優秀性、サービスの制限という 6 つの独自の柱に沿って AWS インフラストラクチャを改善する方法を特定します。AWS Support API によって、お客様は個々のアカウントごとに Trusted Advisor のデータをプログラムで取得できます。また、Trusted Advisor の組織ビュー機能では、組織内のすべての AWS アカウントに関する Trusted Advisor のレコメンデーションの統合ビューを提供します。組織ビューレポートは、JSON または CSV 形式で利用できます。お客様は多くの場合、このレポートを使用する際に困難に直面し、また、実用的なインサイトを特定したり、組織内のリーダーやテクニカルチームと共有したり、毎月のトレンドを分析するためには、更なる労力を必要とします。さらに、複数の AWS Organizations を持つお客様では、すべての AWS アカウントを横断した Trusted Advisor チェックの全体的なビューが必要となります。

本ブログ投稿では、Cloud Intelligence Dashboards フレームワークの一部としてインタラクティブでカスタマイズ可能な Amazon QuickSight ダッシュボードテンプレートである Trusted Advisor Organizational (TAO) Dashboard を紹介します。統合された Trusted Advisor レポートを可視化することで、組織はすべての AWS アカウントにわたって、よりコスト効率の高い設定やより強固なセキュリティ体制、よりパフォーマンスに優れたアプリケーションに向けて最適化を行うことができます。

裏側の仕組み

Trusted Advisor レポートは、Amazon QuickSight が Trusted Advisor のフラグ付きリソースを可視化するために使用するデータセットです。このダッシュボードをデプロイすると、表示されるデータはビジネスの多くの分野で役に立ち、カスタムダッシュボードの起点として使用できます。TAO Dashboard の Well-Architected Labs では、Optimization Data Collection Lab を使用して Trusted Advisor データの収集を自動化する方法など、TAO Dashboard のデプロイ方法を順を追って説明しています。TAO Dashboard では Amazon S3、AWS Lambda、Amazon Athena、Amazon QuickSight などのサーバーレスサービスが使われています。

図 1. AWS Trusted Advisor からのレポートは Amazon S3 バケットに保存される (1)。Amazon Athena テーブルとビューは S3 バケットからデータをクエリするために使用される (2)。Amazon QuickSight は Athena ビューをソースとして QuickSight の SPICE ストレージにデータをロードし、ダッシュボードでデータを可視化する (3)。TAO Dashboard は、組織内の様々なユーザーと共有することができ、組織全体にわたって Trusted Advisor のフラグ付きチェックに迅速かつ簡単にアクセスが可能となる (4)

Trusted Advisor Organizational Dashboard

TAO Dashboard は、Summary シート、5 つの Trusted Advisor カテゴリー (Security、Cost Optimization、Fault Tolerance、Performance、Service Limits) の個別カテゴリーシート※、Security Hub Checks シート、Well-Architected Reviews シートの 8 つのセクションで構成されています。Summary シートは、Trusted Advisor の各カテゴリーの全体的な概要で、各カテゴリーの様々なチェックによって構成されており、AWS リージョンごとの Trusted Advisor の結果や、Trusted Advisor チェックのフラグ数が最も多いアカウントの内訳を可視化します。カテゴリーシートには、個々のリソースを含むより詳細な内容が含まれているため、影響度に基づいて改善の優先順位を決めることができます。これに加えて、ダッシュボードには、そのチェックが何を求めているのか、なぜ確認することが重要なのか、そしてどう対処するのかについてのインサイトが含まれています。Security Hub Checks シートでは、AWS Security Hub が有効になっているアカウントの結果を確認できます。Organizations 内の Well-Architected Tool で Trusted Advisor 統合が有効になっている場合、TAO Dashboard の Well-Architected Reviews シートには、特定された高リスクの問題 (High Risk Issues, HRI) が簡潔に表示されます。このタブは、Trusted Advisor の結果を整理する別の方法を提供し、特定のワークロードに対する HRI の解決を追跡するのに役立ちます。

※ 2024 年 5 月現在、運用上の優秀性カテゴリーは未対応

図 2. TAO Dashboard の Summary タブのサンプル。9 つのグラフがあり、毎月の傾向がハイライトされた様々な側面からから、フラグ付きリソースを把握することができる

セキュリティチェックの詳細を確認

AWS ではセキュリティが最重要であり、TAO Dashboard の最初に表示される詳細なデータは Trusted Advisor のセキュリティチェックに関連するものになっています。Security タブでは、AWS Identity and Access Management (IAM) アクセスキーローテーション、IAM パスワードポリシー、ルートアカウントの MFA、漏洩したアクセスキーなど、Trusted Advisor が提供する最も重要なセキュリティ関連チェックの詳細データを確認できます。

多くのチェックは、複数のビジュアルとフラグ付きリソースの表で表示されます。これに該当するチェックの場合、各アカウントにおける毎月のフラグ付きリソース数を示すグラフや、リソースにフラグが付けられた理由のように別の要因を示す表は、組織全体の大まかな概要を提供します。詳細な表では、AWS アカウント、AWS リージョン、ステータスを含む多くの要因に基づいて結果を並べ替えて、詳細を掘り下げることができます。

IAM アクセスキーローテーションチェックを詳しく見てみると、詳細ビューには、アカウント ID、個々の IAM ユーザー、期間のしきい値 (> 90 日、> 2 年など)、アクセスキーの名前、最後にローテーションされた日付、アラートレベル (黄または赤)、Trusted Advisor によってリソースに最初にフラグが付けられた日付、およびこのリソースにそのチェックのフラグが付けられた最新の日付が含まれることがわかります。この表を使用すると、任意の列で並べ替えて、組織にとって最も重要なことに焦点を当てることができます。これは、最も重要なアカウントに焦点を当てることを意味するかもしれませんし、むしろ最も古いキーに最初に焦点を当てたいかもしれません。優先順位を決めるのはお客様次第ですが、TAO Dashboard では結果を簡単に並べ替えることができ、アクセスキーが誰のものなのか、キーが最後にローテーションされたのはいつなのかをすべての AWS 環境にわたって確認する方法を提供しています。

コスト最適化を簡素化

クラウド財務管理は、クラウドでワークロードを実行する企業にとって、ますます注目されるようになっています。不要なリソースが起動されたままになっていたり、ワークロードの廃止後に関連リソースが適切にクリーンアップされていなかったりすると、コストが増加する可能性があります。Cost Optimization タブでは、Trusted Advisor が提供する最も重要なコスト関連チェックの詳細データを確認でき、Amazon RDS アイドル状態の DB インスタンス、使用率の低い Amazon EC2 インスタンス、利用頻度の低い Amazon EBS ボリューム、関連付けられていない Elastic IP Address のようなアイドル状態のリソースを素早く特定できます。

TAO Dashboard の Cost Optimization エリアでは使用率の低いインスタンス、関連付けられていない Elastic IP、アイドル状態のロードバランサーなどが検出できます。各チェックに含まれるピボットテーブルを使用して、ビジネスにとって重要なものに基づいて並べ替えやフィルタリングをすることで、少ない労力で大きな効果が期待できます。例えば、バックエンドインスタンスが接続されていないアイドル状態のロードバランサーや、関連付けられていない Elastic IPは、通常、少ない労力でクリーンアップできますが、この方法で分類されたリソースの数によっては、多くの労力を必要とする可能性があります。

Trusted Advisor のコスト最適化チェックは未使用のリソースだけでなく、より多くの対象をカバーしています。TAO Dashboard の Cost Optimization シートにある他の結果の中には、アクションの前にさらに検討が必要なものもありますが、コスト削減に繋がる可能性があるため、取り組む価値が十分にあります。使用率の低い Amazon EC2 インスタンスやアイドル状態の Amazon RDS インスタンスは、そのリソースを機械的に削除できるというわけでなく、テスト環境や定期的に実行されないバッチオペレーションの可能性があります。このような場合、インスタンスサイズを変更するか、自動シャットダウンのルールを実装することで、使用率の低い環境のコストを最適化できます。

レジリエンスリスクをハイライト

AWS の VP & CTO である Werner Vogels の有名な言葉 “Everything fails all the time” (故障しないものは無い) を耳にしたことがある人は多いでしょう。AWS のアベイラビリティゾーンやサービスでイベントが発生した時にも重要なワークロードを稼働し続けるためには、障害に備えた設計が必要です。Fault Tolerance シートは、AWS 全体のワークロードとデータのレジリエンスに焦点を当てています。ここには Trusted Advisor が提供する最も重要な耐障害性チェックのデータが含まれており、Amazon EBS スナップショット、Amazon RDS バックアップ、Amazon RDS マルチ AZ、Amazon EC2 アベイラビリティゾーンのバランスなどの冗長性を調べることができます。

ワークロードを可能な限りレジリエントなものにすることで、チームは緊急対応に費やす時間を減らし、アプリケーション自体やその運用の改善により多くの時間を充てることができます。企業はこのデータを使用して、重要な EBS ボリュームの古くなったスナップショットを特定し、重要な本番データベースが複数のアベイラビリティゾーンにデプロイされていることを確認し、バージョニングが有効になっておらずデータ損失の可能性がある重要な S3 バケットを発見することができます。

アプリケーションの最高パフォーマンスを維持

システムやアプリケーションが最高のパフォーマンスを発揮できない場合、不要なコストやユーザーへの影響、さらには収益の損失といった副作用が発生します。TAO Dashboard の Performance シートは、使用率の高いインスタンスやルールが多すぎるセキュリティグループ、あるいは高いレイテンシによって、パフォーマンスが低下している可能性があるリソースを特定することに焦点を当てています。ここには使用率の高い Amazon EC2 インスタンス、Amazon EC2 セキュリティグループルールの増大、Amazon Route 53 エイリアスリソースレコードセット、CloudFront ヘッダー転送とキャッシュヒット率、CloudFront コンテンツ配信の最適化など、Trusted Advisor が提供する最も重要なパフォーマンスチェックのデータが含まれています。

Performance シートのビジュアルを使用してワークロードを最適化してください。そうすれば、ワークロードが最高のパフォーマンスを発揮し、どのようなトラフィック量も処理できます。ユーザーベースがグローバルである場合、S3 バケットに直接アクセスする代わりに CloudFront を使用することを検討してください。これにより、コンテンツがエッジロケーションでキャッシュされ、エンドユーザーのパフォーマンスが向上します。セキュリティグループルールの合理化を図り、必要なアクセスのみをインバウンドで許可するようにします。これはセキュリティ関連の改善でもありますが、パフォーマンスにも影響します。システムのポートがインターネットに公開されていると、接続を試行される可能性があります。この増加したトラフィックが想定以上にリソースを消費し、正当なトラフィックに影響を与えます。

サービスクォータがイノベーションの障壁になることを回避

サービスクォータは、すべてのお客様が必要な AWS クラウドリソースにアクセスできるようにするのに役立ちます。しかし、チームがビジネス上の課題に対するソリューションを構築している最中は、これらの制限が障壁となる可能性があります。Trusted Advisor は、アカウントがプロビジョニングされたリソースの 80% 以上を使用しているサービスクォータにフラグを付けます。TAO Dashboard では、80% のしきい値に達した制限の概要と、AWS アカウントに対してフラグが付けられた制限の内訳が表示されるため、最初にリスクの高いアカウントを簡単に特定できます。また、Trusted Advisor によってフラグが付けられたすべてのサービスクォータの詳細な表も表示されます。この表を使用すると、アカウント ID、リージョン、またはチェック名でフィルタリングでき、AWS 環境全体にわたってサービス上限緩和申請を実行できます。サービスクォータの引き上げに先手を打つことで、チームは承認を待つことなく、AWS で開発できるようになります。

まとめ

本ブログ投稿では、TAO Dashboard を使用して、AWS リソースのセキュリティ、パフォーマンス、耐障害性を向上させる方法をいくつか紹介しました。また、TAO Dashboard が組織全体のコストとサービス制限の管理に役立つ方法についても学びました。ライブのインタラクティブなデモダッシュボードを使用して、Cloud Intelligence Dashboards の全機能をより深く理解してください。Cloud Intelligence Dashboards を使用してコンピューティングコストを削減し、ビジネスの拡大を続けられた事例をご覧ください。TAO Dashboard を導入してワークロードの改善やコストの削減を実施した場合は、ぜひフィードバックをお寄せください!

著者について:

Meredith Holborn

Meredith Holborn はイギリスのマンチェスターを拠点とする AWS のテクニカルアカウントマネージャーです。彼女の役割は、お客様のクラウドジャーニーを支援し、支持することです。クラウドのコストを簡単に管理できるようにすることに情熱を持っており、それが Cloud Intelligence Dashboards チームの一員となったきっかけです。

Yuriy Prykhodko

Yuriy は、ルクセンブルクを拠点とするプリンシパルテクニカルアカウントマネージャーです。お客様が AWS 上でワークロードを実行する際に、信頼性とコスト効率の高いシステムを構築し、運用上の優秀性を実現できるよう支援しています。また、コスト最適化の SME であり、AWS の Cloud Intelligence Dashboards の責任者でもあります。

翻訳はテクニカルアカウントマネージャーの河野が担当しました。原文はこちらです。