タイプに応じて、AWS アカウントの完全なコストと使用量の情報を入力するように VMware Aria Cost を構成できます。本書では、AWS 支払者アカウント、リンクされたアカウント、および GovCloud アカウントを設定する方法について説明します。
AWS 支払者アカウントとは、1 つまたは複数の追加アカウントをリンクできる指定された請求アカウントのことです。アカウントの請求連絡先には、リンクされたすべてのアカウントの料金をまとめた明細書が送付されます。詳細については、一括請求書を使用した複数アカウントの請求の支払いを参照してください。次の手順を使用して、VMware Aria Cost で AWS 支払者アカウントを設定します。
ベスト プラクティス:既存のバケットを再利用する代わりに、Amazon 請求レポートを保持するための新しいバケットを作成します。また、バケットは後で選択するリージョン内で一意である必要があるため、自明ではない名前を選択してください。
S3 バケットに保存 フィールドに表示されているように S3 請求バケットの名前をクリップボードにコピーします。
DBR(詳細な請求レポート)から CUR(コストと使用状況レポート)に移行した場合は、この手順をスキップします。
AWS のコストと使用量レポート (CUR) は、製品、価格設定、使用量などのコストに関する包括的なデータを提供します。詳細については、AWS のコストと使用状況レポートを参照してください。
これらの新機能を利用するには、AWS アカウントを構成して、CUR を作成し、プラットフォームで利用できるようにします。
cloudhealth-hourly-cur
のように、簡単に識別できる名前を使用します。VMware Aria Cost は、請求アーティファクトからタグとリソース ID を抽出し、タグ付け可能な AWS サービスのコストを自動的に割り当てます。CUR からの資産データとタグ データの生成をサポートするには、CUR アーティファクトにコスト配賦タグが含まれるよう AWS アカウントを構成する必要があります。
VMware Aria Cost では、パースペクティブのグループ化に使用する各タグ キーをコスト配賦タグとして追加することをお勧めします。詳細については、コスト配賦タグの使用を参照してください。
選択したタグの有効化には最大 24 時間かかることがあります。
VMware Aria Cost がサポートするすべての AWS サービスへの読み取り専用アクセス ポリシーとともに、AWS コンソール内に読み取り専用 IAM ロールを作成します。次に、これらの認証情報を VMware Aria Cost プラットフォームに追加します。IAM 権限を設定するには、次のいずれかの構成を使用します。
VMware Aria Cost は、AWS CloudFormation を活用して、AWS 環境内で VMware Aria Cost に適切な IAM 権限を提供する必要なリソースを展開します。テンプレートとスタックは、CloudFormation の 2 つの重要なコンポーネントです。テンプレートは、すべての AWS リソースを記述する単純な JSON テキスト ファイルで、スタックはテンプレート内で定義されたリソースを管理する単一の単位です。
CloudFormation を使用して IAM ロールと権限を作成するには、次の手順を実行します。
AWS 支払者アカウントでの CloudFormation スタックの展開
前提条件
CloudHealth AWS 構成テンプレートの展開
VMware Aria Cost でサポートされる AWS サービスの VMware Aria Cost ロールと読み取り専用ポリシーを作成します。
AWS バケット アクセス ポリシー テンプレートの展開
CloudHealth-AWS-Bucket-Access-Template をスタックとして展開すると、CloudHealth-AWS-Configuration-Template を使用して前の手順で作成した IAM ロールに補助ポリシーが適用されます。
この時点で、AWS アカウントに 2 つのスタックが作成され、VMware Aria Cost IAM ロール、権限ポリシー、および S3 バケットから CUR データにアクセスするための追加ポリシーが作成されました。
すべての組織アカウントにアクセスするための StackSet の作成
組織アカウントのリンクされた各アカウントで同じリソース設定を作成するには、テンプレートを StackSet として実行する必要があります。前の手順でスタックを作成するときに使用したのと同じ CloudHealth-AWS-Configuration-Template を使用します。このテンプレートを StackSet として使用すると、IAM リソースが展開され、VMware Aria Cost プラットフォームに、VMware Aria Cost でサポートされるすべてのサービスへの読み取り専用アクセス権が付与されます。
注:StackSet は、デフォルトで、組織内のすべてのリンクされた AWS アカウントにリソースを自動的に展開するように構成されています。
[StackSet の詳細] ページでは、StackSet でのスタックの作成の進行状況とステータスを確認できます。
VMware Aria Cost プラットフォームでの AWS IAM ロールの構成
AWS コンソールで必要なすべての権限を設定したら、VMware Aria Cost プラットフォームで権限を構成する必要があります。
注 - 支払者アカウントが構成されると、VMware Aria Cost は AWS のコストと使用量データを使用して請求アーティファクトを処理します。通常、このプロセスには 1 日かかります。完了すると、VMware Aria Cost はリンクされたすべてのアカウントを利用できます。
- VMware Aria Cost プラットフォーム内のリンクされた各アカウントにロール ARN を手動で追加することも、AWS アカウント API を有効化して、リンクされたすべてのアカウントを更新することもできます。
ターゲット アカウントの AWS コンソール内に読み取り専用 IAM ロールを作成します。次に、これらの認証情報をプラットフォームに追加します。デフォルトの AWS 読み取り専用ポリシーは S3 オブジェクトなどのデータへの読み取りアクセスを提供するため、使用しないことをお勧めします。
454464851268
と入力します。これは、セキュリティで保護された VMware Aria Cost 管理アカウントの ID です。VMware Aria Cost はアカウントを検証し、データの収集を開始します。入力した情報に問題がある場合、エラー メッセージが表示されます。
VMware Aria Cost プラットフォームからのリンクを介して AWS コンソールで資産の詳細を表示します。VMware Aria Cost プラットフォームでは、インスタンスに AWS コンソールで表示できるリンクがあります。これらのリンクは、VMware Aria Cost プラットフォームから AWS コンソールとの統合を有効にすることによって設定されます。
AWS CloudWatch エージェントを EC2 インスタンスにインストールして構成します。これにより、エージェントはそれらのインスタンスからのメトリックの収集を開始できるようになります。CloudWatch メトリックを有効にするアカウントごとに次の手順を繰り返します。
支出ベースの資産収集機能により、新しく追加されたアカウントとサービスの最初の資産収集時間が大幅に変わります。新しい資産またはサービスが請求されると、VMware Aria Cost レポートに表示されるまでに 24 時間以上かかることがあります。初期遅延後、プラットフォームは、標準の収集頻度に従って資産またはサービスの詳細を更新し続けます。
CloudTrail は、AWS へのすべての API アクセスに対して監査ログを提供するサービスです。VMware Aria Cost は CloudTrail データを収集して、誰がインフラストラクチャを起動またはシャットダウンしたか、または誰がインフラストラクチャ全体でセキュリティの変更を行ったかを特定します。
通常、1 つの CloudTrail バケットで複数のアカウントのログを収集します。検討すべき 2 つのシナリオは次のとおりです。
VMware Aria Cost はアカウントを検証し、データの収集を開始します。問題がある場合は、警告メッセージが表示されます。CloudTrail イベントは、約 15 ~ 30 分後に VMware Aria Cost プラットフォームに表示され始めます。より安定したアカウントにはイベントが少ないという傾向があります。
注 - - VMware Aria Cost は、アカウントが構成された日の 12:00 GMT からすべてのイベントを収集します。
- 各 AWS アカウントに独自の CloudTrail バケットがある場合は、AWS アカウントごとに手順 1 ~ 9 を繰り返します。各 AWS アカウントから 1 つのバケットに情報がフィードされる場合は、次のセクションに進みます。
AWSLogs/[OWNER_ID]/CloudTrail/...
の場合、AWSLogs/[ORGANIZATION_ID]/[OWNER_ID]/CloudTrail
に変更されます。組織の証跡を有効にするには、CloudTrail プリフィックス を AWSLogs/ORGANIZATION_ID
に設定して、各 AWS アカウントを個別に構成する必要があります。これを行うには、次の手順を実行します。
AWSLogs/ORGANIZATION_ID
に設定します。注 - 組織内のすべてのアカウントに CloudTrail バケット名 フィールドと アカウント プリフィックス フィールドを、先頭または末尾の文字なしで設定する必要があります。アカウントにプリフィックスを追加できないと、アカウントに警告ステータスが表示されます。
通常、CloudTrail は AWS でセットアップされ、複数のアカウントが単一の S3 CloudTrail バケットをフィードします。バケットはファイル ツリーと考えることができます。各アカウントには、AWS アカウント ID で指定されたツリー内にルートの場所があります。ルートの下には、日付別に整理された CloudTrail ログ ファイルを含むフォルダ構造があります。
VMware Aria Cost は、AWS アカウント ID を使用して、既知の CloudTrail バケットで各アカウントのイベントをスキャンします。
VMware Aria Cost はアカウントを検証し、データの収集を開始します。問題がある場合は、警告メッセージが表示されます。CloudTrail イベントは、約 15 ~ 30 分後に VMware Aria Cost プラットフォームに表示され始めます。より安定したアカウントにはイベントが少ないという傾向があります。
注VMware Aria Cost は、アカウントが構成された日の 12:00 GMT からすべてのイベントを収集します。
一括請求アカウントにリンクされたアカウントから情報を収集するように VMware Aria Cost を設定します。1 つのアカウントは、常に 1 つの一括請求書にしかリンクできません。
VMware Aria Cost がサポートするすべての AWS サービスへの読み取り専用アクセス ポリシーとともに、AWS コンソール内に読み取り専用 IAM ロールを作成します。次に、これらの認証情報を VMware Aria Cost プラットフォームに追加します。IAM 権限を設定するには、次のいずれかの構成を使用します。
VMware Aria Cost は、AWS CloudFormation を活用して、AWS 環境内で VMware Aria Cost に適切な IAM 権限を提供する必要なリソースを展開します。テンプレートとスタックは、CloudFormation の 2 つの重要なコンポーネントです。テンプレートは、すべての AWS リソースを記述する単純な JSON テキスト ファイルで、スタックはテンプレート内で定義されたリソースを管理する単一の単位です。
CloudFormation を使用して IAM ロールと権限を作成するには、次の手順を実行します。
AWS 支払者アカウントでの CloudFormation スタックの展開
前提条件
CloudHealth AWS 構成テンプレートの展開
VMware Aria Cost でサポートされる AWS サービスの VMware Aria Cost ロールと読み取り専用ポリシーを作成します。
AWS バケット アクセス ポリシー テンプレートの展開
CloudHealth-AWS-Bucket-Access-Template をスタックとして展開すると、CloudHealth-AWS-Configuration-Template を使用して前の手順で作成した IAM ロールに補助ポリシーが適用されます。
この時点で、AWS アカウントに 2 つのスタックが作成され、VMware Aria Cost IAM ロール、権限ポリシー、および S3 バケットから CUR データにアクセスするための追加ポリシーが作成されました。
すべての組織アカウントにアクセスするための StackSet の作成
組織アカウントのリンクされた各アカウントで同じリソース設定を作成するには、テンプレートを StackSet として実行する必要があります。前の手順でスタックを作成するときに使用したのと同じ CloudHealth-AWS-Configuration-Template を使用します。このテンプレートを StackSet として使用すると、IAM リソースが展開され、VMware Aria Cost プラットフォームに、VMware Aria Cost でサポートされるすべてのサービスへの読み取り専用アクセス権が付与されます。
注:StackSet は、デフォルトで、組織内のすべてのリンクされた AWS アカウントにリソースを自動的に展開するように構成されています。
[StackSet の詳細] ページでは、StackSet でのスタックの作成の進行状況とステータスを確認できます。
VMware Aria Cost プラットフォームでの AWS IAM ロールの構成
AWS コンソールで必要なすべての権限を設定したら、VMware Aria Cost プラットフォームで権限を構成する必要があります。
注
- 支払者アカウントが構成されると、VMware Aria Cost は AWS のコストと使用量データを使用して請求アーティファクトを処理します。通常、このプロセスには 1 日かかります。完了すると、VMware Aria Cost はリンクされたすべてのアカウントを利用できます。
- VMware Aria Cost プラットフォーム内のリンクされた各アカウントにロール ARN を手動で追加することも、AWS アカウント API を有効化して、リンクされたすべてのアカウントを更新することもできます。
注: 読み取り専用の IAM ロールを設定することが、読み取り専用の IAM ユーザーを設定するよりも推奨されます。ただし、VMware Aria Cost プラットフォームではいずれの方法もサポートされています。
ターゲット アカウントの AWS コンソール内に読み取り専用 IAM ロールを作成します。次に、これらの認証情報を VMware Aria Cost プラットフォームに追加します。
デフォルトの AWS 読み取り専用ポリシーは S3 オブジェクトなどのデータへの読み取りアクセスを提供するため、使用しないことをお勧めします。
454464851268
と入力します。これは、安全な VMware Aria Cost 管理アカウントの ID です。VMware Aria Cost プラットフォームからのリンクを介して AWS コンソールで資産の詳細を表示します。VMware Aria Cost プラットフォームでは、インスタンスに AWS コンソールで表示できるリンクがあります。
これらのリンクは、VMware Aria Cost プラットフォームから AWS コンソールとの統合を有効にすることによって設定されます。
GovCloud アカウントを構成するには、AWS 管理コンソールと VMware Aria Cost の両方で 2 つのアカウントを作成する必要があります。
AWS でのアカウントの作成
GovCloud アカウントは、統合アカウントまたはスタンドアローン アカウントに関連付ける必要があります。したがって、AWS 内に 2 つのアカウントを作成する必要があります。
VMware Aria Cost でのアカウントの作成
VMware Aria Cost 内に 2 つのアカウントを作成する必要があります。
VMware Aria Cost で一括請求書にリンクされる GovCloud アカウントを監視する予定がある場合は、次のガイドラインに従います。
これらの手順により、GovCloud アクティビティが、別のアカウントを使用して一括請求レコード内で報告されます。それ以外の場合は、統合された請求書のアカウント ID でアクティビティが報告されます。
次の手順を実行して、VMware Aria Cost で GovCloud アカウントを設定します。
スタンドアローンまたは統合のいずれかの商用アカウント。
請求設定は入力されている場合もありますが、このアカウントは通常、統合アカウントにリンクされるため、空になることがほとんどです。
この空のアカウントはインフラストラクチャを保持し、Assets AWS アカウントにリンクされます。
標準アカウントを設定している場合、VMware Aria Cost プラットフォームで両方のアプローチがサポートされていますが、読み取り専用の IAM ユーザーではなく読み取り専用の IAM ロールが推奨されます。GovCloud アカウントの場合、読み取り専用の IAM ユーザーのみがサポートされます。