アクションを使用すると、一連のパラメータに基づいて VMware Aria Cost プラットフォームで自動的に実行されるプロセスを定義することができます。このアプローチは、認証とセキュリティに影響を及ぼさずに、ミスが発生しやすい、手間のかかるタスクを自動化するのに役立ちます。アクションは、クラウドの管理と運用にかかる時間と労力を軽減することができ、ポリシーベースの管理における重要な要素です。アクションの認証者と承認者を設定してから、アクションを作成して、人間の介入を必要とせずに実行することができます。
VMware Aria Cost で承認プロセスによって実行されるアクションを構成して、クラウド管理のさまざまな側面を自動化することができます。アクションは、以下のユーザーの少なくとも 1 人の承認を通る必要があります。
自動アクションは、VMware Aria Cost のアドバンス ユーザーを対象としています。自動アクションでは、AWS インフラストラクチャの状態に直接影響する機能が認証済みロール(アクションの構成手順で定義)に提供されます。構成に応じて、アクションの実行前に承認または認証が必要な場合があります。
VMware Aria Cost 管理者は、有効になっているアクション、それらのアクションに対するアクセス権を持つロール、それらのアクションが実行時に環境に及ぼす影響について理解しておく必要があります。ロールを制限する方法については、カスタム ロールの作成を参照してください。
承認者と認証者のチェーンを構築するための独自のアクションを作成します。アクションを作成 をクリックします。
選択する リソース タイプ によって、実行できるアクションのセットは異なります。これらのアクションは、ユニバーサル アクションまたはリソース タイプ固有のアクションの 2 つのグループに分かれています。ユニバーサル アクションで許可されるのは、承認または認証の要求、Lambda 関数の実行、指定期間の待機などのワークフロー ルールのみです。リソース タイプ固有のアクションでは、リソースのタイプに応じてアクションを実行することができます。たとえば、Amazon EC2 インスタンスを操作する場合、インスタンスを削除、開始、停止、または再起動することができます。
組み込みアクションと同じく、カスタム アクションは、各ソースに、または一括操作によって複数のリソースに使用することができます。
更新 をクリックして、1 名または複数名の認証者を組み込みアクションに追加することができます。カスタム アクションの場合は、セットアップ をクリックします。
認証者および承認者の役割を果たすユーザーの名前を入力します。
アクションに対する認証者がいない場合、および AWS で VMware Aria Cost ポリシーに適用される適切な権限がシステムで認識されない場合は、警告が表示されます。アクションを実行するための適切な権限が IAM ポリシーに反映されていることを確認してください。
適切な権限を持っていれば、VMware Aria Cost プラットフォームでアクションを手動で実行することができます。たとえば、EC2 インスタンスのテーブルには、各インスタンスに関連付けられている アクション ドロップダウンがあります。
アクションをポリシーに関連付けて、ポリシー条件が true に評価されたときにアクションが実行されるようにします。
すべての資産タイプについて、次のアクションを実行できます。
待機機能に基づいてアクションをずらすことができます。たとえば、EC2 インスタンスを停止して、そのインスタンスのスナップショットを作成するための Lambda 関数を実行してから、インスタンスを終了することができます。アクションを構成する一連のイベントは次のように作成できます。
一連のイベントが正常に実行されるようにするには、ルールの ルールのテスト ボタンをクリックします。
アクションとポリシーの関連付けの詳細については、ルールの構成 を参照してください。
EC2 インスタンスの適正サイジングを行うための機会がないかインフラストラクチャを監視するポリシーを作成します
適正サイジングとは、クラウド インフラストラクチャを変更して、実際のニーズに合わせて処理することです。適正サイジングは、使用率の低い資産を特定するのに役立ちます。これにより、インスタンスに割り当てられている資産を調整したり、インスタンスを廃止したりすることができます。
ポリシーには 1 つまたは複数のブロックが含まれており、それぞれに指定した操作条件をチェックする特定のルールが含まれています。
インスタンスの適正サイジング ポリシーは複数のルール グループで構成され、それぞれが特定のインスタンス メトリックまたはトピックを表します。次のトピックが表示されます。
各トピックについて、組織内で使用率の低下を表すしきい値を指定できます。VMware Aria Cost はしきい値設定を使用して、各トピックのスコアを計算します。このスコアは「バッテリ メーター」として表示され、棒の長さと色はリソースのスコアを表します。詳細については、「EC2 インスタンスの適正サイジング レポート」を参照してください。
使用率が大幅に低下する場合 および 使用率がやや低下する場合 セクションを使用して、メトリックの内部ビジネス標準を反映するしきい値を指定します。メトリックの使用率が特定の範囲内にある場合は、そのメトリックにスコア値が割り当てられます。
スコア値 | メトリックのスコア範囲 |
---|---|
使用率が大幅に低下 | 0 ~ 33 |
使用率がやや低下 | 34 ~ 67 |
よく使用されている | 68 ~ 100 |
適正サイジングの推奨事項を提供する際に、VMware Aria Cost は、使用率が大幅に低下する場合 セクションで指定した最大使用率または平均使用率のしきい値を考慮します。
この例のポリシーでは、CPU とメモリの両方で 使用率が大幅に低下する場合 のしきい値が [平均] に設定されています。このため、CPU とメモリの両方の 使用率がやや低下する場合 しきい値が [最大] に設定されていても、VMware Aria Cost は CPU およびメモリの平均使用率に基づいて推奨事項を計算します。
この例のポリシーでは、しきい値は次のように指定されています。
CPU とメモリの両方の 使用率がやや低下する場合 しきい値が [最大] に設定されていても、VMware Aria Cost は CPU の平均使用率およびメモリの最大使用率に基づいて推奨事項を計算します。
ボリュームの適正サイジングを行うための機会がないかインフラストラクチャを監視するポリシーを作成します
適正サイジングとは、クラウド インフラストラクチャを変更して、実際のニーズに合わせて処理することです。適正サイジングは、使用率の低い資産を特定するのに役立ちます。これにより、ボリュームに割り当てられている資産を調整したり、ボリュームを廃止したりすることができます。
ポリシーには 1 つまたは複数のブロックが含まれており、それぞれに指定した操作条件をチェックする特定のルールが含まれています。
ポリシーに名前を付け、ポリシーが監視する内容について簡単な説明を記入します。
ポリシーはデフォルトで有効になっており、事前入力されたトピックのしきい値が含まれています。
ボリュームの適正サイジング ポリシーは複数のルール グループで構成されており、それぞれに以下のメトリックやトピックが含まれています。
各トピックについて、組織内で使用率の低下を表すしきい値を指定できます。VMware Aria Cost はしきい値設定を使用して、各トピックのスコアを計算します。このスコアは「バッテリ メーター」として表示され、棒の長さと色はリソースのスコアを表します。詳細については、「EBS ボリュームの適正サイジング レポート」を参照してください。
使用率が大幅に低下する場合 および 使用率がやや低下する場合 セクションを使用して、メトリックの内部ビジネス標準を反映するしきい値を指定します。メトリックの使用率が特定の範囲内にある場合は、そのメトリックにスコア値が割り当てられます。
スコア値 | メトリックのスコア範囲 |
---|---|
使用率が大幅に低下 | 0 ~ 33 |
使用率がやや低下 | 34 ~ 67 |
よく使用されている | 68 ~ 100 |
さらに、各メトリックには、次のデフォルトのしきい値範囲があります。
使用率
読み取りスループット
書き込みスループット
プラットフォーム内で AWS Config ルールを使用するための AWS Config データを収集します
AWS Config ルールは、リソースが特別に定義されたルールに遵守していない場合にアクションを実行するための標準ポリシー内の指標として使用できます。
ポリシー > ポリシー ブロック で、リソース タイプとして EC2 インスタンス を選択します。
条件を追加 を選択し、[トピックを選択] ドロップダウンから 構成 を選択します。次に、[測定を選択] ドロップダウンから AWS Config ルール を選択できるようになります。
測定が AWS Config ルールに設定されると、AWS アカウントで設定された AWS Config ルールの周囲に条件を構築できるようになります。
[AWS Config ルール] セクションは、VMware Aria Cost メイン メニューの レポート セクションの ガバナンス の下にあります。このビューには、現在設定されているすべての AWS Config ルールが、現在の状態、すなわち 準拠(青)、非準拠(赤)、または データが不十分(黒)とともに表示されます。また、リージョン、準拠リソース数、非準拠リソース数、およびデータが不十分なリソースも表示されます。
[AWS Config ルール] ハイパーリンクをクリックすると、AWS 資産内の詳細ページにリンクされ、すべてのリソースに対する AWS Config ルール チェックの明細項目リストが表示されます。これを使用して、指定された AWS Config ルールに準拠していない特定のリソースを特定できます。
このビューには、アカウント名、AWS Config ルール名、リソース ID、リソース タイプ、および現在のコンプライアンス タイプ(準拠または非準拠)が表示されます。
インフラストラクチャを監視するためにセキュリティ ポリシーを適用することの必要性と利点
アプリケーションをクラウドに展開するメリットとして、俊敏性、消費量ベースの価格設定、グローバル インフラストラクチャ、プラットフォーム サービスなど、さまざまなものがあります。しかし、変化が加速し、クラウド サービスは分散する性質があるため、サービスに不用意な変更やコンプライアンスに反する変更が加えられることにより、組織がセキュリティ リスクにさらされる可能性があります。
たとえば、Web サーバについてインターネットからのアクセスを制限するようにセキュリティ グループを厳密に構成した場合について考えてみましょう。チームのメンバーがそのセキュリティ グループを別のワークロードに使用し、追加のポートを開くかもしれません。継続的な監視を行わなければ、この変更が検出されないままになり、組織がセキュリティ リスクにさらされる可能性があります。
VMware Aria Cost では、セキュリティの運用を監視するポリシーベースのソリューションを使用することで、セキュリティ違反がないか、AWS アカウント、サービス、リソースが継続的に監視されるようになります。
ポリシーベースのアプローチは、拡張および構成が可能であり、柔軟性を備えています。
まずは、セキュリティ監視のための標準のルール セットが含まれているデフォルトの VMware Aria Cost セキュリティ ポリシーを使用することから始めます。それらのルールを特定の制約内でカスタマイズすることができます。また、ポリシー内のルールを有効または無効にすることもできます。
各ルールには、特定のセキュリティの問題とその問題に対処するために実行できる対策について理解するのに役立つ推奨事項が付属しています。推奨事項には、サポート ドキュメントへのリンク、およびポリシーに違反するリソースのリストも含まれています。
特定のポリシー ルールから除外するリソースを選択することができます。たとえば、デフォルトのポリシー ルールである IAM User MFA Access で、特定の IAM ユーザーを除外して、このルールがそのユーザーについては違反としてマークされないようにすることができます。
セキュリティの脆弱性について、AWS アカウント、サービス、リソースを監視するポリシーを実装します
デフォルト セキュリティ ポリシーとは、クラウドの安全性を確保して基準が満たされるようにするために VMware Aria Cost が推奨するメソッドです。このポリシーでは、AWS アカウント、サービス、リソースを監視します。問題を特定し、セキュリティを向上させるための推奨事項を提示します。VMware Aria Cost には、次の 2 つのデフォルト セキュリティ ポリシーが用意されています。
VMware Aria Cost では、デフォルト ポリシーを管理し、さらなるベスト プラクティスと CIS ベンチマークで定期的に更新します。このポリシーのルールは、特定の制約内でカスタマイズできます。デフォルト ポリシー内でのルールの有効化や無効化もできます。
ポリシーには 1 つ以上のポリシー ブロックが含まれており、それぞれに、AWS セキュリティ ベスト プラクティスや CIS ベンチマークに対してコンプライアンスをチェックする特定のルールが含まれています。
ポリシー AWS Best Practice Security と CIS AWS Foundation の推奨事項により、特定のセキュリティ問題について、またそれに対処するにはどのようなアクションを実行できるかがわかります。これらの推奨事項は、健全性チェックのパルス レポートにも表示されます。
セキュリティ ポリシーをカスタマイズする場合は、特定の制約内で各デフォルト ポリシーを編集できます。または、各デフォルト ポリシーのコピーを変更することもできます。ただし、その場合、作成したコピーは、VMware Aria Cost が新しいベスト プラクティスまたはベンチマークをデフォルト ポリシーに追加しても更新されません。
セキュリティ ポリシーを有効にしても、チェックされるのはトップレベルの組織のセキュリティ脆弱性のみです。ポリシーをサブ組織に適用するには、各ポリシーを複製し、適用先のサブ組織を指定します。
VMware Aria Cost は、AWS アカウントで記述された Lambda 関数を収集します。それらの関数は、環境内でポリシー条件が true であれば、VMware Aria Cost がユーザーの代わりに実行できるアクションとして使用することができます。
AWS Lambda は、サーバのプロビジョニングや管理を必要とせずにコードを実行できるサービスです。消費されたコンピューティング時間に対してのみ課金されるため、コードが実行されていない時間については料金が発生しません。
Lambda を使用すれば、任意のタイプのアプリケーションまたはバックエンド サービスに対してコードを実行することができます。コードをアップロードすると、Lambda がそのコードを実行するために必要なリソースを管理し、高可用性が提供されるようにスケーリングします。
Lambda の使用例として、次のようなものがあります。
詳細については、Lambda に関する AWS のドキュメントを参照してください。
VMware Aria Cost は、AWS アカウントで記述された Lambda 関数を収集します。それらの関数は、環境内でポリシー条件が true であれば、VMware Aria Cost がユーザーの代わりに実行できるアクションとして使用することができます。
VMware Aria Cost で AWS アカウントが 15 分ごとにスキャンされ、新しい Lambda 関数が検出されます。それらの関数は、検出されるとすぐに、ポリシー条件に対して指定可能なアクションとして使用できるようになります。
Lambda 関数は、ポリシー条件の データ タイプ が リソースごと に設定されていれば、次の AWS サービスのアクションとして適用することができます。
たとえば、EC2 インスタンスの使用状況を監視するポリシーを作成するとします。
ポリシー条件に対するアクションとして Lambda 関数を実行する場合、VMware Aria Cost は、ポリシー条件の影響を受けるリソースを特定するペイロードを返します。
このペイロードには、次の情報が含まれます。
ペイロードの例を次に示します。
{
"resource_arns": [
"arn:aws:ec2:eu-west-1:8445847XXXXX:reservation/5031XXXX-d915-48ec-a66a-45d3XXXXed83",
"arn:aws:ec2:us-east-1:8445847XXXXX:reservation/6d7bXXXX-b128-4599-802a-1112XXXXe21e",
"arn:aws:ec2:us-east-1:8445847XXXXX:reservation/172bXXXX-4a21-43d1-878d-3882XXXX2dc1",
"arn:aws:ec2:us-east-1:8445847XXXXX:reservation/5bfcXXXX-ecdf-4b5f-a3df-bf0cXXXX4475"
],
"function_name": "e2e-testing-lambda",
"region": "us-east-1",
"account_id": "8933531XXXXX",
"policy_name": "Test EC2 Inst Res",
"policy_block_name": "Block 1",
"violation_report_url": "https://apps.cloudhealthtech.com/policies/3504693314907/violation_report",
"summary": "Reservations for 4 instances will expire within the next 100 days",
"number_affected_resources": 4,
"affected_resources": [
{
"Scope": "Availability Zone",
"Account Name": "CHT-Demo",
"Offering Type": "Partial Upfront",
"Offering Class": "Standard",
"API Name": "t2.small",
"Zone Name": "eu-west-1a",
"Region Name": "eu-west-1",
"VPC": "",
"Count": "1",
"Operating System": "Linux/UNIX",
"Actual Price": "$0.00",
"Time To Expire": "6 days"
},
{
"Scope": "Availability Zone",
"Account Name": "CHT-Demo",
"Offering Type": "All Upfront",
"Offering Class": "Standard",
"API Name": "t2.micro",
"Zone Name": "us-east-1a",
"Region Name": "us-east-1",
"VPC": "",
"Count": "1",
"Operating System": "Linux/UNIX",
"Actual Price": "$74.33",
"Time To Expire": "96 days"
},
{
"Scope": "Availability Zone",
"Account Name": "CHT-Demo",
"Offering Type": "All Upfront",
"Offering Class": "Standard",
"API Name": "t2.micro",
"Zone Name": "us-east-1a",
"Region Name": "us-east-1",
"VPC": "",
"Count": "1",
"Operating System": "Linux/UNIX",
"Actual Price": "$57.34",
"Time To Expire": "96 days"
},
{
"Scope": "Availability Zone",
"Account Name": "CHT-Demo",
"Offering Type": "All Upfront",
"Offering Class": "Standard",
"API Name": "t2.micro",
"Zone Name": "us-east-1d",
"Region Name": "us-east-1",
"VPC": "",
"Count": "1",
"Operating System": "Linux/UNIX",
"Actual Price": "$48.93",
"Time To Expire": "96 days"
}
]
}
特にポリシー違反レポートで使用するために、独自のドキュメントをポリシーに追加します
たとえば、ポリシー違反 レポートで使用する場合などに、独自のドキュメントをポリシーに追加することができます。
VMware Aria Cost のデフォルトのセキュリティ ポリシー(AWS Best Practice Security および CIS AWS Foundation)には、標準ドキュメントが含まれており、組織固有のニーズに合わせて編集することができます。
ドキュメントをカスタマイズするには、Markdown 構文を使用する必要があります。
Markdown は、テキストを HTML 形式に変換するツールです。このツールを使用すると、コンテンツを読みやすく、書きやすいテキスト形式で作成してから、構造的に有効な HTML 形式に変換することができます。
Markdown 構文を使用して、すぐに標準書式のコンテンツを作成することができます。詳細な書式オプションについては、「Markdown Syntax」を参照してください。
レベルごとに見出しテキストの先頭に #
を付けることにより、h1
から h6
までの見出しを構成します。例:
## h1 Heading
### h2 Heading
#### h3 Heading
##### h4 Heading
###### h5 Heading
####### h6 Heading
段落を標準のプレーン テキストとして入力します。
例:
Lorem ipsum dolor sit amet, graecis denique ei vel, at duo primis mandamus. Et legere ocurreret pri, animal tacimates complectitur ad cum.
**(二重アスタリスク)でテキストを囲むことにより、テキスト要素を太字で強調します。例:
**This text is bold-faced.**
テキストを _ (underscores)
で囲むことにより、斜体にします。例:
_This text is italicized._
コメントは <!--
および -->
で囲みます。例:
<!-- This comment is not visible in the HTML output. -->
次のいずれかのオプションを使用してテキストを区切ることにより、テーマの区切りを作ります。
___
(3 つのアンダースコア)***
(3 つのアスタリスク)---
(3 つのダッシュ)次のいずれかの記号を使用して、記号付きリストを作成します。
*
有効な箇条書き項目-
有効な箇条書き項目+
有効な箇条書き項目数字を使用して番号付きリストを作成します。
1.
1 番目の箇条書き2.
2 番目の箇条書き3.
3 番目の箇条書き[Page title](http://google.com)
ドキュメント テキスト ボックスで、Markdown 構文を使用してセクション、段落、リンクを追加します。
### Description
The root account has full administrative privileges and should never be used for programmatic API access to AWS.
***
### Recommended Actions
Delete any configured access keys on your root account and replace it with an IAM user or role configured with the minimum privileges required for its use.
### Additional Resources
- [IAM Best Practices](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
1 か月ごとに予想されるクラウドのコストを定義
予算は、予想されるクラウドの支出を 1 か月ごとに定義します。予算によって、事前に年間の予想されるコストを可視化し、その年が進む中での実際のコストとの比較を行うことができます。予算は、必要に応じて何個でも作成できます。
予算には次の 2 つのタイプがあります。
タイプ | 定義 |
---|---|
全体 | 組織全体でどの程度の費用をかける予定であるか。 |
パースペクティブ別の分類 | それぞれのパースペクティブ グループでどの程度の費用をかける予定であるか。 |
既存の予算を表示するには、セットアップ > ガバナンス > 予算 に移動します。
注 - (使用不可となっている)レガシーの予算機能を使用して作成された予算は、黄色のレガシー ラベルで示されます。レガシーの予算はポリシーでサポートされなくなっているため、VMware Aria Cost では、これらのレガシー予算をコピーしてサポートされる予算を作成し、関連するポリシーのレガシー予算と置き換えることをお勧めします。
予算のコストと実際のコスト レポートで予算のコストと実際のコストを比較できます。
予算の構成が完了したら、コストを監視するポリシーを作成して、その月の予測した予算を超過することが予想される場合、または超過した場合に通知することができます。予算ポリシーを使用することで、支出を継続的に把握し、コストが管理不能になる前にコストを削減できます。
予算の期限が切れると、その予算に関連付けられたポリシー ブロックがポリシー内で無効になります。
ポリシー ブロックが無効になるという通知はありません。期限切れになる予算を確認し、アクティブな状態を維持したいポリシーを再び有効にします。
レガシー予算を使用したポリシーを作成した場合、そのポリシーは想定通りに機能しなくなります。ポリシーが機能して通知を送信するようにするには、サポートされている予算機能で作成された予算でレガシー予算を置き換えます。
Total Cost - RI Prepay + Amortization
として計算することができます。予算の値は次の 2 つの方法で入力できます。
オプション 1:手動入力
オプション 2:CSV インポート
コスト履歴は、過去 13 か月のデータを使用可能です。
予算に合計 0 のグループがある場合、保存 ボタンは無効になり、予算を作成できなくなります。
予算を作成した後、セットアップ > ガバナンス > 予算 で、その予算に対してさまざまな操作を実行できます。
既存の予算を編集するには、その予算の ビュー アイコンを選択し、必要に応じて変更します。既存の予算の開始日、予算のタイプ、分類を編集することはできません。
予算に合計 0 のグループがある場合、更新 ボタンは無効になり、予算を変更できなくなります。
新しい予算をゼロから作成するのではなく、既存の予算を複製して、そのコピーを変更することができます。予算を複製するには、その予算の 複製 アイコンを選択します。
既存の予算を完全に削除するには、その予算の 削除 アイコンを選択します。
この予算に依存していて、予算の削除によって影響を受けるポリシー、レポート、サブスクリプション、およびアラートがあることを警告するダイアログ ボックスが表示されます。予算を削除するには、削除 をクリックします。