ポリシーを使用した AWS ガバナンス
認証者と承認者を使用したアクションの自動化
アクションを使用すると、一連のパラメータに基づいて VMware Aria Cost プラットフォームで自動的に実行されるプロセスを定義することができます。このアプローチは、認証とセキュリティに影響を及ぼさずに、ミスが発生しやすい、手間のかかるタスクを自動化するのに役立ちます。アクションは、クラウドの管理と運用にかかる時間と労力を軽減することができ、ポリシーベースの管理における重要な要素です。アクションの認証者と承認者を設定してから、アクションを作成して、人間の介入を必要とせずに実行することができます。
承認者と認証者
VMware Aria Cost で承認プロセスによって実行されるアクションを構成して、クラウド管理のさまざまな側面を自動化することができます。アクションは、以下のユーザーの少なくとも 1 人の承認を通る必要があります。
- 承認者:要求されたアクションが許容可能であることを検証する責任があります。アクションがトリガされると、アクションを承認する必要があることを知らせる E メール通知を受信します。承認すると、アクションは、次の順番の承認者に渡されます。
- 認証者:すべての承認者がアクションに対して署名した後、要求は、一時的な最小特権トークンをプロビジョニングするために認証者に送信されます。このトークンにより、トークン ベアラーが AWS Security Token Service を使用して要求を作成できるようになります。VMware Aria Cost は、このトークンを使用してユーザーに代わってアクションを実行します。
自動アクションの構成と有効化
自動アクションは、VMware Aria Cost のアドバンス ユーザーを対象としています。自動アクションでは、AWS インフラストラクチャの状態に直接影響する機能が認証済みロール(アクションの構成手順で定義)に提供されます。構成に応じて、アクションの実行前に承認または認証が必要な場合があります。
VMware Aria Cost 管理者は、有効になっているアクション、それらのアクションに対するアクセス権を持つロール、それらのアクションが実行時に環境に及ぼす影響について理解しておく必要があります。ロールを制限する方法については、カスタム ロールの作成を参照してください。
- VMware Aria Cost 管理者として、VMware Aria Cost プラットフォームで適切な権限と制御を有効にします。
- セットアップ > アカウント > AWS をクリックして、アクションの構成を開始します。
- 既存のアカウントを編集するか、または新しいアカウントを作成します。
- [アカウント構成] 画面で、自動化 ドロップダウンを展開して、アカウントに対して自動アクションを有効にします。
- アカウントを保存 をクリックします。
カスタム アクションの構成と有効化
承認者と認証者のチェーンを構築するための独自のアクションを作成します。アクションを作成 をクリックします。
選択する リソース タイプ によって、実行できるアクションのセットは異なります。これらのアクションは、ユニバーサル アクションまたはリソース タイプ固有のアクションの 2 つのグループに分かれています。ユニバーサル アクションで許可されるのは、承認または認証の要求、Lambda 関数の実行、指定期間の待機などのワークフロー ルールのみです。リソース タイプ固有のアクションでは、リソースのタイプに応じてアクションを実行することができます。たとえば、Amazon EC2 インスタンスを操作する場合、インスタンスを削除、開始、停止、または再起動することができます。
組み込みアクションと同じく、カスタム アクションは、各ソースに、または一括操作によって複数のリソースに使用することができます。
認証者と承認者の追加
更新 をクリックして、1 名または複数名の認証者を組み込みアクションに追加することができます。カスタム アクションの場合は、セットアップ をクリックします。
認証者および承認者の役割を果たすユーザーの名前を入力します。
アクションに対する認証者がいない場合、および AWS で VMware Aria Cost ポリシーに適用される適切な権限がシステムで認識されない場合は、警告が表示されます。アクションを実行するための適切な権限が IAM ポリシーに反映されていることを確認してください。
アクションの手動実行
適切な権限を持っていれば、VMware Aria Cost プラットフォームでアクションを手動で実行することができます。たとえば、EC2 インスタンスのテーブルには、各インスタンスに関連付けられている アクション ドロップダウンがあります。
ポリシーベースのアクションの有効化
アクションをポリシーに関連付けて、ポリシー条件が true に評価されたときにアクションが実行されるようにします。
すべての資産タイプについて、次のアクションを実行できます。
- Lambda 関数の実行:ポリシー条件が true と評価された場合にカスタム Lambda スクリプトを実行します。
- 待機:実行チェーン内の次のアクションの開始を遅らせます。
待機機能に基づいてアクションをずらすことができます。たとえば、EC2 インスタンスを停止して、そのインスタンスのスナップショットを作成するための Lambda 関数を実行してから、インスタンスを終了することができます。アクションを構成する一連のイベントは次のように作成できます。
- EC2 インスタンスを停止します。
- 15 分間、待機します。
- インスタンスのスナップショットを作成する Lambda 関数を実行します。
- 1 時間、待機します。
- EC2 インスタンスを終了します。
一連のイベントが正常に実行されるようにするには、ルールの ルールのテスト ボタンをクリックします。
アクションとポリシーの関連付けの詳細については、ルールの構成 を参照してください。
インスタンスの適正サイジング ポリシーの作成
EC2 インスタンスの適正サイジングを行うための機会がないかインフラストラクチャを監視するポリシーを作成します
適正サイジングとは
適正サイジングとは、クラウド インフラストラクチャを変更して、実際のニーズに合わせて処理することです。適正サイジングは、使用率の低い資産を特定するのに役立ちます。これにより、インスタンスに割り当てられている資産を調整したり、インスタンスを廃止したりすることができます。
ポリシーの作成
ポリシーには 1 つまたは複数のブロックが含まれており、それぞれに指定した操作条件をチェックする特定のルールが含まれています。
- セットアップ > ガバナンス > ポリシー で、新規ポリシー > インスタンスの適正サイジング ポリシー を選択します。
- ポリシーに名前を付け、ポリシーが監視する内容について簡単な説明を記入します。ポリシーはデフォルトで有効になっており、事前入力されたトピックのしきい値が含まれています。
トピック スコアのしきい値の指定
インスタンスの適正サイジング ポリシーは複数のルール グループで構成され、それぞれが特定のインスタンス メトリックまたはトピックを表します。次のトピックが表示されます。
- CPU
- メモリ
- ディスク
- ディスク I/O
- 受信ネットワーク
- 送信ネットワーク
各トピックについて、組織内で使用率の低下を表すしきい値を指定できます。VMware Aria Cost はしきい値設定を使用して、各トピックのスコアを計算します。このスコアは「バッテリ メーター」として表示され、棒の長さと色はリソースのスコアを表します。詳細については、「EC2 インスタンスの適正サイジング レポート」を参照してください。
使用率が大幅に低下する場合 および 使用率がやや低下する場合 セクションを使用して、メトリックの内部ビジネス標準を反映するしきい値を指定します。メトリックの使用率が特定の範囲内にある場合は、そのメトリックにスコア値が割り当てられます。
| スコア値 | メトリックのスコア範囲 |
|---|---|
| 使用率が大幅に低下 | 0 ~ 33 |
| 使用率がやや低下 | 34 ~ 67 |
| よく使用されている | 68 ~ 100 |
使用率が大幅に低下するしきい値の推奨事項に対する影響
適正サイジングの推奨事項を提供する際に、VMware Aria Cost は、使用率が大幅に低下する場合 セクションで指定した最大使用率または平均使用率のしきい値を考慮します。
- CPU、メモリ、またはディスクについて、使用率が大幅に低下する場合 のしきい値が [最大値] に設定されている場合は、VMware Aria Cost によって、最大メトリックに基づいて適正サイズの推奨事項が計算されます。
- 使用率が大幅に低下する場合 のしきい値が [平均] に設定されている場合は、VMware Aria Cost によって、平均メトリックに基づいて適正サイズの推奨事項が計算されます。
例 1:CPU およびメモリの使用率が大幅に低下するしきい値を [平均] に設定
この例のポリシーでは、CPU とメモリの両方で 使用率が大幅に低下する場合 のしきい値が [平均] に設定されています。このため、CPU とメモリの両方の 使用率がやや低下する場合 しきい値が [最大] に設定されていても、VMware Aria Cost は CPU およびメモリの平均使用率に基づいて推奨事項を計算します。
例 2:使用率が大幅に低下するしきい値を CPU で [平均] に、メモリで [最大] に設定
この例のポリシーでは、しきい値は次のように指定されています。
- CPU の 使用率が大幅に低下する場合 しきい値は [平均] に設定されています。
- CPU の 使用率がやや低下する場合 しきい値は [最大] に設定されています。
- メモリの 使用率が大幅に低下する場合 しきい値は [最大] に設定されています。
- メモリの 使用率がやや低下する場合 しきい値は [最大] に設定されています。
CPU とメモリの両方の 使用率がやや低下する場合 しきい値が [最大] に設定されていても、VMware Aria Cost は CPU の平均使用率およびメモリの最大使用率に基づいて推奨事項を計算します。
ボリュームの適正サイジング ポリシーの作成
ボリュームの適正サイジングを行うための機会がないかインフラストラクチャを監視するポリシーを作成します
適正サイジングとは
適正サイジングとは、クラウド インフラストラクチャを変更して、実際のニーズに合わせて処理することです。適正サイジングは、使用率の低い資産を特定するのに役立ちます。これにより、ボリュームに割り当てられている資産を調整したり、ボリュームを廃止したりすることができます。
ポリシーの作成
ポリシーには 1 つまたは複数のブロックが含まれており、それぞれに指定した操作条件をチェックする特定のルールが含まれています。
- セットアップ > ガバナンス > ポリシー で、新規ポリシー > ボリュームの適正サイジング ポリシー を選択します。
-
ポリシーに名前を付け、ポリシーが監視する内容について簡単な説明を記入します。
ポリシーはデフォルトで有効になっており、事前入力されたトピックのしきい値が含まれています。
トピック スコアのしきい値の指定
ボリュームの適正サイジング ポリシーは複数のルール グループで構成されており、それぞれに以下のメトリックやトピックが含まれています。
- 使用率
- 読み取りスループット
- 書き込みスループット
各トピックについて、組織内で使用率の低下を表すしきい値を指定できます。VMware Aria Cost はしきい値設定を使用して、各トピックのスコアを計算します。このスコアは「バッテリ メーター」として表示され、棒の長さと色はリソースのスコアを表します。詳細については、「EBS ボリュームの適正サイジング レポート」を参照してください。
使用率が大幅に低下する場合 および 使用率がやや低下する場合 セクションを使用して、メトリックの内部ビジネス標準を反映するしきい値を指定します。メトリックの使用率が特定の範囲内にある場合は、そのメトリックにスコア値が割り当てられます。
| スコア値 | メトリックのスコア範囲 |
|---|---|
| 使用率が大幅に低下 | 0 ~ 33 |
| 使用率がやや低下 | 34 ~ 67 |
| よく使用されている | 68 ~ 100 |
さらに、各メトリックには、次のデフォルトのしきい値範囲があります。
-
使用率
- 使用率が大幅に低下:平均使用率が 35% 未満
- 使用率がやや低下:平均使用率が 35% 以上、50% 未満
-
読み取りスループット
- 使用率が大幅に低下:平均読み取り操作率が 20% 未満
- 使用率がやや低下:平均読み取り操作率が 20% 以上および平均読み取り操作率が 50% 未満
-
書き込みスループット
- 使用率が大幅に低下:平均書き込み操作率が 20% 未満
- 使用率がやや低下:平均書き込み操作率が 20% 以上および平均書き込み操作率が 50% 未満
AWS Config ルールの使用
プラットフォーム内で AWS Config ルールを使用するための AWS Config データを収集します
ポリシー内の AWS Config ルール
AWS Config ルールは、リソースが特別に定義されたルールに遵守していない場合にアクションを実行するための標準ポリシー内の指標として使用できます。
ポリシー > ポリシー ブロック で、リソース タイプとして EC2 インスタンス を選択します。
条件を追加 を選択し、[トピックを選択] ドロップダウンから 構成 を選択します。次に、[測定を選択] ドロップダウンから AWS Config ルール を選択できるようになります。
測定が AWS Config ルールに設定されると、AWS アカウントで設定された AWS Config ルールの周囲に条件を構築できるようになります。
レポート内の AWS Config ルール
[AWS Config ルール] セクションは、VMware Aria Cost メイン メニューの レポート セクションの ガバナンス の下にあります。このビューには、現在設定されているすべての AWS Config ルールが、現在の状態、すなわち 準拠(青)、非準拠(赤)、または データが不十分(黒)とともに表示されます。また、リージョン、準拠リソース数、非準拠リソース数、およびデータが不十分なリソースも表示されます。
[AWS Config ルール] ハイパーリンクをクリックすると、AWS 資産内の詳細ページにリンクされ、すべてのリソースに対する AWS Config ルール チェックの明細項目リストが表示されます。これを使用して、指定された AWS Config ルールに準拠していない特定のリソースを特定できます。
このビューには、アカウント名、AWS Config ルール名、リソース ID、リソース タイプ、および現在のコンプライアンス タイプ(準拠または非準拠)が表示されます。
セキュリティ ポリシーのアクティブな管理
インフラストラクチャを監視するためにセキュリティ ポリシーを適用することの必要性と利点
アプリケーションをクラウドに展開するメリットとして、俊敏性、消費量ベースの価格設定、グローバル インフラストラクチャ、プラットフォーム サービスなど、さまざまなものがあります。しかし、変化が加速し、クラウド サービスは分散する性質があるため、サービスに不用意な変更やコンプライアンスに反する変更が加えられることにより、組織がセキュリティ リスクにさらされる可能性があります。
たとえば、Web サーバについてインターネットからのアクセスを制限するようにセキュリティ グループを厳密に構成した場合について考えてみましょう。チームのメンバーがそのセキュリティ グループを別のワークロードに使用し、追加のポートを開くかもしれません。継続的な監視を行わなければ、この変更が検出されないままになり、組織がセキュリティ リスクにさらされる可能性があります。
VMware Aria Cost では、セキュリティの運用を監視するポリシーベースのソリューションを使用することで、セキュリティ違反がないか、AWS アカウント、サービス、リソースが継続的に監視されるようになります。
セキュリティの監視にポリシーを使用する理由
ポリシーベースのアプローチは、拡張および構成が可能であり、柔軟性を備えています。
まずは、セキュリティ監視のための標準のルール セットが含まれているデフォルトの VMware Aria Cost セキュリティ ポリシーを使用することから始めます。それらのルールを特定の制約内でカスタマイズすることができます。また、ポリシー内のルールを有効または無効にすることもできます。
各ルールには、特定のセキュリティの問題とその問題に対処するために実行できる対策について理解するのに役立つ推奨事項が付属しています。推奨事項には、サポート ドキュメントへのリンク、およびポリシーに違反するリソースのリストも含まれています。
特定のポリシー ルールから除外するリソースを選択することができます。たとえば、デフォルトのポリシー ルールである IAM User MFA Access で、特定の IAM ユーザーを除外して、このルールがそのユーザーについては違反としてマークされないようにすることができます。
VMware Aria Cost のデフォルト セキュリティ ポリシー
- AWS Best Practice Security:AWS に関するポリシーとして、AWS アカウント、サービス、リソースを監視し、問題を特定し、セキュリティ改善策に関する推奨事項を提示するためにそのまま使用できるベスト プラクティスのセキュリティ ポリシーを提供します。
- CIS AWS Foundation:Center for Internet Security (CIS) は、公共部門と民間部門の両方のセクターにわたるサイバーセキュリティ対応の強化を専門とする非営利団体です。CIS は、Amazon Web Services のセキュリティ保護に関する「CIS Amazon Web Services Foundations」という一般的なベスト プラクティスのガイドを公開しています。このガイドは、AWS のセキュリティの健全性を評価するのに役立つベンチマークです。
- CIS Azure Foundation:CIS は、Microsoft Azure のセキュリティ保護に関する「CIS Microsoft Azure Foundations」という一般的なベスト プラクティスのガイドを公開しています。このガイドは、Azure のセキュリティの健全性を評価するのに役立つベンチマークです。
VMware Aria Cost のデフォルト セキュリティ ポリシーの実装
セキュリティの脆弱性について、AWS アカウント、サービス、リソースを監視するポリシーを実装します
デフォルト セキュリティ ポリシーについて
デフォルト セキュリティ ポリシーとは、クラウドの安全性を確保して基準が満たされるようにするために VMware Aria Cost が推奨するメソッドです。このポリシーでは、AWS アカウント、サービス、リソースを監視します。問題を特定し、セキュリティを向上させるための推奨事項を提示します。VMware Aria Cost には、次の 2 つのデフォルト セキュリティ ポリシーが用意されています。
- AWS Best Practice Security Policy:AWS セキュリティのベスト プラクティスのチェックを実行します。
- CIS AWS Foundation:CIS Amazon Web Services Foundations v1.2.0 Benchmark 推奨事項のチェックを実行します。
VMware Aria Cost では、デフォルト ポリシーを管理し、さらなるベスト プラクティスと CIS ベンチマークで定期的に更新します。このポリシーのルールは、特定の制約内でカスタマイズできます。デフォルト ポリシー内でのルールの有効化や無効化もできます。
デフォルト ポリシーの有効化
ポリシーには 1 つ以上のポリシー ブロックが含まれており、それぞれに、AWS セキュリティ ベスト プラクティスや CIS ベンチマークに対してコンプライアンスをチェックする特定のルールが含まれています。
- セットアップ > ガバナンス > ポリシー で、ポリシー AWS Best Practice Security または CIS AWS Foundation を編集します。
- ステータス を 有効 に切り替えて、ポリシーを保存 をクリックします。デフォルト ポリシーを有効にすると、その中のすべてのルールが有効になり、デフォルトの重要度が割り当てられます。デフォルト ポリシーに基づく監視からの推奨事項は、1 時間以内に利用可能になります。推奨事項は毎日表示されます。
デフォルト ポリシーの推奨事項の確認
ポリシー AWS Best Practice Security と CIS AWS Foundation の推奨事項により、特定のセキュリティ問題について、またそれに対処するにはどのようなアクションを実行できるかがわかります。これらの推奨事項は、健全性チェックのパルス レポートにも表示されます。
- セットアップ > ガバナンス > ポリシー で、ポリシー AWS Best Practice Security または CIS AWS Foundation を表示します。ルールごとに、違反の重要度と、そのルールに違反しているリソースの数が表に表示されます。
- ルールの詳細については、表の行をクリックしてください。
- ルールのドキュメントは、説明、推奨事項、および 追加のヘルプ のセクションに分かれています。これらのセクションの内容はカスタマイズできます。
- 影響を受けるリソース 表には、ポリシーに違反しているすべてのリソースが表示されます。
- リソースがポリシー ルールに違反している理由がわかっていて、今後のチェックから除外する必要がある場合は、表の上の すべて表示 をクリックして、表示されるダイアログ ボックスでリソースを特定し、除外 をクリックします。
デフォルト ポリシーのカスタマイズ
セキュリティ ポリシーをカスタマイズする場合は、特定の制約内で各デフォルト ポリシーを編集できます。または、各デフォルト ポリシーのコピーを変更することもできます。ただし、その場合、作成したコピーは、VMware Aria Cost が新しいベスト プラクティスまたはベンチマークをデフォルト ポリシーに追加しても更新されません。
- セットアップ > ガバナンス > ポリシー で、ポリシー AWS Best Practice Security または CIS AWS Foundation を編集します。
- これらの特性の 1 つ以上を変更します。
- ポリシーを有効または無効にします。デフォルトでは、このポリシーはオフになっています。
- ルールを有効または無効にします。
- ルールの重要度を変更します。
- ルールの条件を編集します。ポリシー ルールを構成して、要件をより適切に反映させることができます。たとえば、デフォルト ポリシーには、今後 30 日間はすべての IAM サーバ証明書の有効期限が切れないようにする、というルールが含まれています。このルールを編集して、その期間を変更できます。
- ルールの条件に違反するリソースに対して実行されるアクションをトリガします。
サブ組織へのセキュリティ ポリシーの適用
セキュリティ ポリシーを有効にしても、チェックされるのはトップレベルの組織のセキュリティ脆弱性のみです。ポリシーをサブ組織に適用するには、各ポリシーを複製し、適用先のサブ組織を指定します。
- セットアップ > ガバナンス > ポリシー で、ポリシー AWS Best Practice Security または CIS AWS Foundation を複製します。
- 表示されるダイアログ ボックスで、複製したポリシーに名前を付け、適用先のサブ組織を選択します。元のポリシーに追加したアクションは、サブ組織にはコピーされません。
VMware Aria Cost ポリシーでの AWS Lambda 関数の動作の仕組み
VMware Aria Cost は、AWS アカウントで記述された Lambda 関数を収集します。それらの関数は、環境内でポリシー条件が true であれば、VMware Aria Cost がユーザーの代わりに実行できるアクションとして使用することができます。
AWS Lambda とは
AWS Lambda は、サーバのプロビジョニングや管理を必要とせずにコードを実行できるサービスです。消費されたコンピューティング時間に対してのみ課金されるため、コードが実行されていない時間については料金が発生しません。
Lambda を使用すれば、任意のタイプのアプリケーションまたはバックエンド サービスに対してコードを実行することができます。コードをアップロードすると、Lambda がそのコードを実行するために必要なリソースを管理し、高可用性が提供されるようにスケーリングします。
Lambda の使用例として、次のようなものがあります。
- Amazon S3 や Amazon DynamoDB などの AWS サービスに対するデータ処理トリガを作成する。
- Amazon Kinesis に保存されているストリーミング データを処理する。
- AWS スケーリング、パフォーマンス、およびセキュリティで実行される独自のバックエンドを作成する。
- イベントによってトリガされる関数を構成要素とするサーバレス アプリケーションを構築し、AWS CodePipeline と AWS CodeBuild を使用して自動的に展開されるようにする。
詳細については、Lambda に関する AWS のドキュメントを参照してください。
VMware Aria Cost プラットフォームでの Lambda 関数のサポート
VMware Aria Cost は、AWS アカウントで記述された Lambda 関数を収集します。それらの関数は、環境内でポリシー条件が true であれば、VMware Aria Cost がユーザーの代わりに実行できるアクションとして使用することができます。
VMware Aria Cost で AWS アカウントが 15 分ごとにスキャンされ、新しい Lambda 関数が検出されます。それらの関数は、検出されるとすぐに、ポリシー条件に対して指定可能なアクションとして使用できるようになります。
Lambda 関数は、ポリシー条件の データ タイプ が リソースごと に設定されていれば、次の AWS サービスのアクションとして適用することができます。
- EC2 インスタンス
- EC2 イメージ
- EC2 予約(変更なし)
- EC2 スナップショット
- EBS ボリューム
- RDS インスタンス
- ロード バランサ
- AWS ワークスペース
- DynamoDB テーブル
- Elastic IP アドレス
ポリシー アクションとしての Lambda 関数の割り当て
たとえば、EC2 インスタンスの使用状況を監視するポリシーを作成するとします。
- [条件の追加] をクリックして、条件の基準を選択します。データ タイプ ドロップダウンで、リソースごと を選択します。条件を保存 をクリックします。
- アクションを追加 をクリックします。ドロップダウンで Lambda 関数の実行 を選択します。
- ポリシー条件が満たされている場合に VMware Aria Cost で実行される Lambda 関数を選択します。アクションの範囲を特定のパースペクティブ グループに限定することができます。認証者を割り当て、アクションの保存 をクリックします。
- ポリシーを保存 をクリックします。セットアップ > ガバナンス > ポリシー ページにポリシーが表示されます。
VMware Aria Cost が Lambda 関数に渡すペイロード
ポリシー条件に対するアクションとして Lambda 関数を実行する場合、VMware Aria Cost は、ポリシー条件の影響を受けるリソースを特定するペイロードを返します。
このペイロードには、次の情報が含まれます。
- リソース ARN:影響を受けるリソースの使用可能なすべての ARN
- Lambda 関数名
- AWS アカウント ID
- ポリシー名
- アクションを起動したポリシー ブロックの名前
- VMware Aria Cost プラットフォームのポリシー違反レポートの URL
- ポリシー条件のサマリ
- 影響を受けるリソースの数
- 影響を受ける各リソースに対応するフィールドがポリシー違反 レポートに表示されます。
ペイロードの例を次に示します。
{
"resource_arns": [
"arn:aws:ec2:eu-west-1:8445847XXXXX:reservation/5031XXXX-d915-48ec-a66a-45d3XXXXed83",
"arn:aws:ec2:us-east-1:8445847XXXXX:reservation/6d7bXXXX-b128-4599-802a-1112XXXXe21e",
"arn:aws:ec2:us-east-1:8445847XXXXX:reservation/172bXXXX-4a21-43d1-878d-3882XXXX2dc1",
"arn:aws:ec2:us-east-1:8445847XXXXX:reservation/5bfcXXXX-ecdf-4b5f-a3df-bf0cXXXX4475"
],
"function_name": "e2e-testing-lambda",
"region": "us-east-1",
"account_id": "8933531XXXXX",
"policy_name": "Test EC2 Inst Res",
"policy_block_name": "Block 1",
"violation_report_url": "https://apps.cloudhealthtech.com/policies/3504693314907/violation_report",
"summary": "Reservations for 4 instances will expire within the next 100 days",
"number_affected_resources": 4,
"affected_resources": [
{
"Scope": "Availability Zone",
"Account Name": "CHT-Demo",
"Offering Type": "Partial Upfront",
"Offering Class": "Standard",
"API Name": "t2.small",
"Zone Name": "eu-west-1a",
"Region Name": "eu-west-1",
"VPC": "",
"Count": "1",
"Operating System": "Linux/UNIX",
"Actual Price": "$0.00",
"Time To Expire": "6 days"
},
{
"Scope": "Availability Zone",
"Account Name": "CHT-Demo",
"Offering Type": "All Upfront",
"Offering Class": "Standard",
"API Name": "t2.micro",
"Zone Name": "us-east-1a",
"Region Name": "us-east-1",
"VPC": "",
"Count": "1",
"Operating System": "Linux/UNIX",
"Actual Price": "$74.33",
"Time To Expire": "96 days"
},
{
"Scope": "Availability Zone",
"Account Name": "CHT-Demo",
"Offering Type": "All Upfront",
"Offering Class": "Standard",
"API Name": "t2.micro",
"Zone Name": "us-east-1a",
"Region Name": "us-east-1",
"VPC": "",
"Count": "1",
"Operating System": "Linux/UNIX",
"Actual Price": "$57.34",
"Time To Expire": "96 days"
},
{
"Scope": "Availability Zone",
"Account Name": "CHT-Demo",
"Offering Type": "All Upfront",
"Offering Class": "Standard",
"API Name": "t2.micro",
"Zone Name": "us-east-1d",
"Region Name": "us-east-1",
"VPC": "",
"Count": "1",
"Operating System": "Linux/UNIX",
"Actual Price": "$48.93",
"Time To Expire": "96 days"
}
]
}
ポリシー Runbook のドキュメントのカスタマイズ
特にポリシー違反レポートで使用するために、独自のドキュメントをポリシーに追加します
たとえば、ポリシー違反 レポートで使用する場合などに、独自のドキュメントをポリシーに追加することができます。
VMware Aria Cost のデフォルトのセキュリティ ポリシー(AWS Best Practice Security および CIS AWS Foundation)には、標準ドキュメントが含まれており、組織固有のニーズに合わせて編集することができます。
ドキュメントをカスタマイズするには、Markdown 構文を使用する必要があります。
Markdown とは
Markdown は、テキストを HTML 形式に変換するツールです。このツールを使用すると、コンテンツを読みやすく、書きやすいテキスト形式で作成してから、構造的に有効な HTML 形式に変換することができます。
コンテンツの標準書式の構文
Markdown 構文を使用して、すぐに標準書式のコンテンツを作成することができます。詳細な書式オプションについては、「Markdown Syntax」を参照してください。
見出し
レベルごとに見出しテキストの先頭に # を付けることにより、h1 から h6 までの見出しを構成します。例:
## h1 Heading
### h2 Heading
#### h3 Heading
##### h4 Heading
###### h5 Heading
####### h6 Heading
段落
段落を標準のプレーン テキストとして入力します。
例:
Lorem ipsum dolor sit amet, graecis denique ei vel, at duo primis mandamus. Et legere ocurreret pri, animal tacimates complectitur ad cum.
太字
**(二重アスタリスク)でテキストを囲むことにより、テキスト要素を太字で強調します。例:
**This text is bold-faced.**
斜体
テキストを _ (underscores) で囲むことにより、斜体にします。例:
_This text is italicized._
コメント
コメントは <!-- および --> で囲みます。例:
<!-- This comment is not visible in the HTML output. -->
段落罫線
次のいずれかのオプションを使用してテキストを区切ることにより、テーマの区切りを作ります。
___(3 つのアンダースコア)***(3 つのアスタリスク)---(3 つのダッシュ)
箇条書き
次のいずれかの記号を使用して、記号付きリストを作成します。
*有効な箇条書き項目-有効な箇条書き項目+有効な箇条書き項目
数字を使用して番号付きリストを作成します。
1.1 番目の箇条書き2.2 番目の箇条書き3.3 番目の箇条書き
基本リンク
[Page title](http://google.com)
ルール ドキュメントのカスタマイズ
- ポリシー ブロックで、リソース タイプ を選択します。
- 詳細オプション セクションを展開して、ドキュメントを追加または編集します。組織のメンバーのみが表示できる内部リソースへのリンクを追加することもできます。
-
ドキュメント テキスト ボックスで、Markdown 構文を使用してセクション、段落、リンクを追加します。
### Description The root account has full administrative privileges and should never be used for programmatic API access to AWS. *** ### Recommended Actions Delete any configured access keys on your root account and replace it with an IAM user or role configured with the minimum privileges required for its use. ### Additional Resources - [IAM Best Practices](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
VMware Aria Cost での予算の構成
1 か月ごとに予想されるクラウドのコストを定義
VMware Aria Cost の予算について
予算は、予想されるクラウドの支出を 1 か月ごとに定義します。予算によって、事前に年間の予想されるコストを可視化し、その年が進む中での実際のコストとの比較を行うことができます。予算は、必要に応じて何個でも作成できます。
予算には次の 2 つのタイプがあります。
| タイプ | 定義 |
|---|---|
| 全体 | 組織全体でどの程度の費用をかける予定であるか。 |
| パースペクティブ別の分類 | それぞれのパースペクティブ グループでどの程度の費用をかける予定であるか。 |
既存の予算を表示するには、セットアップ > ガバナンス > 予算 に移動します。
注 - (使用不可となっている)レガシーの予算機能を使用して作成された予算は、黄色のレガシー ラベルで示されます。レガシーの予算はポリシーでサポートされなくなっているため、VMware Aria Cost では、これらのレガシー予算をコピーしてサポートされる予算を作成し、関連するポリシーのレガシー予算と置き換えることをお勧めします。
予算のコストと実際のコスト レポートで予算のコストと実際のコストを比較できます。
予算の構成が完了したら、コストを監視するポリシーを作成して、その月の予測した予算を超過することが予想される場合、または超過した場合に通知することができます。予算ポリシーを使用することで、支出を継続的に把握し、コストが管理不能になる前にコストを削減できます。
予算の期限が切れると、その予算に関連付けられたポリシー ブロックがポリシー内で無効になります。
ポリシー ブロックが無効になるという通知はありません。期限切れになる予算を確認し、アクティブな状態を維持したいポリシーを再び有効にします。
レガシー予算を使用したポリシーを作成した場合、そのポリシーは想定通りに機能しなくなります。ポリシーが機能して通知を送信するようにするには、サポートされている予算機能で作成された予算でレガシー予算を置き換えます。
予算の作成
手順 1:予算の詳細を入力
- VMware Aria Cost プラットフォームで、セットアップ > ガバナンス > 予算 に移動し、新規予算 を選択します。
- 予算名 フィールドに、予算の名前を入力します。
- ドロップダウン メニューから、予算の開始年月を選択します。すべての予算は 12 か月の期間を対象としています。
- 分類 フィールドで、予算を全体的に適用するか、またはパースペクティブで分類するかを選択します。
- 予算に償却を組み入れるには、予算に償却を含める チェックボックスを選択します。予算に償却が含まれている場合、予算と実績の比較レポートでは、コストの測定として償却コストが使用されます。償却コストは、
Total Cost - RI Prepay + Amortizationとして計算することができます。 - 予算に月単位でのロールオーバーを含める チェックボックスを選択すると、当月の予算の残高を翌月に繰り越します。予算を超過したコストは繰り越しされません。
手順 2:予算の値を入力
予算の値は次の 2 つの方法で入力できます。
- 手動入力:予算サイクルの月ごとに予算の値を手動で入力します。
- CSV インポート:CSV テンプレートをダウンロードし、CSV で予算の値を入力してから、VMware Aria Cost プラットフォームに CSV ファイルをインポートします。
オプション 1:手動入力
- 予算の値 ペインに移動します。予算がパースペクティブで分類されている場合は、グループの追加 を選択します。予算を構成するパースペクティブ グループを選択し、OK をクリックします。
- オプションで、テーブル内のある 1 か月の部分にマウス カーソルを置いたときに昨年の同じ月の実際のコストを表示するには、カーソルを置いたときにコスト履歴を表示する チェックボックスを選択します。
- テーブルで、月単位の予算の値を手動で入力します。
- 保存 をクリックします。
オプション 2:CSV インポート
- 予算の値 ペインに移動します。予算がパースペクティブで分類されている場合は、グループの追加 を選択します。予算を構成するパースペクティブ グループを選択し、OK をクリックします。
- CSV のダウンロード/インポート を選択します。
- オプションで、CSV のインポート/ダウンロード ダイアログ ボックスで、コスト履歴を含める チェックボックスを選択して、CSV ファイルに昨年の実際のコストを月単位で表示します。
コスト履歴は、過去 13 か月のデータを使用可能です。
- CSV のダウンロード を選択して、CSV テンプレートをダウンロードします。予算がパースペクティブによって分類されている場合は、テンプレートに手順 1 で追加したパースペクティブ グループのみを含めるか、予算を分類するパースペクティブのすべてのグループを含めるかをドロップダウンから選択します。
- CSV テンプレートがコンピュータにダウンロードされます。ファイルを開き、月単位の予算の値を入力します。入力した予算を一意の名前で保存します。
- VMware Aria Cost プラットフォームで、CSV のダウンロード/インポート ダイアログ ボックスに戻ります。ファイルの選択 を選択し、保存した CSV ファイルを選択します。
- CSV のインポート を選択して、保存した CSV ファイルをプラットフォームにインポートします。
- インポートされた予算を確認してから、保存 をクリックします。
予算に合計 0 のグループがある場合、保存 ボタンは無効になり、予算を作成できなくなります。
予算の変更
予算を作成した後、セットアップ > ガバナンス > 予算 で、その予算に対してさまざまな操作を実行できます。
既存の予算の編集
既存の予算を編集するには、その予算の ビュー アイコンを選択し、必要に応じて変更します。既存の予算の開始日、予算のタイプ、分類を編集することはできません。
予算に合計 0 のグループがある場合、更新 ボタンは無効になり、予算を変更できなくなります。
予算の複製
新しい予算をゼロから作成するのではなく、既存の予算を複製して、そのコピーを変更することができます。予算を複製するには、その予算の 複製 アイコンを選択します。
予算の削除
既存の予算を完全に削除するには、その予算の 削除 アイコンを選択します。
この予算に依存していて、予算の削除によって影響を受けるポリシー、レポート、サブスクリプション、およびアラートがあることを警告するダイアログ ボックスが表示されます。予算を削除するには、削除 をクリックします。
