ポリシーを使用した GCP ガバナンス
GCP コンピューティング インスタンスの開始/停止アクションの構成
VMware Aria Cost powered by CloudHealth プラットフォームで、GCP コンピューティング エンジン リソースに、GCP コンピューティング インスタンスの開始や停止などの自動アクションを構成できるようになりました。これらの自動アクションをポリシーに関連付けると、ライトオン/ライトオフ ポリシーにより GCP 環境をより効果的に最適化できます。
GCP コンピューティング インスタンスでのアクションの構成
- VMware Aria Cost プラットフォームで、セットアップ > ガバナンス > ポリシー に移動し、新規ポリシー > 標準ポリシー の順に選択します。
- ポリシーに名前を付け、説明を追加します。
- リソース タイプ から コンピューティング インスタンス を選択します。
- 1 つ以上の条件を監視するルールを追加します。
- アクション をクリックし、GCP コンピューティング インスタンスの開始 または GCP コンピューティング インスタンスの停止 を選択します。
- ドロップダウンから パースペクティブ グループ を選択して、アクションの範囲を制限します。
- アクションを保存 をクリックします。
ポリシー アクションの詳細
VMware Aria Cost プラットフォームでポリシー アクションの詳細を表示するには、ダッシュボード > 通知 > アクション の順に移動し、表示アイコンをクリックします。アクションの詳細 ページには、アクションのステータスが[成功]、[失敗]、[成功 (エラーあり)] のいずれかで表示されます。
次の例では、[アクションの詳細] ページに GCP コンピューティング インスタンスの開始アクションが正常に実行されたことが表示されています。
アクションのステータスを理解するために、次のポリシーの例を考察します。
stop GCE Instances when an instance has more than 60 cores
にポリシーを作成します。アクションのステータスに応じて、[アクションの詳細] ページに次のいずれかのステータスが表示されます。
- 成功 ステータス(すべてのインスタンスに対するアクションが成功した場合)。
- 失敗 ステータス(すべてのインスタンスに対してアクションの実行が失敗した場合)。
- 成功 (エラーあり) ステータス(アクションが成功したインスタンスもあるが、失敗したインスタンスもある場合)。
開始/停止アクションのポリシーを構成する権限の定義
GCP コンピューティング インスタンスに開始/停止アクションのポリシーを構成するには、Google コンソールで compute.instances.stop
権限と compute.instances.start
権限を適用する必要があります。これらの権限は、次のいずれかの方法で追加できます。
- 組織レベルで、すべての IAM ユーザーが使用する既存の IAM ポリシーに開始/停止アクション権限を追加します。
- 開始/停止アクション ポリシーに必要な 2 つの権限のみを持つ新しい IAM ロールを組織レベルで作成します。新しく作成した IAM ロールは、プロジェクト レベルで IAM ユーザーに割り当てることができます。カスタム ロールを作成する手順については、組織レベルでの GCP アカウントの構成を参照してください。
- 開始/停止アクション権限をプロジェクト レベルで IAM メンバーに手動で追加します。
GCP のロールと権限
GCP で必要な権限
次の表に、GCP で VMware Aria Cost の構成に必要な権限を示します。
VMware Aria Cost の構成 |
必要な権限 |
BigQuery エクスポートの有効化 |
請求アカウント管理者または請求アカウント コスト マネージャ |
BigQuery エクスポート構成の表示 |
請求アカウント管理者、請求アカウント コスト マネージャ、または請求閲覧者 |
組織レベルでの IAM メンバーと IAM ロールの作成 |
組織管理者 |
すべてのプロジェクトでの API の有効化 |
プロジェクト所有者(組織レベル) |
GCP のカスタム ロール
Google IAM ロール
VMware Aria Cost プラットフォームを使用して Google Cloud を構成する場合は、Google コンソールでサービス アカウントを作成し、サービス アカウントに IAM ロールを割り当てる必要があります。
次の 2 つのロールのいずれかを割り当てることができます。
- カスタム:組織レベルでクラウドを構成している場合、またはプロジェクト レベルでクラウドを構成していて、VMware Aria Cost でアクセスできる権限と資産をカスタマイズしたい場合、カスタム ロールを作成して割り当てます。
- エディタ:プロジェクト レベルでクラウドを構成し、デフォルト ロールのメンテナンスの容易さというメリットを利用する場合は、デフォルトのエディタ ロールを割り当てます。
たとえば、セキュリティに懸念がある場合は、VMware Aria Cost に特定の資産へのアクセスのみを許可するカスタム ロールを作成できます。
必須のカスタム ロール API と権限
カスタム ロールには、特定の資産に対して少なくとも次の権限が含まれている必要があります。
- 権限がない場合、VMware Aria Cost は、コストを節約するためのレポートや推奨事項を提供することができません。
- gcloud コマンド を使用してカスタム ロールを構成する場合は、最小限の権限を持つカスタム ロール の YAML ファイルをダウンロードし、必要に応じてファイルを編集します。
BigQuery コスト データの場合
フィールド |
詳細 |
必要な IAM 権限 |
resourcemanager.projects.get, bigquery.datasets.get, bigquery.jobs.create, bigquery.tables.get, bigquery.tables.getData |
必要な API |
bigquery-json.googleapis.com 、cloudresourcemanager.googleapis.com |
権限が必要なレポート |
請求書履歴レポート、コスト履歴レポート |
収集頻度 |
12 時間ごと:請求書のコスト履歴、請求書のメタデータ履歴、コスト履歴、コスト(パーティション別)、コスト履歴メタデータ。24 時間ごと:SKU 検出 |
GCE ディスクの場合
フィールド |
詳細 |
必要な IAM 権限 |
compute.disks.get, compute.disks.list, compute.projects.get, compute.regions.get, compute.regions.list, compute.zones.get, compute.zones.list |
オプションの IAM 権限 |
compute.disks.delete - GCE ディスクを削除するため。 |
必要な API |
compute.googleapis.com |
権限が必要なレポート |
GCE ディスクの資産レポート |
収集頻度 |
15 分ごと |
GCE イメージの場合
フィールド |
詳細 |
必要な IAM 権限 |
compute.images.get, compute.images.list, compute.projects.get, compute.regions.get, compute.regions.list, compute.zones.get, compute.zones.list |
必要な API |
compute.googleapis.com |
権限が必要なレポート |
GCE イメージの資産レポート |
収集頻度 |
15 分ごと |
GCE インスタンスの場合
フィールド |
詳細 |
必要な IAM 権限 |
compute.instances.get, compute.instances.list, compute.projects.get, compute.regions.get, compute.regions.list, compute.zones.get, compute.zones.list |
必要な API |
compute.googleapis.com |
権限が必要なレポート |
GCE の資産レポート、GCE の適正サイジング レポート、接続されたディスクの資産レポート |
収集頻度 |
15 分ごと |
GCE スナップショットの場合
フィールド |
詳細 |
必要な IAM 権限 |
compute.snapshots.get, compute.snapshots.list, compute.projects.get, compute.regions.get, compute.regions.list, compute.zones.get, compute.zones.list |
オプションの IAM 権限 |
compute.snapshots.delete - GCE スナップショットを削除するため。 |
必要な API |
compute.googleapis.com |
権限が必要なレポート |
GCE スナップショットの資産レポート |
収集頻度 |
15 分ごと |
GCE 静的 IP アドレスの場合
フィールド |
詳細 |
必要な IAM 権限 |
compute.addresses.list, compute.projects.get, compute.regions.get, compute.regions.list, compute.zones.get, compute.zones.list |
オプションの IAM 権限 |
compute.addresses.delete - 未接続の固定 IP アドレスを解放するため。 |
必要な API |
compute.googleapis.com |
権限が必要なレポート |
GCE 静的 IP アドレスの資産レポート |
収集頻度 |
15 分ごと |
GCS バケットの場合
フィールド |
詳細 |
必要な IAM 権限 |
storage.buckets.get, storage.buckets.list |
必要な API |
storage-component.googleapis.com |
権限が必要なレポート |
GCS バケットの資産レポート |
収集頻度 |
15 分ごと |
Dataproc クラスタの場合
フィールド |
詳細 |
必要な IAM 権限 |
dataproc.clusters.list, compute.regions.get, compute.regions.list, compute.zones.get, compute.zones.list |
必要な API |
dataproc.googleapis.com |
権限が必要なレポート |
Dataproc クラスタの資産レポート |
収集頻度 |
4 時間ごと |
GKE クラスタの場合
フィールド |
詳細 |
必要な IAM 権限 |
container.clusters.list |
必要な API |
container.googleapis.com |
権限が必要なレポート |
GKE クラスタの資産レポート |
収集頻度 |
15 分ごと |
GCE の適正サイジングに関する推奨事項
フィールド |
詳細 |
必要な IAM 権限 |
recommender.computeInstanceMachineTypeRecommendations.get, recommender.computeInstanceMachineTypeRecommendations.list, recommender.computeInstanceMachineTypeRecommendations.update, recommender.locations.get, recommender.locations.list |
必要な API |
recommender.googleapis.com |
権限が必要なレポート |
GCE の適正サイジング レポート |
収集頻度 |
12 時間ごと |
プロジェクトの健全性ステータスの場合
フィールド |
詳細 |
必要な IAM 権限 |
resourcemanager.projects.get |
必要な API |
cloudresourcemanager.googleapis.com |
収集頻度 |
プロジェクト テスト アクセス(プロジェクト認証情報の検証)- 4 時間ごと |
接続されたディスクの場合
フィールド |
詳細 |
必要な IAM 権限 |
compute.disks.get 、compute.disks.list |
必要な API |
compute.googleapis.com |
権限が必要なレポート |
接続されたディスクの資産レポート |
収集頻度 |
15 分ごと |
ゾーンの場合
フィールド |
詳細 |
必要な IAM 権限 |
compute.zones.get 、compute.zones.list |
必要な API |
compute.googleapis.com |
権限が必要なレポート |
ゾーンの資産レポート |
収集頻度 |
15 分ごと |
マシン タイプの場合
フィールド |
詳細 |
必要な IAM 権限 |
compute.instances.get 、compute.instances.list |
必要な API |
compute.googleapis.com |
権限が必要なレポート |
マシン タイプの資産レポート |
収集頻度 |
24 時間ごと |
ディスク タイプの場合
フィールド |
詳細 |
必要な IAM 権限 |
compute.disks.get 、compute.disks.list |
必要な API |
compute.googleapis.com |
権限が必要なレポート |
ディスク タイプの資産レポート |
収集頻度 |
24 時間ごと |
リージョンの場合
フィールド |
詳細 |
必要な IAM 権限 |
compute.regions.get 、compute.regions.list |
必要な API |
compute.googleapis.com |
権限が必要なレポート |
リージョンの資産レポート |
収集頻度 |
24 時間ごと |