今回は、AWS Compute OptimizerをAWS Organizationsと連携させるときの初期セットアップ手順について説明します。→本連載「AWS Organizations連携サービス最新情報&セットアップのコツ」のこれまでの回はこちら

AWS Compute OptimizerはAWSリソースの実際の使用状況に基づき、EC2の推奨インスタンスサイズなどを示してくれます。これにより、AWSリソースの適切な利用をサポートしてくれるサービスです。AWS Compute OptimizerはAWS Organizationsと連携させることで、AWS Organizations配下のすべてのAWSアカウントでのAWSリソースの推奨を一元的に確認できるようになります。

以下、セットアップ手順について紹介していきます。

想定する構成

Compute Optimizerはコストに関連する情報が確認可能となるため、これまでに紹介してきたようなセキュリティアカウントとは別のAWSアカウントを委任管理者として設定することが多くなると思います。そのため、下記の構成でのセットアップを行っていきます。

委任管理者アカウントの設定

これまで紹介してきたサービスと同じく、まずは管理アカウントで委任管理者の設定を行います。

(1)委任管理者アカウントの設定は、管理アカウントでのみ実施が可能ですので、まず管理アカウントにログインを行い、Organizationsの画面へ遷移します。 (2)サイドメニューから「サービス」をクリックします。 (3)Computer Optimizerを見つけ、クリックします。

(4)「信頼されたアクセスを有効にする」をクリックします。

(5)表示されたポップアップで下記のように入力を行い、「信頼されたアクセスを有効にする」ボタンをクリックします。

(6)ステータスが変更されていることを確認します。

(7) 「コンソールに移動する」ボタンをクリックし、Compute Optimizerへ移動します。 (8)管理アカウントのCompute Optimizerが有効化されていない場合は、有効化を行います。

アカウントのオプトインメニューで「この組織のすべてのメンバーアカウント」を選択し、「オプトイン」ボタンをクリックします。

(9)Compute Optimizerのダッシュボード画面へ遷移します。

(10)すぐには委任管理者の設定ができないことがあり、筆者の環境では「アカウント管理」メニューにて24時間程度下記のエラーが表示された状態となりました。エラーメッセージが出ている際は、Compute Optimizerの利用の準備ができていない状況の可能性が高いため、エラーメッセージが消えるまで待つ必要があります。

(11)エラーメッセージが消えた状態で委任管理者としたいアカウントを選択し「委任」-「委任管理者として登録」をクリックします。

(12)「確認」ボタンをクリックします。

コスト管理アカウントの設定

委任管理者として指定されたコスト管理アカウントでCompute Optimizerへ移動し、ダッシュボードを表示すると、下記のようにOrganizations配下のAWSアカウントが自動で追加されていることが確認できます。

Organizationsと連携すると、Compute Optimizerの情報が集約されるだけではなく、Compute Optimizerによるレコメンデーション結果をCSVファイルとしてS3バケットにエクスポートしたり、Compute Optimizerのレコメンデーション精度を上げたりするための拡張インフラストラクチャメトリクスの設定を一括で実施できるようになります。

本稿では、エクスポート手順について説明を行います。

(1)まずは、コスト管理アカウント内に事前にエクスポート先のS3バケットを作成します。こちらの手順に従い、S3バケットを作成します。レコメンデーションをエクスポートするリージョンにS3バケットを作成する必要があります。

(2)Compute Optimizerのサイドメニューで「エクスポート」をクリックし、「レコメンデーションをエクスポート」ボタンをクリックします。

(3)レコメンデーションをエクスポートするリージョンを選択し、前の手順で作成したS3バケットを指定します。

組織内のすべてのAWSアカウントの情報を出力したい場合は、「組織内のすべてのメンバーアカウントの推奨事項を含めます。」を選択します。

最後に「エクスポート」ボタンをクリックします。

エクスポートが完了するとエクスポート先の情報が出力されます。ただしエクスポートジョブは最大で数時間かかることがあるため、ご留意ください。

課題となりやすいポイント

Compute Optimizerの設定に際しては、課題となりやすいポイントはそれほどありません。以前は委任管理者をサポートしていなかったため、管理アカウントで操作を行う必要がありましたが、委任管理者のサポートにより、セキュリティ周りの考慮事項はほぼなくなりました。

ただし、Compute OptimizerのOrganizations連携機能では、管理対象となるアカウントを除外する機能がありません。そのため、委任管理者アカウントには管理アカウントのCompute Optimizerの情報も集約されてしまいます。管理アカウントにAWSリソースが何も存在しなければ、レコメンデーションは表示されないため、多くの場合は問題ないと思われますが、管理対象アカウントを除外できない仕様であることはご留意ください。

まとめ

今回は、AWS Compute OptimizerのOrganizations連携ステップと課題となりやすいポイントについても紹介しました。本稿がOrganizations配下のAWSアカウントのCompute Optimizerの管理にお役に立てば幸いです。

次回は、Amazon Inspectorについて紹介します。

奥村康晃

奥村康晃

おくむらやすあき

NTTデータ入社以来、クラウドサービスのAPIを連携させることで効率的な管理を可能とするクラウド管理プラットフォームの開発に従事。現在では、クラウド導入の技術コンサルや組織での技術戦略立案にも携わる。 2023 Japan AWS Ambassadors受賞

この著者の記事一覧はこちら