Embed Size (px)
Citation preview
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
アマゾンウェブサービスジャパン株式会社
Cloud Support Engineer (DevOps), Hashimoto Takuya
2018.07.11
【AWS Black Belt Online Seminar】AWS Trusted Advisor
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Black Belt Online Seminarとは
AWSJのTechメンバがAWSに関する様々な事を紹介するオンラインセミナーです
【火曜 12:00〜13:00】主にAWSのソリューションや業界カットでの使いどころなどを紹介 (例:IoT、金融業界向け etc.)
【水曜 18:00〜19:00】主にAWSサービスの紹介やアップデートの解説 (例:EC2、RDS、Lambda etc.)
※開催曜日と時間帯は変更となる場合がございます。最新の情報は下記をご確認下さい。オンラインセミナーのスケジュール&申し込みサイト https://aws.amazon.com/jp/about-aws/events/webinars/
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
内容についての注意点
• 本資料では2018年7月11日時点のサービス内容および価格についてご説明しています。最新の情報はAWS公式ウェブサイト(http://aws.amazon.com)にてご確認ください。
• 資料作成には十分注意しておりますが、資料内の価格とAWS公式ウェブサイト記載の価格に相違があった場合、AWS公式ウェブサイトの価格を優先とさせていただきます。
• 価格は税抜表記となっています。日本居住者のお客様が東京リージョンを使用する場合、別途消費税をご請求させていただきます。
AWS does not offer binding price quotes. AWS pricing is publicly available and is subject to change in accordance with the AWS Customer Agreement available at http://aws.amazon.com/agreement/. Any pricing information included in this document is provided only as an estimate of usage charges for AWS services based on certain information that you have provided. Monthly charges will be based on your actual use of AWS services, and may vary from the estimates provided.
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Agenda
• AWS Trusted Advisorのご紹介• チェック項目の解説
• AWS Trusted Advisorの使い方• AWS Trusted Advisor の活用例• まとめ
• Q&A
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Trusted Advisorのご紹介
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
こんな不安はありませんか?
セキュリティグループの設定を見落として、不要なポートが開いていない
か心配
使っていないリソースを削除すれば、もっとコストを削減できるのでは?
構築したシステムが、AWS のベストプラク
ティスに沿っているかどうか気になる
AWS アカウント管理者・経理担当者
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Trusted Advisorのご紹介
お客様の AWS 環境を分析して、環境を最適化するための推奨ベストプラクティスを提供します
ベストプラクティスは五つのカテゴリに分類• コスト最適化
• パフォーマンス
• セキュリティ
• フォールトトレランス
• サービス制限
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Trusted Advisorのご紹介
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Trusted Advisorのご紹介
AWS マネージメントコンソールでチェック結果を一覧表示
緑:問題が検出されなかった項目
黄:調査が推奨される項目
赤:即時の対応が推奨される項目
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
チェック項目の解説
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
チェック項目は全 97個 (9+10+17+22+39)
Amazon EC2 リザーブドインスタンスのリース有効期限切れ
Amazon Route 53 レイテンシーリソースレコードセット
EC2 リザーブドインスタンスの最適化
アイドル状態の Amazon RDS DB インスタンス
アイドル状態の Load Balancer
使用率の低い Amazon EC2 Instances
使用率の低い Amazon Redshift クラスター
利用頻度の低い Amazon EBSボリューム
関連付けられていない Elastic IP Address
Amazon EBS プロビジョンド IOPS ボリューム アタッチ設定
Amazon EC2 から EBS スループット最適化
Amazon Route 53 エイリアスリソースレコードセット
CloudFront ヘッダー転送とキャッシュヒット率
CloudFront 代替ドメイン名
EC2 インスタンスセキュリティグループルールの増大
EC2 セキュリティグループルールの増大
コンテンツ配信の最適化 (CloudFront)
使用率の高い Amazon EC2インスタンス
利用率が高すぎる Amazon EBS マグネティックボリューム
AWS CloudTrail ロギング
Amazon EBS パブリックスナップショット
Amazon RDS セキュリティグループのアクセスリスク
Amazon RDS パブリックスナップショット
Amazon Route 53 MX リソースレコードセットと
Sender Policy Framework
Amazon S3 バケット許可
ELB セキュリティグループ
ELB リスナーのセキュリティ
IAM の使用
IAM アクセスキーローテーション
IAM パスワードポリシー
IAM 証明書ストアの CloudFront 独自 SSL 証明書
オリジンサーバーの CloudFront SSL 証明書
セキュリティグループ - 無制限アクセス
セキュリティグループ - 開かれたポート
ルートアカウントの MFA
公開されたアクセスキー
AWS Direct Connect ロケーションの冗長性
AWS Direct Connect 仮想インターフェイスの冗長性
AWS Direct Connect 接続の冗長性
Amazon Aurora DB インスタンスアクセシビリティ
Amazon EBS スナップショット
Amazon EC2 アベイラビリティゾーンのバランス
Amazon RDS Multi-AZ
Amazon RDS バックアップ
Amazon Route 53 ネームサーバ権限委譲
Amazon Route 53 フェイルオーバーリソースレコードセット
Amazon Route 53 削除されたヘルスチェック
Amazon Route 53 高 TTL リソースレコードセット
Amazon S3 バケット ロギング
Amazon S3 バケットバージョニング
Auto Scaling Group ヘルスチェック
Auto Scaling グループ リソース
EC2 Windows インスタンスの PV ドライバーバージョン
EC2 Windows インスタンス用の EC2Config サービス
ELB Connection Draining
ELB クロスゾーン負荷分散
Load Balancer の最適化
VPN トンネルの冗長化
Auto Scaling グループ
Auto Scaling の起動設定
CloudFormation スタック
EBS 汎用 SSD ボリュームストレージ
EBS マグネティック (スタンダードボリュームストレージ)
EBS プロビジョンド IOPS (SSD ボリューム集計 IOPS)
EBS プロビジョンド IOPS SSD (io1 ボリュームストレージ)
EBS アクティブなボリューム
EBS アクティブなスナップショット
EC2 Elastic IP アドレス
EC2 オンデマンドインスタンス
EC2 リザーブドインスタンスのリース
ELB アクティブなロードバランサー
IAM ロール
IAM グループ
IAM ポリシー
IAM ユーザー
IAM サーバー証明書
IAM インスタンスプロファイル
Kinesis リージョンあたりのシャード
RDS DB インスタンス
RDS DB パラメータグループ
RDS DB セキュリティグループ
RDS クラスター
RDS クラスターロール
RDS ユーザーあたりの DB スナップショット
RDS オプショングループ
RDS サブネットグループ
RDS リザーブドインスタンス
RDS 合計ストレージクォータ
RDS イベントサブスクリプション
RDS クラスターパラメータグループ
RDS マスターあたりのリードレプリカ
RDS サブネットグループあたりのサブネット
RDS セキュリティグループあたりの最大認証数
SES 日次送信クォータ
VPC Elastic IP アドレス
VPC インターネットゲートウェイ
VPC ネットワークインターフェイス
※ 2018-07-11 時点の項目
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
マネジメントコンソールのチェック項目表示
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
マネジメントコンソールのチェック項目表示
無視してよいと判断した場合は、チェックを入れて非表示にできる
- 項目の説明- 緑・黄・赤のアラート基準- 推奨する対処方法
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
チェック項目 -コスト最適化
使われていないリソース (= 無駄なコスト) を検出するほか、利用状況を分析して、コスト削減が期待できる割引プランをおすすめ
e.g.EC2 リザーブドインスタンスの最適化アイドル状態の Amazon RDS DB インスタンス使用率の低い Amazon EC2 Instances関連付けられていない Elastic IP Address
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
【コスト最適化】項目の例:Amazon EC2リザーブドインスタンスの最適化
前月の EC2 利用状況を分析して、最適なリザーブドインスタンスの購入数を計算
EC2 使用料金の 10% を節約できる余地があるときに警告 (黄) 表示
アクション: リザーブドインスタンスの購入をご検討ください
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
【コスト最適化】項目の例:使用率の低い Amazon EC2 Instances以下の条件を満たすインスタンスが 14 日間稼働している場合に警告 (黄) を表示
• 1 日の CPU 使用率が 10% 以下• かつ、Network I/O が 5MB 以下である日が 4 日以上ある
アクション: 複数インスタンスに分散している処理をまとめたり、インスタンスタイプを下げることでコストを削減でき
る可能性がある
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
チェック項目 -パフォーマンス
パフォーマンス低下に繋がる使い方をしていないかどうかチェックするほか、
もっと効率がよい AWS の機能を使う余地がある場合にお知らせ
e.g.Amazon EC2 から EBS スループット最適化EC2 インスタンスセキュリティグループルールの増大使用率の高い Amazon EC2インスタンス利用率が高すぎる Amazon EBS マグネティックボリューム
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
【パフォーマンス】項目の例:使用率の高い Amazon EC2 Instances以下の条件を満たすインスタンスが 14 日間稼働している場合に警告 (黄) を表示
• 1 日の CPU 使用率が 90% 以上である日が 4 日以上ある
アクション: インスタンスを増やしたり、インスタンスタイプを上げることでパフォーマンス改善の可能性がある
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
【パフォーマンス】項目の例:EC2 インスタンスセキュリティグループルールの増大VPC EC2 インスタンスに 50 以上のセキュリティグループルールが紐付いている場合に警告 (黄) を表示
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
チェック項目 -セキュリティ
セキュリティリスクのある設定になっていないかどうかチェックするほか、
現在よりもセキュリティを高められる推奨の設定があればおすすめ
e.g.セキュリティグループ -開かれたポートAWS CloudTrail ロギングAmazon EBS パブリックスナップショットIAM アクセスキーローテーションルートアカウントのMFA公開されたアクセスキー
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
【セキュリティ】項目の例:セキュリティグループ -開かれたポートアクセス元制限がない (0.0.0.0/0)、開かれたセキュリティグループルールを検出
• 25, 80, 443, 465ポートは HTTP(S), SMTP(S) 用途なので開かれていても OK• 20, 21, 1433, 1434, 3306, 3389, 4333, 5432, 5500ポートが開いてればエラー (赤)• それ以外のポート (e.g. 22) が開かれていれば警告 (黄)
アクション: 許可するアクセス元 IP アドレスを /32 等に制限する
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
【セキュリティ】項目の例:セキュリティグループ -開かれたポート
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
【セキュリティ】項目の例:IAM アクセスキーローテーションベストプラクティスとして、一定期間ごとに IAM ユーザのアクセスキーを変更することを推奨している
• 90 日以上アクセスキーがローテートされていない場合は警告 (黄)• 2 年以上アクセスキーがローテートされていない場合はエラー (赤)
アクション:管理者がアクセスキーをローテートするか、IAM ユーザに自分自身のキーを管理する権限を与える
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
【セキュリティ】項目の例:公開されたアクセスキー
誤ってコードリポジトリに公開されたなどの原因で、漏洩し
た疑いのあるアクセスキーの有無をチェック• アクセスキーが公開されていることを検知した場合、エラー (赤)• アクセスキーの使われ方から漏洩が疑われる場合、エラー (赤)
アクション: 対象アクセスキーを速やかに削除し、不正利用の有無を確認する
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
チェック項目 -フォールトトレランス
過去データから復旧できるようにバックアップを取得しているか、
AWS の機能を活用して冗長構成を取れているか、などの点をチェックする
e.g.Load Balancer の最適化Amazon RDS Multi-AZAmazon Route 53 フェイルオーバーリソースレコードセットAWS Direct Connect 接続の冗長性Amazon EBS スナップショット
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
【フォールトトレランス】項目の例:Load Balancer の最適化ELB 配下、インスタンスが複数 AZ で稼働しているか。以下の条件にマッチする場合、警告 (黄) を表示
• ロードバランサーが単一の AZ でしか有効化されていない• ロードバランサーが有効化されている AZ の中に、インスタンスが稼働していないものがある
• ロードバランサーに登録されたインスタンス数が AZ 間で均等になっていない (20% 以上の台数差異がある)
対応ロードバランサーは CLB のみ。ALB/NLB は未対応アクション: ELB に対して、少なくとも 2 AZ アベイラビリティゾーンに稼働中の正常なインスタンスを登録されるようにする
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
【フォールトトレランス】項目の例:Load Balancer の最適化
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
【フォールトトレランス】項目の例:Amazon RDS Multi-AZRDS の可用性を高めるためMulti-AZ 構成となっているかどうかをチェック
アクション: アプリケーションが高い可用性を必要とする場合、DB インスタンスのMulti-AZ を有効にする
• テスト環境など、可用性を必要としない RDS DB インスタンスであれば、非表示に設定して警告対象から除外する
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
チェック項目 -サービス制限
そもそもサービス制限とは: AWS は各サービスにおいて、アカウント毎に利用可能なリソース (EC2 インスタンス台数、リージョンあたりの VPC 数など) に制限をかけている
• 一覧:https://docs.aws.amazon.com/ja_jp/general/latest/gr/aws_service_limits.html
• ほとんどの制限はリージョンごとに独立している
• AWS サービス全体としての可用性を保証するため• 新規のお客様がそうと知らず課金されてしまうリスクを減らすため
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
チェック項目 -サービス制限
上限超過が予想される場合、AWS サポートに上限緩和を申請• 申請内容によっては、上限緩和可否の検討に日数を要する場合があります
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
チェック項目 -サービス制限
AWS Trusted Advisor は、AWS サービス制限の一部 (39 項目) に対して、現在の利用状況と制限値を比較して差分をチェック
• 制限の 80% に達した場合、警告 (黄) を表示• 制限の 100%、すなわち上限に達した場合、エラー(赤) を表示• 引き続き利用率が増加する見込みであれば、上限に達してエラーが発生する前に、余裕を持って上限緩和を申請することをおすすめ
• ※上限緩和が完了すると、AWS Trusted Advisor には緩和後の値が反映されるe.g.EBS アクティブなスナップショットEC2 オンデマンドインスタンスIAM ユーザー, RDS DB インスタンスSES 日次送信クォータ, VPC Elastic IP アドレスVPC ネットワークインターフェイス...
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
【サービス制限】項目の例:VPC Elastic IP アドレス
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Trusted Advisorの使い方
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Trusted Advisor の使い方
アクセス方法 (その 1)• https://aws.amazon.com/support/tr
ustedadvisor
アクセス方法 (その 2)• サービス一覧「管理ツール」配下
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Trusted Advisor の使い方
アクセス方法 (その 3)• マネジメントコンソール右上「サポートセンター」
• サポートセンターページ内で「Trusted Advisor」ブロックに表示されている「すべてのチェックの表示」をクリック
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Trusted Advisor の使い方
全機能を利用するためには、技術サポートプラン「ビジネス」もしくは「エンタープライズ」のご契約が必要
以下のチェックは契約状況に関わらず無料で利用可能• Amazon S3 バケット許可, セキュリティグループ -開かれたポート, IAM の使用, ルートアカウントのMFA, Amazon EBS パブリックスナップショット, Amazon RDS パブリックスナップショット
• 【サービス制限】カテゴリ
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Trusted Advisor の使い方 –通知機能
1. Trusted Advisorのチェックステータスと改善の見積りの概要をメールで通知
• チェックステータスが変化した場合は強調表示される
• ダッシュボードにてメール通知を有効化 (次スライド参照)• 請求、オペレーション、セキュリティの合計 3 つの受信アドレスを指定可能
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Trusted Advisor の使い方 –通知機能
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Trusted Advisor の使い方 –通知機能
2. CloudWatch Events で Trusted Advisor チェック結果を監視
• https://github.com/aws/Trusted-Advisor-Tools• 応用例: チェックステータスが変化したら Slack に通知する• 次スライドに CloudWatch Events 設定画面例
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Trusted Advisor の使い方 –通知機能
• 通知イベント JSON 例
• 【コスト最適化】項目の「使用率の低い Amazon EC2 Instances」
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Trusted Advisor の使い方 – IAM Policy
IAM Policy を使って、Trusted Advisorへのアクセスをコントロール可能
• e.g. 経理担当者に対して【コスト最適化】と【サービス制限】カテゴリの閲覧 (= Describe 系 API) のみ許可する
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Trusted Advisor の使い方 - API
Trusted Advisor操作 API は以下• https://docs.aws.amazon.com/ja_jp/awssupport/latest/APIReference/API_Operatio
ns.html• DescribeTrustedAdvisorChecks
• チェック項目の一覧。ここから checkId を取得する• RefreshTrustedAdvisorCheck
• 特定チェックの結果を更新 (Refresh)• DescribeTrustedAdvisorCheckRefreshStatuses
• 更新 (Refresh) 中のチェック項目のステータスを取得• DescribeTrustedAdvisorCheckSummaries
• 指定した複数チェック項目の現在のチェック結果をサマリ表示
• DescribeTrustedAdvisorCheckResult• 指定したチェック項目の現在のチェック結果を取得
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
DescribeTrustedAdvisorChecks
AWS CLI
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
DescribeTrustedAdvisorCheckResult
AWS CLI
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Java SDKDescribeTrustedAdvisorCheckRefreshStatuses
DescribeTrustedAdvisorCheckResult
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Trusted Advisor の活用例
通知機能を有効化しておき、チェック項目がベストプラクティスから外れたら軌道修正
• e.g. パフォーマンス項目を開発者 Slack へ• e.g. コスト最適化項目を経理担当者へ通知
社内・協力会社との定期的な打ち合わせなどに
セキュリティグループの設定は大丈夫?
RDSをMulti-AZ構成にしてる?
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
まとめ
• AWS Trusted Advisor を使うと、お客様がベストプラクティスに沿って AWS を活用できているかどうかを効率的にチェックすることができます
• チェック項目は全部で 97 種類 (※ 2018-07-11 現在) あり、コスト最適化・パフォーマンス・セキュリティ・フォールトトレランス・サービス制限のカテゴリに分類されています
• チェック結果をメールや CloudWatch Events で通知させることで、素早い検知をサポート
• API を利用して、AWS CLI や各種 SDK から Trusted Advisor を操作することも可能
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
参考資料
• Trusted Advisor - AWS サポート | AWShttps://aws.amazon.com/jp/premiumsupport/trustedadvisor/
• Trusted Advisor をウェブサービスとして使用する - AWS サポートhttps://docs.aws.amazon.com/ja_jp/awssupport/latest/user/trustedadvisor.html
• Amazon CloudWatch Events と Amazon CloudWatch による Trusted Advisor のモニタリング - AWS サポートhttps://docs.aws.amazon.com/ja_jp/awssupport/latest/user/cloudwatch-ta.html
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
オンラインセミナー資料の配置場所
AWS クラウドサービス活用資料集• https://aws.amazon.com/jp/aws-jp-introduction/
Amazon Web Services ブログ• 最新の情報、セミナー中のQ&A等が掲載されています。• https://aws.amazon.com/jp/blogs/news/
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
公式Twitter/FacebookAWSの最新情報をお届けします
@awscloud_jp検索
最新技術情報、イベント情報、お役立ち情報、お得なキャンペーン情報などを日々更新しています!
もしくはhttp://on.fb.me/1vR8yWm
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWSの導入、お問い合わせのご相談
AWSクラウド導入に関するご質問、お見積、資料請求をご希望のお客様は以下のリンクよりお気軽にご相談下さい。
https://aws.amazon.com/jp/contact-us/aws-sales/
※「AWS 問い合わせ」で検索して下さい。
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Well Architected 個別技術相談会お知らせ
• Well Architectedフレームワークに基づく数十個の質問項目を元に、お客様がAWS上で構築するシステムに潜むリスクやその回避方法をお伝えする個別相談会です。https://pages.awscloud.com/well-architected-consulting-jp.html
• 参加無料
• 毎週火曜・木曜開催
![Smart City...2017/10/19 · Berlin, Chemnitz, Darmstadt, München, Walldorf Über [ui!] Offene urbane Plattform Neue Geschäfts-modelle Internationales Team [ui!] Trusted Advisor](https://img.pdfslide.tips/doc/110x75/5fb5a878d519961ce451ad33/smart-city-20171019-berlin-chemnitz-darmstadt-mnchen-walldorf-oeber.jpg)
