AWS Trusted Advisor は、AWS に蓄積されたベストプラクティスをチェック項目として AWS アカウント内で作成されたリソース状況を評価する機能です。今までは5つのチェックカテゴリが提供されていましたが、今回 AWS Well-Architected Framework の柱の一つでもある 「運用上の優秀性(オペレーショナルエクセレンス)」が、6つ目のカテゴリとして追加されました。
注意事項
今回、追加となった 「運用上の優秀性」 カテゴリのチェックを利用するには AWS サポートプランが、ビジネスプラン以上の契約が必要になります。
チェック項目
どのようなチェック項目が提供されているかは、リファレンスに記載されています。
2023/10/31 時点では、27項目が提供されています。
せっかくなので、一つピックアップして詳細を確認していきます。
Description
Checks if Amazon Virtual Private Cloud Flow Logs are created for a VPC.
You can specify the traffic type using the trafficType parameter in your AWS Config rules.
For more information, see Logging IP traffic using VPC Flow Logs.Note
Results for this check are automatically refreshed several times daily, and refresh requests are not allowed. It might take a few hours for changes to appear. Currently, you can’t exclude resources from this check.Check ID
c18d2gz122Source
AWS Config Managed Rule: vpc-flow-logs-enabledAlert Criteria
Yellow: VPCs do not have Amazon VPC Flow Logs.Recommended Action
Create VPC Flow Logs for each of your VPCs.For more information, see Create a flow log
↓↓↓ 機械翻訳 ↓↓↓
説明
Amazon Virtual Private Cloud フロー ログが VPC に対して作成されているかどうかを確認します。
AWS Config ルールのTrafficTypeパラメータを使用して、トラフィック タイプを指定できます。
詳細については、「VPC フロー ログを使用した IP トラフィックのログ記録」を参照してください。注記
このチェックの結果は毎日数回自動的に更新され、更新リクエストは許可されません。変更が反映されるまでに数時間かかる場合があります。現在、このチェックからリソースを除外することはできません。IDを確認する
c18d2gz122ソース
AWS Config Managed Rule: vpc-flow-logs-enabledアラート基準
黄色: VPC には Amazon VPC フロー ログがありません。推奨される行動
VPC ごとに VPC フロー ログを作成します。詳細については、「フロー ログの作成」を参照してください。
注意が必要なのは、「運用上の優秀性」と同じタイミングで追加となった AWS Confing をソースとしている点です。そのため、事前にソースとなる AWS Config マネージドルールが設定されている必要があります。
ソースとなる AWS Config マネージドルールを設定した上で、再度チェックを待ちます。
※ この項目は手動によるチェック更新は許可されていないため、しばし待つ必要があります。
無事チェック結果が、表示されました。
AWS Well-Architected Tool との連携
Well-Architected Framework と Trusted Advisor は補完的な関係にあり、直近でも Well-Architected Tool から一部の質問に対して関連する Trusted Advisor の情報が参照出来る機能が追加になりました。
2024.02.29 現在では一部項目では対応しています。
・ OPS 4. オブザーバビリティをワークロードに実装するにはどうすればよいでしょうか?
・ OPS 5. どのように欠陥を減らし、修正を容易にして、本番環境へのフローを改善するのですか?
・ OPS 6. どのようにデプロイのリスクを軽減しますか?
・ OPS 8. 組織でワークロードのオブザーバビリティを活用するにはどうすればよいでしょうか?
・ OPS 10. ワークロードと運用イベントはどのように管理しますか?
今回、追加となったカテゴリは、どうなのかを確認していきます。 追加となった Trusted Advisor チェック項目にログやトレースに関する内容を数件見かけたため、「OPS 8. 組織でワークロードのオブザーバビリティを活用する方法を教えてください。」を例に確認してみます。
残念ながら、関連する Trusted Advisor チェック項目はないようです。
他の項目も確認しましたが、いずれも存在しませんでした。今後、アップデートに期待です。
最後に
今回、Trusted Advisor に新しいカテゴリが追加となりました。Trusted Advisor はビジネスサポート以上の契約の場合には、追加費用なしで利用でき、一部事前の設定が必要な項目もありますが、チェック自体は自動的に評価が実行されます。定量的な数値と対象リソースが表示されるため、継続的な改善活動や管理を任されたアカウント状況をチェックするといったユースケースでも有益な機能です。
今後もチェック項目の追加や他サービスとの連携が拡張されると嬉しいですね。
3
