![[アップデート] Amazon CloudWatch のテレメトリ設定の有効化ルールを使って組織の EC2 インスタンスで CloudWatch 詳細モニタリングを自動で有効化できるようになりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-d6a3bc85cad6419960fbda152152cd8c/ba5841cea06b96f4933878762028b090/amazon-cloudwatch?w=3840&fm=webp)
[アップデート] Amazon CloudWatch のテレメトリ設定の有効化ルールを使って組織の EC2 インスタンスで CloudWatch 詳細モニタリングを自動で有効化できるようになりました
いわさです。
CloudWatch のテレメトリ設定は、AWS リソースのテレメトリ(メトリクス、ログ、トレース)の構成状態を一元的に可視化・管理できる機能です。
re:Invent 2024 のタイミングで登場した機能で、ローンチ当初はステータスの可視化が主な機能でした。
その後、有効化ルールを使って対象リソースのテレメトリを自動で有効化できるようになりました。例えば VPC フローログの自動有効化などが可能です。
先日のアップデートでは、EC2 インスタンスの詳細メトリクスを有効化ルールで自動有効化できるようになりました。もちろん組織全体で有効化ルールの適用が可能です。
今回こちらの使い方などを確認してみたので紹介します。
使ってみた
では実際にこの機能を使って、テレメトリ機能の有効化・ルールの作成・EC2に自動適用される様子の観察を行ってみます。
テレメトリ設定の有効化
前提として AWS Organizations を有効化した管理アカウントで作業をしています。
CloudWatch の設定メニューから Organizations を選択し、CloudWatch テレメトリ設定を有効化します。
つづいでテレメトリの有効化ルールを作成しましょう。
以前は CloudWatch コンソールに「テレメトリ」というメニューがあり、そこから有効化ルールなどの構成が出来たのですが、今はメニュー構成が変わっているようです。
現在は「取り込み」メニューから構成することができます。
取り込み → 構成から EC2 のアクションで「テレメトリを設定」を選択します。
あるいは有効化ルールタブから新規ルールを追加し、Amazon EC2 のテレメトリを設定リンクから操作しても良いです。
ルールの設定を行います。組織設定が有効化されていると、ここでどのアカウントを対象にするのか指定することができます。今回は組織内のすべてのアカウントを選択しました。
Amazon EC2 Detailed metrics を設定して確定します。
有効化ルールが作成されました。
なおテレメトリ機能を有効化した後、各アカウントの対象リージョンの AWS Config からサービスリンクレコーダーを確認することが出来ます。以前 VPC フローログを設定した時は PAID スコープ(有料)のレコーダーが作成されていたと思うのですが、今回のものは INTERNAL スコープ(無料)でした。
EC2 インスタンスを作成して検証
EC2 インスタンスを作成してみます。
EC2 インスタンスの新規作成時に、高度な詳細から CloudWatch モニタリングの詳細が指定できます。デフォルトは「選択」になっていて、おそらくデフォルト挙動(本日時点では無効状態)になるっぽいです。
今回は検証のために明示的に「無効化」を選択しました。
EC2 作成直後のモニタリング設定を確認すると「無効」になっています。
しかし、数秒待っていると自動で「詳細」に切り替わっていました。有効化ルールが正しく機能していることが確認できますね。
なお、このテレメトリの有効化ルールはリージョンごとで管理される設定です。今回は東京リージョンで設定しましたが、例えばバージニア北部リージョンで CloudWatch 詳細メトリクスが無効化されたインスタンスを作成しても自動有効化はされません。
さいごに
本日は Amazon CloudWatch のテレメトリ設定で EC2 詳細モニタリングの組織全体での自動有効化が出来るようになったので使ってみました。
詳細モニタリングは追加料金が発生する機能ではありますが導入することが多い機能でもあります。組織で詳細モニタリングを必須にするようなポリシーがある場合、管理アカウント側で集中管理しても良さそうです。
今時点ではできないようですが、今後 Lambda のトレース機能の自動有効化なども出来るようになると嬉しいですね。
