組織内アカウントを横断してリソースを検索する Resource Explorer の設定方法を紹介

どうも、こんにちは kaz です。

マルチアカウントで運用していると、きっと各アカウントごとにさまざまな AWS リソースが作成されていることでしょう。
適切なタグ付けが行われていなかったりすることで、アカウント内の環境はごちゃごちゃしてきます・・・。

そんなときにマルチアカウントを横断してリソース検索が可能な AWS Resource Explorer を設定して悩みを解決しましょう！

AWS Resource Explorer とは？

AWS 環境内のリソースを簡単に検索し、一覧化するためのサービスです。
AWS アカウントに存在するリソースの全体像を把握し、特定のリソースに関する情報をすばやく見つけることができます。

さらに、タグやリソースタイプ、リージョンなどのフィルターを用いて検索を行うことができ、必要なリソース情報に絞り込むことも可能です。
たとえば、特定のプロジェクトに関連するリソースを一覧表示したい場合に役立ちます。

https://docs.aws.amazon.com/ja_jp/resource-explorer/latest/userguide/welcome.html

前提

今回はタイトルの通り、「組織」に焦点当てているため以下が前提条件となります。

• AWS Organizations でアカウントが一元管理されていること

Resource Explorer の設定

「信頼されたアクセスの有効化」と「委任された管理者」の設定

“AWS Organizations の管理アカウント” にログインして、設定を行います。

AWS Resource Explorer にアクセスし、「組織で Resource Explorer を設定」をクリックします。

「信頼されたアクセスを有効にする」にチェックを入れ、Resource Explorer の委任された管理者を選択したら「確認」をクリックします。
今回は LogArchive というアカウントを委任された管理者にしました。

画面上部に「信頼されたアクセスは Resource Explorer で正常に有効化されました」と表示されます。
ここまでで赤枠の箇所である「AWS Organizations の信頼されたアクセス」と「委任された管理者」の設定が完了しました。

マルチアカウント検索用に Resource Explorer を設定

次に、組織内のアカウントを横断してリソース検索できるように Resource Explorer を設定します。

CloudFormation で設定の作成もできますが、QuickSetup を使用した方法が簡単なので今回はコチラを選択します。

AWS Quick Setup の画面に遷移するので、ホームリージョンを ap-northeast-1 にして「使用開始」をクリックします。

設定は以下の通り行います。選択ができたら「作成」をクリックします。

• アグリゲーターインデックスリージョン
  • AWS リソースのメタデータは東京リージョンに集約したいので ap-northeast-1 (Tokyo) を選択します
• ターゲット
  • 組織全体に適用したいので「組織全体」を選択します

作成したあと、しばらく待っているとデプロイ状況を確認できる詳細画面に遷移します。

今回検証した組織にはメンバーアカウントが 2 つありますので、｛アカウント × オプトイン済みリージョン｝に対してデプロイされます。
なお、ドリフトステータスに「ドリフト済み 2」のように赤文字が表示されることがありますが、待っていれば解消されますのでご安心を。

これで、マルチアカウント環境で AWS Resource Explorer を利用するための準備は完了です！
整った仕組みが提供されているので、楽ちんですね！

AWS Organizations 管理アカウントの AWS Resource Explorer を有効にする

QuickSetup によるマルチアカウントのリソース検索の準備が完了しました。
しかし、QuickSetup によってデプロイされるのは “メンバーアカウントのみ” です。

このため、管理アカウントを Resource Explorer のリソースインデックスに含めるためには別途 Resource Explorer を手動で有効化しなければなりません。
なんだかんだ管理アカウントにリソースをおいているケースが多いと思いますし、なんといっても Resource Explorer は無料なので有効化します。
（もし、管理アカウントのリソースをインデックス対象としたくない場合はスキップして構いませんよ！）

---

AWS Resource Explorer にアクセスして、「Resource Explorer をオンにする」をクリックします。

高速セットアップを利用して、インデックスリージョンを ap-northeast-1 に設定します。
そして、下部の「Resource Explorer をオンにする」をクリックします。

以下のように、すべて成功したら完了です！

マルチアカウントを横断したリソース検索のためのビューを作成

ここからは “委任された管理者アカウント” にログインして、ビューの作成を行います。

AWS Resource Explorer を使用したリソースの検索を行うためには「ビュー」を作成する必要があります。
それでは、Resource Explorer のコンソール画面に戻ってビューを作成しましょう。

AWS Resource Explorer ビュー にアクセスし、「ビューの作成」をクリックします。

ビューの名前を入力して、組織全体のリソースを可視化できるように設定します。
なお、組織全体の場合は Root OU を指定することになります。

その他はデフォルトとします。問題なければ下部にある「ビューの作成」をクリックします。

ビューが作成されました。

ここで、作成したビューをデフォルトに設定して、リソース検索時の標準ビューにしておきます。

これで、管理アカウントを含めた組織全体のリソース検索を行う準備ができました！

リソース検索をしてみる

それでは、Resource Explorer を使ってリソース検索をしてみましょう！
Resource Explorer の「リソースの検索」から確認できます。

※各アカウントにあるリソースが Resource Explorer にインデックスされるまでそれなりに時間がかかります（私は 1 時間ほど待ってみました）

デフォルト VPC の検索する

東京リージョンにあるデフォルト VPC を検索してみます。

• Regions
  • アジアパシフィック（東京）
• Resource types
  • ec2:vpc

おお、いいですね。しっかりと管理アカウントと 2 つのメンバーアカウント分のリソースを横断して検索できています！
ちなみに、リソースを選択すると以下のような詳細画面が表示され、タグ情報なども確認が可能です。

タグ付けがされていないリソースを検索する

タグ付けがされていないリソースを検索するためには、クエリ欄に tag:none と入力します。

今回はさらに、東京リージョンかつセキュリティグループのリソースに絞り込んでいます。

たったこれだけで、タグ付けがされていないリソースの検出ができるので漏れてしまっている場合も安心ですね！

ただ、可能であれば タグポリシー によるタグ付けの強制化を行う方が望ましいでしょう。
他にもクエリは用意されているので、気になる方は下記を参照してください。

https://docs.aws.amazon.com/ja_jp/resource-explorer/latest/userguide/using-search-query-examples.html

おまけ

ちょっとしたおまけを載せておきます。

Resource Explorer で検索できるリソースタイプについて

下記ページより、検索できるリソースタイプは確認できます。

https://docs.aws.amazon.com/ja_jp/resource-explorer/latest/userguide/supported-resource-types.html?icmp=docs_re_console_supported-resource-types

AWS サービス数と比較すると潤沢ではないものの、主要なサービスはカバーされていると思うのでそんなに困らないかと思います。

統合検索からリソースを検索する

これがちょっとおもしろいと思った機能です。

https://docs.aws.amazon.com/ja_jp/resource-explorer/latest/userguide/using-unified-search.html

AWS サービスを移動するとき、上部にある検索バーを使っているかと思いますが、ここで /Resources と入力したあとに、続けて検索したいリソース名等を入力するとインデックスされているリソースを出力結果に表示できます！
検出結果より、直接リソースのページにアクセスしたり、ARN をコピーできます。

AWS Config Aggregator との違い

AWS Resource Explorer と似たようなサービスに「AWS Config Aggregator」があります。

AWS Config Aggregator は、AWS 環境全体の設定データを集約し、詳細な監査と分析を可能にするサービスです。
対して、AWS Resource Explorer は AWS リソースの概要情報を簡単に検索し、一覧化するためのサービスです。

• AWS Config Aggregator
  • セキュリティ監査やコンプライアンスのチェック
  • 設定変更の追跡と分析
  • 詳細なリソース設定の把握
• AWS Resource Explorer
  • リソースの棚卸しや概要レベルの確認
  • 特定のプロジェクトやタグに関連するリソースの迅速な特定

これらのサービスを適切に使い分けることで、リソース管理がより効率的になるはずです！

まとめ

適切なリソースの管理にはある程度のタグ付けが必要になりますが、「あるプロジェクトで利用している AWS サービスはなんだろう？」といった疑問もすぐに答えを見つけることができるようになりました。
さらに、Resource Explorer は 無料 で利用できる点も大きな魅力です。

ぜひとも、設定しておきましょう！

参考

• 新規 – AWS Resource Explorer でのマルチアカウント検索 | Amazon Web Services ブログ
• マルチアカウント検索を有効にする - AWS Resource Explorer

アノテーション株式会社について

アノテーション株式会社 は、クラスメソッド社のグループ企業として「オペレーション・エクセレンス」を担える企業を目指してチャレンジを続けています。
「らしく働く、らしく生きる」のスローガンを掲げ、さまざまな背景をもつ多様なメンバーが自由度の高い働き方を通してお客様へサービスを提供し続けています。

現在当社では AWS の構築・運用経験があり、以下の業務に携わってくれるメンバーを募集中です。

• AWS 環境の運用設計支援や構築
• 運用監視とインシデント対応
• 定型業務などの自動化

AWS 関連資格をお持ちの方、クラウドネイティブな運用経験者は大歓迎です。
少しでもご興味がありましたら 募集職種 よりご応募ください！！

一緒に働ける日を心待ちにしています！