この記事はNHN テコラス Advent Calendar 2024の9日目の記事です。

はじめに

こんにちは。kisaragi です。
この記事では、AWS Trusted Advisor の組織ビューを活用して AWS Organizations 全体の AWS Well-Architected Framework 準拠状況を取得する方法について解説します。

AWS Trusted Advisor とは？

AWS Trusted Advisor は、コストの最適化、パフォーマンスの向上、セキュリティと耐障害性の改善、クラウドでの大規模な運用を支援します。Trusted Advisor は、クラウドコストの最適化、パフォーマンス、耐障害性、セキュリティ、運用上の優秀性、サービスの制限などのカテゴリでベストプラクティスチェックを行い、お客様の AWS 環境を継続的に評価します。
【出典】：AWS Trusted Advisor

AWS 環境が AWS Well-Architected Framework の６本の柱に準拠しているかを確認できるサービスです。
例えば、セキュリティグループが「全許可」等の危険な設定になっている場合は「セキュリティ」の柱に非準拠していることを教えてもらえます。

Trusted Advisor の概要を解説している記事がありますので、詳しくは下記記事を参照してください！

関連記事

初心者向け！AWS Trusted Advisorの概要

AWS Well-Architected Framework とは？

AWS Well-Architected Frameworkは、AWS でシステムを構築する際に行う決定の長所と短所を理解するのに役立ちます。このフレームワークを使用することによって、信頼性が高く、安全で、効率的で、費用対効果が高く、持続可能なシステムを設計して運用するための、アーキテクチャに関するベストプラクティスを学ぶことができます。

【出典】：AWS Well-Architected Framework

AWS Well-Architected Frameworkは、AWSクラウドの設計および運用における原則と汎用的なベストプラクティスを、以下６本の柱に基づいて体系的にまとめた指針です。

６本の柱

• オペレーショナルエクセレンス
• セキュリティ
• 信頼性
• パフォーマンス効率
• コスト最適化
• 持続可能性

手順：AWS Console側

1. Organizations の Root アカウントにログイン後、「Trusted Advisor」サービスへ移動します。
2. 左のタブから「組織ビュー」に移動し、「無効」を「有効」に変更します。
   また、Organizations から Trusted Advisor の信頼されたアクセスが有効になっていることを確認します。
3. Trusted Advisor の組織ビューに戻り、レポートを作成します。
4. レポートフィルターには以下のように設定します。
   1. レポート名：任意のレポート名を入力
   2. 形式：JSON と CSV が選択可能。今回は「CSV」を選択
   3. リージョン：チェック対象リージョンを選択。今回は「すべて」を選択
   4. チェックカテゴリー：AWS Well-Architected Framework の６本の柱から選択。今回は「すべて」を選択
   5. チェック：検査する項目を選択。今回は「すべて」を選択
   6. リソースステータス：ベストプラクティス準拠状況を選択。もし非準拠リソースのみ取得したい場合は「利用不可」「エラー」「警告」を選択。
5. 対象 OU を選択します。今回は Organizations 全体を選択するため「Root」を選択
   Dev のような不要なテスト環境 OU に対しては選択しないことをおすすめします。
   
   
6. 作成したレポートのステータスが「成功」になったらレポートをダウンロードします。
   約 5分で完了しますが、AWS 環境の規模によっては時間がかかる場合があります。

手順：クライアント側

1. ダウンロードできた zip ファイルを解凍し、csv ファイルを開きます。
   AWS 環境の規模によっては csv ファイルが複数の場合がございますが、同じく手順に沿って設定してください。
   
2. csv ファイルの中身が一部文字化けしていることが確認できます。
   
3. csv ファイルをメモ帳で開き、名前を付けて保存するから UTF-8 (BOM 付き) を選択後、保存します。
   
4. 改めて csv ファイルを開き、文字化けが解決できたことを確認します。
   
5. 「挿入」から「ピボットテーブル」「テーブルまたは範囲から」を押下します。
   
6. テーブル/範囲はデフォルトのまま「新規ワークシート」になっていることを確認後、「OK」を押下します。
   
7. ピボットテーブルのフィールドを以下のように設定します。
   – 列：リージョン
   – 行：AccountParentName, AccountName, CheckName
   – 値：CheckId (個数)
   – フィルター：Category, ステータス
   
8. 設定することで、AWS Organizations 組織内 AWS アカウントのリソース準拠状況の一覧が取得できました。
   
9. テーブルの数字をダブルクリックすることで、詳細な検出結果を確認することができます。
   今回は Audit アカウントのすべてのリージョンの検出結果を表示します
   
10. 画像のように、Audit アカウントの AWS Well-Architected Framework リソース準拠状況が取得できました。
    検出結果をもとに、対象 AWS アカウントのリソース状況を確認し、必要な場合は適切に変更を行ってください。
    

感想

Organizations 全体に対してベストプラクティス非準拠状況を確認したい時には活用できる機能で、私も活用していますが、
AWS アカウント毎のリソース状況が一覧で取得できることや、csv ファイルとして取得できるため、ドキュメント化できるところも大変嬉しいところだと感じています！

また、Well-Architected Review 等を行う際にリソースの利用状況を一覧で取得できる Trusted Advisor を利用すると負担が軽減できますが、
さらに Trusted Advisor 組織ビューを利用すると、Organizations 全体に対する Well-Architected Review を行うことも気軽にできることは大変嬉しい機能ですね！