AWS Trusted Advisor Priority とはどんな機能か / What is AWS Trusted Advisor Priority?

Transcript

1. © SAISON INFORMATION SYSTEMS CO.,LTD. 2022 株式会社セゾン情報システムズ 小杉 隼人 AWS

   Trusted Advisor Priority とはどんな機能か 2022 年の AWS アップデートを振り返ろう ~Season 4~ 2022/11/24

2. 2 © SAISON INFORMATION SYSTEMS CO.,LTD. 2022 About me ◼Cloud

   Engineer @ 株式会社セゾン情報システムズ • AWS に関連する事業部支援と技術教育、CCoE Lead など ◼2019～2022 APN AWS Top Engineers ◼AWS Community Builder ◼11x AWS Certified ◼re:Invent 2022 現地参加予定です

3. 3 © SAISON INFORMATION SYSTEMS CO.,LTD. 2022 本日お話させていただく内容 ◼AWS Trusted

   Advisor Priority について ◼その他 AWS Support 関連のアップデート

4. © SAISON INFORMATION SYSTEMS CO.,LTD. 2022 AWS Trusted Advisor Priority

   について

5. 5 © SAISON INFORMATION SYSTEMS CO.,LTD. 2022 ◼ AWS 環境を自動で分析し、プラクティスにもとづく推奨事項を提示するサービス

   • コスト最適化/セキュリティ/耐障害性/パフォーマンス/サービスクォータに対するチェックを提供 • すべての機能にアクセスするには Business Plan 以上のサポート契約が必要 AWS Trusted Advisor のおさらい

6. 6 © SAISON INFORMATION SYSTEMS CO.,LTD. 2022 ◼ 優先付された推奨事項をダッシュボードに表示し、ステータスを追跡できる機能 •

   アカウントチームによって優先付された推奨事項を組織レベルで集約、表示 • アカウントチームと協力し、組織にとって重大なリスクから軽減に取り組むことができる • 2022/8/17 に GA ◼ Trusted Advisor Priority で管理できるもの • Trusted Advisor や Security Hub などの AWS サービスにより検出された推奨事項 • アカウントチームが手動で登録した推奨事項 ◼ Trusted Advisor の組織ビューとは何が違う？ AWS Trusted Advisor Priority とは

7. 7 © SAISON INFORMATION SYSTEMS CO.,LTD. 2022 ◼ メンバーアカウントのチェック結果を集計し、レポートする機能 •

   特定のチェック項目をフィルターして、対応が必要なリソースを洗い出すのに便利 • 大規模な組織になれば全体の検出結果は増えていくため、優先度をつけて対応していく必要がある → Trusted Advisor Priority が想定しているユースケース AWS Trusted Advisor の組織ビュー 組織ビューで特定のチェック項目やステータスでフィルターし、レポートを出力している例

8. 8 © SAISON INFORMATION SYSTEMS CO.,LTD. 2022 ◼ 前提条件 •

   AWS Organizations ですべての機能を有効にし、Trusted Advisor の信頼されたアクセスを有効化 • AWS Organizations の Management Account にアクセスできること • Enterprise Support に加入済みであること ◼ AWS Trusted Advisor Priority の有効化方法 • メール等でアカウントチームに依頼する必要がある • 前提条件を満たしただけでは利用可能にならない • 無効にする際も同様 AWS Trusted Advisor Priority の利用方法

9. 9 © SAISON INFORMATION SYSTEMS CO.,LTD. 2022 ◼ ダッシュボード •

   アカウントチームよって登録された推奨事項や対応状況を確認できる AWS Trusted Advisor Priority の利用イメージ Pending response In progress Rejected Resolved Resolve アカウントチームへ対応結果が通知 Reject (Acknowledged or Not a risk) 各レコメンデーションとステータス、 検出ソース、カテゴリなどが確認できる Accept

10. 10 © SAISON INFORMATION SYSTEMS CO.,LTD. 2022 ◼ レコメンデーションの確認 •

    推奨事項の詳細や必要なアクション、影響を受けるアカウントやリソースについて確認できる • Download ボタンから Excel 形式で Export することも可能 AWS Trusted Advisor Priority の利用イメージ 推奨事項に対して確認、対応した結果を 承諾 (Accept)/却下 (Reject) ボタンから登録 VPC Endpoint が Single AZ で構成されており AZ 障害に対して脆弱であることが指摘されている

11. 11 © SAISON INFORMATION SYSTEMS CO.,LTD. 2022 ◼ 承諾 (Accept)

    • 推奨事項をリスクと捉え、対応を開始する場合は承諾をおこなう • VPC Endpoint が意図せず Single AZ 構成となっており、Multi AZ 構成に変更が必要な場合など • 氏名および役職は作業者ではなく、承諾・拒否を判断した責任者の情報をいれる AWS Trusted Advisor Priority の利用イメージ 対応完了後に再度氏名と役職を入力して解決 ステータスが解決済み (Resolved) となる 氏名と役職を入力して承諾をおこなうと ステータスが進行中 (In progress) へ

12. 12 © SAISON INFORMATION SYSTEMS CO.,LTD. 2022 ◼ 却下 (Reject)

    • 推奨事項についてリスクを許容、またはリスクなしと判断をした場合は却下をおこなう • 却下する理由に応じて承認済み (修正しない) またはリスクではないを選択 • 1 つの推奨事項に対し、承諾/却下のどちらかしか 1 つしか登録できない点に注意 AWS Trusted Advisor Priority の利用イメージ 承認済み (Acknowledged) ・Single AZ のリスクを理解した上でシステムの重要度やコストなど他の優先度を考慮し、 AZ 障害時の可用性低下について許容する ・障害時は CloudFormation で別 AZ にエンドポイントを作成する運用とする リスクではない (Not a risk) ・開発環境のため、Single AZ 障害によるシステムダウンがリスクとはならない アカウントごとに対応結果が変わっても、別々に対応結果を入力することはできない ・アカウント A はリスクに対する対応が必要だが、B および C はリスクを許容するなど

13. 13 © SAISON INFORMATION SYSTEMS CO.,LTD. 2022 ◼ AWS Trusted

    Advisor Priority で優先付された推奨事項を組織レベルで集約、表示できる • 大規模な組織では全体の検出結果は増えていき、優先度をつけて対応していかざるを得ない • アカウントチームと協力し、重大なリスクから軽減に取り組むことができる • 機能自体はシンプルだが、アカウントチームとのコミュニケーション強化につながる ◼ 個人的にうれしいポイント • これまでも運用定例会で TAM から同様の支援はうけていたが対応の記録という意味では弱かった • アカウントチームと対応結果や判断理由を共有できるように ◼ 機能強化への期待 • 現状は承諾/却下の対応結果がアカウント毎に入力できないなどの制限がある Summary

14. © SAISON INFORMATION SYSTEMS CO.,LTD. 2022 2022 年 AWS Support

    関連のアップデート

15. 15 © SAISON INFORMATION SYSTEMS CO.,LTD. 2022 ◼ 2022/8/24 AWS

    Support launches support for managing cases in Slack • AWS Support App 便利ですよね • 日本語サポート強化待ってます！ ◼ 2022/9/15 AWS Enterprise Support launches AWS Incident Detection and Response • ワークロードの継続的な監視、インシデント発生時の対応支援を提供 • このあと LT が！！ ◼ 2022/9/30 AWS announces updated Support Plans Console with new IAM controls • サポートプランの確認や変更が IAM でできるようになった！ AWS Support のアップデートピックアップ

16. 16 © SAISON INFORMATION SYSTEMS CO.,LTD. 2022 ◼ 2022/1/19 AWS

    Trusted Advisor now integrates with AWS Security Hub • Foundational Security Best Practices のチェック結果を Trusted Advisor で確認できるように ◼ 2022/5/4 AWS Compute Optimizer adds four new Trusted Advisor checks • EBS および Lambda 関数のメモリサイズについて Over/Under-provisioned チェックが追加 ◼ 2022/11/7 AWS W-A Tool improves workload discovery and speeds up reviews • W-A Tool 内で Trusted Advisor のチェック結果を表示できるように • Service Catalog AppRegistry リソースと W-A Tool のワークロードが紐づけできるように ◼ 2022/11/17 AWS Trusted Advisor announces new checks from AWS Resilience Hub アプリケーションの回復力スコアおよび RTO/RPO のポリシー違反をチェックできるように Trusted Advisor と他サービスの連携強化

17. 17 © SAISON INFORMATION SYSTEMS CO.,LTD. 2022 Trusted Advisor の結果を確認しながらレビュー可能に

18. 18 © SAISON INFORMATION SYSTEMS CO.,LTD. 2022 ◼ AWS Trusted

    Advisor – New Priority Capability • https://aws.amazon.com/jp/blogs/aws/aws-trusted-advisor-new-priority-capability/ ◼ Accelerating Well-Architected Framework reviews using integrated AWS Trusted Advisor insights • https://aws.amazon.com/jp/blogs/architecture/accelerating-well-architected-framework- reviews-using-integrated-aws-trusted-advisor-insights/ ◼ AWS Trusted Advisor Priority とはどんな機能か • https://qiita.com/hayao_k/items/0f052ead5d7cd395acb3 参考リンク
19. None