CloudWatchでちょっと楽してマルチアカウント監視

Transcript

1. CloudWatchでちょっと楽して マルチアカウント監視 須永 響 伊藤忠テクノソリューションズ株式会社

2. @gravitas580 須永 響 Hibiki Sunaga CTC(伊藤忠テクノソリューションズ株式会社 ) 新卒３年目 業務：AWSインフラ基盤の設計・構築 得意なAWS技術：マルチアカウント設計、NW設計

   :@gravitas580 About Me

3. @gravitas580 Why マルチアカウント構成 ? 権限・責任を分けることでセキュリティ・ガバナンスを向上させる IAMの権限はアカウントで分割される ➢ 各システム・チーム・環境(本番、検証、開発)ごとに分けることで誤った操作を防ぐ ➢ 意図して繋げない限りリソースが繋がることはない

   料金はアカウントごとに請求される ➢ タグベースでも金額は計算できるが、NW通信料、セキュリティサービスの費用など 厳密に分けたい場合にはアカウントを分ける必要がある ➢ Account = 口座

4. @gravitas580 権限を分割することでセキュリティ・ガバナンスUP バラバラすぎて運用負荷が高くなってしまう

5. @gravitas580 アカウントを増やすことによる監視の悩み 複数のアカウントを行き来して メトリクス・ログの確認 アカウントを追加するごとに 同じような監視の設定を追加

6. @gravitas580 マルチアカウント環境下で使えるCloudWatch 統合機能 Organizationsと統合して利用できる機能 ⚫ CloudWatchクロスアカウントオブザーバビリティ(OAM) ⚫ クロスアカウントクロスリージョン ⚫ クロスアカウントクロスリージョンログ一元化

   アカウント間およびリージョン間でモニタリングする - Amazon CloudWatch 3つあるので違いを確認 対象のアカウントのメトリクスなどを統合

7. @gravitas580 マルチアカウント環境下で使えるCloudWatch 統合機能 Organizationsと統合して利用できる機能 ⚫ CloudWatchクロスアカウントオブザーバビリティ(OAM) ⚫ クロスアカウントクロスリージョン ⚫ クロスアカウントクロスリージョンログ一元化

   アカウント間およびリージョン間でモニタリングする - Amazon CloudWatch 3つあるので違いを確認 対象のアカウントのメトリクスなどを統合 どう見えるのかをチェックしていきます

8. @gravitas580 CloudWatch クロスアカウントオブザーバビリティ ⚫ 統合されたダッシュボード ⚫ 設定すると、監視アカウントのダッシュボー ドにアカウントラベルが追加 ⚫ 別アカウントのメトリクスからアラームを作

   ることも可能

9. @gravitas580 クロスアカウントクロスリージョン ⚫ アカウントをプルダウンから選択 ⚫ アカウントごとのダッシュボードに 切り替えるイメージ

10. @gravitas580 クロスアカウントクロスリージョンログ一元化 ⚫ 一元化先アカウントのログ一覧画面に送 信元アカウントのログも見えるように ⚫ 各ログ内のアカウントIDからどのアカ ウントのログか確認可能 ⚫ 一元化設定前のログは共有されない

11. @gravitas580 CloudWatch 統合方式の機能比較 項目 クロスアカウント オブザーバビリティ (OAM) クロスアカウント クロスリージョン クロスアカウントクロ

    スリージョンログの 一元化 統合可能な項目 メトリクス ◦ ◦ × アラーム ◦(他アカウントのメトリ クスを使用して作成可能) △(参照のみ、編集不可) × ログ ◦ × ◦ トレース(X-Ray) ◦ × × Application Insights ◦ × × 特徴 表示方法 統合ビュー 切り替え式 統合ビュー リージョンごとの 設定 必要 不要 不要

12. @gravitas580 どっちを使えばいいの？ クロスアカウントオブザーバビリティ が推奨 集中して管理したいので、OAMが最適 ✓ ログ、トレースなどをモニターアカウントから確認可能 ✓ 他アカウントのメトリクスを使用して、モニターアカウントでアラームを作成可能 ✓

    組み合わせて使用することも可能なので、使用感に応じて併用しても良い ユーザーガイド：クロスアカウントクロスリージョン CloudWatch コンソール - Amazon CloudWatch リージョン内のメトリクス、ログ、トレースに対するクロスアカウントのオブザーバビリティと検出を最大限に活用するため に、CloudWatch クロスアカウントオブザーバビリティを使用することをお勧めします。

13. @gravitas580 クロスアカウントオブザーバビリティの構築方法を 簡単にご紹介します

14. @gravitas580 クロスアカウントオブザーバビリティ(OAM)の構成 用語 ➢ モニタリングアカウント：統合先アカウント。ログアーカイブアカウントが推奨 ➢ ソースアカウント：統合元アカウント。システムが動くようなワークロードアカウント ➢ シンク：モニタリングアカウントに作成。データを受け取るゲートウェイ ➢

    リンク：ソースアカウントに作成。シンクにアクセスしてデータを共有する

15. @gravitas580 クロスアカウントオブザーバビリティ(OAM)を構築していく 構築手順 CloudFormation StackSets & Organizations統合機能を活用して アカウントを追加しても自動で設定されるようにします 1. モニタリングアカウントでシンクの作成

    2. 管理アカウントからソースアカウントへCFn StackSetsで リンクをまとめて作成 ➢ 管理アカウント：CloudFormation StackSets実行権限あり ➢ ログアーカイブアカウント：モニタリングアカウント ➢ メンバーアカウント：ソースアカウント ➢ Workload OU：メンバーアカウント全体が配置 ➢ System1 OU：ソースアカウントが配置

16. @gravitas580 シンクの作成：モニタリングアカウントで設定 モニタリングアカウントの設定 ソースアカウントの設定

17. @gravitas580 シンクの作成：モニタリングアカウントで設定 取得するデータを選択 ソースアカウント記入のポイント OUを対象とする場合、 {組織ID}/{ルートID}/{親OU ID}/{対象OU ID}/ ✓ OU

    IDだけではだめ ⇒ 組織IDから記載 ✓ 親OUだけではだめ ⇒ ソースアカウント直下のOU ✓ 最後の / を忘れるとだめ ソースアカウントを記入 ダッシュボードに表示されるラベルを選択

18. @gravitas580 シンクの作成：モニタリングアカウントで設定 シンクが作成が完了 リンク作成用のCloudFormationテンプレートが生成 ダウンロードして、管理アカウントへ移動する

19. @gravitas580 リンクの作成：管理アカウントで設定 CloudFormation StackSets作成のポイント ✓ OU IDは親OUではなく、 ソースアカウント直下のOU IDを選択 ✓

    自動デプロイをオンにすることで、 アカウント追加時に自動でリンク作成

20. @gravitas580 構築完了 ソースアカウントのリンク作成＆モニタリングアカウントから確認できました～! ソースアカウント モニタリングアカウント

21. @gravitas580 おまけ マルチアカウントでの統合はこれでできましたが、 アラーム設定をするためには各アカウントの各メトリクス分だけ設定しなければいけなそうです。 (結局アカウントを追加する度に作業が必須。。。) 2025/9のアップデートにより、タグベースでアラームを作成にできるようになりました！ Amazon CloudWatch がベンディングされたメトリクスのモニタリングでリソースタグをサポート -

    AWS これにより、 タグベースのアラームを設定 ⇒アカウントを追加すると、自動でメトリクス統合＆アラーム対象に