監視を提供するAWS Trusted Advisor

AWSは近頃、AWS Trusted AdvisorをAWS Management Consoleへ統合し、無料で4つのセキュリティとサービスリミットのチェックをできるようにした。セキュリティ、性能、耐障害性、コスト最適化の追加のチェックは、ビジネス＆エンタープライズサポートの範囲内だ。

以前紹介した通り、AWS Trusted Advisorは"AWSサービスを監視し、取るべきアクションを推奨する"。次のカテゴリのベストプラクティスに従って ("チェック"と呼ばれる)推奨をするのだ。

• コスト最適化 – 使っていないAWSリソースを通知して、節約の可能性を推奨する。
• 耐障害性 – 冗長性の不足、現在のサービスの上限、使い過ぎのリソースを通知して、AWSソリューションの弾力性を支援する。
• 性能 – スピードと応答性を改善するための推奨事項を提供する。
• セキュリティ – AWSの安全性を低めるセキュリティの設定を特定する。

チェックは緑色から黄色(調査が推奨される状態)、そして、赤(アクションが推奨される状態)で表される。詳細は各チェックで確認でき、"推奨されるベストプラクティスの説明、警告条件、アクションのガイドライン、トピックに関する役に立つリソース一覧"が確認できる。

AWSはひとつの性能のチェックとセキュリティに関する3つのチェックを無料で使えるようにしている。これらは次の部分をカバーする。

• サービスのリミット – サービスのリミットの80%以上を利用しているかどうかをチェックする。
• ルートアカウントに対するMFAの利用 – ルートアカウントが多要素認証を利用していない場合に警告する。
• IAMの利用 – AWS Identity and Access Management (IAM)の利用をチェックする。
• セキュリティグループ - 特定のポートへの無制限アクセス – 無制限のアクセス(0.0.0.0/0)を特定のポートに許可しているルールのセキュリティグループをチェックする。

無料では使えないチェックが他に6つもあることは、注目に値する(IAMのパスワードポリシーが要件に合致するかどうかチェックする、という詳細なものもある)。したがって、顧客は更なる安全性の監視のために支払いを続けることもできる。この方針は、基盤となるサービス(Amazon EC2、Amazon S3)にだけ課金して、AWS CloudFormationやAWS Elastic Beanstalkのような複雑な機能でも無料で提供しているAWSのスタンスと対照的だ。

現時点では、Trusted Advisor featuresには"過去30日間で行われた変更"を表示し、通知を抑制するためにリソースレベルからアイテムを除外できるダッシュボードが含まれている。"Action Links"はAWS Management Console内で問題となっているリソースに直接リンクする。

Trusted Advisorは最大3人の受信者に週次のメールで通知をするだけだ。AWSはこの機能を"完全無料"と謳っているが、普通、AWSの他のサービスはAmazon SNSを統合することでこのような制限をしないようにしている。Amazon SNSは、それぞれのユーザがコミュニケーションチャネルと受信者を設定できる。料金は取るに足らない(無料枠もある)。

AWS Trusted Advisorのチェックは"ユーザが実行しなくても定期的に更新される。しかし、更新間隔はさまざま"だ。しかし、"平均して"5分間隔で更新するように設定もできる。アプリケーションへ統合するために、AWS Support API経由でプログラムからチェックを実施することもできる。しかし、これができるのは、ビジネスアンドエンタープライズレベルのサポートプランの場合のみだ。

Trusted AdvisorがAWS Management Consoleへ統合されたということで、"trustedadvisor"名前空間での新しいAWS Identity and Access Management (IAM)の許可が導入されている。まだ、しかし、APIには適用されていない。APIは、2014年中にAWS Support Centerが廃止されるまでは、以前の"support"名前空間で制御される。

AWS Trusted Advisorについてのさらに詳しい情報はAWS Supportリソースで確認できる。pricing and a FAQやユーザガイド、APIリファレンスが含まれている。Support API自体のサポートはAWS Support APIフォーラムで提供される。