Amazon CloudWatchは最近、クロスアカウントアラームを発表した。この新機能により、顧客はアラートを設定し、さまざまなAWSアカウント横断のメトリックの変更に基づいてアクションを実行できるようになる。
クロスアカウントアラームは、さまざまなAWSアカウント横断でメトリックに基づいたアラートを提供する。既存のクロスアカウントダッシュボードと組み合わせて使うことで、運用を一元的に可視化できる。さらに、メトリック計算を使用して異なるアカウントのメトリックを組み合わせることができる。そして、監視アカウントで複合アラームを使って、クロスアカウントアラームを階層的に構成できる。
AWS組織をサポートする当クラウドプロバイダーは、コンプライアンスのために複数のAWSアカウントの使用し、分離バリアを作成すること推奨しているため、アカウント横断のアラームを設定できないことが多くのデプロイの制限であった。新機能で推奨されるユースケースには、SREチームがさまざまなアカウントでの本番環境のデプロイを一元的に監視・トラブルシューティングするために使用する専用の監視AWSアカウントのセットアップがある。Corey Quinn氏は、自身のニュースレターで最新機能について次のようにコメントしている。
「待ってください、顧客は複数のアカウントを持っているんです」という認識をCloudWatchチームが持ってくれました。ああ、幸せな日だ!
Momentum Metropolitan Servicesの技術スペシャリストNilesh Roy氏は、「同じ作業を繰り返すのではなく、単一のアカウントで監視するのです」とコメントしている。独立コンサルタントのDavid Macias氏は「とても必要なことで、素晴らしい仕事だ!」とツイートしている。
Amazonは、この機能をAWS管理コンソールの3つのステップで有効にできると説明している。
開始するには、まずクロスアカウントパーミッションを有効にして、他のAWSアカウントのメトリックでモニタリングアカウントを可視化してください。次に、CloudWatchアラームコンソールに移動し、[Create Alarm]をクリックします。表示する権限を付与したアカウントからメトリックを検索して選択できるようになります。
AWSアカウントでクロスアカウントCloudWatchデータを表示できるようにすると、サービスにリンクされたロールであるAWSServiceRoleForCloudWatchCrossAccountの作成がトリガーされる。このロールは、CloudWatchがモニタリングアカウントで他のアカウントから共有されているデータにアクセスするために使われる。AWSは、CloudWatchでクロスアカウント機能を有効にする方法、AWS組織と統合する方法、CloudWatchクロスアカウント設定における典型的なエラーをトラブルシューティングする方法に関して、情報と例を載せたページを提供している。
CloudWatchにより、クロスアカウントダッシュボードとクロスリージョンダッシュボードを使って、メトリックの可視性を一元化できる。データを一元化することなく、関連するアカウントのグループ横断でログを記録することもできる。クロスアカウントアラームとダッシュボードの両方を使うと、アカウント間でデータを転送したりコピーしたりすることはない。クロスアカウントアラームはすべてのAWSリージョンで利用でき、標準のCloudWatchアラーム価格が適用される。