AWS Trusted AdvisorをAWS Organizationsと連携させるときの初期セットアップのコツ

「AWS Trusted Advisor」とは

今回は、AWS Trusted AdvisorをAWS Organizationsと連携させるときの初期セットアップ手順について説明します。

AWS Trusted Advisorはコストの最適化やセキュリティの改善など観点でAWSの運用を支援するサービスです。非常に似た名称のサービスに「AWS Trusted Advisor Priority」がありますが、これはAWS社のテクニカルアカウントマネージャー（TAM）と連携して、組織として重要なAWSの推奨事項やその対応状況を管理する機能を有しています。このサービスはEnterpriseサポートを契約していることを前提しています。

公式ドキュメントでは、AWS Trusted AdvisorとAWS Trusted Advisor Priorityの情報が組み合わせて表現されており、委任管理者をサポートしているのはAWS Trusted Advisor Priorityになります。AWS Trusted Advisorには、組織ビューというOrganizations配下のAWSアカウントのAWS Trusted Advisorの結果を集約したレポートを作成する機能があるのですが、組織ビューは委任管理者をサポートしていません。

以下が、AWS Trusted Advisorの組織ビューおよびAWS Trusted Advisor Priorityの概要です。

それでは、AWS Trusted Advisorの組織ビューおよびAWS Trusted Advisor Priorityについて説明していきます。

AWS Trusted Advisor 組織ビュー

組織ビューの利用にあたって特に必要な設定はなく、管理アカウントで下記の操作を行うことで利用可能です。

（1）AWS Trusted Advisorへ移動をします。

（2）Priorityを開いた状態で「AWS Organizationsで信頼されたアクセスを可能にする」をオンにします。

もしくは次の手順で実施する「組織ビュー」で「有効」にしてもらってもかまいません

（3）サイドメニューから「組織ビュー」をクリックします。

（4）「レポートを作成」ボタンをクリックします。

（5）出力対象のリージョンやチェックカテゴリー等を指定し、続いて出力対象のAWSアカウント（もしくはAWSアカウントが所属するOU）を指定します。次の画像ではRoot OU配下の全AWSアカウントのすべてのリージョン、チェックカテゴリーの結果を出力するという設定としています。

（6）AWSアカウント数にもよりますが、数分待つことでレポートがダウンロード可能となりますので、先ほど作成したレポート名をクリックします。

（7）「レポートをダウンロード」ボタンをクリックすることで、zipファイル形式でダウンロードができます。

AWS Trusted Adivisor Priority

Trusted Adivisor Priorityは利用者側の設定だけでは、利用を開始できません。AWS社のTAMと連携して、どのOrganizationsで有効化するかについて互いに認識を合わせる必要があります。もし、この機能を利用したい場合はAWS社と相談してください。

課題となりやすいポイント

（1）Trusted AdvisorダッシュボードとTrusted Advisor組織ビューでは下表のような違いがあります。この中で、組織ビューの運用において最も大きな課題となるのが更新方法が手動しかないことです。例えば、月に1度手動で誰かがレポートを作成し、ダウンロードするといったような運用が必要となってしまいます。

（2）組織ビューによって作成するレポートには管理アカウントの情報も含まれてしまうことも課題となりやすいです。作成されたレポートから管理アカウントの情報を除くなどの手動対応が必要なケースも出てくるかと思います。

（3）組織ビューは委任管理者にも対応していないため、管理アカウントにIAMリソース（ユーザーまたはロール）を作る必要も出てきてしまいます。極力管理アカウントでの操作は控えることがベストプラクティスとなっていますので、これも課題となりやすいです。組織ビューに関連する権限に絞ったIAMポリシーを付与するなどの対応を検討いただければと思います。

まとめ

今回は、AWS Trusted AdvisorのOrganizations連携機能と課題となりやすいポイントについて紹介しました。本記事がOrganizations配下のAWSアカウントの運用にお役に立てば幸いです。