AWS Trusted Advisor の組織ビュー - AWS Support

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Trusted Advisor の組織ビュー

組織ビューでは、AWS Organizations のすべてのアカウントの Trusted Advisor チェックを表示できます。この機能を有効にすると、組織内のすべてのメンバーアカウントのチェック結果を集計するレポートを作成できます。このレポートには、チェック結果のサマリー、および各アカウントの影響を受けるリソースに関する情報が含まれます。例えば、レポートを使用して、[IAM の使用] チェックで組織内で AWS Identity and Access Management (IIA) を使用しているアカウントを識別することや、Amazon S3 バケット許可で Amazon Simple Storage Service (Amazon S3) バケットに推奨されるアクションがあるかどうかを確認することができます。

前提条件

組織ビューを有効にするには、次の要件を満たす必要があります。

組織ビューを有効にする

前提要件を満たした後、次の手順に従って組織ビューを有効にします。この機能を有効にすると、次の処理が実行されます。

  • Trusted Advisor が組織内の信頼されたサービスとして有効化されます。詳細については、「AWS Organizations ユーザーガイド」の「AWSの他のサービスで信頼されたアクセスを有効にする」 を参照してください。

  • AWSServiceRoleForTrustedAdvisorReporting サービスにリンクされたロールが組織の管理アカウントに作成されます。このロールには、Trusted Advisor がユーザーに代わって Organizations を呼び出すアクセス許可が含まれます。このサービスにリンクされたロールはロックされているため、手動で削除することはできません。詳細については、「Trusted Advisorのサービスにリンクされたロールの使用」を参照してください。

Trusted Advisor コンソールで組織ビューを有効にします。

組織ビューを有効にするには
  1. 組織の管理アカウントに管理者としてサインインし、AWS Trusted Advisor コンソール (https://console.aws.amazon.com/trustedadvisor) を開きます。

  2. ナビゲーションペインの [Preferences] (設定) で、[Your organization] (お客様の組織) を選択します。

  3. [AWS Organizations で信頼できるアクセスを可能にする] で、[有効] をオンにします。

注記

管理アカウントの組織ビューを有効にしても、すべてのメンバーアカウントに同じチェックが提供されるわけではありません。例えば、メンバーアカウントすべてにベーシックサポートがついている場合、それらのアカウントは管理アカウントと同じチェックを受けることはできません。AWS Support プランは、アカウントで使用可能な Trusted Advisor チェックを判断します。

Trusted Advisor チェックを更新する

組織のレポートを作成する前に、Trusted Advisor チェックのステータスを更新することをお勧めします。Trusted Advisor を更新せずにレポートをダウンロードすることができますが、レポートに最新情報が含まれない可能性があります。

Business、Enterprise On-Ramp、または Enterprise Support プランをご利用の場合は、Trusted Advisor によってアカウント内のチェックが毎週更新されます。

注記

Developer または Basic Support プランがある組織内にアカウントがある場合、それらのアカウントのユーザーが Trusted Advisor コンソールにサインインしてチェックを更新する必要があります。組織の管理アカウントからすべてのアカウントのチェックを更新することはできません。

Trusted Advisor チェックを更新するには
  1. AWS Trusted Advisor コンソール (https://console.aws.amazon.com/trustedadvisor) に移動します。

  2. [Trusted Advisor Recommendations] ページで、[Refresh all checks] (すべてのチェックを更新) を選択します。アカウントのすべてのチェックが更新されます。

次の方法で特定のチェックを更新することもできます。

  • RefreshTrustedAdvisorCheck API オペレーションを使用します。

  • 目的のチェックの更新アイコン ( Circular arrow icon representing a refresh or reload action. )を選択します。

組織ビューレポートを作成する

組織ビューを有効にした後、レポートを作成して組織の Trusted Advisor チェック結果を表示できます。

最大 50 のレポートを作成できます。このクォータを超えるレポートを作成した場合、以前のレポートが Trusted Advisor によって削除されます。削除されたレポートを復元することはできません。

組織ビューレポートを作成するには
  1. 組織の管理アカウントにサインインし、AWS Trusted Advisor コンソール (https://console.aws.amazon.com/trustedadvisor) を開きます。

  2. ナビゲーションペインの [Organizational View] (組織ビュー) を選択します。

  3. [Create report (レポートを作成)] を選択します。

  4. デフォルトでは、レポートにはすべての AWS リージョン、チェックカテゴリ、チェック、およびリソースのステータスが含まれます。リポジトリの [Create report] (レポートの作成) ページでは、フィルターオプションを使用してレポートをカスタマイズできます。例えば、[Region] (リージョン) の [All] (すべて) をクリアして、レポートに含める個々のリージョンを指定できます。

    1. レポートの [Name](名前) を入力します。

    2. [Format] で、[JSON] または [CSV] を選択します。

    3. [Region] (リージョン) で AWS リージョンを指定するか、[All] (すべて) を選択します。

    4. [Check category] (チェックカテゴリ) でチェックカテゴリを選択するか、[All] (すべて) を選択します。

    5. [Check] で、そのカテゴリの特定のチェックを選択するか、[All] (すべて) を選択します。

      注記

      [Check category] (チェックカテゴリ) フィルターは [Check] (チェック) フィルターを上書きします。例えば、[Security] (セキュリティ) カテゴリを選択し、特定のチェック名を選択した場合、レポートには、そのカテゴリのすべてのチェック結果が含まれます。特定のチェックのみのレポートを作成するには、[Check category] (チェックカテゴリ) のデフォルトの [All] (すべて) を選択し、目的のチェック名を選択します。

    6. [Resource status] (リソースのステータス) で、フィルターするステータス ([Warning] など) または [All] (すべて) を選択します。

  5. [AWS Organization] で、レポートに含める組織単位 (OU) を選択します。OU の詳細については、AWS Organizations ユーザーガイドの「組織単位 (OU) の管理」を参照してください。

  6. [Create report (レポートを作成)] を選択します。

例 : レポートフィルターオプションの作成

次の例は、以下の JSON レポートを作成します。

  • 3 つの AWS リージョン

  • すべてのセキュリティおよびパフォーマンスチェック

Trusted Advisor で組織ビューレポートを作成する方法を示すスクリーンショット。

次の例では、レポートには support-team OU および組織の一部である 1 つの AWS アカウントが含まれます。

組織単位 (OU) の AWS 組織フィルターオプションのスクリーンショット。
メモ
  • レポートの作成に要する時間は、組織内のアカウントの数と各アカウントのリソースの数によって異なります。

  • 現在のレポートが 6 時間以上実行している場合を除き、複数のレポートを同時に生成することはできません。

  • レポートがページに表示されない場合は、ページを更新します。

レポートのサマリーの表示

レポートの準備ができたら、Trusted Advisor コンソールからレポートのサマリーを表示できます。この機能を使用して、組織全体のチェック結果のサマリーをすばやく表示できます。

レポートのサマリーを表示するには
  1. 組織の管理アカウントにサインインし、AWS Trusted Advisor コンソール (https://console.aws.amazon.com/trustedadvisor) を開きます。

  2. ナビゲーションペインの [Organizational View] (組織ビュー) を選択します。

  3. レポート名を選択します。

  4. [Summary] (サマリー) ページには、各カテゴリのチェックのステータスが表示されます。[Download report] (レポートをダウンロード) を選択することもできます。

例 : 組織のレポートのサマリー
Trusted Advisor のレポートのサマリー例のスクリーンショット。

組織ビューレポートをダウンロードする

レポートの準備ができたら、Trusted Advisor コンソールからレポートをダウンロードします。レポートは、次の 3 つのファイルを含む .zip ファイルです。

  • summary.json — 各チェックカテゴリのチェック結果のサマリーが含まれます。

  • schema.json — レポート内の指定されたチェックのスキーマが含まれます。

  • リソースファイル (.json または .csv) — 組織内のリソースのチェックステータスに関する詳細情報が含まれます。

組織ビューレポートをダウンロードするには
  1. 組織の管理アカウントにサインインし、AWS Trusted Advisor コンソール (https://console.aws.amazon.com/trustedadvisor) を開きます。

  2. ナビゲーションペインの [Organizational View] (組織ビュー) を選択します。

    組織ビューページに、ダウンロードできるレポートが表示されます。

  3. レポートを選択し、[Download report] (レポートをダウンロード) を選択してファイルを保存します。一度にダウンロードできるレポートは 1 つだけです。

    Trusted Advisor でダウンロードできるレポート例のスクリーンショット。
  4. ファイルを解凍します。

  5. テキストエディタを使用して .json ファイルを開くか、スプレッドシートアプリケーションを使用して .csv ファイルを開きます。

    注記

    レポートが 5 MB 以上の場合、複数のファイルがダウンロードされることがあります。

例 : summary.json ファイル

summary.json ファイルには、組織内のアカウントの数、および各カテゴリのチェックのステータスが表示されます。

Trusted Advisor では、チェック結果に次のカラーコードが使用されます。

  • Green – Trusted Advisor はチェックの問題を検出しませんでした。

  • Yellow – Trusted Advisor はチェックの潜在的な問題を検出しました。

  • Red – Trusted Advisor はエラーを検出し、チェックのアクションを推奨しました。

  • Blue – Trusted Advisor はチェックの状態を特定できませんでした。

次の例では、2 つのチェックが Red で、1 つチェックが Green、そして 1 つのチェックが Yellow です。

{ "numAccounts": 3, "filtersApplied": { "accountIds": ["123456789012","111122223333","111111111111"], "checkIds": "All", "categories": [ "security", "performance" ], "statuses": "All", "regions": [ "us-west-1", "us-west-2", "us-east-1" ], "organizationalUnitIds": [ "ou-xa9c-EXAMPLE1", "ou-xa9c-EXAMPLE2" ] }, "categoryStatusMap": { "security": { "statusMap": { "ERROR": { "name": "Red", "count": 2 }, "OK": { "name": "Green", "count": 1 }, "WARN": { "name": "Yellow", "count": 1 } }, "name": "Security" } }, "accountStatusMap": { "123456789012": { "security": { "statusMap": { "ERROR": { "name": "Red", "count": 2 }, "OK": { "name": "Green", "count": 1 }, "WARN": { "name": "Yellow", "count": 1 } }, "name": "Security" } } } }
例 : schema.json ファイル

schema.json ファイルには、レポート内のチェックのスキーマが含まれます。次の例には、IAM パスワードポリシー (Yw2K9puPzl) チェックと IAM キーローテーション (DqdJqYeRm5) チェックの ID とプロパティが含まれます。

{ "Yw2K9puPzl": [ "Password Policy", "Uppercase", "Lowercase", "Number", "Non-alphanumeric", "Status", "Reason" ], "DqdJqYeRm5": [ "Status", "IAM User", "Access Key", "Key Last Rotated", "Reason" ], ... }
例 : resources.csv ファイル

resources.csv ファイルには、組織内のリソースに関する情報が含まれます。この例は、次のようなレポートに表示されるデータ列の一部を示します。

  • 影響を受けるアカウントのアカウント ID

  • Trusted Advisor チェック ID

  • リソース ID。

  • レポートのタイムスタンプ

  • Trusted Advisor チェックの完全な名前

  • Trusted Advisor チェックカテゴリ

  • 親組織単位 (OU) またはルートのアカウント ID

Trusted Advisor の CSV リソースレポート例のスクリーンショット。

チェック結果がリソースレベルに存在する場合、リソースファイルにはエントリのみが含まれます。次のような理由から、レポートにチェックが表示されない場合があります。

  • いくつかのチェック ([ルートアカウントの MFA] など) にはリソースがないので、レポートに表示されません。リソースのないチェックは、summary.json ファイルに含まれます。

  • 一部のチェックでは、Red または Yellow の場合にリソースのみが表示されます。すべてのリソースが Green の場合、リソースがレポートに表示されないことがあります。

  • チェックが必要なサービスに対してアカウントが有効になっていない場合、チェックがレポートに表示されないことがあります。例えば、組織で Amazon Elastic Compute Cloud リザーブドインスタンスを使用していない場合、[Amazon EC2 リザーブドインスタンスリースの有効期限切れ] チェックはレポートに表示されません。

  • アカウントでチェック結果が更新されていません。これは、Basic または Developer Support プランを持つユーザーが Trusted Advisor コンソールに初めてサインインしたときに発生することがあります。Business、Enterprise On-Ramp、または Enterprise Support プランをご利用の場合は、チェック結果が表示されるまでにアカウントのサインアップから最大で 1 週間かかることがあります。詳細については、「Trusted Advisor チェックを更新する」を参照してください。

  • 組織の管理アカウントのみでチェックのレコメンデーションが有効な場合、レポートには組織内の他のアカウントのリソースは含まれません。

リソースファイルでは、Microsoft Excel などの一般的なソフトウェアを使用して、.csv ファイル形式を開くことができます。.csv ファイルは、組織内のすべてのアカウントにわたるチェックの 1 回だけの分析に使用できます。レポートをアプリケーションで使用する場合は、.json ファイルとしてレポートをダウンロードできます。

.json ファイル形式は、集約や複数のデータセットを使用した高度な分析などの高度なユースケースで .csv ファイル形式よりも高い柔軟性を提供します。例えば、Amazon Athena などの AWS のサービスで SWL インターフェイスを使用してレポートにクエリを実行できます。Amazon QuickSight を使用してダッシュボードを作成し、データを視覚化することもできます。詳細については、「その他の AWS のサービスを使用して Trusted Advisor レポートを表示する」を参照してください。

組織ビューを無効にする

組織ビューを無効にするには、次の手順に従います。この機能を無効にするには、組織の管理アカウントにサインインするか、必要なアクセス許可を持つロールを継承する必要があります。この機能を組織内の別のアカウントから無効にすることはできません。

この機能を無効にすると、次の処理が実行されます。

  • Trusted Advisor が Organizations の信頼済みサービスとして削除されます。

  • AWSServiceRoleForTrustedAdvisorReporting サービスリンクロールのロックが組織の管理アカウントで解除されます。その結果、必要に応じて手動で削除できるようになります。

  • 組織のレポートを作成、表示、およびダウンロードすることはできません。以前に作成したレポートにアクセスするには、Trusted Advisor コンソールから組織ビューを再度有効にする必要があります。「組織ビューを有効にする」を参照してください。

Trusted Advisor の組織ビューを無効にするには
  1. 組織の管理アカウントにサインインし、AWS Trusted Advisor コンソール (https://console.aws.amazon.com/trustedadvisor) を開きます。

  2. ナビゲーションペインで [設定] を選択します。

  3. [Organizational View] (組織ビュー) で [Disable organizational view] (組織ビューを無効化) を選択します。

    Trusted Advisor の組織ビューを無効化する方法を示すスクリーンショット。

組織ビューを無効にすると、Trusted Advisor では、組織内の他の AWS アカウントからチェックが集計されなくなります。ただし、AWSServiceRoleForTrustedAdvisorReporting サービスリンクロールは、IAM コンソール、IAM API、または AWS Command Line Interface (AWS CLI) から削除するまで組織の管理アカウントに残ります。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの削除」を参照してください。

注記

その他の AWS のサービスを使用して、組織ビューレポートのデータをクエリおよび視覚化できます。詳細については、以下のリソースを参照してください。