AWS Compute Optimizer および AWS Organizations - AWS Organizations

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Compute Optimizer および AWS Organizations

AWS Compute Optimizer は、 AWS リソースの設定と使用率のメトリクスを分析するサービスです。リソースの例には、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスや Auto Scaling グループがあります。Compute Optimizer は、リソースが最適かどうかを報告します。また、コストを削減し、ワークロードのパフォーマンスを向上させるための最適化に関する推奨事項を生成します。Compute Optimizer について詳しくは、AWS Compute Optimizer ユーザーガイドを参照してください。

AWS Compute Optimizer との統合には、以下の情報を参考にしてください AWS Organizations。

統合を有効にする際に作成されるサービスにリンクされたロール

信頼されたアクセスを有効にすると、以下のサービスにリンクされたロールが組織の管理アカウントに自動的に作成されます。このロールにより、Compute Optimizer はサポートされているオペレーションを組織内のアカウントで実行できます。

このロールを削除または変更できるのは、Compute Optimizer と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。

  • AWSServiceRoleForComputeOptimizer

サービスにリンクされたロールで使用されるサービスプリンシパル

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。Compute Optimizer によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。

  • compute-optimizer.amazonaws.com

Compute Optimizer との信頼されたアクセスを有効化

信頼されたアクセスの有効化に必要な権限に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

信頼された AWS Organizations アクセスは、 AWS Compute Optimizer コンソールまたは コンソールを使用して有効にできます。

重要

可能な限り、 AWS Compute Optimizer コンソールまたはツールを使用して Organizations との統合を有効にすることを強くお勧めします。これにより、 はサービスに必要なリソースの作成など、必要な設定 AWS Compute Optimizer を実行できます。ここに示す手順は、統合の有効化に AWS Compute Optimizerが提供するツールを使用できない場合にのみ実施してください。詳細については、この注意を参照してください。

AWS Compute Optimizer コンソールまたはツールを使用して信頼されたアクセスを有効にする場合、これらのステップを実行する必要はありません。

Compute Optimizer コンソールを使用して信頼されたアクセスを有効にするには

組織の管理アカウントを使用して Compute Optimizer コンソールにサインインする必要があります。組織を代表してオプトインするには、AWS Compute Optimizer ユーザーガイドアカウントにオプトインするの指示に従います。

信頼されたアクセスを有効にするには、 AWS Organizations コンソールを使用するか、 AWS CLI コマンドを実行するか、いずれかの AWS SDKs。

AWS Management Console
Organizations コンソールを使用して信頼されたアクセスを有効にするには
  1. AWS Organizations コンソールにサイン・インします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする推奨されません必要があります。

  2. ナビゲーションペインで [Services (サービス)] を選択します。

  3. サービスのリストAWS Compute Optimizerで を選択します。

  4. [Enable trusted access (信頼されたアクセスを有効にする)] を選択します。

  5. の信頼されたアクセスを有効にする AWS Compute Optimizer」ダイアログボックスで、「有効化して確認します」と入力し、「信頼されたアクセスを有効にする」を選択します。

  6. のみの管理者である場合は AWS Organizations、 の管理者 AWS Compute Optimizer に、コンソールを使用してそのサービスを有効にして と連携できるようになったことを知らせます AWS Organizations。

AWS CLI, AWS API
Organizations CLI/SDK を使用して信頼されたアクセスを有効にするには

次の AWS CLI コマンドまたは API オペレーションを使用して、信頼されたサービスアクセスを有効にできます。

  • AWS CLI: enable-aws-service-access

    次のコマンドを実行して、 を Organizations の信頼されたサービス AWS Compute Optimizer として有効にできます。

    $ aws organizations enable-aws-service-access \ --service-principal compute-optimizer.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: 有効AWSServiceAccess

Compute Optimizer との信頼されたアクセスの無効化

信頼されたアクセスの無効化に必要なアクセス権限に関しては、信頼されたアクセスを無効にするために必要なアクセス許可 を参照してください。

で信頼されたアクセスを無効にすることができるのは、 AWS Organizations 管理アカウントの管理者のみです AWS Compute Optimizer。

信頼されたアクセスを無効にするには、Organizations AWS CLI コマンドを実行するか、いずれかの AWS SDKs。

AWS CLI, AWS API
Organizations CLI/SDK を使用して信頼されたアクセスを無効にするには

次の AWS CLI コマンドまたは API オペレーションを使用して、信頼されたサービスアクセスを無効にすることができます。

  • AWS CLI: disable-aws-service-access

    次のコマンドを実行して、Organizations の信頼されたサービス AWS Compute Optimizer として を無効にできます。

    $ aws organizations disable-aws-service-access \ --service-principal compute-optimizer.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: 無効AWSServiceAccess

Compute Optimizer の委任された管理者アカウントの有効化

メンバーアカウントを組織の委任管理者として指定すると、指定されたアカウントのユーザーおよびロールは組織のその他のメンバーアカウントの AWS アカウント メタデータを管理できるようになります。委任された管理者アカウントを有効にしない場合、これらのタスクは組織の管理アカウントによってのみ実行できます。この手法は、組織の管理からアカウントの詳細の管理を分離するのに有効です。

最小アクセス許可

Organizations 管理アカウントのユーザーまたはロールのみが、組織内で Computer Optimizer の委任管理者としてメンバーアカウントを設定できます

Compute Optimizer の委任された管理者アカウントを有効にする手順については、AWS Compute Optimizer ユーザーガイドの https://docs.aws.amazon.com/compute-optimizer/latest/ug/delegate-administrator-account.html を参照してください。

AWS CLI, AWS API

CLI または AWS SDKs のいずれかを使用して AWS 委任管理者アカウントを設定する場合は、次のコマンドを使用できます。

  • AWS CLI:

    $ aws organizations register-delegated-administrator \ --account-id 123456789012 \ --service-principal compute-optimizer.amazonaws.com
  • AWS SDK: Organizations RegisterDelegatedAdministratorオペレーションとメンバーアカウントの ID 番号を呼び出し、アカウントサービスプリンシパルをパラメータaccount.amazonaws.comとして識別します。

Compute Optimizer の委任された管理者の無効化

Compute Optimizer の委任された管理者を設定できるのは、組織管理アカウントの管理者だけです。

Compute Optimizer コンソールを使用して、委任された管理者 Compute Optimizer アカウントを無効にするには、AWS Compute Optimizer ユーザーガイドの https://docs.aws.amazon.com/compute-optimizer/latest/ug/delegate-administrator-account.html を参照してください。

を使用して委任された管理者を削除するには AWS AWS CLI、 コマンドリファレンスのderegister-delegated-administrator「」を参照してください。 AWS AWS CLI