Amazon DevOps Guru および AWS Organizations - AWS Organizations

Amazon DevOps Guru および AWS Organizations

Amazon DevOps Guru は、運用データとアプリケーションのメトリクスおよびイベントを分析し、通常の運用パターンから逸脱する動作を特定します。DevOps Guru が運用上の問題またはリスクを検出すると、ユーザーに通知されます。

DevOps Guru を使用すると AWS Organizations でマルチアカウントサポートが有効になるため、メンバーアカウントを指定して、組織全体のインサイトを管理できます。この委任管理者は、組織内のすべてのアカウントから取得したインサイトを表示、ソート、フィルタリングして、追加のカスタマイズを必要とせずに、組織内のすべてのモニタリング対象アプリケーションの状態に関する全体像を作成できます。

詳細については、「Amazon DevOps Guru ユーザーガイド」の「組織全体のアカウントをモニタリングする」を参照してください。

Amazon DevOps Guru と AWS Organizations の統合には、次の情報を参考にしてください。

統合を有効にする際に作成されるサービスにリンクされたロール

信頼されたアクセスを有効にすると、以下のサービスにリンクされたロールが組織の管理アカウントに自動的に作成されます。このロールにより、DevOps Guru はサポートされているオペレーションを組織内のアカウントで実行できます。

このロールを削除または変更できるのは、DevOps Guru と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。

  • AWSServiceRoleForDevOpsGuru

サービスにリンクされたロールで使用されるサービスプリンシパル

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。DevOps Guru によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。

  • devops-guru.amazonaws.com

詳細については、「Amazon DevOps Guru ユーザーガイド」の「DevOps Guru でのサービスにリンクされたロールの使用」を参照してください。

DevOps Guru との信頼されたアクセスを有効にするには

信頼されたアクセスの有効化に必要なアクセス許可に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

注記

Amazon DevOps Guru の委任管理者を指定すると、組織の DevOps に対する信頼されたアクセスが自動的に有効になります。

組織でこのサービスの委任管理者にするメンバーアカウントを指定するにあたり、DevOps Guru には AWS Organizations への信頼されたアクセスが必要です。

重要

Organizations との統合の有効化には、可能な場合は常に Amazon DevOps Guru のコンソールまたはツールを使用することを強くお勧めします。そうすることで、サービスに必要なリソースの作成など、必要な設定が Amazon DevOps で実行可能になります。ここに示す手順は、統合の有効化に Amazon DevOps Guru が提供するツールを使用できない場合にのみ実施してください。詳細については、この注意を参照してください。

AWS Organizations コンソールまたは Amazon DevOps Guru コンソールを使用して、信頼されたアクセスを有効にできます。

AWS Management Console

Organizations コンソールを使用して信頼されたアクセスを有効にするには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. [Services] (サービス) ページで Amazon DevOps Guru の行を探し、サービスの名前を選択してから、[Enable trusted access] (信頼されたアクセスを有効にする) を選択します。

  3. 確認ダイアログボックスで、[Show the option to enable trusted access] (信頼されたアクセスを有効にするオプションを表示する) を有効にし、ボックスに「enable」と入力してから、[Enable trusted access] (信頼されたアクセスを有効にする) を選択します。

  4. AWS Organizations だけの管理者である場合は、Amazon DevOps Guru の管理者に、コンソールを使用してそのサービスを有効にし、AWS Organizations と連携させて使用できるようになったことを知らせます。

DevOps Guru console

DevOps Guru コンソールを使用してサービスへの信頼されたアクセスを有効にするには

  1. 管理アカウントに管理者としてサインインし、DevOps Guru コンソール (Amazon DevOps Guru コンソール) を開きます。

  2. [Enable trusted access (信頼されたアクセスを有効にする)] を選択します。

DevOps Guru との信頼されたアクセスを無効にするには

信頼されたアクセスの無効化に必要なアクセス許可に関しては、信頼されたアクセスを無効にするために必要なアクセス許可 を参照してください。

AWS Organizations 管理アカウントの管理者だけが Amazon DevOps Guru との信頼されたアクセスを無効にできます。

Organizations ツールだけで、信頼されたアクセスを無効にできます。

AWS Organizations コンソールを使用して信頼されたアクセスを無効にできます。

AWS Management Console

Organizations コンソールを使用して信頼されたアクセスを無効にするには

  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. [Services] (サービス) ページで Amazon DevOps Guru の行を探し、サービスの名前を選択します。

  3. [Disable trusted access] (信頼されたアクセスを無効にする) を選択します。

  4. 確認ダイアログボックスで、ボックスに「disable」と入力してから、[Disable trusted access] (信頼されたアクセスを無効にする) を選択します。

  5. AWS Organizations だけの管理者である場合は、Amazon DevOps Guru の管理者に、コンソールかツールを使用してそのサービスを無効にし、AWS Organizations との連携を停止できるようになったことを知らせます。

DevOps Guru 用の委任管理者アカウントの有効化

DevOps Guru 用の委任管理者アカウントは、組織から DevOps Guru にオンボーディングされているすべてのメンバーアカウントから取得したインサイトデータを表示できます。委任管理者が組織アカウントを管理する方法については、「Amazon DevOps Guru ユーザーガイド」の「組織全体のアカウントをモニタリングする」を参照してください。

DevOps Guru 用の委任管理者を設定できるのは、組織管理アカウントの管理者だけです。

委任管理者アカウントを指定する場合は、DevOps Guru コンソールを介して、あるいは Organizations RegisterDelegatedAdministrator CLI または SDK オペレーションを使用して行います。

最小限必要なアクセス権限

組織内で DevOps Guru 用の委任管理者としてメンバーアカウントを設定できるのは、Organizations 管理アカウントの IAM ユーザーまたはロールだけです

DevOps Guru console

DevOps Guru コンソールで委任管理者を設定するには

  1. 管理アカウントに管理者としてサインインし、DevOps Guru コンソール (Amazon DevOps Guru コンソール) を開きます。

  2. [Register delegated administrator (委任管理者の登録)] を選択します。管理アカウントまたは任意のメンバーアカウントのいずれかを、委任管理者として選択できます。

AWS CLI, AWS API

AWS CLI または AWS SDK を使用して委任管理者アカウントを設定するには、次のコマンドを使用します。

  • AWS CLI:

    $ aws organizations register-delegated-administrator \ --account-id 123456789012 \ --service-principal devops-guru.amazonaws.com
  • AWS SDK: Organizations RegisterDelegatedAdministrator オペレーションおよびメンバーアカウントの ID 番号を呼び出して、アカウントサービス principal account.amazonaws.com をパラメータとして識別します。

DevOps Guru 用の委任管理者の無効化

DevOps Guru コンソール、あるいは Organizations DeregisterDelegatedAdministrator CLI または SDK オペレーションを使用して、委任管理者を削除できます。DevOps Guru コンソールを使用して委任管理者を削除する方法については、「Amazon DevOps Guru ユーザーガイド」の「組織全体のアカウントをモニタリングする」を参照してください。