ベストプラクティス 1.4 – ワークロード設定モニタリングを実装する

現在の設定とこの設定に対する変更に関する情報が得られるようにワークロードを設計および設定します。例としては、新しいまたは削除された EC2 インスタンス、スケーリングイベント、コード変更、パッチレベル、セキュリティグループ設定、リソース削除があります。この情報を使用して、いつ対応が必要かを決め、変更が予想されていたか、許可されているかを判断します。設定変更のコストへの影響をモニタリングし、必要な場合は、予算を調整または分析します。

提案 1.4.1 - ワークロード設定モニタリングを実装する

AWS CloudTrail をセットアップして設定し、特に SAP 本番稼働用アカウントで、高優先度で重要なイベントをモニタリングします。イベントの例としては、新しい Amazon EC2 インスタンス、Amazon EC2 の廃止または変更、セキュリティグループの変更、AWS KMS および IAM セキュリティ変更イベントがあります。これらのイベントを使用して、CloudWatch ログアラーム (必要な場合) を設定し、予期しない変更の場合は対処します。

• AWS ドキュメント: AWS CloudTrail とは

• AWS サービス: AWS CloudTrail

• AWS ドキュメント: Amazon CloudWatch Logs による CloudTrail ログファイルをモニタリングする

• AWS ドキュメント: AWS CloudTrail セキュリティのベストプラクティス

提案 1.4.2 - ワークロード設定の実施と修復を実装する

AWS Config をセットアップして設定し、SAP 本番稼働アプリケーションをサポートする AWS リソースの設定ポリシーを追跡、評価、適用します。一般的な例としては、SAP バックアップを含む S3 バケット読み取り専用保護の適用、必須の Amazon EC2 EBS 暗号化、一般的なネットワークポートのブロック、すべてのリソースに必要なタグがあることの確認があります。AWS Config マネージドルール を使用して、セキュリティを向上させ、SAP をサポートする AWS 環境のコントロール体制を変更します。AWS タグを使用して、設定ルールを適用し、可能なところでは自動化された修復を適用します。

• AWS サービス: AWS Config

• AWS ドキュメント: AWS Config の開始方法

• AWS ドキュメント: AWS Config ルールの設定

• SAP on AWS ブログ: Audit your SAP systems with AWS Config – Part I (AWS Config で SAP システムを監査する – パート I)

• SAP on AWS ブログ: Audit your SAP systems with AWS Config – Part II (AWS Config で SAP システムを監査する – パート II)

• SAP on AWS ブログ: Tagging Recommendations for SAP on AWS (SAP on AWS のタグ付けレコメンデーション)

提案 1.4.3 - ワークロードコストモニタリングを実装する

カスタム予算で AWS Budgets をセットアップして設定します。カスタム予算は、請求しきい値を超える (または超えると予測される) ときにアラートを発します。予算を予想される SAP 環境の支出に合わせ、異常をモニタリングしてコスト超過を回避します。予算レポートを使用して、リザーブドインスタンスと Savings Plans の使用と範囲をモニタリングします。AWS タグを使用して、SAP ワークロードでのコスト割り当てと使用量の理解を支援します。

• AWS ブログ: Getting Started with AWS Budgets (AWS Budgets の開始方法)

• AWS ブログ: AWS Budgets Reports

• AWS ドキュメント: AWS Cost Explorer

• AWS ドキュメント: AWS Cost Anomaly Detection

• SAP on AWS ブログ: Tagging Recommendations for SAP on AWS (SAP on AWS のタグ付けレコメンデーション)