AWS Trusted Advisorの概要
Trusted Advisor は、今までAWS で蓄積されてきたベストプラクティスを活用し、私たちのAWS 環境を検査します。その結果、システムの可用性とパフォーマンスの向上、セキュリティ問題など、改善すべき箇所がある場合には、こうした方が良いと言った具体的なアクションを提案をしてくれます。まさに、「信頼されたアドバイザー」ですね。頼もしい✨
AWS Trusted Advisorのチェックカテゴリ
- コスト最適化
コスト削減に役立つ推奨事項を提案
未使用リソースの削除や、リザーブド系のプランを提案してくれます - パフォーマンス
パフォーマンス向上に役立つ推奨事項を提案
リソースが足りないサービスはもちろん、過剰に割り当てられているサービスも教えてくれます - セキュリティ
セキュリティ向上に役立つ推奨事項を提案
これは説明不要でしょう。セキュリティは永遠のテーマですね。ありがたい提案です。 - 耐障害性
可用性と冗長性を高めるための推奨事項を提案
具体的に言うと、Auto Scaling、ヘルスチェック、マルチAZ、バックアップ機能などを提案してくれます - サービス制限
リソースの使用率がサービスクォータの80%を超えるサービスに対する推奨事項を提案
クォータリミットの緩和には依頼してから少し時間がかかるので、この通知はありがたいですね。 - 運用上の優秀性
運用を行うために必要な項目を提案してくれます。
具体的に言うと、VPCフローログの有効化、各種ログ設定、モニタリング設定、削除保護設定などを提案してくれます。
Trusted Advisorと統合されたサービス
Trusted Advisorは以下のサービスと統合されています。複数の画面を行ったり来たりしなくて済むので、運用が楽になりますね。
AWS Config
AWS Config の特定のマネージドルールを有効にすると、対応する Trusted Advisor チェックが自動的に有効になります。この機能は、Trusted Advisorのすべてのカテゴリにわたる一連のチェックに役立ちます。
Security Hub
いくつか前提条件がありますが、Security Hubとの統合も可能です。二つのコンソールを行ったり来たりしなくて済むので、SecurityHubを利用されている場合はとても効率的ですね。
【前提条件】
- AWS Config の でリソース記録を有効にする必要があります。
- Security Hubの[AWS Foundational Security Best Practices v1.0.0] (基礎セキュリティのベストプラクティス v1.0.0) セキュリティスタンダードを選択する必要があります。
- Security Hub を有効にした後、 Trusted AdvisorにSecurity Hub の調査結果が表示されるまで、最大 24 時間かかる場合があります。
Trusted Advisorの利用料金
Trusted Advisorそのものに料金は設定されておらず、加入しているサポートプランに依存します。チェック可能な範囲もプランによって変わってきます。
以下にプランごとのチェック対象となる項目をまとめましたので、参考にしてみてくださいね。
| Basic | Developer | Business | Enterprise On-Ramp | Enterprise |
| 【サービス制限】 すべて 【セキュリティ】 ・Amazon EBS Public Snapshots ・Amazon RDS Public Snapshots ・Amazon S3 Bucket Permissions ・MFA on Root Account ・Security Groups Specific Ports Unrestricted | すべてのチェック | AWS Trusted Advisor Priorityにより精選された、チェックのすべてと優先順位付けされた推奨事項 | ||
しっかりと活用するためには、Businessプラン以上が欲しいところですね。
Trusted Advisorの始め方
Trusted Advisorの有効化
基本的には意識せずに有効になっていると思います。万一無効化されていた場合は[有効]にしましょう。
画面に表示されている通り、Trusted Advisorを有効にするには AWSServiceRoleForTrustedAdvisor サービスロールが必要です。以下のサイトを参考に、ロールを作成しましょう。(2024年現在英語ですが・・・とほほ)
Using service-linked roles for Trusted Advisor
以下のようにロールが作成されればOKです。
Trusted Advisorを有効にすれば、Trusted Advisorがすぐに利用可能となります。
Trusted Advisorの使い方
レコメンデーション画面で、チェック結果を確認することができます。
各項目の意味は以下の通りです。
- 推奨されるアクション (赤)
Trusted Advisorが何らかのアクションを推奨している場合は、この数値が上がります。例えば、セキュリティの問題が検出された場合は、緊急度の高いアクションが推奨されることがあります。 - 調査が推奨されます(黄・・・茶色?)
潜在的な問題が検出された場合は、この数値が上がります。例えば、クォータのチェックに引っかかった場合は、未使用のリソースを削除する方法が提案されたりします。 - 除外された項目があるチェック (グレー)
Trusted Advisorでは、特定のリソースをチェック対象外にすることができます。除外にした場合はこの項目の数値が上がります。
また、チェック結果をエクセル形式でダウンロードすることができますので、一覧で見たい場合は活用すると良いでしょう。
エクセルを開くと、たくさんのシートで構成されています。見やすくてわかりやすいので、報告書作成などにも活用できそうです。
まとめ
今回は、AWS Trusted Advisorについてまとめてみました。上位のサポートプランを利用していないと、中々触れる機会がないのですが、「Trusted Advisor」の名前の通り、痒いところに手が届くサービスなのは間違いないでしょう。
一つ一つチェック項目を検討し、チェックリストを作成し、それを日々チェックすることを手動で実施するとなると、膨大な運用コストがかかってしまうでしょう。
もし無料のベーシックプランをお使いの場合でも、一部の機能は利用可能ですので、試しに確認してみてくださいね。
