AWSの監査・モニタリング用アカウントをCloudWatchクロスアカウントアラームで効率よく運用しましょう😎

こんにちは！

今回は、AWS の監査・モニタリング用アカウントの運用に役立つ「CloudWatch クロスアカウントアラーム」について紹介します。

私たちも普段から AWS のクロスアカウント運用を行う際に使用している便利なサービスですので、ぜひチェックしてみてください。

想定する読者

• CloudWatch クロスアカウントアラームについて知りたいヒト
• AWS の監査・モニタリング用アカウントの運用方法を検討したいヒト

はじめに

2021年8月5日、Amazon より、AWS が提供する監視ツール Amazon CloudWatch で、クロスアカウントアラームの導入が発表されたとのアナウンスがありました。（参照：Amazon CloudWatch のクロスアカウントアラームを発表｜AWS）

これによりユーザーは、アラート設定および AWS アカウント横断のメトリックの変更に基づいたアクションの実行が可能になりました。

本記事では、 Amazon CloudWatch およびクロスアカウントアラームの機能や導入メリット、実際の設定方法を紹介します。

Amazon CloudWatch とは

Amazon CloudWatchについて、AWS では以下のように紹介しています。

Amazon CloudWatch は、DevOps エンジニア、デベロッパー、サイト信頼性エンジニア (SRE)、および IT マネージャーのために構築されたモニタリング/オブザーバビリティサービスです。

Amazon CloudWatch（リソースとアプリケーションの監視と管理）| AWS

AWSのリソースやアプリケーションをリアルタイムでモニタリングできるサービスで、ひとつのダッシュボードですべてのリソース・アプリケーションの状態を可視化します。グラフの作成も可能で、誰でも状況を把握しやすいサービスです。

CloudWatch の特徴

• AWS で実行されるすべてののリソースやアプリケーションからデータを収集できる
• CPU やメモリの使用量の事前設定により、Amazon EC2 のメトリクスが閾値を超えた際に通知を受け取れる
• メトリクス設定により、アプリケーションログ等のさまざまな値を監視できる

クロスアカウントアラームとは

Amazon CloudWatch では、アップデートによりクロスアカウントアラームを使用できるようになりました。クロスアカウントアラームについて、AWS は以下のように説明しています。

Amazon CloudWatch は、クロスアカウントアラームを発表しました。これはお客様がアラームを設定し、他の AWS アカウントのメトリクスの変更に基づいてアクションを実行できる新機能です。クロスアカウントアラームでは、別の AWS アカウントのメトリクスの傾向に基づいてアラートを発し、既存のクロスアカウントダッシュボードと組み合わせて使用することで、一元化されたモニタリングアカウントでオペレーションの可視性を設定することができます。

Amazon CloudWatch のクロスアカウントアラームを発表｜AWS

クロスアカウントアラーム使用のメリットは、マルチアカウントにおいてモニタリング用アカウントでアラートを一元管理できるようになったことです。

CloudWatch はこれまでもマルチアカウントへの対応機能は揃っていました。例えば、監視対象アカウントのCloudWatch ダッシュボード、アラート、メトリクスは、モニタリング用アカウントから参照できる仕様になっています。

一方で、アラートの設定についてはモニタリング用アカウントで行うことはできず、監視対象アカウントごとに行う必要がありました。

クロスアカウントアラームが導入されたことで、モニタリング用アカウントを使用した監視対象アカウントのメトリクスにアラート設定が可能になったのです。それにより、モニタリング用アカウントをより効率的に運用できるようになりました。

クロスアカウントアラームの設定

ここからは、実際に CloudWatch でクロスアカウントアラームを設定していきます。

アクセスを有効化する

まずは、AWS Management Console を使用してクロスアカウントのアクセスを有効にします。

CloudWatch のコンソール画面で左メニューの「設定」を選択し、「クロスアカウントクロスリージョン」下の「設定」ボタンを選択します。

 「特定のアカウント」 を選択したら、データを共有するアカウントの ID を入力します。

アクセス許可を指定して「CloudFormation テンプレートを起動」ボタンを押下します。

以下のようなフォームが表示されますので、説明文を読んだうえで「確認」と記入し、「起動テンプレート」ボタンを押下します。

「I acknowledge…」チェックボックスをオンにして、「スタックの作成」を選択すると下記の画面に移りますので、スタックを作成します。

処理が終わると、「 CloudWatch データを共有 」のステータスが「共有済み」になります。これでアカウントのアクセス許可が有効になりました。

アラームを設定する

次に、アラームを設定します。アラームは、コンソール画面＞アラームから設定できます。新規で作成する場合は、「アラームの作成」を押下します。

アラームの作成は、下記の4つのステップに分かれています（画像左サイド参照）。それぞれ必要項目を設定してください。アラームの通知先設定は、アクションの設定に含まれます。

• メトリクスと条件の指定
• アクションの設定
• 名前と説明を追加
• プレビューと作成

アラームが作成できました。作成したアラームは、左メニューの「アラーム」＞「すべてのアラーム」で確認できます。

コンソールの「概要」では、アラームを確認できます。

まとめ

以上、CloudWatch クロスアカウントアラームについて紹介しました。AWS の監査・モニタリング用アカウントの効率的な運用に役立つツールですので、ぜひ積極的に導入してみてください。

AWS 開発・運用は、お気軽にお問い合わせください。