組織の自動化の有効化 - AWS Compute Optimizer
組織全体で自動化を有効にするポリシーの信頼されたアクセス AWS Organizationsメンバーアカウントのオートメーションを設定する組織ルールモード

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

組織の自動化の有効化

組織の管理アカウントで Automation を有効にすると、組織のメンバーアカウントに Automation を設定して、組織全体の最適化アクションを一元的に実装することもできます。この一元化されたアプローチは、大規模なコストとパフォーマンスを最適化するのに役立ちます。

組織全体で自動化を有効にするポリシー

次のポリシーステートメントは、組織全体で自動化を有効にします。


                {
    "Version": "2012-10-17",                   
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation",
            "Condition": {"StringLike": {"iam:AWSServiceName": "aco-automation.amazonaws.com"}}
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PutRolePolicy", 
                "iam:AttachRolePolicy"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation"
        },
        {
            "Effect": "Allow",
            "Action": "aco-automation:UpdateEnrollmentConfiguration",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "aco-automation:AssociateAccounts",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "aco-automation:DisassociateAccounts",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "aco-automation:ListAccounts",
            "Resource": "*"
        }
    ]
}

の信頼されたアクセス AWS Organizations

メンバーアカウントのオートメーションを管理するには、信頼されたアクセスが有効になっている必要があります。組織の管理アカウントを使用して Compute Optimizer にオプトインし、すべてのメンバーアカウントを含めると、信頼されたアクセスが自動的に有効になります。これにより、Compute Optimizer はリソースを分析し、メンバーアカウントのレコメンデーションを生成できます。信頼されたアクセスにより、Compute Optimizer は自動化機能も有効にしたメンバーアカウントのレコメンデーションを実装することもできます。

Compute Optimizer は、レコメンデーションにアクセスするか、メンバーアカウントにレコメンデーションを適用するたびに、信頼されたアクセスが有効になっていることを確認します。信頼されたアクセスを無効にすると、管理アカウントは組織のメンバーアカウントのレコメンデーションと自動化にアクセスできなくなります。信頼されたアクセスを再度有効にするには、組織の管理アカウントを使用して Compute Optimizer に再度オプトインし、すべてのメンバーアカウントを含めます。詳細については、「オプトイン AWS Compute Optimizer」を参照してください。 AWS Organizations の信頼されたアクセスの詳細については、AWS 「 Organizations ユーザーガイド」の「他の AWS のサービスでの AWS Organizations の使用」を参照してください。

メンバーアカウントのオートメーションを設定する

メンバーアカウントの自動化を有効にするには、管理アカウントにアカウントの関連付けと関連付け解除を行うアクセス許可が必要です。これらのアクセス許可により、管理アカウントはメンバーアカウントの自動化を有効にし、管理アカウントがメンバーアカウントに代わって最適化を実装できるかどうかを設定できます。詳細については、「組織全体で自動化を有効にするポリシー」を参照してください。

メンバーアカウントが関連付けられると、管理アカウントまたは委任管理者は、推奨されるアクションを表示してメンバーアカウントに適用できます。メンバーアカウントを関連付けると、その組織ルールモードは自動的に Any Allowed に設定されます。これにより、管理アカウントは、そのアカウントにアクションを自動的に適用する自動化ルールを作成できます。メンバーアカウントが自動化機能を以前に有効にしていない場合、関連付けプロセスによって自動的に有効になります。

メンバーアカウントのオートメーションを有効にするには

  1. https://console.aws.amazon.com/compute-optimizer/ で、Compute Optimizer コンソールを開きます。

  2. ナビゲーションペインで、「設定」セクションの「アカウント管理」を選択します。

  3. Automation タブを選択します。

  4. アカウント ID を使用してアカウントを検索します。

  5. アカウントを選択し、追加を選択します。オートメーションは、一度に最大 50 個のアカウントに対して有効化できます。

組織ルールモード

この設定は、管理アカウントがメンバーアカウントに自動最適化アクションを実装できるかどうかを制御します。Any Allowed に設定すると、管理アカウントは推奨アクションを直接実装したり、メンバーアカウントに適用されるオートメーションルールを作成したりできます。None Allowed に設定すると、メンバーアカウントのみが独自のレコメンデーションに基づいて行動でき、管理アカウントのルールは適用されません。メンバーアカウントのオートメーションを有効にすると、その組織ルールモードは自動的に任意の許可に設定されます。

メンバーアカウントを対象とする組織ルールは、組織ルールモード設定に基づいて自動的に適用を開始または停止します。ルールは、モードが「許可された」に設定されている場合に適用され、「許可なし」に設定されている場合に適用が停止します。モードを None allowed に変更すると、組織ルールによって開始された進行中のオートメーションステップは引き続き完了しますが、そのアカウントの組織ルールによって新しいオートメーションステップがトリガーされることはありません。

メンバーアカウントの組織ルールモードを設定するには

  1. https://console.aws.amazon.com/compute-optimizer/ で、Compute Optimizer コンソールを開きます。

  2. ナビゲーションペインで、「設定」セクションの「アカウント管理」を選択します。

  3. 自動化タブを選択します。

  4. 設定するアカウントを選択します。

  5. アクションを選択し、 Allow organization rules または を選択しますDisallow organization rules。一度に最大 50 個のアカウントの設定を選択して更新できます。