翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # Amazon DevOps Guru のセットアップ 設定 Amazon DevOps Guru を初めて設定するには、このセクションのタスクを実行します。アカウントがすでにあり AWS 、分析する AWS アカウントがわかっていて、インサイト通知に使用する Amazon Simple Notification Service トピックがある場合は、「」にスキップできます[DevOps Guru の開始を開始する](getting-started.md)。 必要に応じて、の一機能である高速セットアップを使用して DevOps Guru をセットアップし AWS Systems Manager、そのオプションをすばやく設定できます。Quick Setup を使用して、スタンドアロンアカウントまたは組織用に DevOps Guru を設定できます。Systems Manager の Quick Setup を使用して組織の DevOps Guru をセットアップするには、次の前提条件を満たしている必要があります。 + を使用する組織 AWS Organizations。詳細については、*AWS Organizations ユーザーガイド*の[「AWS Organizations Organizations の用語と概念](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)」を参照してください。 + 2 つ以上の組織単位 (OU)。 + 各 OU の 1 つ以上のターゲット AWS アカウント。 + ターゲットアカウントを管理する権限を持つ 1 つの管理者アカウント。 Quick Setup を使用して DevOps Guru を設定する方法については、*AWS Systems Manager ユーザーガイド*の「[Quick Setup で DevOps Guru を設定する](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-devops.html)」を参照してください。 Quick Setup を使用せずに DevOps Guru をセットアップするには、次のステップを使用します。 + [ステップ 1 – にサインアップする AWS](#setting-up-aws-sign-up) + [ステップ 2 — DevOps Guru のカバレッジを決定する](#setting-up-determine-coverage) + [ステップ 3 — Amazon SNS 通知トピックを特定する](#setting-up-notifications) ## ステップ 1 – にサインアップする AWS にサインアップする AWS ### にサインアップする AWS アカウント がない場合は AWS アカウント、次の手順を実行して作成します。 **にサインアップするには AWS アカウント** 1. [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup) を開きます。 1. オンラインの手順に従います。 サインアップ手順の一環として、電話またはテキストメッセージを受け取り、電話キーパッドで検証コードを入力します。 にサインアップすると AWS アカウント、 *AWS アカウントのルートユーザー* が作成されます。ルートユーザーには、アカウントのすべての AWS のサービス とリソースへのアクセス権があります。セキュリティベストプラクティスとして、ユーザーに管理アクセス権を割り当て、[ルートユーザーアクセスが必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)の実行にはルートユーザーのみを使用するようにしてください。 AWS サインアッププロセスが完了すると、 から確認メールが送信されます。[https://aws.amazon.com/](https://aws.amazon.com/) の **[マイアカウント]** をクリックして、いつでもアカウントの現在のアクティビティを表示し、アカウントを管理することができます。 ### 管理アクセスを持つユーザーを作成する にサインアップしたら AWS アカウント、日常的なタスクにルートユーザーを使用しないように AWS アカウントのルートユーザー、 を保護し AWS IAM アイデンティティセンター、 を有効にして管理ユーザーを作成します。 **を保護する AWS アカウントのルートユーザー** 1. **ルートユーザー**を選択し、 AWS アカウント E メールアドレスを入力して、アカウント所有者[AWS マネジメントコンソール](https://console.aws.amazon.com/)として にサインインします。次のページでパスワードを入力します。 ルートユーザーを使用してサインインする方法については、「*AWS サインイン ユーザーガイド*」の「[ルートユーザーとしてサインインする](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)」を参照してください。 1. ルートユーザーの多要素認証 (MFA) を有効にします。 手順については、*IAM* [ユーザーガイドの AWS アカウント 「ルートユーザー (コンソール) の仮想 MFA デバイス](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)を有効にする」を参照してください。 **管理アクセスを持つユーザーを作成する** 1. IAM アイデンティティセンターを有効にします。 手順については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[AWS IAM アイデンティティセンターの有効化](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)」を参照してください。 1. IAM アイデンティティセンターで、ユーザーに管理アクセスを付与します。 を ID ソース IAM アイデンティティセンターディレクトリ として使用する方法のチュートリアルについては、*AWS IAM アイデンティティセンター 「 ユーザーガイド*」の[「デフォルトを使用してユーザーアクセスを設定する IAM アイデンティティセンターディレクトリ](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)」を参照してください。 **管理アクセス権を持つユーザーとしてサインインする** + IAM アイデンティティセンターのユーザーとしてサインインするには、IAM アイデンティティセンターのユーザーの作成時に E メールアドレスに送信されたサインイン URL を使用します。 IAM Identity Center ユーザーを使用してサインインする方法については、*AWS サインイン 「 ユーザーガイド*[」の AWS 「 アクセスポータルにサインイン](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)する」を参照してください。 **追加のユーザーにアクセス権を割り当てる** 1. IAM アイデンティティセンターで、最小特権のアクセス許可を適用するというベストプラクティスに従ったアクセス許可セットを作成します。 手順については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)」を参照してください。 1. グループにユーザーを割り当て、そのグループにシングルサインオンアクセス権を割り当てます。 手順については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[グループを追加する](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)」を参照してください。 ## ステップ 2 — DevOps Guru のカバレッジを決定する DevOps Guru のカバレッジを決定する 境界カバレッジによって、Amazon DevOps Guru によって異常な動作について分析される AWS リソースが決まります。リソースを運用アプリケーションにグループ化することをお勧めします。リソース境界内のすべてのリソースは、1 つ以上のアプリケーションで構成する必要があります。運用ソリューションが 1 つの場合、カバレッジ境界にすべてのリソースを含める必要があります。複数のアプリケーションがある場合は、各ソリューションを構成するリソースを選択し、 CloudFormation スタックまたは AWS タグを使用してそれらをグループ化します。1 つ以上のアプリケーションを定義しているかどうかにかかわらず、指定したリソースはすべて DevOps Guru によって分析され、そのカバレッジ境界を構成します。 次のいずれかの方法を使用して、運用ソリューションのリソースを指定します。 + を選択して、 AWS リージョンとアカウントでカバレッジの境界を定義します。このオプションを使用すると、DevOps Guru はアカウントとリージョン内のすべてのリソースを分析します。これは、アカウントを 1 つのアプリケーションにのみ使用する場合に最適なオプションです。 + CloudFormation スタックを使用して、運用アプリケーションのリソースを定義します。 CloudFormation テンプレートは、リソースを定義して生成します。DevOps Guru を構成するとき、アプリケーションリソースを作成するスタックを指定します。スタックはいつでも更新できます。選択したスタック内のすべてのリソースによって境界カバレッジが定義されます。詳細については、「[CloudFormation スタックを使用して DevOps Guru アプリケーションのリソースを識別する](working-with-cfn-stacks.md)」を参照してください。 + AWS タグを使用して、アプリケーション内の AWS リソースを指定します。DevOps Guru は、選択したタグを含むリソースのみを解析します。それらのリソースが境界を構成します。 AWS タグは、タグ*キー*とタグ*値*で構成されます。1 つのタグ*キー*を指定できます。その*キー*で 1 つまたは複数の*値*を指定できます。アプリケーションのすべてのリソースに対して 1 つの*値*を使用します。複数のアプリケーションがある場合、すべてのアプリケーションに対して同じ*キー*のタグを使用して、タグの*値*を使用してリソースをアプリケーションにグループ化します。選択したタグを持つすべてのリソースが、DevOps Guru のカバレッジ境界を構成します。詳細については、「[タグを使用して DevOps Guru アプリケーションのリソースを識別する](working-with-resource-tags.md)」を参照してください。 境界カバレッジに複数のアプリケーションを構成するリソースが含まれている場合、タグを使用してインサイトをフィルターして、一度に 1 つのアプリケーションでインサイトを表示できます。詳細については、「[DevOps Guru インサイトの表示](working-with-insights.md#view-insights)」のステップ 4 を参照してください。 詳細については、「[AWS リソースを使用したアプリケーションの定義](working-with-resource-collections.md)」を参照してください。サポートされているサービスとリソースの詳細については、「[Amazon DevOps Guru の料金](https://aws.amazon.com/devops-guru/pricing/)」を参照してください。 ## ステップ 3 — Amazon SNS 通知トピックを特定する 通知トピックを特定する 1 つまたは 2 つの Amazon SNS トピックを使用して、インサイトの作成など、重要な DevOps Guru イベントを生成します。このようにして、DevOps Guru が発見した問題について、いち早く知ることができます。トピックは、DevOps Guru を設定するときに準備します。DevOps Guru コンソールを使用して DevOps Guru を設定するとき、名前または Amazon リソースネーム (ARN) を使用して通知トピックを指定します。詳細については、「[DevOps Guru を有効にする](https://docs.aws.amazon.com/devops-guru/latest/userguide/getting-started-enable-service.html)」を参照してください。Amazon SNS コンソールを使用して、各トピックの名前と ARN を表示できます。トピックがない場合は、DevOps Guru コンソールを使用して DevOps Guru を有効にしたときにトピックを作成できます。詳細については、[Amazon Simple Notification Service デベロッパーガイド](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-create-topic.html)の「*トピックを作成する*」を参照してください。 ### Amazon SNS トピックに追加されたアクセス許可 トピックに追加されたアクセス許可 Amazon SNS トピックは、 AWS Identity and Access Management (IAM) リソースポリシーを含むリソースです。ここでトピックを指定すると、DevOps Guru はリソースポリシーに次のアクセス許可を追加します。 ``` { "Sid": "DevOpsGuru-added-SNS-topic-permissions", "Effect": "Allow", "Principal": { "Service": "region-id.devops-guru.amazonaws.com" }, "Action": "sns:Publish", "Resource": "arn:aws:sns:region-id:topic-owner-account-id:my-topic-name", "Condition" : { "StringEquals" : { "AWS:SourceArn": "arn:aws:devops-guru:region-id:topic-owner-account-id:channel/devops-guru-channel-id", "AWS:SourceAccount": "topic-owner-account-id" } } } ``` DevOps Guru がトピックを使用して通知を公開するには、これらのアクセス許可が必要です。トピックに対するこれらのアクセス許可を使用しない場合は、それらのアクセス許可を安全に削除できます。トピックはアクセス許可を削除する前と同じように機能し続けます。ただし、これらのアクセス許可を削除すると、DevOps Guru はトピックを使用して通知を生成できなくなります。