翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 複数のアカウントとリージョンの AWS リソースを自動的にインベントリする
<a name="automate-aws-resource-inventory"></a>

*Amazon Web Services、Matej Macek*

## 概要
<a name="automate-aws-resource-inventory-summary"></a>

このパターンは、複数のアカウントと の AWS リソースの包括的なインベントリを維持するための自動化されたアプローチの概要を示しています AWS リージョン。このアプローチは、インフラストラクチャエンジニアとセキュリティエンジニアがリソース管理プラクティスを改善できるように設計されています。を使用して AWS Config 、リソースの変更、クエリ用の Amazon Athena、インタラクティブダッシュボード用の Amazon Quick Sight を追跡します。このソリューションを実装するには、 AWS CloudFormation スタックをデプロイします。

このソリューションは、[Amazon Athena と Amazon Quick Sight を使用した AWS Config データの視覚化](https://aws.amazon.com/blogs/mt/visualizing-aws-config-data-using-amazon-athena-and-amazon-quicksight/)」(AWS ブログ記事) で説明されているものと似ています。こちらのパターンでは、このソリューションを拡大して以下の一般的な要件に対応し、以下のようなメリットをもたらします。
+ **コンプライアンスに重点を置く** – このアプローチは、[PCI DSS](https://www.pcisecuritystandards.org/)、[NIST SP 800-53](https://csrc.nist.gov/pubs/sp/800/53/r5/upd1/final)、[ISO/IEC 27001](https://www.iso.org/standard/27001)、[HIPAA](https://www.hhs.gov/programs/hipaa/index.html)、[GDPR](https://gdpr.eu/)、および、正確なアセットインベントリを義務付けるその他の規制要件を満たすのに役立ちます。
+ **カスタマイズフレームワーク** – さまざまな AWS リソースの Quick Sight ダッシュボードを作成するための基盤を提供し、特定の要件に合わせてソリューションをカスタマイズできます。
+ **ユーザー主導の強化** – このアプローチでは、実際のユースケースから得られたフィードバックを取り入れ、より包括的なソリューションのリクエストに対処します。

インフラストラクチャ、セキュリティ、財務の各チームは、ダイナミックな環境、マルチアカウント環境、またはマルチリージョン環境で、可視化とコラボレーションの問題に直面することがよくあります。このソリューションは、これらの課題に対処し、リソースインベントリの作成と維持に必要な時間と労力を大幅に削減できるように設計されています。その結果、リソースの割り当てに関連した意思決定の改善、リスクの特定と軽減、コストの最適化、全体的な可視性とコラボレーションの向上に役立つ、リソースの一元的なビューが手に入ります。このアプローチを取り入れることで、セキュリティ、コンプライアンス、運用上の目的における概念的なソリューションと実際の実装ニーズとのギャップを埋めることができます。

## 前提条件と制限
<a name="automate-aws-resource-inventory-prereqs"></a>

**前提条件**
+ 次の有効な AWS アカウント:
  + *管理アカウント* – 請求、アカウントの作成、組織全体のアクセスの制御のための一元化されたアカウント
  + *監査アカウント* – セキュリティモニタリング、コンプライアンスチェック、ドリフト通知のための一元化されたハブ
  + *ログアーカイブアカウント* – 収集されたデータを保存および分析するための一元化されたアカウント
+ 監査アカウントでは、ターゲットアカウントとリージョンから設定データを収集して集計する AWS Config [アグリゲータ](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html) 
+ ログアーカイブアカウントで、以下を設定します。
  + アグリゲータからデータを保存する Amazon Simple Storage Service (Amazon S3) AWS Config [バケット](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) 
  + Amazon Quick [サブスクリプション](https://docs.aws.amazon.com/quicksight/latest/user/signing-up.html)
  + Quick Sight と Amazon Athena 間の[認可された接続](https://docs.aws.amazon.com/quicksight/latest/user/athena.html) 
  + Athena クエリを介して Amazon S3 バケットにアクセスするための[アクセス権限](https://docs.aws.amazon.com/athena/latest/ug/s3-permissions.html)
+ AWS Command Line Interface (AWS CLI)、[インストール](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)および[設定](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html)済み
+ 次のリソースをプロビジョニングする CloudFormation スタックをデプロイするためのアクセス許可。
  +  AWS Lambda 関数
  + Amazon S3 通知設定
  + Athena データベース、テーブル、ビュー
  + Quick Sight データセットとデータソース
+ でオートメーションを実行するアクセス許可 AWS Systems Manager
+ Quick へのアクセス許可

**制限事項**
+ このソリューションは に依存します AWS Config。 AWS Config は通常、変更が検出された直後、または指定した頻度でリソースの設定変更を記録します。ただし、これはベストエフォートベースであり、場合によっては時間がかかることがあります。
+ このソリューションは、 が[AWS Config サポートするリソースタイプ](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html)のみを追跡します。
+ このソリューションは、他のクラウドプロバイダー、またはオンプレミス環境のリソースインベントリは追跡しません。
+ 一部の AWS のサービス は では使用できません AWS リージョン。リージョンの可用性については、 AWS ドキュメントの[「サービスエンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html)」ページを参照して、サービスのリンクを選択します。

## アーキテクチャ
<a name="automate-aws-resource-inventory-architecture"></a>

次の図は、 AWS 組織内の複数のアカウントで設定およびコンプライアンスデータを収集、整理、分析、視覚化するための効率的なプロセスを示しています。

![\[組織全体の設定およびコンプライアンスデータを収集して視覚化。\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/images/pattern-img/67a9667a-da19-4dcb-a2fe-62bc94a0541b/images/c9245de1-ac85-4a9e-a0c0-dbcc27a8bb5d.png)


この図表は、次のワークフローを示しています:

1. ア AWS Config グリゲータは定期的にターゲットアカウントとリージョンのリソースに関する設定とコンプライアンスデータを収集し、ログアーカイブアカウントの Amazon S3 バケットにデータを配信します。

1. Amazon S3 バケットに新しい AWS Config データを追加すると、 AWS Lambda 関数が呼び出されます。

1. Lambda 関数は、各スナップショットファイルのリージョンと日付に対応する値を持つキーを設定することで、データをパーティション化します。これにより、設定とコンプライアンスデータを AWS Glue 効率的にクエリして処理できます。

1. Amazon Athena は AWS Glue [スキーマ](https://docs.aws.amazon.com/glue/latest/dg/schema-registry.html)を使用して、Amazon S3 バケットに保存されているデータに対して SQL クエリを実行します。のスキーマメタデータを使用して AWS Glue 、データの構造を理解します。

1. Athena の[ビュー](https://docs.aws.amazon.com/athena/latest/ug/views.html)は、ターゲットデータセットを定義して抽出します。

1. Quick Sight [のダッシュボード](https://docs.aws.amazon.com/quicksight/latest/user/using-dashboards.html)は、データセットを視覚化および分析するのに役立ちます。

## ツール
<a name="automate-aws-resource-inventory-tools"></a>

**AWS のサービス**
+ 「[Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/what-is.html)」はインタラクティブなクエリサービスで、Amazon S3 内のデータをスタンダード SQL を使用して直接分析できます。
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) は、 AWS リソースの設定、迅速かつ一貫したプロビジョニング、 AWS アカウント および 全体にわたるライフサイクル全体の管理に役立ちます AWS リージョン。
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) は、 内のリソースの詳細ビュー AWS アカウント と設定方法を提供します。リソースがどのように相互に関連しているか、またそれらの構成が時間の経過とともにどのように変化したかを特定するのに役立ちます。 AWS Config [アグリゲータ](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)は、複数の およびリージョンから AWS Config 設定 AWS アカウント およびコンプライアンスデータを収集します。
+ [AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/what-is-glue.html) は、フルマネージド型の抽出、変換、ロード (ETL) サービスです。これにより、データストアとデータストリーム間でのデータの分類、整理、強化、移動を確実に行うことができます。このパターンでは、 AWS Glue [データカタログ](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)と[スキーマレジストリ](https://docs.aws.amazon.com/glue/latest/dg/schema-registry.html)を使用します。
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) は、サーバーのプロビジョニングや管理を行うことなくコードを実行できるコンピューティングサービスです。必要に応じてコードを実行し、自動的にスケーリングするため、課金は実際に使用したコンピューティング時間に対してのみ発生します。
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) は、作成して一元管理する AWS アカウント 組織に複数の を統合するのに役立つアカウント管理サービスです。
+ [Amazon Quick Sight](https://docs.aws.amazon.com/quicksuite/latest/userguide/quick-bi.html) は、インタラクティブな視覚化、ダッシュボード、レポートを通じて生データを有意義なインサイトに変換するのに役立つビジネスインテリジェンス (BI) サービスです。Quick Sight は Amazon Quick のコアコンポーネントです。
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) は、あらゆる量のデータを保存、保護、取得できるクラウドベースのオブジェクトストレージサービスです。
+ 「[AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)」は、 AWS クラウドで実行されるアプリケーションとインフラストラクチャの管理に役立ちます。これにより、アプリケーションとリソースの管理が簡素化され、運用上の問題を検出して解決する時間が短縮され、 AWS リソースを大規模に安全に管理できます。[AWS Systems Manager 自動化](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)により、多くの の一般的なメンテナンス、デプロイ、修復タスクが簡素化されます AWS のサービス。

**コードリポジトリ**

このパターンの AWS CloudFormation テンプレートは、[AWS Config 視覚化](https://github.com/aws-samples/aws-management-and-governance-samples/blob/master/AWSConfig/AWS-Config-Visualization/README.md) GitHub リポジトリで使用できます。この CloudFormation テンプレートは、Amazon Athena で使用する AWS Config ように を設定する AWS Systems Manager オートメーションランブックをデプロイします。この自動化は、指定された Amazon S3 バケットに接続する準備 AWS Glue をし、Amazon Athena でビューを作成し、ダッシュボードの視覚化のために Quick Sight を設定します。

## ベストプラクティス
<a name="automate-aws-resource-inventory-best-practices"></a>
+  AWS 「 規範ガイダンス」の[「 を使用した安全なマルチアカウント AWS 環境のセットアップと管理 AWS Control Tower](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-aws-environment/welcome.html)」のベストプラクティスに従うことをお勧めします。
+  AWS 組織全体の設定およびコンプライアンスデータを収集する AWS Config アグリゲータを作成することをお勧めします。詳細については、 AWS Config ドキュメントの[「マルチアカウントマルチリージョンデータ集約](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)」を参照してください。
+ このソリューションをデプロイする前に、[Amazon S3](https://aws.amazon.com/s3/pricing/)、、[AWS Config](https://aws.amazon.com/config/pricing/)[Athena](https://aws.amazon.com/athena/pricing/)、および [Quick](https://aws.amazon.com/quicksight/pricing/) の現在の料金情報を確認することをお勧めします。

## エピック
<a name="automate-aws-resource-inventory-epics"></a>

### CloudFormation スタックをデプロイする
<a name="deploy-the-cfnshort-stack"></a>


| タスク | 説明 | 必要なスキル | 
| --- | --- | --- | 
| CloudFormation テンプレートをダウンロードします。 | [Config-QuickSight-Visualization-SSM-Automation.yaml](https://github.com/aws-samples/aws-management-and-governance-samples/blob/master/AWSConfig/AWS-Config-Visualization/cft/Config-QuickSight-Visualization-SSM-Automation.yaml) CloudFormation テンプレートをダウンロードします。 | AWS 管理者、クラウド管理者、DevOps エンジニア | 
| CloudFormation テンプレートを変更します。 | この手順は、 を使用して[AWS Control Tower](https://aws.amazon.com/controltower/)いて、 AWS Config によって管理されている場合にのみ実行してください AWS Control Tower。CloudFormation テンプレートを変更する必要があります。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/automate-aws-resource-inventory.html) | DevOps エンジニア、AWS 管理者 | 
| CloudFormation スタックを作成します。 | 「[CloudFormation コンソールからスタックを作成する](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html)」の手順に従います。次の点に注意してください。[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/automate-aws-resource-inventory.html) | AWS 管理者、クラウド管理者、DevOps エンジニア | 

### Systems Manager で自動化を実行する
<a name="run-the-automation-in-sys"></a>


| タスク | 説明 | 必要なスキル | 
| --- | --- | --- | 
| クイックユーザー名を見つけます。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/automate-aws-resource-inventory.html) | AWS 管理者、クラウド管理者、DevOps エンジニア | 
| 配信チャネル名と Amazon S3 バケット名を見つけます。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/automate-aws-resource-inventory.html) | AWS 管理者、クラウド管理者、DevOps エンジニア | 
| Systems Manager で自動化を実行します。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/automate-aws-resource-inventory.html) | AWS 管理者、クラウド管理者、DevOps エンジニア | 

### Quick Sight でデータを視覚化する
<a name="visualize-data-in-qsight"></a>


| タスク | 説明 | 必要なスキル | 
| --- | --- | --- | 
| データを更新します。 | 特定の要件に従ってデータセットの更新をスケジュールするには、「[Refreshing SPICE data](https://docs.aws.amazon.com/quicksight/latest/user/refreshing-imported-data.html)」の手順に従います。 | AWS 管理者、DevOps エンジニア、クラウド管理者 | 
| 分析を作成します。 | リソースを視覚化するのに役立つダッシュボードを Quick Sight で作成するには、[「Quick Sight で分析を開始する](https://docs.aws.amazon.com/quicksuite/latest/userguide/creating-an-analysis.html)」の手順に従います。 | Quick Suite 管理者 | 
| ダッシュボードを作成します。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/automate-aws-resource-inventory.html) | Quick Suite 管理者 | 

### (オプション) クリーンアップする
<a name="optional-clean-up"></a>


| タスク | 説明 | 必要なスキル | 
| --- | --- | --- | 
| Systems Manager の自動化によって作成されたリソースを削除します。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/automate-aws-resource-inventory.html) | AWS 管理者、クラウド管理者、DevOps エンジニア | 
| CloudFormation スタックを削除します。 | `Config-QuickSight-Visualization-SSM-Automation` スタック内のリソースを削除するには、「[CloudFormation コンソールからスタックを削除する](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html)」の手順に従います。 | AWS 管理者、クラウド管理者、DevOps エンジニア | 

## トラブルシューティング
<a name="automate-aws-resource-inventory-troubleshooting"></a>


| 問題 | ソリューション | 
| --- | --- | 
| Amazon Quick は への接続を試みていますが`us-east-1` AWS リージョン、そのリージョンでのリソースの作成は許可されていません。 | サービスコントロールポリシーは、このリージョンでサブスクリプションを Amazon Quick に制限しています。サービスコントロールポリシーで、ターゲットを手動で指定します AWS リージョン。`<REGION_ID>` を適切なリージョン識別子に置き換えます。<pre>https://<REGION_ID>.quicksight.aws.amazon.com/sn/start/dashboards</pre>以下に例を示します。<pre>https://eu-central-1.quicksight.aws.amazon.com/sn/start/dashboards</pre> | 
| Amazon Athena では、次のメッセージが表示されます。`Before you run your first query, you need to set up a query result location in Amazon S3.` | Amazon Athena からのクエリ結果を保存する Amazon S3 バケットが作成されていることを確認します。手順については、「[Amazon Athena コンソールを使用してクエリ結果の場所を指定する](https://docs.aws.amazon.com/athena/latest/ug/query-results-specify-location-console.html)」を参照してください。 | 

## 関連リソース
<a name="automate-aws-resource-inventory-resources"></a>

**AWS ドキュメント**
+ [AWS Config ドキュメント](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ [Amazon Quick ドキュメント](https://docs.aws.amazon.com/quicksuite/latest/userguide/what-is.html)

**AWS ブログ投稿**
+ [による AWS Config データの視覚化の自動化 AWS Systems Manager](https://aws.amazon.com/blogs/mt/automate-aws-config-data-visualization-with-aws-systems-manager/)
+ [を使用してリソース設定の変更を定期的に記録する方法 AWS Config](https://aws.amazon.com/blogs/mt/how-to-record-resource-configuration-changes-periodically-with-aws-config/)

**その他のリソース**
+ [Amazon Quick Community Learning Center](https://community.amazonquicksight.com/c/learning-center/10/none)
+ [Amazon Quick Community Gallery](https://community.amazonquicksight.com/c/gallery/44)