245-AWS SAP AWS 「理論・実践・一問道場」AWS Cost and Usage Reports

type

status

date

slug

summary

理論

1. AWS Organizations

AWS Organizationsを使うことで、複数のAWSアカウントを一元管理できます。これにより、アカウント間でのコストの統合、セキュリティポリシーの管理、さらには請求関連の管理が容易になります。特に、組織内の各アカウントに対して一貫性を持ったポリシーを適用することができます。

2. SCP（Service Control Policies）

SCPは、AWS Organizations内で特定のアカウントや組織単位（OU）に対して、アクセス制御ポリシーを定義する機能です。SCPを使うことで、アメリカ合衆国以外のリージョンでリソースを作成することを禁止するなど、リージョン制限を適用できます。これにより、コンプライアンス要件に従って、リソースが不適切なリージョンで作成されるのを防げます。

3. AWS Cost and Usage Reports

AWS Cost and Usage Reports（CUR）は、AWSの各サービスの使用状況とコストを詳細に追跡できる機能です。このレポートは、支出の分析やコスト管理に非常に有用です。S3バケットにレポートを保存し、さらに自動化した処理を通じて分析ツールに送ることで、財務チームは月次でのコスト追跡を行えます。

4. AWS Cost Explorer

Cost Explorerは、AWSのリソース使用状況やコストを視覚的に分析できるツールです。これにより、過去のコスト傾向を把握し、将来の支出を予測することができます。また、特定のAWSアカウントやサービスに関連するコストをフィルタリングし、詳細な分析を行えます。

結論

複数のAWSアカウントに対して、効率的にコストを管理し、リージョン制限を設けてコンプライアンスを守るためには、AWS OrganizationsとSCPを活用して、アカウントの管理とポリシー適用を行うことが鍵となります。また、AWS Cost and Usage ReportsやCost Explorerを使うことで、財務チームが必要なコスト情報を追跡・分析することができます。

実践

略

一問道場

ある企業には5つの開発チームがあり、それぞれが5つのAWSアカウントを作成してアプリケーションを開発・ホストしています。支出を追跡するために、開発チームは毎月各アカウントにログインし、AWS Billing and Cost Managementコンソールから現在のコストを記録し、その情報を会社の財務チームに提供しています。しかし、会社は厳格なコンプライアンス要件があり、リソースはアメリカ合衆国のAWSリージョンでのみ作成されるべきです。しかし、いくつかのリソースは他のリージョンに作成されています。ソリューションアーキテクトは、財務チームがすべてのアカウントの支出を追跡し、統合できるようにするソリューションを実装する必要があります。また、会社がアメリカ合衆国以外のリージョンでリソースを作成できないようにする必要があります。

どの組み合わせの手順が最も運用効率の良い方法でこの要件を満たすでしょうか？（3つ選んでください）

A. 新しいアカウントを作成して管理アカウントとして使用します。財務チーム用にAmazon S3バケットを作成します。AWS Cost and Usage Reportsを使用して月次レポートを作成し、そのデータを財務チームのS3バケットに保存します。

B. 新しいアカウントを作成して管理アカウントとして使用します。AWS Organizationsで全機能を有効にした組織を展開し、既存のすべてのアカウントをその組織に招待します。各アカウントが招待を受け入れるようにします。

C. すべての開発チームを含む組織単位（OU）を作成します。アメリカ合衆国にあるリージョンでのみリソースを作成できるようにするSCP（サービス制御ポリシー）を作成します。このSCPをOUに適用します。

D. すべての開発チームを含む組織単位（OU）を作成します。アメリカ合衆国以外のリージョンでリソースの作成を拒否するSCPを作成します。このSCPをOUに適用します。

E. 管理アカウントにIAMロールを作成し、Billing and Cost Managementコンソールを表示するための権限を含むポリシーをアタッチします。財務チームのユーザーにそのロールを引き受けることを許可します。AWS Cost ExplorerとBilling and Cost Managementコンソールを使用してコストを分析します。

F. 各AWSアカウントにIAMロールを作成し、Billing and Cost Managementコンソールを表示するための権限を含むポリシーをアタッチします。財務チームのユーザーにそのロールを引き受けることを許可します。

解説

この問題では、以下の要件を満たすための最適な手順を選択する必要があります。

要件：

支出の追跡と統合

すべてのAWSアカウントでの支出を追跡し、財務チームに提供すること。

コンプライアンス要件

アメリカ合衆国のAWSリージョンでのみリソースが作成されることを確保すること。

手順解説

A. AWS Cost and Usage Reportsを使用して月次レポートを作成し、そのデータを財務チームのS3バケットに保存する

解説：AWS Cost and Usage Reports (CUR)は、AWSのリソース使用状況とコストに関する詳細なレポートを作成できるツールです。これを使用すると、複数のアカウントに対するコストデータを集約し、保存することができます。これにより、財務チームは必要なデータを一元管理しやすくなります。

B. AWS Organizationsで全機能を有効にした組織を展開し、既存のすべてのアカウントをその組織に招待する

解説：AWS Organizationsを利用することで、複数のAWSアカウントを一元的に管理できます。この方法により、各開発チームが個別に管理する必要がなくなり、効率的なコスト管理が可能となります。組織内でポリシーを一貫して適用できるため、コストの追跡やリソース制限が容易に行えます。

C. SCPを使って、アメリカ合衆国以外のリージョンでリソースの作成を拒否する

解説：SCP（サービス制御ポリシー）を使用することで、AWS Organizations内でのリージョン制限を強制できます。これにより、アメリカ合衆国以外のリージョンでリソースが作成されるのを防ぐことができます。コンプライアンス要件を満たすために、リソースが不適切なリージョンで作成されないように制御できます。

D. SCPを使って、アメリカ合衆国にあるリージョンのみでリソースを作成できるようにする

解説：選択肢Cと似ていますが、こちらは「アメリカ合衆国にあるリージョンのみでリソースを作成できるようにする」ポリシーです。このように、特定のリージョンでのみリソースを作成できるように制限を設けることで、企業のコンプライアンスポリシーに沿った運用が可能です。

E. 管理アカウントにIAMロールを作成し、財務チームにコスト管理コンソールへのアクセスを許可する

解説：IAMロールを作成して、財務チームがコスト管理コンソールにアクセスできるようにする方法です。これにより、財務チームはAWS Cost ExplorerやBilling and Cost Management Consoleを使用して、AWSのコストを分析できます。ユーザーに必要な権限を委譲することで、コスト管理が円滑に行えます。

F. 各AWSアカウントにIAMロールを作成し、財務チームにコスト管理コンソールへのアクセスを許可する

解説：この方法もEの選択肢と似ていますが、ここでは各AWSアカウントごとにIAMロールを作成します。これにより、財務チームは各アカウントのコスト情報を直接確認できるようになります。複数のアカウントを扱う場合でも、それぞれに適切な権限を付与することで、個別にコストを追跡できます。

正解：

B: AWS Organizationsを使用して、すべてのアカウントを統合します。

D: SCPでアメリカ合衆国以外のリージョンでリソース作成を拒否します。

E: 管理アカウントにIAMロールを作成して、財務チームがコスト管理コンソールにアクセスできるようにします。

これらの選択肢を組み合わせることで、複数アカウントのコスト追跡とコンプライアンス要件の遵守を効率的に行うことができます。