複数の AWS アカウントにわたる共有 Amazon Machine Image の使用状況をモニタリング - AWS 規範ガイダンス
[概要]前提条件と制限アーキテクチャツールベストプラクティスエピックトラブルシューティング関連リソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

複数の AWS アカウントにわたる共有 Amazon Machine Image の使用状況をモニタリング

作成者:Naveen Suthar (AWS) と Sandeep Gawande (AWS)

コードリポジトリ: cross-account-ami-auditing-terraform-samples

環境:PoC またはパイロット

テクノロジー: 管理とガバナンス DevOps、サーバーレス、運用

AWS サービス: Amazon DynamoDBAWS LambdaAmazon EventBridge

[概要]

Amazon マシンイメージ (AMI)」は、Amazon Web Services (AWS) 環境で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを作成するために使用されます。AMI は、一つの集中管理された AWS アカウントで作成できます。さらにこのパターンでは、作成者アカウントと呼ばれます。その後、同じ AWS リージョン内の複数の AWS アカウント間でAMIを共有できます。さらにこのパターンでは、これらのアカウントはコンシューマアカウントと呼ばれます。1 つのアカウントから AMI を管理することでスケーラビリティが向上し、ガバナンスを簡単に行うことができます。コンシューマーアカウントでは、Amazon EC2 Auto Scaling「起動テンプレート」と Amazon Elastic Kubernetes Service (Amazon EKS)「ノードグループ」の共有 AMI を参照できます。

共有 AMI が「非推奨」、「登録解除」または「共有解除」されると、コンシューマーアカウントでその AMI を参照する AWS サービスはこの AMI を使用して新しいインスタンスを起動できなくなります。自動スケーリングイベントまたは同じインスタンスの再起動は失敗します。これにより、アプリケーションのダウンタイムやパフォーマンスの低下など、本番環境で問題が生じる可能性があります。AMI の共有や使用イベントが複数の AWS アカウントで発生した場合、このアクティビティをモニタリングすることが難しい場合があります。

このパターンは、同じリージョンのアカウント間での共有 AMI の使用状況とステータスをモニタリングするのに役立ちます。Amazon 、Amazon DynamoDB EventBridge、AWS Lambda 、Amazon Simple Email Service (Amazon SES) などのサーバーレス AWS サービスを使用します。 DynamoDB Amazon SES HashiCorp Terraform を使用して、Infrastructure as Code (IaC) をプロビジョニングします。このソリューションは、コンシューマーアカウントのサービスが登録解除または共有されていない AMI を参照したときにアラートを発行します。

前提条件と制限

前提条件

  • 2 つ以上のアクティブな AWS アカウント:1 つのクリエーターアカウントと 1 つ以上のコンシューマーアカウント

  • クリエーターアカウントからコンシューマーアカウントに共有される 1 つ以上の AMI

  • インストール済み」Terraform CLI(Terraform のドキュメント)

  • 設定済み」Terraform AWS Provider(Terraform のドキュメント)

  • (オプションであるが、推奨)「設定済み」Terraform バックエンド(Terraform のドキュメント)

  • インストール済み」Git

制約事項

  • このパターンは、アカウント ID を使用して特定のアカウントと共有されている AMI をモニタリングします。このパターンでは、組織 ID を使用して組織と共有されている AMI はモニタリングされません。

  • AMI は、同じ AWS リージョン内のアカウントにのみ共有できます。このパターンは、単一のターゲットリージョン内の AMI をモニタリングします。複数のリージョンでの AMI の使用状況をモニタリングするには、このソリューションを各リージョンにデプロイします。

  • このパターンでは、このソリューションがデプロイされる前に共有されていた AMI はモニタリングされません。以前に共有していた AMI をモニタリングしたい場合は、AMI 共有を解除してからコンシューマーアカウントと再共有できます。

製品バージョン

  • Terraform バージョン 1.2.0 以降

  • TTerraform AWS Provider バージョン 4.20 以降

アーキテクチャ

ターゲットテクノロジースタック

以下のリソースは Terraform を通じて IaC としてプロビジョニングされます。

  • Amazon DynamoDB テーブル

  • Amazon EventBridge ルール

  • AWS Identity and Access Management (IAM) ロール

  • AWS Lambda 関数

  • Amazon SES

ターゲットアーキテクチャ

共有 AMI の使用状況をモニタリングし、AMI が共有解除または登録解除された場合にユーザーに警告するアーキテクチャ

この図表は、次のワークフローを示しています:

  1. クリエーターアカウントのすべての AMI は、同じ AWS リージョンのコンシューマーアカウントと共有されます。

  2. AMI を共有すると、作成者アカウントの Amazon EventBridge ルールがModifyImageAttributeイベントをキャプチャし、作成者アカウントで Lambda 関数を開始します。

  3. Lambda 関数は、作成者アカウントの DynamoDB テーブルに AMI に関連するデータを格納します。

  4. コンシューマーアカウントの AWS サービスが共有 AMI を使用して Amazon EC2 インスタンスを起動する場合、または共有 AMI が起動テンプレートに関連付けられている場合、コンシューマーアカウントの EventBridge ルールは共有 AMI の使用をキャプチャします。

  5. この EventBridge ルールは、コンシューマーアカウントで Lambda 関数を開始します。Lambda 関数は以下を実行します。

    1. Lambda 関数は、作成者アカウントの DynamoDB テーブルに AMI 関連データを格納します。

    2. Lambda 関数は作成者アカウントの IAM ロールを引き受け、作成者アカウントの DynamoDB テーブルを更新します。Mapping テーブルでは、インスタンス ID または起動テンプレート ID をそれぞれの AMI ID にマッピングする項目を作成します。

  6. 作成者アカウントで一元管理されている AMI は非推奨、登録解除または共有解除されました。

  7. 作成者アカウントの EventBridge ルールは、 removeアクションを使用して ModifyImageAttributeまたは DeregisterImageイベントをキャプチャし、Lambda 関数を開始します。

  8. Lambda 関数は DynamoDB テーブルをチェックして、AMI がいずれかのコンシューマーアカウントで使用されているかを判断します。AMI に関連付けられているインスタンス ID または起動テンプレート ID が Mapping テーブルにない場合は、プロセスは完了です。

  9. インスタンス ID または起動テンプレート ID が Mapping テーブル内の AMI に関連付けられている場合、Lambda 関数は Amazon SES を使用して、設定したサブスクライバーにメール通知を送信します。

ツール

AWS サービス

  • Amazon DynamoDB は、フルマネージド NoSQL データベースサービスです。高速かつ予測可能でスケーラブルなパフォーマンスを発揮します。

  • Amazon EventBridge は、アプリケーションをさまざまなソースからのリアルタイムデータに接続するのに役立つサーバーレスイベントバスサービスです。たとえば、AWS Lambda 関数、API 宛先を使用する HTTP 呼び出しエンドポイント、または他の AWS アカウントのイベントバスなどです。

  • AWS Identity and Access Management (IAM)」は、AWS リソースへのアクセスを安全に管理し、誰が認証され、使用する権限があるかを制御するのに役立ちます。

  • AWS Lambda は、サーバーのプロビジョニングや管理を行うことなくコードを実行できるコンピューティングサービスです。必要に応じてコードを実行し、自動的にスケーリングするため、課金は実際に使用したコンピューティング時間に対してのみ発生します。

  • Amazon Simple Email Service (Amazon SES)」はユーザー自身のメールアドレスとドメインを使用してメールを送受信する上で役立ちます。

その他のツール

  • HashiCorp Terraform はオープンソースの infrastructure as code (IaC) ツールで、コードを使用してクラウドインフラストラクチャとリソースをプロビジョニングおよび管理できます。

  • Python」は汎用のコンピュータープログラミング言語です。

コードリポジトリ

このパターンのコードは、 GitHub cross-account-ami-monitoring-terraform-samples リポジトリにあります。

ベストプラクティス

エピック

タスク説明必要なスキル

プロファイルというAWS CLI を作成します。

作成者アカウントとコンシューマーアカウントごとに、「AWS コマンドラインインターフェイス (AWS CLI)」というプロファイルを作成します。手順については、「AWS Getting Started Resources Center」(AWS 入門リソースセンター)の「AWS CLI のセットアップ」を参照してください。

DevOps エンジニア

リポジトリをクローン作成します。

次のコマンドを入力します。これにより、SSH を使用して から cross-account-ami-monitoring-terraform-samples リポジトリがクローン GitHub されます。

git clone git@github.com:aws-samples/cross-account-ami-monitoring-terraform-samples.git
DevOps エンジニア

プロバイダーの.tf ファイルを更新します。

  1. 次のコマンドを入力して、複製されたリポジトリ内の terraform フォルダーに移動します。

    cd cross-account-ami-monitoring/terraform

  2. provider.tf ファイルを開きます。

  3. クリエーターアカウントとコンシューマーアカウントの Terraform AWS Provider 構成を次のように更新します。

    • alias には、プロバイダー設定の名前を入力します。

    • region のために、このソリューションをデプロイするターゲット AWS リージョンを入力します。

    • profile のために、アカウントにアクセスするためのプロファイルという AWS CLI を入力します。

  4. 複数のコンシューマーアカウントを設定する場合は、追加のコンシューマーアカウントごとにプロファイルを作成します。

  5. provider.tf ファイルを保存して閉じます。

プロバイダーの構成について、詳細は、Terraform ドキュメントの「複数のプロバイダー設定」を参照してください。

DevOps エンジニア

テラフォーム.tfvars ファイルを更新します。

  1. terraform.tfvars ファイルを開きます。

  2. account_email_mapping パラメーターで、作成者アカウントとコンシューマーアカウントのアラートを次のように設定します。

    • account には、アカウント ID を入力します。

    • email のために、アラートを送信するメールアドレスを入力します。各アカウントにつき 1 つのメールアドレスしか入力できません。

  3. 複数のコンシューマーアカウントを設定する場合は、コンシューマーアカウントごとにアカウントとメールアドレスを追加して入力します。

  4. terraform.tfvars ファイルを保存して閉じます。

DevOps エンジニア

メイン.tf ファイルを更新します。

この手順は、このソリューションを複数のコンシューマーアカウントにデプロイする場合にのみ実行します。このソリューションを 1 つのコンシューマーアカウントにのみデプロイする場合、このファイルを変更する必要はありません。

  1. main.tf ファイルを開きます。

  2. コンシューマーアカウントを追加するたびに、テンプレート内の consumer_account_A モジュールに基づいた新しいモジュールを作成します。各コンシューマーアカウントには、provider のために、この値は provider.tf ファイルに入力したエイリアスと一致させる必要があります。

  3. main.tf ファイルを保存して閉じます。

DevOps エンジニア
タスク説明必要なスキル

ソリューションをデプロイします。

Terraform CLI で、以下のコマンドを入力して AWS リソースをクリエーターアカウントとコンシューマーアカウントにデプロイします。

  1. 以下のコマンドを入力して、Terraform を初期化します。

    terraform init

  2. 以下のコマンドを入力して、Terraform の設定を検証します。

    terraform validate

  3. 以下のコマンドを入力して、Terraform 実行プランを作成します。

    terraform plan

  4. Terraform プランの設定変更を確認し、変更を実装することを確認します。

  5. リソースをデプロイするには、次のコマンドを入力します。

    terraform apply
DevOps エンジニア

メールアドレス ID を検証します。

Terraform プランをデプロイすると、Terraform は Amazon SES のコンシューマーアカウントごとにメールアドレス ID を作成しました。該当メールアドレスに通知を送信する前に、メールアドレスを検証する必要があります。手順については、「Amazon SES ドキュメント」の「メールアドレスアイデンティの検証」を参照してください。

AWS 全般
タスク説明必要なスキル

クリエイターアカウントによるデプロイを検証します。

  1. 作成者アカウントにサインインします。

  2. ナビゲーションバーで、目的のリージョンが表示されていることを確認します。別のリージョンの場合は、現在表示されているリージョン名を選択して、ターゲットリージョンを選択します。

  3. https://console.aws.amazon.com/dynamodb/ で DynamoDB コンソールを開きます。

  4. ナビゲーションペインで [テーブル] を選択します。

  5. テーブルのリストで、目的の AmiShare テーブルが存在することを検証します。

  6. https://console.aws.amazon.com/lambda で Lambda コンソールを開きます。

  7. ナビゲーションペインで、[関数] を選択します。

  8. 関数リストで、その ami-share 関数が存在することを検証します。

  9. https://console.aws.amazon.com/iamv2/ で IAM コンソールを開きます。

  10. ナビゲーションペインで [ロール] を選択します。

  11. ロールのリストで、目的の external-ddb-role ロールが存在することを検証します。

  12. https://console.aws.amazon.com/events/ で EventBridge コンソールを開きます。

  13. ナビゲーションペインで ルール] を選択します。

  14. ルールのリストで、目的の modify_image_attribute_event ルールが存在することを検証します。

  15. https:/console.aws.amazon.com/ses/」で Amazon SES コンソールを開きます。

  16. ナビゲーションペインで、[検証済み ID] を選択します。

  17. ID のリストで、コンシューマーアカウントごとにメールアドレス ID が登録し、検証されていることを確認します。

DevOps エンジニア

コンシューマアカウントによるデプロイを検証します。

  1. コンシューマーアカウントにサインインします。

  2. ナビゲーションバーで、目的のリージョンが表示されていることを確認します。別のリージョンの場合は、現在表示されているリージョン名を選択して、ターゲットリージョンを選択します。

  3. https://console.aws.amazon.com/dynamodb/ で DynamoDB コンソールを開きます。

  4. ナビゲーションペインで [テーブル] を選択します。

  5. テーブルのリストで、目的の Mapping テーブルが存在することを検証します。

  6. https://console.aws.amazon.com/lambda で Lambda コンソールを開きます。

  7. ナビゲーションペインで、[関数] を選択します。

  8. 関数リストで、 ami-usage-functionami-deregister-function 関数が存在することを検証します。

  9. https://console.aws.amazon.com/events/ で EventBridge コンソールを開きます。

  10. ナビゲーションペインで ルール] を選択します。

  11. ルールのリストに、ami_usage_events ルールと ami_deregister_events ルールが存在することを検証します。

DevOps エンジニア
タスク説明必要なスキル

クリエイターアカウントで AMI を作成します。

  1. クリエイターアカウントで非公開 AMI を作成します。手順については、「Amazon EC2 インスタンスから AMI の作成」を参照してください。

  2. 新しい AMI をいずれかのコンシューマーアカウントと共有します。手順については、「特定の AWS アカウントとの AMI の共有」を参照してください。

DevOps エンジニア

コンシューマーアカウントで AMI を使用します。

コンシューマーアカウントで、共有 AMI を使用して EC2 インスタンスを作成するか、テンプレートを起動します。手順については、「カスタムの AMI から EC2 インスタンスを起動する方法」(AWS re: Post ナレッジセンター) または「起動テンプレートの作成方法」(「Amazon EC2 Auto Scaling のドキュメント」) を参照してください。

DevOps エンジニア

モニタリングとアラートを検証します。

  1. 作成者アカウントにサインインします。

  2. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  3. ナビゲーションペインで [AMI] を選択します。

  4. リストで AMI を選択し、[アクション]、[AMI 権限の編集] の順に選択します。

  5. [共有アカウント]セクションで、コンシューマーアカウントを選択し、[選択したものを削除]を選択します。

  6. [変更の保存] を選択します。

  7. コンシューマーアカウント用に定義したターゲットのメールアドレスが、AMI の共有がキャンセルされたという通知を受信することを確認します。

DevOps エンジニア
タスク説明必要なスキル

リソースを削除します。

  1. 以下のコマンドを入力して、このパターンでデプロイされたリソースを削除し、共有 AMI のモニタリングを停止します。

    terraform destroy

  2. yes を入力して destroy コマンドを確認します。

DevOps エンジニア

トラブルシューティング

問題ソリューション

メールアラートを受信していません。

Amazon SES の電子メールが送信されなかった理由は複数考えられます。以下をチェックしてください:

  1. エピック」セクションで、リソースデプロイの検証エピックにより、インフラストラクチャがすべての AWS アカウントに適切にプロビジョニングされていることを確認します。

  2. Amazon CloudWatch Logs で Lambda 関数イベントを検証します。手順については、Lambda ドキュメントの CloudWatch 「コンソールの使用」を参照してください。アクセス権限に関する問題 (アイデンティティベースのポリシーまたはリソースベースのポリシーでの明示的な拒否など) がないことを確認します。詳細については、IAM ドキュメントの「ポリシーの評価論理」を参照してください。

  3. Amazon SES で、メールアドレス ID のステータスが確認済みになっていることを確認します。詳細については、「メールアドレス ID の検証」を参照してください。

関連リソース

AWS ドキュメント

Terraformのドキュメント