セキュリティ
AWS S3をストレージデータコレクタとして設定します
変更を提案
PDF
Cloud Insights は、AWS S3をストレージデータコレクタとして使用して、インベントリとパフォーマンスのデータをAWS S3インスタンスから取得します。
要件
AWS S3からストレージデバイスとしてデータを収集するには、次の情報が必要です。
-
次のいずれかが必要です。
-
IAMロール認証を使用している場合は、AWSクラウドアカウント用の* IAMロール*。IAM ロールは、 Acquisition Unit が AWS インスタンスにインストールされている場合にのみ適用されます。
-
IAM Access Key認証を使用している場合は、AWSクラウドアカウントの* IAM Access Key * IDとSecret Access Key。
-
-
「組織のリスト」権限が必要です
-
ポート 443 HTTPS
-
AWS S3インスタンスは、仮想マシンまたは(自然に)ホストとしてレポートできます。EBS ボリュームは、 VM で使用されている仮想ディスクと、仮想ディスクの容量を提供するデータストアの両方として報告できます。
アクセスキーは、アクセスキー ID ( AKIAIOSFODNN7EXAMPLE など)とシークレットアクセスキー( wJalrXUtil/K7MDENG/bPxRfiCYEXAMPLEKEY など)で構成されます。AWS SDK、REST、またはクエリAPIの処理を使用している場合は、アクセスキーを使用して、AWSにプログラム経由で送信される要求に署名します。これらのキーは、 Amazon の契約に付属しています。
設定
次の表に従って、データコレクタフィールドにデータを入力します。
| フィールド | 説明 |
|---|---|
AWS リージョン |
AWS リージョンを選択します |
IAM ロール |
AWS の AU で取得した場合にのみ使用します。の詳細については、以下を参照してください IAM ロール。 |
AWS IAM Access Key ID |
AWS IAM Access Key ID を入力します。IAM ロールを使用しない場合は必須です。 |
AWS IAM Secret Access Key の略 |
AWS IAM Secret Access Key を入力します。IAM ロールを使用しない場合は必須です。 |
AWS が API 要求を課金することを理解している |
このチェックボックスをオンにすると、 Cloud Insights ポーリングで作成された API 要求を AWS から課金することを理解できます。 |
詳細設定
| フィールド | 説明 |
|---|---|
クロスアカウントロール |
異なる AWS アカウントのリソースにアクセスするためのロール。 |
インベントリポーリング間隔(分) |
デフォルトは60です |
「除外」または「含める」を選択して、タグによる VM のフィルタリングに適用します |
データの収集時にタグを使用して VM を含めるか除外するかを指定します。「含める」が選択されている場合、タグキーフィールドを空にすることはできません。 |
パフォーマンスポーリング間隔(秒) |
デフォルトは 1800 です。 |
IAM Access Key
アクセスキーは、 IAM ユーザまたは AWS アカウントの root ユーザの長期的なクレデンシャルです。アクセスキーは、プログラムによる AWS CLI または AWS API への要求に(直接または AWS SDK を使用して)署名するために使用します。
アクセスキーは、アクセスキー ID とシークレットアクセスキーの 2 つの部分で構成されます。IAM Role _authentication ではなく、 _IAM Access Key _authentication を使用する場合は、要求の認証にアクセスキー ID とシークレットアクセスキーの両方を一緒に使用する必要があります。詳細については、の Amazon のドキュメントを参照してください "アクセスキー"。
IAM ロール
IAM Access Key 認証ではなく、 _IAM Role_authentication を使用する場合は、作成または指定するロールにリソースへのアクセスに必要な適切な権限が割り当てられていることを確認する必要があります。
たとえば、_InstanceS3ReadOnly_という名前のIAMロールを作成した場合は、このIAMロールのすべてのS3リソースにS3の読み取り専用リストへのアクセス権限を付与するようにポリシーを設定する必要があります。また、このロールがアカウント間でロールを引き受けることができるように、 STS (セキュリティトークンサービス)アクセスを許可する必要があります。
IAMロールを作成したら、新しいS3インスタンスまたは既存のS3インスタンスを作成するときにIAMロールを関連付けることができます。
IAMロール_InstanceS3ReadOnly_をS3インスタンスに接続すると、インスタンスメタデータから一時的なクレデンシャルをIAMロール名で取得できるようになり、このS3インスタンスで実行されているすべてのアプリケーションからAWSリソースにアクセスできるようになります。
詳細については、 Amazon ドキュメントを参照してください "IAM ロール"。
注: IAM ロールは、 AWS インスタンスで Acquisition Unit を実行している場合にのみ使用できます。
Amazon タグを Cloud Insights アノテーションにマッピングする
AWS S3 As Storageのデータコレクタには、S3で設定されているタグを使用してCloud Insights のアノテーションを入力するオプションがあります。アノテーションにはAWSのタグとまったく同じ名前を付ける必要があります。Cloud Insights では、常に同じ名前のテキスト型アノテーションが入力され、他の型(数値、ブーリアンなど)のアノテーションの入力が「最良の試行」となります。アノテーションのタイプが異なるためにデータコレクタにデータを入力できない場合は、アノテーションを削除してテキストタイプで再作成する必要があります。
AWS では大文字と小文字が区別され、 Cloud Insights では大文字と小文字が区別されないことに注意してください。したがって、Cloud Insights で「owner」という名前のアノテーションを作成し、S3で「owner」、「Owner」、および「owner」という名前のタグを作成すると、すべてのS3バリエーション「owner」のアノテーションがCloud Insightの「owner」アノテーションにマッピングされます。
追加リージョンを含める
AWS Data Collector * Advanced Configuration * セクションでは、 * Include extra regions * フィールドを設定して、カンマまたはセミコロンで区切って追加のリージョンを含めることができます。デフォルトでは、このフィールドは * us-. に設定されており、これによってすべての US AWS リージョンで収集されます。 on_all_regionsを収集するには、このフィールドを*.**に設定します。
「 * include extra regions * 」フィールドが空の場合、「 * Configuration * 」セクションの指定に従って、「 * AWS Region * 」フィールドに指定されたアセットについてデータコレクタが収集されます。
AWS の子アカウントから収集しています
Cloud Insights では、 1 つの AWS データコレクタで AWS の子アカウントの集合がサポートされます。この収集の設定は、 AWS 環境で実行されます。
-
各子アカウントにAWSロールを設定して、メインアカウントIDに子アカウントのS3の詳細へのアクセスを許可する必要があります。
-
各子アカウントには、同じ文字列としてロール名を設定する必要があります。
-
Cloud Insights AWS Data Collector * Advanced Configuration * セクションの * Cross account role * フィールドに、このロール名の文字列を入力します。
ベストプラクティス:AWS Predefined_AmazonS3ReadOnlyAccess_policyをS3メインアカウントに割り当てることを強く推奨します。また、データソースで設定したユーザが AWS に照会するには、少なくとも、 Predefined_AWSOrganizationReadOnlyAccess_policy を割り当てる必要があります。
Cloud Insights が AWS の子アカウントから収集できるように環境を設定する方法については、次のドキュメントを参照してください。
トラブルシューティング
この Data Collector の追加情報は、から入手できます "サポート" ページまたはを参照してください "Data Collector サポートマトリックス"。