Amazon AWS EC2データソース
変更を提案
PDF
OnCommand Insight は、このデータソースを使用して、Amazon AWS EC2のインベントリとパフォーマンスを検出します。
前提条件
Amazon EC2 デバイスからデータを収集するには、次の情報が必要です。
-
IAMアクセスキーIDが必要です
-
Amazon EC2クラウドアカウントのシークレットアクセスキーが必要です
-
「組織のリスト」権限が必要です
-
ポート433 HTTPS
-
EC2 インスタンスは、仮想マシンまたは(自然に)ホストとしてレポートできます。EBS ボリュームは、 VM で使用されている仮想ディスクと、仮想ディスクの容量を提供するデータストアの両方として報告できます。
アクセスキーは、アクセスキー ID ( AKIAIOSFODNN7EXAMPLE など)とシークレットアクセスキー( wJalrXUtil/K7MDENG/bPxRfiCYEXAMPLEKEY など)で構成されます。Amanzon EC2 SDK、REST、またはQuery API操作を使用する場合は、アクセスキーを使用して、EC@に行うプログラム要求に署名します。これらのキーは、 Amazon の契約に付属しています。
このデータソースの設定方法
Amazon AWS EC2データソースを設定するには、AWSアカウントのAWS IAM Access Key IDとSecret Access Keyが必要です。
次の表に従って、データソースのフィールドに入力します。
構成:
フィールド |
説明 |
AWS リージョン |
AWS リージョンを選択します |
IAM ロール |
AWS の AU で取得した場合にのみ使用します。IAMロールの詳細については、以下を参照してください。 |
AWS IAM Access Key ID |
AWS IAM Access Key ID を入力します。IAM ロールを使用しない場合は必須です。 |
AWS IAM Secret Access Key の略 |
AWS IAM Secret Access Key を入力します。IAM ロールを使用しない場合は必須です。 |
AWSからAPI要求の料金が請求されることは理解しています |
Insightのポーリングによって作成されたAPI要求に対してAWSから課金されることを理解しているかどうかを確認するには、このチェックボックスをオンにします |
高度な設定:
フィールド |
説明 |
追加リージョンを含める |
ポーリングに含める追加領域を指定します。 |
クロスアカウントロール |
異なる AWS アカウントのリソースにアクセスするためのロール。 |
インベントリポーリング間隔(分) |
インベントリポーリングの間隔(デフォルトは60分) |
HTTP接続およびソケットタイムアウト(秒) |
HTTP接続タイムアウト(デフォルトは300秒) |
AWSタグを含める |
InsightのアノテーションでAWSタグがサポートされるようにするには、このオプションをオンにします |
パフォーマンスポーリング間隔(秒) |
パフォーマンスのポーリング間隔(デフォルトは1、800秒) |
AWSタグをInsightのアノテーションにマッピングする
AWS EC2データソースには、AWSで設定されているタグを使用してInsightのアノテーションを入力するオプションがあります。アノテーションにはAWSのタグとまったく同じ名前を付ける必要があります。Insightでは、常に同じ名前のテキストタイプのアノテーションが入力され、他のタイプ(数値、ブール値など)のアノテーションが入力されるように「最善の試み」が行われます。アノテーションのタイプが異なるためにデータソースにデータを入力できない場合は、アノテーションを削除してテキストタイプとして再作成する必要があります。
AWSでは大文字と小文字が区別され、Insightでは大文字と小文字が区別されないことに注意してください。そのため、Insightで「OWNER」という名前のアノテーションを作成し、AWSで「OWNER」、「OWNER」、「OWNER」という名前のタグを作成すると、AWSで使用されている「OWNER」のすべてのバリエーションがInsightの「OWNER」アノテーションにマッピングされます。
関連情報:
追加リージョンを含める
AWS Data Collector * Advanced Configuration * セクションでは、 * Include extra regions * フィールドを設定して、カンマまたはセミコロンで区切って追加のリージョンを含めることができます。デフォルトでは、このフィールドは * us-. に設定されており、これによってすべての US AWS リージョンで収集されます。on_all_regions を収集するには、このフィールドを .* に設定します。
「 * include extra regions * 」フィールドが空の場合、「 * Configuration * 」セクションの指定に従って、「 * AWS Region * 」フィールドに指定されたアセットについてデータコレクタが収集されます。
* AWS Child Accountsから収集*
Insightでは、1つのAWSデータコレクタ内でのAWSの子アカウントの収集がサポートされます。この収集の設定は、 AWS 環境で実行されます。
-
プライマリアカウントIDが子アカウントからEC2の詳細にアクセスできるように、各子アカウントにAWSロールを設定する必要があります。
-
各子アカウントには、ロール名が同じ文字列として設定されている必要があります
-
このロール名の文字列をInsight AWS Data Collector * Advanced Configuration セクションの Cross Account Role *フィールドに入力します。
ベストプラクティス:AWSの事前定義されたAmazonEC2ReadOnlyAccessポリシーをECSプライマリアカウントに割り当てることを強く推奨します。また、AWSを照会するには、データソースで構成されているユーザに少なくとも事前定義されたAWSOrganizationsReadOnlyAccesspolicyが割り当てられている必要があります。
InsightがAWSの子アカウントから収集できるように環境を設定する方法については、次の資料を参照してください。
IAM ロール
_IAM Role_securityを使用する場合は、作成または指定するロールに、リソースへのアクセスに必要な適切な権限があることを確認する必要があります。
たとえば、 InstanceEc2ReadOnly という名前の IAM ロールを作成した場合は、この IAM ロールのすべての EC2 リソースに読み取り専用リストアクセス権限を付与するようにポリシーを設定する必要があります。また、このロールがアカウント間でロールを引き受けることができるように、 STS (セキュリティトークンサービス)アクセスを許可する必要があります。
IAM ロールを作成したら、新しい EC2 インスタンスまたは既存の EC2 インスタンスを作成するときに IAM ロールを接続できます。
IAM ロール InstanceEc2ReadOnly を EC2 インスタンスに接続すると、インスタンスメタデータから IAM ロール名で一時的なクレデンシャルを取得し、この EC2 インスタンスで実行されているすべてのアプリケーションから AWS リソースにアクセスできるようになります。
|
IAMロールは、Acquisition UnitがAWSインスタンスで実行されている場合にのみ使用できます。 |