翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# の組織ビュー AWS Trusted Advisor
**重要**
サポート終了通知: 開発者サポートは 2027 年 1 月 1 日に終了します。デベロッパーサポートをご利用のお客様は、既存のプランを引き続き使用するか、2027 年 1 月 1 日より前にビジネスサポート\$1 にアップグレードすることを選択できます。Business Support\$1 は、オペレーションのコンテキストを理解する AI を活用した支援を提供し、1 アカウントあたり最低 29 USD/月 AWS の専門家に 24 時間 365 日アクセスできます。詳細については、[「Business Support\$1 プランの詳細](https://aws.amazon.com/premiumsupport/plans/business-plus/)」を参照してください。
サポート終了通知: ビジネスサポートは 2027 年 1 月 1 日に終了します。ビジネスサポートをご利用のお客様は、2027 年 1 月 1 日より前に、既存のプランを引き続き使用することも、ビジネスサポート\$1 にアップグレードすることもできます。Business Support\$1 は、オペレーションのコンテキストを理解する AI を活用した支援を提供し、1 アカウントあたり最低 29 USD/月 AWS の専門家に 24 時間 365 日アクセスできます。詳細については、[「Business Support\$1 プランの詳細](https://aws.amazon.com/premiumsupport/plans/business-plus/)」を参照してください。
サポート終了通知: 2027 年 1 月 1 日に、 AWS は Enterprise On-Ramp を中止します。2026 年を通じて、Enterprise On-Ramp のお客様は、契約更新中または定期的なバッチで AWS エンタープライズサポートに自動的にアップグレードされます。お客様は、アップグレードの 1 か月前に E メール通知を受け取ります。これ以上、何もする必要はありません。エンタープライズサポートは、指定された TAM 割り当て、15 分の応答時間を提供し、追加料金なしで AWS Security Incident Response 利用できます。すべて最低 5,000 USD 未満です (15,000 USD から削減)。詳細については、[AWS 「エンタープライズ サポート プランの詳細](https://aws.amazon.com/premiumsupport/plans/enterprise/)」を参照してください。
詳細については、「[開発者、ビジネス、エンタープライズのオンランプのサポート終了](support-plans-eos.md)」を参照してください。
開発者サポート、ビジネスサポート、エンタープライズオンランプは、 AWS GovCloud (US) リージョンで引き続き利用できます。
組織ビューでは、 内のすべてのアカウントの Trusted Advisor チェックを表示できます[AWS Organizations](https://aws.amazon.com/organizations/)。この機能を有効にすると、組織内のすべてのメンバーアカウントのチェック結果を集計するレポートを作成できます。このレポートには、チェック結果のサマリー、および各アカウントの影響を受けるリソースに関する情報が含まれます。例えば、レポートを使用して、IAM 使用チェックで組織内のどのアカウントが AWS Identity and Access Management (IAM) を使用しているか、または Amazon S3 バケットアクセス許可チェックで Amazon Simple Storage Service (Amazon S3) バケットに推奨アクションがあるかどうかを特定できます。
**Topics**
+ [前提条件](#prerequisites-organizational-view)
+ [組織ビューを有効にする](#enable-organizational-view)
+ [Trusted Advisor チェックの更新](#refresh-trusted-advisor-checks)
+ [組織ビューレポートを作成する](#create-organizational-view-reports)
+ [レポートのサマリーの表示](#view-organizational-reports)
+ [組織ビューレポートをダウンロードする](#download-organizational-view-reports)
+ [組織ビューを無効にする](#disable-organizational-view)
+ [IAM ポリシーを使用して組織ビューへのアクセスを許可する](organizational-view-iam-policies.md)
+ [他の AWS サービスを使用した Trusted Advisor レポートの表示](use-other-aws-services-with-trusted-advisor-reports.md)
## 前提条件
組織ビューを有効にするには、次の要件を満たす必要があります。
+ アカウントは、[AWS Organizations](https://aws.amazon.com/organizations/) 組織のメンバーである必要があります。
+ 組織で Organizations のすべての機能が有効になっている必要があります。詳細については、*AWS Organizations ユーザーガイド*の「[組織内のすべての機能の有効化](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)」を参照してください。。
+ 組織内の管理アカウントには、 AWS Business Support\$1、 AWS Enterprise Support、または AWS Unified Operations プランが必要です。サポートプランは、 AWS サポート センターまたは [サポートプラン](https://console.aws.amazon.com/support/plans)ページから確認できます。「[AWS サポート サポートのプラン比較](https://aws.amazon.com/premiumsupport/plans/)」を参照してください。
+ [管理アカウント](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html) (または[同等の継承されたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)) のユーザーとしてサインインする必要があります。IAM ユーザーとしてサインインする場合でも IAM ロールとしてサインインする場合でも、必要なアクセス許可のあるポリシーが必要です。「[IAM ポリシーを使用して組織ビューへのアクセスを許可する](organizational-view-iam-policies.md)」を参照してください。
## 組織ビューを有効にする
前提要件を満たした後、次の手順に従って組織ビューを有効にします。この機能を有効にすると、次の処理が実行されます。
+ Trusted Advisor は、組織内で*信頼されたサービス*として有効になっています。詳細については、「*AWS Organizations ユーザーガイド*」の「[Using AWS Organizations with other AWS services](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)」を参照してください。
+ `AWSServiceRoleForTrustedAdvisorReporting` サービスリンクロールが組織の管理アカウントに作成されます。このロールには、ユーザーに代わって Organizations を呼び出す Trusted Advisor ために必要なアクセス許可が含まれます。このサービスリンクロールはロックされているため、手動で削除することはできません。詳細については、「[のサービスにリンクされたロールの使用 Trusted Advisor](using-service-linked-roles-ta.md)」を参照してください。
Trusted Advisor コンソールから組織ビューを有効にします。
**組織ビューを有効にするには**
1. 組織の管理アカウントで管理者としてサインインし、[https://console.aws.amazon.com/trustedadvisor](https://console.aws.amazon.com/trustedadvisor/) で AWS Trusted Advisor コンソールを開きます。
1. ナビゲーションペインの **[Preferences]** (設定) で、**[Your organization]** (お客様の組織) を選択します。
1. **で信頼されたアクセスを有効にする AWS Organizations**で、**有効をオンにします**。
**注記**
管理アカウントの組織ビューを有効にしても、すべてのメンバーアカウントに同じチェックが提供されるわけではありません。例えば、メンバーアカウントすべてにベーシックサポートがついている場合、それらのアカウントは管理アカウントと同じチェックを受けることはできません。 AWS サポート プランは、アカウントで使用できる Trusted Advisor チェックを決定します。
## Trusted Advisor チェックの更新
組織のレポートを作成する前に、 Trusted Advisor チェックのステータスを更新することをお勧めします。 Trusted Advisor を更新せずにレポートをダウンロードすることができますが、レポートに最新情報が含まれない可能性があります。
Business AWS Support\$1、 AWS Enterprise Support、または AWS Unified Operations プランをお持ちの場合、 はアカウント内のチェックを毎週 Trusted Advisor 自動的に更新します。
**注記**
組織内にデベロッパーサポートプランまたはベーシックサポートプランを持つアカウントがある場合、それらのアカウントのユーザーは Trusted Advisor コンソールにサインインしてチェックを更新する必要があります。組織の管理アカウントからすべてのアカウントのチェックを更新することはできません。
**Trusted Advisor チェックを更新するには**
1. [https://console.aws.amazon.com/trustedadvisor](https://console.aws.amazon.com/trustedadvisor/) で AWS Trusted Advisor コンソールに移動します。
1. **[Trusted Advisor Recommendations]** ページで、**[Refresh all checks]** (すべてのチェックを更新) を選択します。アカウントのすべてのチェックが更新されます。
次の方法で特定のチェックを更新することもできます。
+ [RefreshTrustedAdvisorCheck](https://docs.aws.amazon.com/awssupport/latest/APIReference/API_RefreshTrustedAdvisorCheck.html) API オペレーションを使用します。
+ 目的のチェックの更新アイコン (![\[Circular arrow icon representing a refresh or reload action.\]](http://docs.aws.amazon.com/ja_jp/awssupport/latest/user/images/refresh.png))を選択します。
## 組織ビューレポートを作成する
組織ビューを有効にした後、レポートを作成して組織の Trusted Advisor チェック結果を表示できます。
最大 50 のレポートを作成できます。このクォータを超えるレポートを作成した場合、以前のレポートが Trusted Advisor によって削除されます。削除されたレポートを復元することはできません。
**組織ビューレポートを作成するには**
1. 組織の管理アカウントにサインインし、 AWS Trusted Advisor コンソール ([https://console.aws.amazon.com/trustedadvisor](https://console.aws.amazon.com/trustedadvisor/)) を開きます。
1. ナビゲーションペインの [**Organizational View**] (組織ビュー) を選択します。
1. **[レポートを作成]** を選択します。
1. デフォルトでは、レポートにはすべての AWS リージョン、チェックカテゴリ、チェック、リソースステータスが含まれます。リポジトリの [**Create report**] (レポートの作成) ページでは、フィルターオプションを使用してレポートをカスタマイズできます。例えば、[**Region**] (リージョン) の [**All**] (すべて) をクリアして、レポートに含める個々のリージョンを指定できます。
1. レポートの [**Name**](名前) を入力します。
1. [**Format**] で、[**JSON**] または [**CSV**] を選択します。
1. **リージョン**で、 を指定する AWS リージョン か、**すべて**を選択します。
1. [**Check category**] (チェックカテゴリ) でチェックカテゴリを選択するか、[**All**] (すべて) を選択します。
1. [**Check**] で、そのカテゴリの特定のチェックを選択するか、[**All**] (すべて) を選択します。
**注記**
[**Check category**] (チェックカテゴリ) フィルターは [**Check**] (チェック) フィルターを上書きします。例えば、[**Security**] (セキュリティ) カテゴリを選択し、特定のチェック名を選択した場合、レポートには、そのカテゴリのすべてのチェック結果が含まれます。特定のチェックのみのレポートを作成するには、[**Check category**] (チェックカテゴリ) のデフォルトの [**All**] (すべて) を選択し、目的のチェック名を選択します。
1. [**Resource status**] (リソースのステータス) で、フィルターするステータス ([**Warning**] など) または [**All**] (すべて) を選択します。
1. で**AWS Organizations**、レポートに含める組織単位 (OUs) を選択します。OU の詳細については、*AWS Organizations ユーザーガイド*の「[組織単位 (OU) の管理](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html)」を参照してください。
1. **[レポートを作成]** を選択します。
**Example : レポートフィルターオプションの作成**
次の例は、以下の JSON レポートを作成します。
+ 3 つ AWS リージョン
+ すべての**セキュリティ**および**パフォーマンス**チェック
![\[Trusted Advisorで組織ビューレポートを作成する方法を示すスクリーンショット。\]](http://docs.aws.amazon.com/ja_jp/awssupport/latest/user/images/organizational-view-create-report-filters.png)
次の例では、レポートに**サポートチームの**組織単位と、組織の一部である 1 つの AWS アカウントが含まれています。
![\[\]](http://docs.aws.amazon.com/ja_jp/awssupport/latest/user/images/organizational-units-reports-example.png)
**注意事項**
レポートの作成に要する時間は、組織内のアカウントの数と各アカウントのリソースの数によって異なります。
現在のレポートが 6 時間以上実行している場合を除き、複数のレポートを同時に生成することはできません。
レポートがページに表示されない場合は、ページを更新します。
## レポートのサマリーの表示
レポートの準備ができたら、 Trusted Advisor コンソールからレポートの概要を表示できます。この機能を使用して、組織全体のチェック結果のサマリーをすばやく表示できます。
**レポートのサマリーを表示するには**
1. 組織の管理アカウントにサインインし、 AWS Trusted Advisor コンソール ([https://console.aws.amazon.com/trustedadvisor](https://console.aws.amazon.com/trustedadvisor/)) を開きます。
1. ナビゲーションペインの [**Organizational View**] (組織ビュー) を選択します。
1. レポート名を選択します。
1. [**Summary**] (サマリー) ページには、各カテゴリのチェックのステータスが表示されます。[**Download report**] (レポートをダウンロード) を選択することもできます。
**Example : 組織のレポートのサマリー**
![\[レポート概要の例のスクリーンショット Trusted Advisor。\]](http://docs.aws.amazon.com/ja_jp/awssupport/latest/user/images/organizational-view-summary-report-console-2.png)
## 組織ビューレポートをダウンロードする
レポートの準備ができたら、 Trusted Advisor コンソールからダウンロードします。レポートは、次の 3 つのファイルを含む .zip ファイルです。
+ `summary.json` — 各チェックカテゴリのチェック結果のサマリーが含まれます。
+ `schema.json` — レポート内の指定されたチェックのスキーマが含まれます。
+ リソースファイル (.json または .csv) — 組織内のリソースのチェックステータスに関する詳細情報が含まれます。
**組織ビューレポートをダウンロードするには**
1. 組織の管理アカウントにサインインし、 AWS Trusted Advisor コンソール ([https://console.aws.amazon.com/trustedadvisor](https://console.aws.amazon.com/trustedadvisor/)) を開きます。
1. ナビゲーションペインの [**Organizational View**] (組織ビュー) を選択します。
**組織ビュー**ページに、ダウンロードできるレポートが表示されます。
1. レポートを選択し、[**Download report**] (レポートをダウンロード) を選択してファイルを保存します。一度にダウンロードできるレポートは 1 つだけです。
![\[ダウンロードするサンプルレポートのスクリーンショット Trusted Advisor。\]](http://docs.aws.amazon.com/ja_jp/awssupport/latest/user/images/organizational-view-summary-reports-2.png)
1. ファイル を解凍します。
1. テキストエディタを使用して `.json` ファイルを開くか、スプレッドシートアプリケーションを使用して `.csv` ファイルを開きます。
**注記**
レポートが 5 MB 以上の場合、複数のファイルがダウンロードされることがあります。
**Example : summary.json ファイル**
`summary.json` ファイルには、組織内のアカウントの数、および各カテゴリのチェックのステータスが表示されます。
Trusted Advisor は、チェック結果に次のカラーコードを使用します。
+ `Green` – Trusted Advisor チェックの問題を検出しません。
+ `Yellow` – チェックで発生する可能性のある問題 Trusted Advisor を検出します。
+ `Red` – エラー Trusted Advisor を検出し、チェックのアクションを推奨します。
+ `Blue` – Trusted Advisor チェックのステータスを判断できません。
次の例では、2 つのチェックが `Red` で、1 つチェックが `Green`、そして 1 つのチェックが `Yellow` です。
```
{
"numAccounts": 3,
"filtersApplied": {
"accountIds": ["123456789012","111122223333","111111111111"],
"checkIds": "All",
"categories": [
"security",
"performance"
],
"statuses": "All",
"regions": [
"us-west-1",
"us-west-2",
"us-east-1"
],
"organizationalUnitIds": [
"ou-xa9c-EXAMPLE1",
"ou-xa9c-EXAMPLE2"
]
},
"categoryStatusMap": {
"security": {
"statusMap": {
"ERROR": {
"name": "Red",
"count": 2
},
"OK": {
"name": "Green",
"count": 1
},
"WARN": {
"name": "Yellow",
"count": 1
}
},
"name": "Security"
}
},
"accountStatusMap": {
"123456789012": {
"security": {
"statusMap": {
"ERROR": {
"name": "Red",
"count": 2
},
"OK": {
"name": "Green",
"count": 1
},
"WARN": {
"name": "Yellow",
"count": 1
}
},
"name": "Security"
}
}
}
}
```
**Example : schema.json ファイル**
`schema.json` ファイルには、レポート内のチェックのスキーマが含まれます。次の例には、IAM パスワードポリシー (Yw2K9puPzl) チェックと IAM キーローテーション (DqdJqYeRm5) チェックの ID とプロパティが含まれます。
```
{
"Yw2K9puPzl": [
"Password Policy",
"Uppercase",
"Lowercase",
"Number",
"Non-alphanumeric",
"Status",
"Reason"
],
"DqdJqYeRm5": [
"Status",
"IAM User",
"Access Key",
"Key Last Rotated",
"Reason"
],
...
}
```
**Example : resources.csv ファイル**
`resources.csv` ファイルには、組織内のリソースに関する情報が含まれます。この例は、次のようなレポートに表示されるデータ列の一部を示します。
+ 影響を受けるアカウントのアカウント ID
+ Trusted Advisor チェック ID
+ リソース ID。
+ レポートのタイムスタンプ
+ Trusted Advisor チェックのフルネーム
+ Trusted Advisor チェックカテゴリ
+ 親組織単位 (OU) またはルートのアカウント ID
![\[CSV リソースレポートの例のスクリーンショット Trusted Advisor。\]](http://docs.aws.amazon.com/ja_jp/awssupport/latest/user/images/organizational-view-summary-report-csv.png)
チェック結果がリソースレベルに存在する場合、リソースファイルにはエントリのみが含まれます。次のような理由から、レポートにチェックが表示されない場合があります。
+ いくつかのチェック ([**ルートアカウントの MFA**] など) にはリソースがないので、レポートに表示されません。リソースのないチェックは、`summary.json` ファイルに含まれます。
+ 一部のチェックでは、`Red` または `Yellow` の場合にリソースのみが表示されます。すべてのリソースが `Green` の場合、リソースがレポートに表示されないことがあります。
+ チェックが必要なサービスに対してアカウントが有効になっていない場合、チェックがレポートに表示されないことがあります。例えば、組織で Amazon Elastic Compute Cloud リザーブドインスタンスを使用していない場合、[Amazon EC2 リザーブドインスタンスリースの有効期限切れ] チェックはレポートに表示されません。
+ アカウントでチェック結果が更新されていません。これは、ベーシックサポートプランまたはデベロッパーサポートプランのユーザーが Trusted Advisor コンソールに初めてサインインした場合に発生する可能性があります。Business AWS Support\$1、 AWS Enterprise Support、または AWS Unified Operations プランをお持ちの場合、ユーザーのアカウントサインアップからチェック結果が表示されるまでに最大 1 週間かかることがあります。詳細については、「[Trusted Advisor チェックの更新](#refresh-trusted-advisor-checks)」を参照してください。
+ 組織の管理アカウントのみでチェックのレコメンデーションが有効な場合、レポートには組織内の他のアカウントのリソースは含まれません。
リソースファイルでは、Microsoft Excel などの一般的なソフトウェアを使用して、.csv ファイル形式を開くことができます。.csv ファイルは、組織内のすべてのアカウントにわたるチェックの 1 回だけの分析に使用できます。レポートをアプリケーションで使用する場合は、.json ファイルとしてレポートをダウンロードできます。
.json ファイル形式は、集約や複数のデータセットを使用した高度な分析などの高度なユースケースで .csv ファイル形式よりも高い柔軟性を提供します。例えば、Amazon Athena などの AWS サービスで SQL インターフェイスを使用して、レポートに対してクエリを実行できます。Amazon Quick を使用してダッシュボードを作成し、データを視覚化することもできます。詳細については、「[他の AWS サービスを使用した Trusted Advisor レポートの表示](use-other-aws-services-with-trusted-advisor-reports.md)」を参照してください。
## 組織ビューを無効にする
組織ビューを無効にするには、次の手順に従います。この機能を無効にするには、組織の管理アカウントにサインインするか、必要なアクセス許可を持つロールを継承する必要があります。この機能を組織内の別のアカウントから無効にすることはできません。
この機能を無効にすると、次の処理が実行されます。
+ Trusted Advisor は Organizations の信頼されたサービスとして削除されます。
+ `AWSServiceRoleForTrustedAdvisorReporting` サービスリンクロールのロックが組織の管理アカウントで解除されます。その結果、必要に応じて手動で削除できるようになります。
+ 組織のレポートを作成、表示、およびダウンロードすることはできません。以前に作成したレポートにアクセスするには、 Trusted Advisor コンソールから組織ビューを再度有効にする必要があります。「[組織ビューを有効にする](#enable-organizational-view)」を参照してください。
**の組織ビューを無効にするには Trusted Advisor**
1. 組織の管理アカウントにサインインし、 AWS Trusted Advisor コンソール ([https://console.aws.amazon.com/trustedadvisor](https://console.aws.amazon.com/trustedadvisor/)) を開きます。
1. ナビゲーションペインで [**設定**] を選択します。
1. [**Organizational View**] (組織ビュー) で [**Disable organizational view**] (組織ビューを無効化) を選択します。
![\[Trusted Advisor 組織ビューを無効にする方法のスクリーンショット。\]](http://docs.aws.amazon.com/ja_jp/awssupport/latest/user/images/disable-organizational-view.png)
組織ビューを無効にすると、 は組織内の他の AWS アカウントからのチェックを集約 Trusted Advisor しなくなります。ただし、`AWSServiceRoleForTrustedAdvisorReporting`サービスにリンクされたロールは、IAM コンソール、IAM API、または AWS Command Line Interface () を使用して削除するまで、組織の管理アカウントに残りますAWS CLI。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。
**注記**
他の AWS サービスを使用して、組織ビューレポートのデータをクエリおよび視覚化できます。詳細については、以下のリソースを参照してください。
*AWS Management & Governance ブログ* の「[View AWS Trusted Advisor recommendations at scale with AWS Organizations](https://aws.amazon.com/blogs/mt/organizational-view-for-trusted-advisor/)」
[他の AWS サービスを使用した Trusted Advisor レポートの表示](use-other-aws-services-with-trusted-advisor-reports.md)
# IAM ポリシーを使用して組織ビューへのアクセスを許可する
次の AWS Identity and Access Management (IAM) ポリシーを使用して、アカウント内のユーザーまたはロールに の組織ビューへのアクセスを許可できます AWS Trusted Advisor。
**Example : **組織ビューへのフルアクセス****
次のポリシーは、組織ビュー機能へのフルアクセスを許可します。これらのアクセス許可が付与されているユーザーは、次のことを行うことができます。
+ 組織ビューを有効または無効にする
+ レポートを作成、表示、およびダウンロードする。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadStatement",
"Effect": "Allow",
"Action": [
"organizations:ListAccountsForParent",
"organizations:ListAccounts",
"organizations:ListRoots",
"organizations:DescribeOrganization",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListAWSServiceAccessForOrganization",
"trustedadvisor:DescribeAccount",
"trustedadvisor:DescribeChecks",
"trustedadvisor:DescribeCheckSummaries",
"trustedadvisor:DescribeAccountAccess",
"trustedadvisor:DescribeOrganization",
"trustedadvisor:DescribeReports",
"trustedadvisor:DescribeServiceMetadata",
"trustedadvisor:DescribeOrganizationAccounts",
"trustedadvisor:ListAccountsForParent",
"trustedadvisor:ListRoots",
"trustedadvisor:ListOrganizationalUnitsForParent"
],
"Resource": "*"
},
{
"Sid": "CreateReportStatement",
"Effect": "Allow",
"Action": [
"trustedadvisor:GenerateReport"
],
"Resource": "*"
},
{
"Sid": "ManageOrganizationalViewStatement",
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess",
"trustedadvisor:SetOrganizationAccess"
],
"Resource": "*"
},
{
"Sid": "CreateServiceLinkedRoleStatement",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/reporting.trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisorReporting"
}
]
}
```
**Example : 組織ビューへの読み取りアクセス**
次のポリシーでは、 の組織ビューへの読み取り専用アクセスを許可します Trusted Advisor。これらのアクセス許可を持つユーザーは、既存のレポートを表示およびダウンロードできます。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadStatement",
"Effect": "Allow",
"Action": [
"organizations:ListAccountsForParent",
"organizations:ListAccounts",
"organizations:ListRoots",
"organizations:DescribeOrganization",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListAWSServiceAccessForOrganization",
"trustedadvisor:DescribeAccount",
"trustedadvisor:DescribeChecks",
"trustedadvisor:DescribeCheckSummaries",
"trustedadvisor:DescribeAccountAccess",
"trustedadvisor:DescribeOrganization",
"trustedadvisor:DescribeReports",
"trustedadvisor:ListAccountsForParent",
"trustedadvisor:ListRoots",
"trustedadvisor:ListOrganizationalUnitsForParent"
],
"Resource": "*"
}
]
}
```
独自の IAM ポリシーを作成することもできます。詳細については、*IAM ユーザーガイド* の「[IAM ポリシーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.htmlorgs_integrate_services.html)」を参照してください。
**注記**
アカウント AWS CloudTrail で を有効にした場合、ログエントリに次のロールが表示されます。
`AWSServiceRoleForTrustedAdvisorReporting` – が組織内のアカウントにアクセス Trusted Advisor するために使用するサービスにリンクされたロール。
`AWSServiceRoleForTrustedAdvisor` – が組織内のサービスにアクセス Trusted Advisor するために使用するサービスにリンクされたロール。
サービスにリンクされたロールの詳細については、「[のサービスにリンクされたロールの使用 Trusted Advisor](using-service-linked-roles-ta.md)」を参照してください。
# 他の AWS サービスを使用した Trusted Advisor レポートの表示
このチュートリアルに従って、他の AWS サービスを使用してデータをアップロードおよび表示します。このトピックでは、Amazon Simple Storage Service (Amazon S3) バケットを作成してレポートを保存し、 CloudFormation テンプレートを作成してアカウントにリソースを作成します。次に、Amazon Athena を使用してレポートのクエリを分析または実行したり、Quick を使用してダッシュボード内のデータを視覚化したりできます。
レポートデータの視覚化の詳細と例については、*AWS Management & Governance ブログ*の「[View AWS Trusted Advisor recommendations at scale with AWS Organizations](https://aws.amazon.com/blogs/mt/organizational-view-for-trusted-advisor/)」を参照してください。
## 前提条件
このチュートリアルを開始する前に、以下の要件を満たす必要があります。
+ 管理者権限を持つ AWS Identity and Access Management (IAM) ユーザーとしてサインインします。
+ 米国東部 (バージニア北部) AWS リージョン を使用して、 AWS サービスとリソースをすばやくセットアップします。
+ クイックアカウントを作成します。詳細については、*「Amazon* [Quick User Guide」の「Getting Started with Data Analysis in Quick](https://docs.aws.amazon.com/quicksight/latest/user/getting-started.html)」を参照してください。
## レポートを Amazon S3 にアップロードする
`resources.json` レポートをダウンロードした後、ファイルを Amazon S3 にアップロードします。米国東部 (バージニア北部) リージョンのバケットを使用する必要があります。
**Amazon S3 バケットにレポートをアップロードするには**
1. [https://console.aws.amazon.com/](https://console.aws.amazon.com/) AWS マネジメントコンソール で にサインインします。
1. **リージョンの選択ツール**を使用して [米国東部(バージニア北部] リージョンを選択します。
1. Amazon S3 コンソール ([https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)) を開きます。
1. バケットの一覧から S3 バケットを選択し、名前をコピーします。この名前は次の手順で使用します。
1. *バケット名*のページで、[**フォルダの作成**] を選択して フォルダ名に「**folder1**」と入力して [**保存**] を選択します。
1. [**folder1**] を選択します。
1. **folder1** で [**アップロード**] を選択し、`resources.json` ファイルを選択します。
1. [**次へ**] を選択し、デフォルトのオプションを変更せずに、[**アップロード**] を選択します。
**注記**
このバケットに新しいレポートをアップロードする場合は、既存のレポートが上書きされないように `.json` ファイルをアップロードするたびに名前を変更します。例えば、各ファイルにタイムスタンプ (`resources-timestamp.json`、`resources-timestamp2.json` など) を追加できます。
## を使用して リソースを作成する AWS CloudFormation
レポートを Amazon S3 にアップロードしたら、次の YAML テンプレートを CloudFormationにアップロードします。このテンプレートは、他の サービスが S3 バケット内のレポートデータを使用できるように、アカウント用に作成する CloudFormation リソースを指定します。テンプレートは、IAM、 AWS Lambda、および のリソースを作成します AWS Glue。
**を使用して リソースを作成するには CloudFormation**
1. [trusted-advisor-reports-template.zip](samples/trusted-advisor-reports-template.zip) ファイルをダウンロードします。
1. ファイル を解凍します。
1. テキストエディタでテンプレートファイルを開きます。
1. `BucketName` および `FolderName` パラメーターで、`your-bucket-name-here` および `folder1` の値をアカウントのバケット名とフォルダ名で置き換えます。
1. ファイルを保存します。
1. [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) で CloudFormation コンソールを開きます。
1. **リージョンの選択ツール**で [米国東部 (バージニア北部)] リージョンを選択します (まだ選択していない場合)。
1. ナビゲーションペインで、[**Stacks**] を選択します。
1. [**スタックの作成**] を選択し、[**新しいリソースを使用 (標準)**] を選択します。
1. [**スタックの作成**] ページの [**テンプレートの指定**] で、**テンプレートファイルのアップロード**]、[**ファイルの選択**] の順に選択します。
1. YAML ファイルを選択し、[**次へ**] を選択します。
1. [**スタックの詳細を指定**] ページで、スタック名 (**Organizational-view-Trusted-Advisor-reports** など) を入力して [**次へ**] を選択します。
1. [**スタックオプションを設定**] ページでデフォルトオプションを受け入れ、[**次へ**] を選択します。
1. [****Organizational-view-Trusted-Advisor-reports** の確認**] ページでオプションを確認します。ページの下部にある**「IAM リソースを作成する CloudFormation 可能性がある**」のチェックボックスをオンにします。
1. **[スタックの作成]** を選択してください。
スタックの作成には約 5 分かかります。
1. スタックが正常に作成されると、[**リソース**] タブは、次の例のようになります。
![\[レポート CloudFormation 用に Trusted Advisor によって作成されたリソースの例のスクリーンショット。\]](http://docs.aws.amazon.com/ja_jp/awssupport/latest/user/images/organizational-view-cloud-formation-resources.png)
## Amazon Athena でデータをクエリする
リソースを取得したら、Athena でデータを表示できます。Athena を使用してクエリを作成し、レポートの結果を分析します (組織内のアカウントの特定のチェック結果の検索など)。
**注意事項**
米国東部 (バージニア北部) リージョンを使用します。
Athena を初めて使用する場合は、レポートに対してクエリを実行する前にクエリ結果の場所を指定する必要があります。この場所には別の S3 バケットを指定することをお勧めします。詳細については、*Amazon Athena ユーザーガイド*の「[クエリ結果の場所の指定](https://docs.aws.amazon.com/athena/latest/ug/querying.html#query-results-specify-location)」を参照してください。
**Amazon Athena でデータをクエリするには**
1. [https://console.aws.amazon.com/athena/](https://console.aws.amazon.com/athena/home) で Athena コンソールを開きます。
1. **リージョンの選択ツール**で [米国東部 (バージニア北部)] リージョンを選択します (まだ選択していない場合)。
1. [**保存したクエリ**] を選択し、検索フィールドに「**Show sample**」と入力します。
1. 表示されたクエリを選択します ([**Show sample entries of TA report**] など)。
![\[Athena コンソールで保存されたクエリ例のスクリーンショット。\]](http://docs.aws.amazon.com/ja_jp/awssupport/latest/user/images/organizational-view-athena.png)
クエリは以下のようになります。
```
SELECT * FROM "athenatacfn"."folder1" limit 10
```
1. **[Run query]** (クエリの実行) を選択します。クエリの結果が表示されます。
**Example : Athena クエリ**
次の例は、レポートの 10 件のサンプルエントリを示しています。
![\[Athena コンソールのクエリ例のスクリーンショット。\]](http://docs.aws.amazon.com/ja_jp/awssupport/latest/user/images/organizational-view-query-results.png)
詳細については、*Amazon Athena ユーザーガイド*の「[Amazon Athena を使用した SQL クエリの実行](https://docs.aws.amazon.com/athena/latest/ug/querying-athena-tables.html)」を参照してください。
## Quick でダッシュボードを作成する
ダッシュボードでデータを表示し、レポート情報を視覚化できるように、Quick を設定することもできます。
**注記**
米国東部 (バージニア北部) リージョンを使用する必要があります。
**Quick でダッシュボードを作成するには**
1. クイックコンソールに移動し、[アカウントに](https://us-east-1.quicksight.aws.amazon.com)サインインします。
1. [**新しい分析**]、[**新しいデータセット**] の順に選択し、[**Athena**] を選択します。
1. [**新しい Athena データソース**] ダイアログボックスで、データソース名 (「**AthenaTA**」など) を入力して [**データソースを作成**] を選択します。
![\[Amazon Quick コンソールの新しいデータソースのスクリーンショット。\]](http://docs.aws.amazon.com/ja_jp/awssupport/latest/user/images/organizational-view-athena-data-source.png)
1. [**テーブルを選択**] ダイアログボックスで、[**athenatacfn**] テーブル、[**folder1**] の順に選択し、[**選択**] を選択します。
![\[クイックコンソールで Athena テーブルを選択するスクリーンショット。\]](http://docs.aws.amazon.com/ja_jp/awssupport/latest/user/images/quicksight-choose-athena-table.png)
1. [**データセットの作成を完了**] ダイアログボックスで [**データを直接クエリする**] を選択し、[**視覚化**] を選択します。
![\[クイックコンソールでデータセットを作成するスクリーンショット。\]](http://docs.aws.amazon.com/ja_jp/awssupport/latest/user/images/quick-sight-visualize-data.png)
Quick でダッシュボードを作成できるようになりました。詳細については、*「Amazon Quick User Guide*」の「[Working with Dashboards](https://docs.aws.amazon.com/quicksight/latest/user/working-with-dashboards.html)」を参照してください。
**Example : クイックダッシュボード**
次のダッシュボードの例は、次のような Trusted Advisor チェックに関する情報を示しています。
+ 影響を受けた アカウント ID
+ AWS リージョン別の概要
+ チェックカテゴリ
+ チェックのステータス
+ 各アカウントのレポート内のエントリの数
![\[Amazon Quick でレポートデータを視覚化するスクリーンショット。\]](http://docs.aws.amazon.com/ja_jp/awssupport/latest/user/images/quick-sight-visualize-data-example-2.png)
**注記**
ダッシュボードの作成中にアクセス許可エラーが発生した場合は、Quick が Athena を使用できることを確認してください。詳細については、[「Amazon Quick User Guide」の「I Can't Connect to Amazon Athena](https://docs.aws.amazon.com/quicksight/latest/user/troubleshoot-connect-athena.html)」を参照してください。 **
レポートデータの視覚化の詳細と例については、*AWS Management & Governance ブログ*の「[View AWS Trusted Advisor recommendations at scale with AWS Organizations](https://aws.amazon.com/blogs/mt/organizational-view-for-trusted-advisor/)」を参照してください。
## トラブルシューティング
このチュートリアルで問題が発生した場合は、次のトラブルシューティングのヒントを参照してください。
### レポートに最新のデータが表示されない
レポートを作成すると、組織ビュー機能は組織内の Trusted Advisor チェックを自動的に更新しません。最新のチェック結果を取得するには、組織内の管理アカウントと各メンバーアカウントのチェックを更新します。詳細については、「[Trusted Advisor チェックの更新](organizational-view.md#refresh-trusted-advisor-checks)」を参照してください。
### レポートに重複する列がある
レポートに重複する列がある場合、Athena コンソールのテーブルに次のエラーが表示されることがあります。
`HIVE_INVALID_METADATA: Hive metadata for table folder1 is invalid: Table descriptor contains duplicate columns`
例えば、すでに存在する列をレポートに追加した場合、Athena コンソールでレポートデータを表示しようとすると問題が発生する可能性があります。この問題を解決するには、次のステップに従います。
#### 重複した列を検索する
AWS Glue コンソールを使用してスキーマを表示し、レポートに重複する列があるかどうかをすばやく特定できます。
**重複した列を検索するには**
1. [https://console.aws.amazon.com/glue/](https://console.aws.amazon.com/glue/) で AWS Glue コンソールを開きます。
1. **リージョンの選択ツール**で [米国東部 (バージニア北部)] リージョンを選択します (まだ選択していない場合)。
1. ナビゲーションペインで、**[Table]** (テーブル) を選択します。
1. フォルダ名 (***folder1*** など) を選択し、[**スキーマ**] で [**列名**] の値を表示します。
列が重複する場合は、新しいレポートを Amazon S3 バケットにアップロードする必要があります。次の「[新しいレポートをアップロードする](#upload-a-new-report)」セクションを参照してください。
#### 新しいレポートをアップロードする
重複する列を識別したら、既存のレポートを新しいレポートで置き換えることをお勧めします。これにより、このチュートリアルで作成されたリソースは、組織の最新のレポートデータを使用するようになります。
**新しいレポートをアップロードするには**
1. まだ更新していない場合は、組織内のアカウントの Trusted Advisor チェックを更新します。「[Trusted Advisor チェックの更新](organizational-view.md#refresh-trusted-advisor-checks)」を参照してください。
1. Trusted Advisor コンソールで別の JSON レポートを作成してダウンロードします。「[組織ビューレポートを作成する](organizational-view.md#create-organizational-view-reports)」を参照してください。このチュートリアルでは、JSON ファイルを使用する必要があります。
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) で Amazon S3 コンソールを開きます。
1. Amazon S3 バケットを選択し、`folder1` フォルダを選択します。
1. 以前の `resources.json` レポートを選択し、[**削除**] を選択します。
1. [**オブジェクトの削除**] ページの [**オブジェクトを完全に削除しますか?**] に「**permanently delete**」と入力し、[**オブジェクトを削除**] を選択します。
1. S3 バケットで [**アップロード**] を選択し、新しいレポートを指定します。この操作により Athena テーブルと AWS Glue クローラリソースが最新のレポートデータで更新されます。リソースの更新には数分かかることがあります。
1. Athena コンソールで新しいクエリを入力します。「[Amazon Athena でデータをクエリする](#setting-up-athena)」を参照してください。
**注記**
このチュートリアルの問題が解決しない場合は、[AWS サポート センター](https://console.aws.amazon.com//support/home)で技術サポートを作成できます。