翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWSSupport-AnalyzeEBSResourceUsage
説明
AWSSupport-AnalyzeEBSResourceUsage オートメーションランブックは、Amazon Elastic Block Store (Amazon EBS) のリソース使用状況を分析するために使用されます。ボリュームの使用状況を分析し、特定の AWS リージョンで中止されたボリューム、イメージ、スナップショットを識別します。
動作の仕組み
ランブックは次の 4 つのタスクを実行します。
-
Amazon Simple Storage Service (Amazon S3) バケットが存在することを確認するか、新しい Amazon S3 バケットを作成します。
-
使用可能な状態のすべての Amazon EBS ボリュームを収集します。
-
ソースボリュームが削除されたすべての Amazon EBS スナップショットを収集します。
-
終了していない Amazon Elastic Compute Cloud (Amazon EC2) インスタンスで使用されていないすべての Amazon マシンイメージ (AMIs) を収集します。
ランブックは CSV レポートを生成し、ユーザーが用意した Amazon S3 バケットに保存します。提供されたバケットは、最後に説明されている AWS セキュリティのベストプラクティスに従って保護する必要があります。ユーザーが指定した Amazon S3 バケットがアカウントに存在しない場合、ランブックはカスタム AWS Key Management Service (AWS KMS) キーで<User-provided-name>-awssupport-YYYY-MM-DD暗号化された名前形式 で新しい Amazon S3 バケットを作成し、オブジェクトのバージョニングを有効にしてパブリックアクセスをブロックし、SSL/TLS を使用するリクエストを要求します。
独自の Amazon S3 バケットを指定する場合は、次のベストプラクティスに従って設定されていることを確認してください。
-
バケットへのパブリックアクセスをブロックします (
IsPublicに設定False)。 -
Amazon S3 アクセスログ記録を有効にします。
-
オブジェクトのバージョニングを有効にします。
-
AWS Key Management Service (AWS KMS) キーを使用してバケットを暗号化します。
重要
このランブックを使用すると、Amazon S3 バケットとオブジェクトの作成に対してアカウントに対して追加料金が発生する場合があります。料金の詳細については、Amazon S3料金表
ドキュメントタイプ
オートメーション
[所有者]
Amazon
[Platforms] (プラットフォーム)
Linux、macOS、Windows
パラメータ
-
AutomationAssumeRole
タイプ: 文字列
説明: (オプション) Systems Manager Automation がユーザーに代わってアクションを実行できるようにする AWS Identity and Access Management (IAM) ロールの Amazon リソースネーム (ARN)。ロールを指定しない場合、Systems Manager Automation はこのランブックを開始するユーザーのアクセス許可を使用します。
-
S3BucketName
型:
AWS::S3::Bucket::Name説明: (必須) レポートをアップロードするアカウントの Amazon S3 バケット。バケットポリシーが、収集されたログへのアクセスを必要としない関係者に不要な読み取り/書き込みアクセス許可を付与していないことを確認します。指定されたバケットがアカウントに存在しない場合、自動化は、カスタム AWS KMS キーで
<User-provided-name>-awssupport-YYYY-MM-DD暗号化された名前形式 で自動化が開始されるリージョンに新しいバケットを作成します。許可されたパターン:
$|^(?!(^(([0-9]{1,3}[.]){3}[0-9]{1,3}$)))^((?!xn—)(?!.*-s3alias))[a-z0-9][-.a-z0-9]{1,61}[a-z0-9]$ -
CustomerManagedKmsKeyArn
タイプ: 文字列
説明: (オプション) 指定されたバケットがアカウントに存在しない場合に が作成する新しい Amazon S3 バケットを暗号化するためのカスタム AWS KMS キー Amazon リソースネーム (ARN)。カスタム AWS KMS キー ARN を指定せずにバケットを作成しようとすると、自動化は失敗します。
許可されたパターン:
(^$|^arn:aws:kms:[-a-z0-9]:[0-9]:key/[-a-z0-9]*$)
必要な IAM アクセス許可
AutomationAssumeRole パラメータでは、ランブックを正常に使用するために、次のアクションが必要です。
-
ec2:DescribeImages -
ec2:DescribeInstances -
ec2:DescribeSnapshots -
ec2:DescribeVolumes -
kms:Decrypt -
kms:GenerateDataKey -
s3:CreateBucket -
s3:GetBucketAcl -
s3:GetBucketPolicyStatus -
s3:GetBucketPublicAccessBlock -
s3:ListBucket -
s3:ListAllMyBuckets -
s3:PutObject -
s3:PutBucketLogging -
s3:PutBucketPolicy -
s3:PutBucketPublicAccessBlock -
s3:PutBucketTagging -
s3:PutBucketVersioning -
s3:PutEncryptionConfiguration -
ssm:DescribeAutomationExecutions
このランブックを実行するために必要な最小限の IAM アクセス許可を持つポリシーの例:
指示
次の手順に従って自動化を設定します。
-
AWS Systems Manager コンソールで AWSSupport-AnalyzeEBSResourceUsage
に移動します。 -
次の入力パラメータを入力します。
-
AutomationAssumeRole(オプション):
Systems Manager Automation がユーザーに代わってアクションを実行できるようにする AWS Identity and Access Management (IAM) ロールの Amazon リソースネーム (ARN)。ロールを指定しない場合、Systems Manager Automation はこのランブックを開始するユーザーのアクセス許可を使用します。
-
S3BucketName (必須):
レポートをアップロードするアカウントの Amazon S3 バケット。
-
CustomerManagedKmsKeyArn (オプション):
指定されたバケットがアカウントに存在しない場合に が作成する新しい Amazon S3 バケットを暗号化するためのカスタム AWS KMS キー Amazon リソースネーム (ARN)。
-
-
[実行] を選択します。
-
自動化が開始されます。
-
自動化ランブックは以下のステップを実行します。
-
checkConcurrency:
リージョンでこのランブックの開始が 1 つだけであることを確認します。ランブックが進行中の別の実行を検出した場合、エラーが返されて終了します。
-
verifyOrCreateS3bucket:
Amazon S3 バケットが存在するかどうかを確認します。そうでない場合、カスタム AWS KMS キーで暗号化された名前形式 で自動化が開始されるリージョンに新しい Amazon S3
<User-provided-name>-awssupport-YYYY-MM-DDバケットが作成されます。 -
gatherAmiDetails:
Amazon EC2 インスタンスで使用されていない AMIs を検索し、名前形式 でレポートを生成し
<region>-images.csv、Amazon S3 バケットにアップロードします。 -
gatherVolumeDetails:
使用可能な状態の Amazon EBS ボリュームを検証し、名前形式 でレポートを生成し
<region>-volume.csv、Amazon S3 バケットにアップロードします。 -
gatherSnapshotDetails:
すでに削除されている Amazon EBS ボリュームの Amazon EBS スナップショットを検索し、名前形式 でレポートを生成して
<region>-snapshot.csv、Amazon S3 バケットにアップロードします。
-
-
完了したら、出力セクションで詳細な実行結果を確認します。
リファレンス
Systems Manager Automation
