AWSオンラインセミナー情報はこちら ≫ https://aws.amazon.com/jp/about-aws/events/webinars/

1. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
アマゾン ウェブ サービス ジャパン株式会社
Cloud Support Engineer (DevOps), Hashimoto Takuya
2018.07.11
【AWS Black Belt Online Seminar】
AWS Trusted Advisor

2. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Black Belt Online Seminarとは
AWSJのTechメンバがAWSに関する様々な事を紹介するオンラインセミナーです
【火曜 12:00〜13:00】
主にAWSのソリューションや業界カットでの使いどころなどを紹介 (例：IoT、金融業界向け etc.)
【水曜 18:00〜19:00】
主にAWSサービスの紹介やアップデートの解説 (例：EC2、RDS、Lambda etc.)
※開催曜日と時間帯は変更となる場合がございます。最新の情報は下記をご確認下さい。
オンラインセミナーのスケジュール＆申し込みサイト https://aws.amazon.com/jp/about-aws/events/webinars/

3. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
内容についての注意点
• 本資料では2018年7月11日時点のサービス内容および価格についてご説明しています。最新の情報は
AWS公式ウェブサイト(http://aws.amazon.com)にてご確認ください。
• 資料作成には十分注意しておりますが、資料内の価格とAWS公式ウェブサイト記載の価格に相違が
あった場合、AWS公式ウェブサイトの価格を優先とさせていただきます。
• 価格は税抜表記となっています。日本居住者のお客様が東京リージョンを使用する場合、別途消費
税をご請求させていただきます。
AWS does not offer binding price quotes. AWS pricing is publicly available and is subject to change in
accordance with the AWS Customer Agreement available at http://aws.amazon.com/agreement/. Any pricing
information included in this document is provided only as an estimate of usage charges for AWS services
based on certain information that you have provided. Monthly charges will be based on your actual use of
AWS services, and may vary from the estimates provided.

4. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Agenda
• AWS Trusted Advisor のご紹介
• チェック項目の解説
• AWS Trusted Advisor の使い方
• AWS Trusted Advisor の活用例
• まとめ
• Q&A

5. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Trusted Advisor のご紹介

6. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
こんな不安はありませんか？
セキュリティグループの
設定を見落として、不要
なポートが開いていない
か心配
使っていないリソースを
削除すれば、もっとコス
トを削減できるのでは？
構築したシステムが、
AWS のベストプラク
ティスに沿っているかど
うか気になる
AWS アカウント
管理者・経理担当者

7. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Trusted Advisor のご紹介
お客様の AWS 環境を分析して、環境を最適化するための推奨ベ
ストプラクティスを提供します
ベストプラクティスは五つのカテゴリに分類
• コスト最適化
• パフォーマンス
• セキュリティ
• フォールトトレランス
• サービス制限

8. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Trusted Advisor のご紹介

9. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Trusted Advisor のご紹介
AWS マネージメントコンソール
でチェック結果を一覧表示
緑：問題が検出されなかった項目
黄：調査が推奨される項目
赤：即時の対応が推奨される項目

10. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
チェック項目の解説

11. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
チェック項目は全 97 個 (9+10+17+22+39)
Amazon EC2 リザーブドインスタンスのリース有効期限切れ
Amazon Route 53 レイテンシーリソースレコードセット
EC2 リザーブドインスタンスの最適化
アイドル状態の Amazon RDS DB インスタンス
アイドル状態の Load Balancer
使用率の低い Amazon EC2 Instances
使用率の低い Amazon Redshift クラスター
利用頻度の低い Amazon EBSボリューム
関連付けられていない Elastic IP Address
Amazon EBS プロビジョンド IOPS ボリューム アタッチ設定
Amazon EC2 から EBS スループット最適化
Amazon Route 53 エイリアスリソースレコードセット
CloudFront ヘッダー転送とキャッシュヒット率
CloudFront 代替ドメイン名
EC2 インスタンスセキュリティグループルールの増大
EC2 セキュリティグループルールの増大
コンテンツ配信の最適化 (CloudFront)
使用率の高い Amazon EC2インスタンス
利用率が高すぎる Amazon EBS マグネティックボリューム
AWS CloudTrail ロギング
Amazon EBS パブリックスナップショット
Amazon RDS セキュリティグループのアクセスリスク
Amazon RDS パブリックスナップショット
Amazon Route 53 MX リソースレコードセットと
Sender Policy Framework
Amazon S3 バケット許可
ELB セキュリティグループ
ELB リスナーのセキュリティ
IAM の使用
IAM アクセスキーローテーション
IAM パスワードポリシー
IAM 証明書ストアの CloudFront 独自 SSL 証明書
オリジンサーバーの CloudFront SSL 証明書
セキュリティグループ - 無制限アクセス
セキュリティグループ - 開かれたポート
ルートアカウントの MFA
公開されたアクセスキー
AWS Direct Connect ロケーションの冗長性
AWS Direct Connect 仮想インターフェイスの冗長性
AWS Direct Connect 接続の冗長性
Amazon Aurora DB インスタンスアクセシビリティ
Amazon EBS スナップショット
Amazon EC2 アベイラビリティゾーンのバランス
Amazon RDS Multi-AZ
Amazon RDS バックアップ
Amazon Route 53 ネームサーバ権限委譲
Amazon Route 53 フェイルオーバーリソースレコードセット
Amazon Route 53 削除されたヘルスチェック
Amazon Route 53 高 TTL リソースレコードセット
Amazon S3 バケット ロギング
Amazon S3 バケットバージョニング
Auto Scaling Group ヘルスチェック
Auto Scaling グループ リソース
EC2 Windows インスタンスの PV ドライバーバージョン
EC2 Windows インスタンス用の EC2Config サービス
ELB Connection Draining
ELB クロスゾーン負荷分散
Load Balancer の最適化
VPN トンネルの冗長化
Auto Scaling グループ
Auto Scaling の起動設定
CloudFormation スタック
EBS 汎用 SSD ボリュームストレージ
EBS マグネティック (スタンダードボリュームストレージ)
EBS プロビジョンド IOPS (SSD ボリューム集計 IOPS)
EBS プロビジョンド IOPS SSD (io1 ボリュームストレージ)
EBS アクティブなボリューム
EBS アクティブなスナップショット
EC2 Elastic IP アドレス
EC2 オンデマンドインスタンス
EC2 リザーブドインスタンスのリース
ELB アクティブなロードバランサー
IAM ロール
IAM グループ
IAM ポリシー
IAM ユーザー
IAM サーバー証明書
IAM インスタンスプロファイル
Kinesis リージョンあたりのシャード
RDS DB インスタンス
RDS DB パラメータグループ
RDS DB セキュリティグループ
RDS クラスター
RDS クラスターロール
RDS ユーザーあたりの DB スナップショット
RDS オプショングループ
RDS サブネットグループ
RDS リザーブドインスタンス
RDS 合計ストレージクォータ
RDS イベントサブスクリプション
RDS クラスターパラメータグループ
RDS マスターあたりのリードレプリカ
RDS サブネットグループあたりのサブネット
RDS セキュリティグループあたりの最大認証数
SES 日次送信クォータ
VPC Elastic IP アドレス
VPC インターネットゲートウェイ
VPC ネットワークインターフェイス
※ 2018-07-11 時点の項目

12. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
マネジメントコンソールのチェック項目表示

13. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
マネジメントコンソールのチェック項目表示
無視してよいと判断した場合は、
チェックを入れて非表示にできる
- 項目の説明
- 緑・黄・赤のアラート基準
- 推奨する対処方法

14. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
チェック項目 - コスト最適化
使われていないリソース (= 無駄なコスト) を検出するほか、
利用状況を分析して、コスト削減が期待できる割引プランをおすすめ
e.g.
EC2 リザーブドインスタンスの最適化
アイドル状態の Amazon RDS DB インスタンス
使用率の低い Amazon EC2 Instances
関連付けられていない Elastic IP Address

15. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
【コスト最適化】項目の例:
Amazon EC2 リザーブドインスタンスの最適化
前月の EC2 利用状況を分析して、最適な
リザーブドインスタンスの購入数を計算
EC2 使用料金の 10% を節約できる余地が
あるときに警告 (黄) 表示
アクション: リザーブドインスタンスの購
入をご検討ください

16. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
【コスト最適化】項目の例:
使用率の低い Amazon EC2 Instances
以下の条件を満たすインスタンスが 14 日間稼働している場
合に警告 (黄) を表示
• 1 日の CPU 使用率が 10% 以下
• かつ、Network I/O が 5MB 以下である日が 4 日以上ある
アクション: 複数インスタンスに分散している処理をまとめ
たり、インスタンスタイプを下げることでコストを削減でき
る可能性がある

17. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
チェック項目 - パフォーマンス
パフォーマンス低下に繋がる使い方をしていないかどうかチェックするほか、
もっと効率がよい AWS の機能を使う余地がある場合にお知らせ
e.g.
Amazon EC2 から EBS スループット最適化
EC2 インスタンスセキュリティグループルールの増大
使用率の高い Amazon EC2インスタンス
利用率が高すぎる Amazon EBS マグネティックボリューム

18. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
【パフォーマンス】項目の例:
使用率の高い Amazon EC2 Instances
以下の条件を満たすインスタンスが 14 日間稼働している場
合に警告 (黄) を表示
• 1 日の CPU 使用率が 90% 以上である日が 4 日以上ある
アクション: インスタンスを増やしたり、インスタンスタイ
プを上げることでパフォーマンス改善の可能性がある

19. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
【パフォーマンス】項目の例:
EC2 インスタンスセキュリティグループルールの増大
VPC EC2 インスタンスに 50 以上のセキュリティグループ
ルールが紐付いている場合に警告 (黄) を表示

20. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
チェック項目 - セキュリティ
セキュリティリスクのある設定になっていないかどうかチェックするほか、
現在よりもセキュリティを高められる推奨の設定があればおすすめ
e.g.
セキュリティグループ - 開かれたポート
AWS CloudTrail ロギング
Amazon EBS パブリックスナップショット
IAM アクセスキーローテーション
ルートアカウントの MFA
公開されたアクセスキー

21. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
【セキュリティ】項目の例:
セキュリティグループ - 開かれたポート
アクセス元制限がない (0.0.0.0/0)、開かれたセキュリティグ
ループルールを検出
• 25, 80, 443, 465 ポートは HTTP(S), SMTP(S) 用途なので開かれていても OK
• 20, 21, 1433, 1434, 3306, 3389, 4333, 5432, 5500 ポートが開いてればエラー (赤)
• それ以外のポート (e.g. 22) が開かれていれば警告 (黄)
アクション: 許可するアクセス元 IP アドレスを /32 等に制限
する

22. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
【セキュリティ】項目の例:
セキュリティグループ - 開かれたポート

23. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
【セキュリティ】項目の例:
IAM アクセスキーローテーション
ベストプラクティスとして、一定期間 ごとに IAM ユーザの
アクセスキーを変更することを推奨している
• 90 日以上アクセスキーがローテートされていない場合は警告 (黄)
• 2 年以上アクセスキーがローテートされていない場合はエラー (赤)
アクション:管理者がアクセスキーをローテートするか、IAM
ユーザに自分自身のキーを管理する権限を与える

24. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
【セキュリティ】項目の例:
公開されたアクセスキー
誤ってコードリポジトリに公開されたなどの原因で、漏洩し
た疑いのあるアクセスキーの有無をチェック
• アクセスキーが公開されていることを検知した場合、エラー (赤)
• アクセスキーの使われ方から漏洩が疑われる場合、エラー (赤)
アクション: 対象アクセスキーを速やかに削除し、不正利用
の有無を確認する

25. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
チェック項目 - フォールトトレランス
過去データから復旧できるようにバックアップを取得しているか、
AWS の機能を活用して冗長構成を取れているか、などの点をチェックする
e.g.
Load Balancer の最適化
Amazon RDS Multi-AZ
Amazon Route 53 フェイルオーバーリソースレコードセット
AWS Direct Connect 接続の冗長性
Amazon EBS スナップショット

26. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
【フォールトトレランス】項目の例:
Load Balancer の最適化
ELB 配下、インスタンスが複数 AZ で稼働しているか。以下の条件にマッ
チする場合、警告 (黄) を表示
• ロードバランサーが単一の AZ でしか有効化されていない
• ロードバランサーが有効化されている AZ の中に、インスタンスが稼働していない
ものがある
• ロードバランサーに登録されたインスタンス数が AZ 間で均等になっていない (20%
以上の台数差異がある)
対応ロードバランサーは CLB のみ。ALB/NLB は未対応
アクション: ELB に対して、少なくとも 2 AZ アベイラビリティゾーンに稼
働中の正常なインスタンスを登録されるようにする

27. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
【フォールトトレランス】項目の例:
Load Balancer の最適化

28. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
【フォールトトレランス】項目の例:
Amazon RDS Multi-AZ
RDS の可用性を高めるため Multi-AZ 構成となっているかどう
かをチェック
アクション: アプリケーションが高い可用性を必要とする場
合、DB インスタンスの Multi-AZ を有効にする
• テスト環境など、可用性を必要としない RDS DB インスタンスであれば、非表示に
設定して警告対象から除外する

29. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
チェック項目 - サービス制限
そもそもサービス制限とは: AWS は各サービスにおいて、ア
カウント毎に利用可能なリソース (EC2 インスタンス台数、
リージョンあたりの VPC 数など) に制限をかけている
• 一覧:
https://docs.aws.amazon.com/ja_jp/general/latest/gr/aws_service_limits.htm
l
• ほとんどの制限はリージョンごとに独立している
• AWS サービス全体としての可用性を保証するため
• 新規のお客様がそうと知らず課金されてしまうリスクを減らすため

30. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
チェック項目 - サービス制限
上限超過が予想される場合、AWS サポートに上限緩和を申請
• 申請内容によっては、上限緩和可否の検討に日数を要する場合があります

31. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
チェック項目 - サービス制限
AWS Trusted Advisor は、AWS サービス制限の一部 (39 項目) に対して、現
在の利用状況と制限値を比較して差分をチェック
• 制限の 80% に達した場合、警告 (黄) を表示
• 制限の 100%、すなわち上限に達した場合、エラー(赤) を表示
• 引き続き利用率が増加する見込みであれば、上限に達してエラーが発生する前に、
余裕を持って上限緩和を申請することをおすすめ
• ※ 上限緩和が完了すると、AWS Trusted Advisor には緩和後の値が反映される
e.g.
EBS アクティブなスナップショット
EC2 オンデマンドインスタンス
IAM ユーザー, RDS DB インスタンス
SES 日次送信クォータ, VPC Elastic IP アドレス
VPC ネットワークインターフェイス...

32. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
【サービス制限】項目の例:
VPC Elastic IP アドレス

33. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Trusted Advisor の使い方

34. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Trusted Advisor の使い方
アクセス方法 (その 1)
• https://aws.amazon.com/support/tr
ustedadvisor
アクセス方法 (その 2)
• サービス一覧「管理ツール」配下

35. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Trusted Advisor の使い方
アクセス方法 (その 3)
• マネジメントコンソール右上「サポート
センター」
• サポートセンターページ内で「Trusted
Advisor」ブロックに表示されている
「すべてのチェックの表示」をクリック

36. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Trusted Advisor の使い方
全機能を利用するためには、技術サポートプラン「ビジネ
ス」もしくは「エンタープライズ」のご契約が必要
以下のチェックは契約状況に関わらず無料で利用可能
• Amazon S3 バケット許可, セキュリティグループ - 開かれたポー
ト, IAM の使用, ルートアカウントの MFA, Amazon EBS パブリッ
クスナップショット, Amazon RDS パブリックスナップショット
• 【サービス制限】カテゴリ

37. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Trusted Advisor の使い方 – 通知機能
1. Trusted Advisor のチェックステータスと改善の見積りの
概要をメールで通知
• チェックステータスが変化した場合は強調表示される
• ダッシュボードにてメール通知を有効化 (次スライド参照)
• 請求、オペレーション、セキュリティの合計 3 つの受信アドレスを指定可能

38. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Trusted Advisor の使い方 – 通知機能

39. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Trusted Advisor の使い方 – 通知機能
2. CloudWatch Events で Trusted Advisor チェック結果を監
視
• https://github.com/aws/Trusted-Advisor-Tools
• 応用例: チェックステータスが変化したら Slack に通知する
• 次スライドに CloudWatch Events 設定画面例

40. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

41. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Trusted Advisor の使い方 – 通知機能
• 通知イベント JSON 例
• 【コスト最適化】項目の「使
用率の低い Amazon EC2
Instances」

42. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Trusted Advisor の使い方 – IAM Policy
IAM Policy を使って、Trusted Advisor へのアクセスをコン
トロール可能
• e.g. 経理担当者に対して【コスト最適化】と【サービス制限】
カテゴリの閲覧 (= Describe 系 API) のみ許可する

43. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Trusted Advisor の使い方 - API
Trusted Advisor 操作 API は以下
• https://docs.aws.amazon.com/ja_jp/awssupport/latest/APIReference/API_Operatio
ns.html
• DescribeTrustedAdvisorChecks
• チェック項目の一覧。ここから checkId を取得する
• RefreshTrustedAdvisorCheck
• 特定チェックの結果を更新 (Refresh)
• DescribeTrustedAdvisorCheckRefreshStatuses
• 更新 (Refresh) 中のチェック項目のステータスを取得
• DescribeTrustedAdvisorCheckSummaries
• 指定した複数チェック項目の現在のチェック結果をサマリ表示
• DescribeTrustedAdvisorCheckResult
• 指定したチェック項目の現在のチェック結果を取得

44. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
DescribeTrustedAdvisorChecks
AWS CLI

45. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
DescribeTrustedAdvisorCheckResult
AWS CLI

46. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Java SDK
DescribeTrustedAdvisorCheckRefreshStatuses
DescribeTrustedAdvisorCheckResult

47. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Trusted Advisor の活用例
通知機能を有効化しておき、チェック項目がベストプラク
ティスから外れたら軌道修正
• e.g. パフォーマンス項目を開発者 Slack へ
• e.g. コスト最適化項目を経理担当者へ通知
社内・協力会社との定期的な打ち合わせなどに
セキュリティグループ
の設定は大丈夫？
RDSをMulti-AZ構成
にしてる？

48. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
まとめ
• AWS Trusted Advisor を使うと、お客様がベストプラクティス
に沿って AWS を活用できているかどうかを効率的にチェック
することができます
• チェック項目は全部で 97 種類 (※ 2018-07-11 現在) あり、コ
スト最適化・パフォーマンス・セキュリティ・フォールトト
レランス・サービス制限のカテゴリに分類されています
• チェック結果をメールや CloudWatch Events で通知させるこ
とで、素早い検知をサポート
• API を利用して、AWS CLI や各種 SDK から Trusted Advisor を
操作することも可能

49. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
参考資料
• Trusted Advisor - AWS サポート | AWS
https://aws.amazon.com/jp/premiumsupport/trustedadvisor/
• Trusted Advisor をウェブサービスとして使用する - AWS サポート
https://docs.aws.amazon.com/ja_jp/awssupport/latest/user/trustedadvisor.html
• Amazon CloudWatch Events と Amazon CloudWatch による Trusted Advisor のモニタリ
ング - AWS サポート
https://docs.aws.amazon.com/ja_jp/awssupport/latest/user/cloudwatch-ta.html

50. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
オンラインセミナー資料の配置場所
AWS クラウドサービス活用資料集
• https://aws.amazon.com/jp/aws-jp-introduction/
Amazon Web Services ブログ
• 最新の情報、セミナー中のQ&A等が掲載されています。
• https://aws.amazon.com/jp/blogs/news/

51. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
公式Twitter/Facebook
AWSの最新情報をお届けします
@awscloud_jp
検索
最新技術情報、イベント情報、お役立ち情報、
お得なキャンペーン情報などを日々更新しています！
もしくは
http://on.fb.me/1vR8yWm

52. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWSの導入、お問い合わせのご相談
AWSクラウド導入に関するご質問、お見積、資料請求をご希望のお客様は以下
のリンクよりお気軽にご相談下さい。
https://aws.amazon.com/jp/contact-us/aws-sales/
※「AWS 問い合わせ」で検索して下さい。

53. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Well Architected 個別技術相談会お知らせ
• Well Architectedフレームワークに基づく数十個の質問項目を元に、お客様が
AWS上で構築するシステムに潜むリスクやその回避方法をお伝えする個別相
談会です。
https://pages.awscloud.com/well-architected-consulting-jp.html
• 参加無料
• 毎週火曜・木曜開催