ポリシーベースのガバナンス

ポリシーベースのガバナンス(PoBG)は CMPで利用できる新機能です。 PoBGを使用して以下のことができます。

- クラウドリソースに対するポリシーの標準セットを構成して実行する
- 影響を受けるポリシーとクラウドリソースのステータスを確認する
- 影響を受けるリソースに対して推奨されるアクションを実行する
- 標準インターフェースでハイパースケーラーからのネイティブ推奨事項を確認する
- サーバーの電源のオンとオフのスケジュールを定義する
ポリシーとは次の項目を定義します。
1. ポリシーを実行するタイミング(使用可能なオプションは -毎日、毎週、毎月、または毎年)
2. ポリシースケジュールの名前
3. 覚えやすくて関連付けることができるわかりやすい名前
4. リソースフィルター
- リソースを除外して特定のポリシーを適用するための基準を定義できる
- アカウント、部門、アプリケーション、またはリソースタグに基づいてフィルタリング
5. アクション
- 影響を受けるリソースに対して実行するアクションを選択する
- リソースタイプに応じて、できるアクションのセットが変わる
- ポリシーステータスUIを使用する場合は、推奨されるアクションを手動にして、[アクションなし]を選択する

注意: ポリシーは、プロバイダーまたはリソースタイプごとに定義されています。

アカウントを、CMPに追加した後に、アカウントのポリシーを設定できます。

利用可能なプロバイダー

1. Amazon Web Services
2. Microsoft Azure

ユーザーインターフェース

使いやすく直感的なPoBGユーザーインターフェイス(UI)により、ポリシーを追加したり、確認したりまたは編集したりことができます。 次の画像は、インターフェイスの全体概要を示しています。 続いて、各画面について詳しく説明します。

ポリシーの追加

ポリシーを追加するには、[ポリシーステータス] 画面から→[有効なポリシー]→[ポリシーの追加]に移動してください。 「ポリシーの追加」をクリックすると、「利用可能なポリシー」画面が表示されます。 検索バーを使用してポリシーリストをフィルタリングし、ドロップダウンリストを使用して適切なポリシーを見つけることができます。

利用可能なポリシー

ポリシーには5つのカテゴリがあります。
1. コスト削減ポリシー
- パブリッククラウドでは、使用量に基づいて支払います。 チームが未使用のリソースを削除するのを忘れた場合には、未使用のリソースにお金を払うことになります。 未使用のサーバー、IP、ボリューム、および冗長スナップショットポリシーを有効にして、未使用のアイテムのリストを表示し、それらを削除するか無視するかを選択できます。
- 稼働時間ポリシーは、重要でないワークロードの電源をオンまたはオフにするタイミングを定義するのに役立ちます。 これにより、未使用のワークロードを大幅に節約できます。
2. セキュリティポリシー
- セキュリティグループを使用して、パブリックスクラウドでIPアドレスとポートを許可または拒否することができます。 経験の浅い管理者は、すべてのポートを開いたままにしたり、ワイルドカードIPアドレスを受け入れたりする場合があります。 セキュリティポリシーを使用すると、ポート/ IPが開いているセキュリティグループを識別し、アクセスを強化する新しいルールを定義できます。
- AWSバケットアクセスに対してチェックを実行し、パブリックアクセスがある場合は通知を受け取ることができます。
3. 最適化ポリシー
- クラウドインフラストラクチャでリソースを効果的に利用できるようにする必要があります。 最適化ポリシーは、使用率の低い/あるいは過剰なサーバーを特定するのに役立ちます。
- アイドル状態のサーバーの場合、使用率を向上させてコストを節約するために、アプリケーションをより少ないサーバーに統合するか、サーバーのサイズを縮小(大規模から中規模など)するかを選択できます。
- 過剰に使用されているサーバーの場合、サーバーサイズをスケールアップすることを選択できます(たとえば、中規模から大規模またはそれ以上)。 該当するユースケースに基づいて、自動スケーリングを使用することを決定できます。
4. コンプライアンスポリシー
- 部門、アプリケーション、またはクラウドリソースに求める特定のコンプライアンスタグの割り当てを定義できます。 クォータに達したとき、または特定のコンプライアンスタグが欠落しているときに通知を受けることができます。
5. ネイティブポリシー
- さまざまなハイパースケーラーが、使用方法に基づいて推奨事項を提供します。 このポリシーを有効にすると、PoBGはネイティブコンソールから推奨事項を取得できます。 同じUIから上記の推奨事項を確認できます。
ポリシーを選択し、「+追加」をクリックしてポリシーの追加画面に移動できます。

ポリシーの追加

ポリシーには4つの重要なセクションがあります。
1. 「スケジュール」 ポリシーを実行するタイミングを選択できます。 (毎日、毎週、毎月)
2. 「リソースフィルター」 アカウント、部門、アプリケーション、データセンター、またはタグでフィルターできます。
3. 「パラメーター」 ポリシータイプに基づいて、さまざまな構成パラメーターが表示されます。環境に合わせてデフォルト値と条件を編集できます。
4. 「アクションセクション」 推奨されるアクションを選択します。 これらのアクションは、選択したリソースタイプとポリシーによって異なります。 影響を受けるリソースに対して手動でアクションを実行する場合は、「アクションなし」を選択することもできます。
すべての詳細を入力して「追加」ボタンをクリックすると、概要画面が表示されます。 確認すると、ポリシーが作成され、選択したリソースフィルターに対して適用されます。

ポリシーステータス

ポリシーステータスUIを使用して、特定のアカウントに対する各ポリシーのステータスを確認できます。 検索バーとフィルターを使用して、特定のポリシー、アカウント、またはリソースの種類に絞り込むことができます。
各行は以下を指定します。
1. 重大度アイコン
- 「赤」影響を受けるカウントがゼロより大きい場合
- 「緑色」影響を受けるカウントがゼロの場合
- 「灰色」合計リソース数がゼロの場合
2. ポリシー名
3. リソースタイプ
4. プロバイダータイプ
5. アカウント名
6. ポリシースケジュール名
7. 影響を受けるリソース数
8. 総リソース数
9. 影響を受けるリソースの割合
更新ボタンを使用して、各ポリシーの現在のステータスを再読み込みできます。 すべてのポリシー、または特定のリソースにのみ影響するポリシーを表示することもできます。

影響を受けるリソースの確認

ポリシーステータスページで特定のポリシーを選択すると、特定のポリシーの影響を受けるリソースを詳しく調べることができます。 影響を受けるリソースの概要も確認できます。 影響を受けるリソースの詳細を表示し、推奨されるアクションの1つを実行できます。
各リソースは、詳細なリソースダッシュボードにハイパーリンクされています。
編集ボタンをクリックしてポリシーを編集することもできます。

ポリシーの編集

リソースフィルター/アクションを変更し、「更新」を選択して新しいポリシー構成を保存できます。

クイックポリシー

クイックポリシーは、一連のポリシーを追加する簡単で迅速な方法です。 私たちの経験に基づいて、クイックにガバナンス可能なポリシーセットをご用意しました。
現在定義されている8つのクイックポリシーがあります。
1. 重要なポリシーは、コストを節約するために、未使用のサーバー、IP、ボリューム、および冗長スナップショット対して通知を受け取ります。
2. AWSポリシーAmazon Web Servicesに関連するすべてのポリシーを確認し、ポリシーを設定します。
3. AzureポリシーMicrosoft Azureに関連するすべてのポリシーを確認し、ポリシーを構成します。
4. GCPポリシーGoogle Cloud Computeに関連するすべてのポリシーを確認し、ポリシーを構成します。
5. コストポリシーは、コストを節約するために、未使用のサーバー、IP、ボリューム、および冗長スナップショットに対して通知を受け取ります。
6. セキュリティポリシーセキュリティポリシーを確認し、ポート/ IPが開いているセキュリティグループが特定されたときに追加して通知を受け取り、環境を保護します。
7. 最適化ポリシーポリシーを確認し、アイドル状態または過剰に使用されているリソースが見つかったときに追加して通知を受け取ります。
8. コンプライアンスポリシーポリシーを確認し、リソースがタグを見逃したり、許可された場所の一部ではなかったり、割り当て制限を超えたりした場合に、追加して通知を受け取ります。

すべてのクイックポリシー

各クイックポリシーには、次のような一連のポリシーが含まれています。

すべてのAWSポリシー

AWS Trusted Advisorの推奨事項、
未使用のEC2インスタンス、
未使用のEBSボリューム、
関連付けられていないIPアドレス、
冗長な複数のスナップショット、
未使用のRDSインスタンス、
保護されていないIPポート構成、
保護されていないIP構成、
保護されていないIPポート構成、
保護されていないIP構成、
クォータ、
使用率の低いEC2インスタンス、
使用率の高いEC2インスタンス、
使用率の低いRDSインスタンス、
使用率の高いRDSインスタンス、
メンテナンスに必要なRDSインスタンス、
使用率の低いElasticacheインスタンス、
使用率の高いElasticacheインスタンス、
バケットへのフルアクセス権を持つユーザー、
どのユーザーもアクセスできないバケット、
誰もがバケットにアクセスできるユーザー、
バケットへの読み取りアクセス権を持つユーザー、
バケットへの書き込みアクセス権を持つユーザー、
未使用のロードバランサー、
アイドル状態のDynamoDBインスタンス

すべてのAzureポリシー

Azure Advisorの推奨事項、
未使用の停止した仮想マシン、
未使用のボリューム、
関連付けられていないIPアドレス、
冗長な複数のスナップショット、
保護されていないIPポート構成、
保護されていないIP構成、
クォータ、
使用率の低い仮想マシン、
使用率の高い仮想マシン、
未使用のロードバランサー、
使用率の低いSQLプールインスタンス、
使用率の高いSQLプールインスタンス、
使用率の低いSQLDBインスタンス、
使用率の高いSQLDBインスタンス、
使用率の低いCosmosDBインスタンス、
使用率の高いCosmosDBインスタンス

すべてのGCPポリシー

GCPビジーサーバー、
GCPアイドルサーバー、
GCP停止したサーバー、
GCPのスケジュールされていないサーバー

コストポリシー

コストポリシーには、次のような推奨ポリシーが含まれています。

AWSコストポリシー

AWS Trusted Advisorの推奨事項、
未使用のEC2インスタンス、
未使用のEBSボリューム、
関連付けられていないIPアドレス、
冗長な複数のスナップショット、
未使用のRDSインスタンス、

Azureコストポリシー

Azure Advisorの推奨事項、
未使用の停止した仮想マシン、
未使用のボリューム、
関連付けられていないIPアドレス、
冗長な複数のスナップショット

Google Cloudコストポリシー

GCP停止したサーバー

セキュリティポリシー

セキュリティポリシーには、次のような推奨ポリシーが含まれています。

AWSセキュリティポリシー

保護されていないIPポート構成、
保護されていないIP構成、
保護されていないIPポート構成、
保護されていないIP構成、

Azureセキュリティポリシー

保護されていないIPポート構成、
保護されていないIP構成、

サポートされているポリシー

Amazon Web Services

リソースタイプ ポリシー
VM 使用率の低いEC2インスタンスポリシー、 使用率が高いEC2インスタンスポリシーの最適化、 営業時間 (EC2 VMs)
ボリューム 未使用のボリュームポリシー、 冗長スナップショットポリシー
IP 未使用のIPポリシー
RDS 使用率の低いポリシー
Elasticache 使用率の低いポリシー
DynamoDB 使用率の低いポリシー
セキュリティグループ 保護されていないポート/ IPポリシー
NACL 保護されていないポート/ IPポリシー
S3 バケット 保護されていないバケットポリシー
AWSネイティブチェック AWSネイティブトラステッドアドバイザーポリシー

Microsoft Azure

リソースタイプ ポリシー
VM 使用率の低いインスタンスポリシー、 使用率が高いインスタンスポリシー、 営業時間 (Azure VMs)
Volume 未使用のボリュームポリシー、 冗長スナップショットポリシー
IP 未使用のIPポリシー
CosmosDB 使用率の低いポリシー
AzureSQL、 AzureSQLサーバー 使用率の低いポリシー
ネットワークセキュリティグループ 保護されていないポート/ IPポリシー
Azureネイティブチェック Azureネイティブインサイトアドバイザーポリシー

よくある質問

PoBGユーザーインターフェースが表示されない

「403 Forbidden」というメッセージが表示された場合は、アカウントを担当するチームにお問合せ下さい。(PoBG機能の有効化が必要)

ポリシーアクションメニューが表示されないか、影響を受けるリソースに対してアクションを呼び出すことができません

リソース、アカウントの管理者にアクション権限の付与を依頼してください。

ポリシーに灰色のアイコンが表示されます

リソースフィルターが正しく定義されているかどうかを確認してください。

影響を受けるリソースは表示されません

PoBGは、定義したポリシーパラメータに基づいて、影響を受けるリソースを報告します。 合計リソース数がゼロより大きい場合は、[合計リソース]をクリックして、リソースダッシュボードの個々のメトリックを調べ、ポリシーパラメーターと比較してください。 クラウドリソースは定期的に更新されるため、新しく検出されたリソースがCMPに存在することを確認してください。

同じタイプの複数のポリシーを追加できますか

はい、できます。 お客様は、ワークロードのタイプごとに異なるパラメーター値が必要になる場合があります。 たとえば、開発VMと重要な本番VMで異なるCPU稼働率の要件がある場合などが考えられます。

複数の営業時間ポリシーを追加できますか

いいえ、プロバイダータイプごとに1つの稼働時間ポリシーのみを設定できます。 PoBGは、特定のプロバイダーに対して1つのスケジューラーのみを実行します。 実行電源のオン/オフ要求には、1-2分前後の変動があります。

重大度/チェック値の行が空になることがあります

一連のアカウントに対してポリシーが実行されると、影響を受けるリソースは、リソースフィルターで定義されているポリシーステータス画面に表示されます。 ポリシーの実行後にアカウントを削除した場合は、重大度の行が空になっている可能性があります。