269-AWS SAP AWS 「理論・実践・一問道場」AWS Service Catalog

type

status

date

slug

summary

理論

AWSコスト最適化とガバナンスのポイント

1. NATゲートウェイとS3ゲートウェイエンドポイント

NATゲートウェイは、インターネットへの通信を中継するために使用しますが、データ転送量に応じた料金が発生します。

S3ゲートウェイエンドポイントを利用することで、同一リージョン内でのS3アクセスをプライベートネットワーク経由にし、NATゲートウェイコストを削減可能。

2. AWS Service Catalogの役割

標準化されたテンプレートを提供し、承認済みリソースのみを簡単に作成可能。

管理者が構成を事前に制御できるため、開発者が誤った設定を行うリスクを回避。

3. コスト最適化の基本戦略

データ転送の最適化: 必要な通信をローカル化し、転送コストを削減。

承認済みリソースの利用: 過剰なリソースや未承認の構成を防ぎ、予算を管理。

監視とアラート: AWS BudgetsやCloudWatchを活用し、異常な利用状況を検知。

4. ガバナンスと柔軟性の両立

開発者の生産性を維持しつつ、リソースの使用を標準化・自動化。

AWS Service CatalogやAWS Configでルールを強制しつつ、必要な自由度を提供。

この知識を基に、コスト最適化とガバナンスを両立するソリューションを設計できます。

実践

略

一問道場

問題 #269

トピック 1

ある企業は、AWS Organizations内の開発者アカウント間でAWSのデータ転送コストと計算コストを最適化したいと考えています。開発者はVPCを構成し、単一のAWSリージョン内でAmazon EC2インスタンスを起動できます。EC2インスタンスは、毎日約1 TBのデータをAmazon S3から取得します。この開発者の活動により、EC2インスタンスとS3バケット間のデータ転送料金とNATゲートウェイの処理料金が過剰になり、計算コストも高くなっています。企業は、開発者がAWSアカウント内で展開するEC2インスタンスとVPCインフラストラクチャに対して承認されたアーキテクチャパターンを積極的に強制したいと考えていますが、この強制が開発者の作業速度に悪影響を与えることは避けたいと考えています。どのソリューションがこれらの要件を最もコスト効率よく満たすでしょうか？

A. 開発者が未承認のEC2インスタンスタイプを起動できないようにするためにSCP（サービスコントロールポリシー）を作成します。開発者には、承認されたVPC構成をデプロイするためのAWS CloudFormationテンプレートを提供します。開発者がCloudFormationでのみVPCリソースを起動できるように、IAMの権限をスコープ設定します。

B. AWS Budgetsで毎日の予測予算を作成し、EC2の計算コストとS3のデータ転送料金を開発者アカウント全体で監視します。予測コストが実際の予算コストの75％に達した場合、開発者チームにアラートを送信します。実際の予算コストが100％に達した場合、予算アクションを作成して開発者のEC2インスタンスとVPCインフラを終了させます。

C. 開発者アカウントがS3ゲートウェイエンドポイントと承認されたEC2インスタンスを使用する承認されたVPC構成を作成できるようにするために、AWS Service Catalogのポートフォリオを作成します。このポートフォリオを開発者アカウントと共有します。承認されたIAMロールを使用するようにAWS Service Catalogの起動制約を構成します。開発者のIAM権限を設定して、AWS Service Catalogへのアクセスのみを許可します。

D. 開発者のAWSアカウントでEC2およびVPCリソースのコンプライアンスを監視するためにAWS Configルールを作成して展開します。開発者が未承認のEC2インスタンスを起動した場合や、開発者がS3ゲートウェイエンドポイントなしでVPCを作成した場合、修復アクションを実行して未承認のリソースを終了させます。