CloudFixのパーミッションモデル

CloudFixは、クラウドのコストを最適化するためのプラットフォームです。お客様のAWSアカウントをスキャン、分析し、コスト削減のオポチュニティーを探します。お客様がこれらのコスト削減のオポチュニティーを承認すると、CloudFixは自動的にお客様のAWSアカウントでコスト削減を実行します。

CloudFix-Finder-Fixer.png

Finder は、コスト削減のオポチュニティーを求めてAWSアカウントをスキャン・分析する読み取り専用のプロセスです。Fixer は実際にコスト削減を実行するプロセスです。

CloudFixのすべてのFinderの項目には、対応するFixerが必ず存在します。

コスト削減のオポチュニティーを生成するFinderを実行し、そのオポチュニティーを実行するFixerを実行するために、CloudFixはAWSアカウント上で特定のアクションを実行するためのアクセス権が必要です。この記事では、CloudFixがいつどのようなアクセス権を取得するのかをご理解いただくために、パーミッションモデルについて説明します。

  • Findersは、AWS Configスナップショット、コスト&ユースレポート(CUR)、CloudWatchや他のサービスへのAPIコールを組み合わせて、必要な使用状況メトリクスとConfigスナップショットにないメタデータを取得します。
    • Configスナップショット&CURは、お客様のアカウントに保存されます。CloudFixはそのデータにアクセスできるロールを作成します。
  • CloudFixは、AWS Change Managerを使用してFixerの実行を行います。
    • Fixerは、変更テンプレートを承認した後、あなたのアカウントで動作するAWS Systems managerによってのみ実行することができます(詳細は後述します)。
    • CloudFix自身には、あなたのアカウントへの書き込み権限はありません。変更テンプレートと、承認された変更テンプレートに基づく変更要求の作成のみが可能です。

Finder-Fixer ライフサイクル:

CloudFix-Finder-Fixer-Lifecycle.png

  • 複数のAWSアカウントとCloudFixを接続することができます。
  • AWSアカウントにCloudFix専用のCloudFormationスタックを作成することで、AWSアカウントとCloudFixを接続します。CloudFixはこのCloudFormationのテンプレートを提供しているので、ワンクリックで承認するだけでスタックを作成することができます。このCloudFormationテンプレートは、CloudFixがFinderやFixerを実行するために使用する様々な権限を定義しています。
  • AWSアカウントとCloudFixを接続すると、メタデータを収集してアカウントを分析し、コスト削減のオポチュニティーを見つけることができるように、「読み取り」権限のみが取得されます。
  • メタデータは、AWS ConfigやAWS Cost & Usage Report (CUR)などのAWS標準ツールを使って、お客様のAWSアカウントで収集されます。
  • CloudFix Finderは、このメタデータにアクセスし、お客様のアカウントのリソースを分析し、コスト削減のオポチュニティーを提案します。これらのオポチュニティーは、CloudFixのダッシュボードでお客様に提示されます。
  • そのあと各FixerタイプのChange Managerテンプレートを承認し、Fixerを実行します。

CloudFix-minimal-ondemand-permission-model.png

  • CloudFixは、AWS環境での最適化の実行にAWS Change Managerを使用しています。AWS Change Managerを使用することで、お客様の環境で修正を実行する明確な範囲を設定することができます。
  • Change Manager リクエスト経由で)Fixerを実行するには、各AWSアカウントでFixerタイプごとにFixerテンプレートを承認する必要があります(AWSコンソールで行います)。このようにしてCloudFixがアカウントで実行できることは制御されています。
  • Fixerテンプレートが承認されると、CloudFixはAWS Change Requestを通じてFixerの実行を開始し、お客様のアカウントでSSMランブックが実行されます。CloudFixは直接APIコールを介してfixerを実行することはありません。常にAWS Change Managerを通じてFixerを実行します。

パーミッションとIAMロール:

CloudFixは、AWSアカウントに作成される3種類のIAMロールを通じて動作します。これらはAWSアカウントで実行されるものを完全に制御できる最小限のオンデマンドパーミッションモデルに従っています。以下は、これらのIAMロールの実施内容の概要です。

CloudFix-permissions-IAM-roles.png

  • Finderロールは、CloudFixが直接使用する唯一のロールで、「最小限の権限」しか付与されていません。
  • Fixerロールが2つ作成されますが、AWSアカウントでChange Managerテンプレートを(AWS Console経由で)承認しない限り、CloudFixはこれらのIAMロールを使用することはできません。

CloudFixは完全に透過的です。AWSアカウントをCloudFixと接続すると、CloudFormationテンプレートを確認することができ、各Change Managerテンプレートを承認すると、それらのテンプレートを承認する前に、テンプレートと関連するSSMランブックを確認することができるようになります。

CloudFixは、最も安全なクラウドコスト最適化プラットフォームです。安心してコスト削減をしてください。

 

以下の動画では、CloudFixのパーミッションモデルについて説明しています。

この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています
他にご質問がございましたら、リクエストを送信してください