AWS Resource Explorer
AWS アカウント内の全リソースをリージョン横断で検索・可視化するサービスで、マルチリージョン環境のリソース管理を効率化する
概要
AWS Resource Explorer は、AWS アカウント内に存在するリソースをリージョンを跨いで横断検索できるサービスです。EC2 インスタンス、S3 バケット、Lambda 関数など 200 種類以上のリソースタイプに対応し、タグやリソース名、ARN などの属性で絞り込み検索が可能です。各リージョンにローカルインデックスを作成し、指定したアグリゲーターリージョンに集約することで、単一のエンドポイントから全リージョンのリソースを検索できます。Organizations と統合すれば、マルチアカウント環境でも組織全体のリソースを一元的に把握でき、未使用リソースの発見やコスト最適化、セキュリティ監査に活用できます。追加料金なしで利用可能です。
インデックス構成とアグリゲーターの設計
Resource Explorer は各リージョンにローカルインデックスを作成し、リソースのメタデータを収集します。アグリゲーターインデックスは 1 アカウントにつき 1 つのリージョンに設定でき、全リージョンのローカルインデックスからデータを集約します。アグリゲーターリージョンの選択は、管理者が最も頻繁にアクセスするリージョンに設定するのが一般的です。インデックスの更新は非同期で行われ、リソースの作成・変更・削除が反映されるまで数分から最大 36 時間のラグが発生する場合があります。このため、リアルタイム性が求められる監視用途には CloudTrail や Config を併用する設計が適切です。Organizations の委任管理者アカウントを設定すれば、メンバーアカウントのリソースも横断検索でき、セキュリティチームが組織全体のリソース状況を把握する際に有効です。インデックス作成自体に追加コストは発生しませんが、API コール数が多い場合は Service Quotas の上限に注意が必要です。
検索クエリの活用と実務での検索パターン
Resource Explorer の検索は、フリーテキスト検索とフィルター構文の 2 種類を組み合わせて使用します。フィルター構文では resourcetype、region、tag、id などのフィールドを指定でき、例えば resourcetype:ec2:instance tag.key:Environment tag.value:production のように複合条件で絞り込めます。実務で頻出する検索パターンとして、タグ未設定リソースの発見 (-tag.key:Name で Name タグがないリソースを検索)、特定リージョンの全リソース一覧 (region:ap-northeast-1)、廃止予定のリソースタイプの洗い出しなどがあります。検索結果はコンソール上でリソースの詳細ページへ直接遷移でき、修正作業の効率が向上します。API 経由での検索も可能で、定期的にタグ未設定リソースを検出して Slack に通知する自動化パイプラインを構築する運用が効果的です。検索結果にはリソースの ARN、リージョン、タグ、最終更新日時が含まれ、CSV エクスポートにも対応しています。
コスト最適化とセキュリティ監査への活用
Resource Explorer はコスト最適化の第一歩として、未使用リソースや放置されたリソースの発見に威力を発揮します。例えば、デタッチされた EBS ボリューム、関連付けのない Elastic IP、使われていない NAT Gateway などを横断検索で特定し、削除候補としてリストアップできます。セキュリティ監査では、パブリックアクセスが設定された S3 バケットや、暗号化が無効な RDS インスタンスをタグやリソースタイプで絞り込み、コンプライアンス違反を早期に検出する運用に活用できます。AWS Config Rules と組み合わせれば、非準拠リソースの検出から修復までを自動化できます。ビュー機能を使えば、検索条件を保存して繰り返し実行でき、週次のリソース棚卸しレポートの作成を効率化できます。Organizations 環境では、各アカウントのリソース数の偏りを可視化し、アカウント分割戦略の見直しにも役立ちます。