AWS Trusted Advisor
AWS 環境をコスト・セキュリティ・パフォーマンス・耐障害性・サービス制限の 5 カテゴリで自動診断し、ベストプラクティスに基づく改善提案を提示するサービス
概要
AWS Trusted Advisor は、稼働中の AWS 環境を自動的にスキャンし、コスト最適化・セキュリティ・パフォーマンス・耐障害性・サービス制限の 5 つの観点からベストプラクティスとの乖離を検出するサービスです。Business サポート以上のプランでは全チェック項目にアクセスでき、API 経由でチェック結果を取得して自動修復パイプラインに組み込むことも可能です。2024 年に導入された Trusted Advisor Priority 機能では、AWS アカウントチームが顧客環境のリスクに優先度を付けて通知するため、大規模環境でも対処すべき項目を効率的に絞り込めます。
5 カテゴリの診断が見落としを防ぐ仕組み
Trusted Advisor の強みは、単一の観点ではなくコスト・セキュリティ・パフォーマンス・耐障害性・サービス制限という 5 つの軸で横断的に環境を評価する点にあります。たとえばコスト最適化カテゴリでは、過去 14 日間の CPU 使用率が 10% 未満の EC2 インスタンスや、関連付けられていない Elastic IP アドレスを検出します。セキュリティカテゴリでは、S3 バケットのパブリックアクセス設定、セキュリティグループの無制限ポート開放、MFA が未設定の IAM ルートアカウントなどを警告します。サービス制限カテゴリは見落とされがちですが、VPC 数や EIP 数がリージョン上限の 80% に達した時点でアラートを出すため、突然のリソース作成失敗を未然に防げます。Basic サポートと Developer サポートでは利用できるチェック項目が限定されるため、本番環境を運用するなら Business サポート以上への加入が実質的に必須です。
Priority と API を活用した運用自動化
マルチアカウント環境では Trusted Advisor の検出項目が膨大になり、すべてを手動で確認するのは現実的ではありません。Trusted Advisor Priority は AWS アカウントチームやテクニカルアカウントマネージャー (TAM) が顧客環境を分析し、対処すべき項目に優先度を付けて通知する機能です。Enterprise サポートプランで利用でき、AWS Organizations と連携して組織全体のリスクを一元的に把握できます。API を活用すれば、チェック結果を定期的に取得して EventBridge 経由で Lambda を起動し、未使用リソースの自動停止やセキュリティグループの自動修復といったワークフローを構築できます。Azure にも同様の診断サービスとして Azure Advisor がありますが、Trusted Advisor がサポートプランに応じてチェック項目が段階的に解放される料金体系であるのに対し、Azure Advisor は全項目が無料で利用可能という違いがあります。AWS 運用の関連書籍 (Amazon) では、こうした自動化パターンの設計事例が紹介されています。
コスト削減の起点としての実務的な活用法
Trusted Advisor を最も効果的に活用できるのはコスト最適化の領域です。実務では、まず Trusted Advisor のコストカテゴリで検出された未使用・低使用リソースの一覧をエクスポートし、各リソースのオーナーに確認を取るプロセスを月次で回すのが定石です。特に開発・検証環境では、テスト後に放置された RDS インスタンスや NAT Gateway が毎月数百ドル単位で課金され続けるケースが頻発します。ただし Trusted Advisor の推奨はあくまで汎用的な閾値に基づくため、ワークロード固有の事情 (バースト的な負荷パターンなど) を考慮せずに機械的にリソースを削除すると障害につながります。推奨を鵜呑みにせず、CloudWatch メトリクスで実際の使用パターンを確認した上で判断することが重要です。また、Trusted Advisor のチェック結果はリフレッシュしないと古いデータのまま表示されるため、API で定期リフレッシュをスケジュールしておくと常に最新の状態を維持できます。