AWS Budgetsでアラート設定する～90年代の隠しサイト…？

AWS Budgets から Amazon SNSで通知を発砲するには、SNS トピックに AWS Budgets への許可アクセスポリシーを設定しないといけない。そのアクセスポリシーのコピー時に衝撃をうけたので、その部分を書きたいがために記事にする。

1.AWS Budgets

➤ Budgets 【意味】：予算(額), 経費

英単語の意味そのまま、予算管理サービス。
一定期間の予算を設定しておき、以下のような場合にE メールや SNS でアラート通知を受け取れるように設定できる。

• コストと使用状況が設定した予算のしきい値を超過あるいは超過しそうになった
• Reserved Instance や Savings Plans の使用率やカバレッジが設定したしきい値を下回った

AWS Budget Actions では、アラート発生時に以下のようなアクションを設定することが可能。

• IAM ポリシーの適用、
• サービスコントロールポリシー (SCP) のアタッチ、
• 特定の Amazon EC2 インスタンスまたは Amazon RDS インスタンスの停止

これにより、自動もしくは承認を受けてアクションを実行し、望まないコストの無駄を減らすことができる。

2.予算作成と SNS トピックの関連付け

右上のIAMユーザ名をクリック⇒請求ダッシュボードから Budgets をクリックし、「予算を作成する」

予算タイプの選択では、一番上の「コスト予算 - 推奨」を選択して次へ

予算名：何か適当に名前を付ける

「間隔」は以下から選択できる。

• 日別
• 月額
• 四半期単位
• 年単位

今回は月額を選択する。

開始月は現在の日付が自動で選択されているのでそのままにする。
予算設定方法は以下から選択できる。

• 固定
• 計画済み
• 自動調整

今回は一番簡単な「固定」を選択する。

予算額は USD で設定する。
画面右のグラフを見ると私は月に多い時で\3,000ほど利用しているので、 USD に換算して35 USD くらいに予算を設定したらよさそうと判断し、35.00 USD にした。

Budgets scope を設定する。Scope オプションは以下から選択できる。

• All AWS services (Recommemded)
• Filter specific AWS cost dimensions

今回はAWS アカウント全体の利用料を管理したいので「All AWS services (Recommemded)」を選択する。

詳細オプションでは以下項目を選択できる。

• 非ブレンドコスト
  • 支払う金額そのまま表示する。例えば1年に一度 Reserved Instance を購入する際は一時的にドカンと請求額が大きくなるが、そのまま表示される。
• 償却コスト
  • 請求金額をならして表示する。例えば1年に一度 Reserved Instance を購入する際は一時的にドカンと請求額が大きくなるが、その請求額を年間の利用料で平均して日々のコストに分配して表示する。
• ブレンドコスト
  • Organizations の一括請求 (コンソリデーティッドビリング) 全体の平均使用コストを反映する。AWS Organizations の一括請求機能を使用する場合は、ブレンドコストを使用してコストを表示できる。

今回は「非ブレンドコスト」を選択する。

サポートされている請求タイプでは、以下項目が選択できる。デフォルトでチェックが入っているものは（default）と書いている。

• 返金
• クレジット
• 前払いの予約料金（default）
• 定期的な予約料金（default）
• そのほかのサブスクリプションコスト（default）
• 税金（default）
• サポートの料金（default）
• 割引（default）

例えば私は AWS イベント参加時にクレジットをもらって自分の AWS アカウントに反映させているので、以下のように「クレジット」を選択すると、クレジットが消費されて実際には請求されなかった分は表示されなくなる。

今回は、クレジットや割引がない状態でリソースを利用したらどれくらいの金額になっているのか知りたいと思ったので、以下のようにチェックして進める。

• 前払いの予約料金（default）
• 定期的な予約料金（default）
• そのほかのサブスクリプションコスト（default）
• 税金（default）
• サポートの料金（default）
  

アラートの設定画面になる。「アラートのしきい値を追加」をクリックする。

今回は実際にアラート通知されることを確認したいので、1つ目のアラートのしきい値は「絶対値」の「実績」ですごく少なめに 0.5 USD にする。

「Eメールの受信者」にメールアドレスを入力すれば、Amazon SNS と連携しなくてもメール通知が可能だが、今回は Amazon SNS を使ってメール通知をおこなう手順を記載する。
「Amazon SNS アラート」を展開すると以下のように「Amazon SNS ARN を選択」という項目がある。この空欄の下に「アクセス許可」というリンクがあるので、ここをクリックする。

ここが書きたかっただけ

以下のように黒い画面が表示されるが、黒い部分を選択すると…

90年代の隠しサイトのように、ポリシーステートメントが書かれているのがわかる。

コピーすると以下の内容になっている。"Resource" の "<insert-ARN-here>" に、メール通知をさせる SNS のARN を入れて、SNSのアクセスポリシーに設定する必要がある。このステートメントはコピーしておく。

{
  "Sid": "AWSBudgets-notification-1",
  "Effect": "Allow",
  "Principal": {
    "Service": "budgets.amazonaws.com"
  },
  "Action": "SNS:Publish",
  "Resource": "<insert-ARN-here>"
}

Budgets のブラウザタブは開いたままで、Amazon SNS の設定画面を別タブで開く。

3.ここからいったん Amazon SNS の設定

「トピックの作成」をクリックする。

タイプは「スタンダード」を選択し、適当にトピックの名前と表示名をつけ、あとはデフォルト値でトピックを作成する。

トピックが作成できた。次に「サブスクリプションの作成」をクリックする。

プロトコルは「Eメール」、エンドポイントに通知を受信したいメールアドレスを入力して「サブスクリプションの作成」をクリックする。

以下のようにサブスクリプションが作成できた。

メールが届いているはずなので、メールボックスを確認する。
ここで、「Confirm Subscription」はクリックしない！！！
右クリックし、リンクをコピーする。 ※理由は後述

保留中の SNS サブスクリプションを選択し、「サブスクリプションの確認」をクリックする。

先ほど「Confirm Subscription」を右クリックしてコピーしたURLを貼り付け、「サブスクリプションの確認」をクリックする。

サブスクリプションのステータスが「確認済み」になればOK。

※「Confirm Subscription」をクリックしてはいけない理由

理由は、ここで「Confirm Subscription」をクリックしてしまうと、今後アラートメールが届いたときのメール本文中にある「Unsbscribe」のリンク先に飛ぶことでいとも簡単にメール通知を止めてしまうことができてしまうから。うっかりメール通知を止めてしまうのは（特に本番運用では）避けたい。
上記のようにURLをコピーして貼り付ける方法でサブスクリプションの確認をすると、アラートメールが届いたときのメール本文中にある「Unsbscribe」のリンクをクリックしてもメール通知が止まらないようにできる。

「Unsbscribe」のリンクを間違ってクリックしても↑↑↑こうなる。

SNS トピックの ARN をここでコピーしてメモしておく。メモしたら、トピックを編集するので「編集」をクリックする。

アクセスポリシーを編集する。

ここで、90年代の隠しサイト Budgets の Amazon SNS アラートの「アクセス許可」をクリックして黒い画面でコピーしたポリシーステートメントの出番。

もとのアクセスポリシー

{
  "Version": "2008-10-17",
  "Id": "__default_policy_ID",
  "Statement": [
    {  """""""""""""""""""""この行から"""""""""""""""""""""
      "Sid": "__default_statement_ID",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "SNS:GetTopicAttributes",
        "SNS:SetTopicAttributes",
        "SNS:AddPermission",
        "SNS:RemovePermission",
        "SNS:DeleteTopic",
        "SNS:Subscribe",
        "SNS:ListSubscriptionsByTopic",
        "SNS:Publish"
      ],
      "Resource": "arn:aws:sns:ap-northeast-1:xxxxxxxxxxxx:Emi_BudgetsAlert",
      "Condition": {
        "StringEquals": {
          "AWS:SourceOwner": "xxxxxxxxxxxx"
        }
      }
    } """""この行まで削除して、コピーしたステートメントに置き換える"""""""""
  ]
}

↓↓↓

修正後

{
  "Version": "2008-10-17",
  "Id": "__default_policy_ID",
  "Statement": [
    { """""""""""""""""""""この行から"""""""""""""""""""""
  "Sid": "AWSBudgets-notification-1",
  "Effect": "Allow",
  "Principal": {
    "Service": "budgets.amazonaws.com"
  },
  "Action": "SNS:Publish",
  "Resource": "arn:aws:sns:ap-northeast-1:xxxxxxxxxxxx:Emi_BudgetsAlert"
} """""""この行まで置換した。"Resource"にはコピーしておいたSNSトピックのARNを入れる"""""""

  ]
}

インデントはずれていてもいいので、「変更の保存」をクリックする。
保存すると、インデントは直っている。

4.ここからBudgets の設定に戻る

開いていた Budgets のブラウザタブに戻り、Amazon SNS ARN を選択の空欄に、作成した SNSトピックのARN を入力する。

アラートの確認をするだけならアラート一つでもいいが、私はいくつかアラートのしきい値を設定したいので「アラートのしきい値を追加」をクリックしてアラートを追加する。

アラートは7個追加した。次へ。

ここで、しきい値を超えた時のアクションを設定できる。EC2 インスタンスの停止など設定したい場合はここで設定すればよいが、今回は SNS アラートだけでよいのでこのまま次へ。

設定値の確認画面になる。「予算を作成」をクリックする。

予算が作成できた。

今回は予算作成時点でしきい値をいくつか超過しているので、超過している分だけアラートメールが来ている。
※「SNS Topic Verified!」メールは、設定したしきい値の分だけSNS トピックを設定したので、その分の登録完了メールが来ている。

Budgets の画面からも、超過しているしきい値で警告状態になっているのがわかる。

参考