Keepers の構成
Keepers はプロバイダーと柱の3 × 3 マトリクスを形成します:| プロバイダー | Cost | Security | Performance |
|---|---|---|---|
| AWS | AWS-COST | AWS-SEC | AWS-PERF |
| GCP | GCP-COST | GCP-SEC | GCP-PERF |
| Kubernetes | K8S-COST | K8S-SEC | K8S-PERF |
- コストルール:アイドル状態のコンピュートインスタンス、未割り当てストレージ、古いスナップショット、未使用の静的 IP、過剰サイズのデータベース、アイドル状態のロードバランサー、過剰リクエストされた Pod リソースなど
- セキュリティルール:パブリックな S3 バケット、未使用の IAM ロール、ルートアカウントの MFA 無効化、オープンなセキュリティグループ、パラメータストアのシークレットなど
- パフォーマンスルール:RDS 接続の上限、ヘルスプローブの欠如、CrashLooping Pod、スロットリングされたリソースなど
自律性
すべての検出ルールは 2 つのモードのいずれかで動作します:| モード | 動作 |
|---|---|
| Manual(手動) | エージェントがアクションを提案し、実行前に人間の承認を待ちます。 |
| Auto(自動) | エージェントが自律的にアクションを実行し、結果を報告します。 |
前提条件
- 読み取り・監視権限(オプションで修復権限)を持つクラウドアカウントまたは Kubernetes クラスターが少なくとも 1 つ接続されていること。
- アプリ内 通知 以外のアラートが必要な場合は、Slack、Microsoft Teams、またはメールの宛先が設定されていること。
- オプション:特定の環境に検出をスコープする場合は、タグやフィルターを準備しておくこと。
最初の Keepers を設定する
Keepers を開く
Infrastructure → Keepers に移動してオンボーディング画面を確認します。クラウドアカウントの接続、Keepers の有効化、最初の検出スキャン実行という 3 つのステップが案内されます。Enable Your First Keepers をクリックして開始します。

Keepers を選択して設定する
セットアップウィザードは 2 ステップです。Select Keepers では有効化する Keepers を選択します(プロバイダー:AWS・Kubernetes、柱:Cost・Security・Performance でフィルタリング可能)。Review & Configure では Keeper ごとに検出ルールを微調整し、各ルールを Manual または Auto に設定し、どのルールを有効にするかを調整します。

ダッシュボードを確認する
Keepers が有効になったら、サイドバーから 1 つを選択して Dashboard タブを確認します。4 つの統計カード(Open Findings、Critical & High、Potential Savings、This Week)で素早く状況を把握できます。Findings Over Time チャートは深刻度別のトレンドを表示します。

検出のトリアージ
Findings タブに切り替えると、各検出ステータスの列を持つボードが表示されます。各検出カードにはタイトル、見込み節約額、工数レベル、リスク深刻度が表示されます。カードをクリックして詳細にドリルダウンするか、列間にドラッグしてステータスを更新します。

検出実行を確認する
Runs タブには、ステータス、サマリー、所要時間、作成・更新された検出数を含むすべての検出実行が表示されます。Keepers がスケジュール通りに実行されていることを確認する監査証跡として使用します。

Finding からレコメンデーションへ
Keepers は生の検出を追跡・管理された作業に変換します:- 検出 — 各 Keeper は cron スケジュール(デフォルト:毎日 UTC 07:00)またはオンデマンドで実行され、以前に発見したリソースだけでなく許可されたすべてのリソースをスキャンします。すべての実行は Runs タブに監査証跡を残します。
-
トリアージ — 各 Finding は柱、深刻度、工数、見込み節約額でタグ付けされるため、最も価値の高い修正を優先できます。作業を進めながら Finding のステータスを移動させます:
ステータス 意味 New(新規) 検出されたばかりで、まだ誰も確認していません。 Acknowledged(確認済み) チームメンバーが検出結果を確認し、フォローアップを担当しています。 Active(対応中) 検出結果への対応が進行中です。 Resolved(解決済み) 根本的な問題が修正され、検証済みです。 Dismissed(却下) レビュー済みで、意図的に対応しないと判断されました。 - 昇格 — Finding はドラフトとして開始されます。対応する価値があるものをアクティブなレコメンデーションに昇格させます。すべてのレコメンデーションには、前後の見積もりを含むインパクト分析とステップバイステップのプレイブックが含まれます。詳細ビューからImpact Analyticsで詳細分析、Generate Guidelinesで共有可能なランブックの生成、Custom Promptでエッジケースの調査、またはImplementで変更を実行できます。
- 追跡 — レコメンデーションを Plan に保存して承認、スケジュール、実行の追跡を行い、ガバナンス、FinOps、セキュリティチームが同じ情報源を共有できるようにします。
Keepers は日々の運用ガードレールです。Assessment はより深い定期的な評価であり、日常的な実行を想定していません。
Keeper の設定
各 Keeper には専用の Settings タブがあり、以下を設定できます:- スケジュール:自動実行の cron 式(最小間隔:1時間)。
- 検出ルール:個々のルールのトグル、各ルールの Manual または Auto の設定、ルールごとの閾値調整(アイドル CPU %、ルックバック日数、スナップショットの最大経過日数)。
- コマンドと権限:各ルールが実行できるクラウドコマンドの管理(コマンドごとの効果:Allow / Require Approval / Deny)。
- 通知:チャンネルごとの最小深刻度閾値を持つ Email、Slack、Teams チャンネル。アプリ内 通知 はチャンネル設定に関係なく常に配信されます。
例
コストのガードレール
有機的に成長したインフラには、手動の監査ではめったに検出できない無駄が隠れています。AWS-COST はアイドル状態の EC2 インスタンス、未割り当ての EBS ボリューム、古いスナップショット、活用されていない NAT Gateway にフラグを立てます。また、コンテキストを読み取ります:日次バックアップのタグが付いたボリュームには目的がありますが、昨年のタグなしテストボリュームは真の孤立リソースです。ダッシュボードで Finding を確認し、信頼度の高いものを昇格させ、Plan に保存して承認・実行します。
セキュリティのガードレール
セキュリティのドリフトは監査の間に蓄積されます:過度に広い IAM ロール、パブリックな S3 バケット、暗号化されていないボリューム、0.0.0.0/0 に開かれたセキュリティグループ。AWS-SEC は継続的にスキャンし、運用上のコンテキストを評価します — ロードバランサーからの HTTP はどこからでも正常ですが、データベースへのアクセスは危険であり、ルートアカウントのアクセスキーは未使用の読み取り専用ロールよりも優先されます。重大な Finding を Slack にルーティングして即時トリアージを行い、複数チームにまたがる修正を Plan で追跡します。
関連情報
Plan
Finding を Plan に保存して承認、スケジュール、実行の追跡を行う
Assessment
日常の Keeper 実行と並行してより深い定期的な Well-Architected アセスメントを実行する
Slack 統合
Keeper アラートをリアルタイムトリアージのために Slack チャンネルにルーティングする
タスク
Keepers を補完するための追加の定期分析をスケジュールする
