メインコンテンツへスキップ
CloudKeepers は、接続されたすべてのクラウドアカウントと Kubernetes クラスター全体でコスト、セキュリティ、パフォーマンスのガードレールを自律的に適用するモニターです。アプリのサイドバーでは InfrastructureKeepers として表示されます。

Keepers の構成

Keepers はプロバイダーと柱の3 × 3 マトリクスを形成します:
プロバイダーCostSecurityPerformance
AWSAWS-COSTAWS-SECAWS-PERF
GCPGCP-COSTGCP-SECGCP-PERF
KubernetesK8S-COSTK8S-SECK8S-PERF
各 Keeper はプロバイダーと柱の組み合わせを 1 つ監視します。必要な Keeper だけ有効化できます(例:AWS-COST と K8S-SEC)。全カバレッジには 9 つすべてを有効化します。 各 Keeper には検出ルール(合計 40 種類以上)が含まれており、個別にトグルして調整できます:
  • コストルール:アイドル状態のコンピュートインスタンス、未割り当てストレージ、古いスナップショット、未使用の静的 IP、過剰サイズのデータベース、アイドル状態のロードバランサー、過剰リクエストされた Pod リソースなど
  • セキュリティルール:パブリックな S3 バケット、未使用の IAM ロール、ルートアカウントの MFA 無効化、オープンなセキュリティグループ、パラメータストアのシークレットなど
  • パフォーマンスルール:RDS 接続の上限、ヘルスプローブの欠如、CrashLooping Pod、スロットリングされたリソースなど

自律性

すべての検出ルールは 2 つのモードのいずれかで動作します:
モード動作
Manual(手動)エージェントがアクションを提案し、実行前に人間の承認を待ちます。
Auto(自動)エージェントが自律的にアクションを実行し、結果を報告します。
自律性はルールごとに設定されるため、ほとんどのルールを Manual のままにしつつ、未割り当てボリュームのクリーンアップなどの十分に理解されたコストルールを Auto で実行できます。

前提条件

  • 読み取り・監視権限(オプションで修復権限)を持つクラウドアカウントまたは Kubernetes クラスターが少なくとも 1 つ接続されていること。
  • アプリ内 通知 以外のアラートが必要な場合は、Slack、Microsoft Teams、またはメールの宛先が設定されていること。
  • オプション:特定の環境に検出をスコープする場合は、タグやフィルターを準備しておくこと。

最初の Keepers を設定する

1

Keepers を開く

Infrastructure → Keepers に移動してオンボーディング画面を確認します。クラウドアカウントの接続、Keepers の有効化、最初の検出スキャン実行という 3 つのステップが案内されます。Enable Your First Keepers をクリックして開始します。
CloudKeepers オンボーディングページ。Enable Your First Keepers ボタン、3ステップのハウイットワークスタイムライン、コスト・セキュリティ・パフォーマンスの価値カードが表示されている
2

Keepers を選択して設定する

セットアップウィザードは 2 ステップです。Select Keepers では有効化する Keepers を選択します(プロバイダー:AWS・Kubernetes、柱:Cost・Security・Performance でフィルタリング可能)。Review & Configure では Keeper ごとに検出ルールを微調整し、各ルールを Manual または Auto に設定し、どのルールを有効にするかを調整します。
2ステップのセットアップウィザード。左側に Keeper 選択グリッド、右側に自律レベルのトグル付きの Keeper ごとのルールレビューが表示されている
3

ダッシュボードを確認する

Keepers が有効になったら、サイドバーから 1 つを選択して Dashboard タブを確認します。4 つの統計カード(Open FindingsCritical & HighPotential SavingsThis Week)で素早く状況を把握できます。Findings Over Time チャートは深刻度別のトレンドを表示します。
AWS Cost Optimization ダッシュボード。オープン検出数、Critical と High、見込み節約額、今週のカウントの統計カード、および検出推移チャートが表示されている
4

検出のトリアージ

Findings タブに切り替えると、各検出ステータスの列を持つボードが表示されます。各検出カードにはタイトル、見込み節約額、工数レベル、リスク深刻度が表示されます。カードをクリックして詳細にドリルダウンするか、列間にドラッグしてステータスを更新します。
Findings の Kanban ボード。30 個の未割り当て EBS ボリューム、節約額 $55.20、工数 Low、リスク Medium を示す保留中の検出カードが表示されている
5

検出実行を確認する

Runs タブには、ステータス、サマリー、所要時間、作成・更新された検出数を含むすべての検出実行が表示されます。Keepers がスケジュール通りに実行されていることを確認する監査証跡として使用します。
Runs タブ。6 ルールから 30 件の検出、57 秒の所要時間、1 件の新しい検出を持つ完了した検出実行が表示されている
6

Keeper の設定を構成する

Settings タブでは、cron スケジュール(デフォルト:毎日 UTC 07:00)を設定し、個々の検出ルールのオン・オフを切り替えます。各ルールは検出内容の説明を表示し、ルールごとの自律性と閾値の設定をサポートします。
Settings タブ。cron スケジュールエディタと、アイドルコンピュート、未割り当てストレージ、古いスナップショットなどのトグルスイッチ付きの 10 件の検出ルールリストが表示されている

Finding からレコメンデーションへ

Keepers は生の検出を追跡・管理された作業に変換します:
  1. 検出 — 各 Keeper は cron スケジュール(デフォルト:毎日 UTC 07:00)またはオンデマンドで実行され、以前に発見したリソースだけでなく許可されたすべてのリソースをスキャンします。すべての実行は Runs タブに監査証跡を残します。
  2. トリアージ — 各 Finding は柱、深刻度、工数、見込み節約額でタグ付けされるため、最も価値の高い修正を優先できます。作業を進めながら Finding のステータスを移動させます:
    ステータス意味
    New(新規)検出されたばかりで、まだ誰も確認していません。
    Acknowledged(確認済み)チームメンバーが検出結果を確認し、フォローアップを担当しています。
    Active(対応中)検出結果への対応が進行中です。
    Resolved(解決済み)根本的な問題が修正され、検証済みです。
    Dismissed(却下)レビュー済みで、意図的に対応しないと判断されました。
  3. 昇格 — Finding はドラフトとして開始されます。対応する価値があるものをアクティブなレコメンデーションに昇格させます。すべてのレコメンデーションには、前後の見積もりを含むインパクト分析とステップバイステップのプレイブックが含まれます。詳細ビューからImpact Analyticsで詳細分析、Generate Guidelinesで共有可能なランブックの生成、Custom Promptでエッジケースの調査、またはImplementで変更を実行できます。
  4. 追跡 — レコメンデーションを Plan に保存して承認、スケジュール、実行の追跡を行い、ガバナンス、FinOps、セキュリティチームが同じ情報源を共有できるようにします。
Keepers は日々の運用ガードレールです。Assessment はより深い定期的な評価であり、日常的な実行を想定していません。

Keeper の設定

各 Keeper には専用の Settings タブがあり、以下を設定できます:
  • スケジュール:自動実行の cron 式(最小間隔:1時間)。
  • 検出ルール:個々のルールのトグル、各ルールの Manual または Auto の設定、ルールごとの閾値調整(アイドル CPU %、ルックバック日数、スナップショットの最大経過日数)。
  • コマンドと権限:各ルールが実行できるクラウドコマンドの管理(コマンドごとの効果:Allow / Require Approval / Deny)。
  • 通知:チャンネルごとの最小深刻度閾値を持つ Email、Slack、Teams チャンネル。アプリ内 通知 はチャンネル設定に関係なく常に配信されます。

コストのガードレール

有機的に成長したインフラには、手動の監査ではめったに検出できない無駄が隠れています。AWS-COST はアイドル状態の EC2 インスタンス、未割り当ての EBS ボリューム、古いスナップショット、活用されていない NAT Gateway にフラグを立てます。また、コンテキストを読み取ります:日次バックアップのタグが付いたボリュームには目的がありますが、昨年のタグなしテストボリュームは真の孤立リソースです。ダッシュボードで Finding を確認し、信頼度の高いものを昇格させ、Plan に保存して承認・実行します。
リソース利用状況と節約レコメンデーションを含むコスト最適化分析

セキュリティのガードレール

セキュリティのドリフトは監査の間に蓄積されます:過度に広い IAM ロール、パブリックな S3 バケット、暗号化されていないボリューム、0.0.0.0/0 に開かれたセキュリティグループ。AWS-SEC は継続的にスキャンし、運用上のコンテキストを評価します — ロードバランサーからの HTTP はどこからでも正常ですが、データベースへのアクセスは危険であり、ルートアカウントのアクセスキーは未使用の読み取り専用ロールよりも優先されます。重大な Finding を Slack にルーティングして即時トリアージを行い、複数チームにまたがる修正を Plan で追跡します。
修復手順を含むセキュリティ監査レコメンデーション

関連情報

Plan

Finding を Plan に保存して承認、スケジュール、実行の追跡を行う

Assessment

日常の Keeper 実行と並行してより深い定期的な Well-Architected アセスメントを実行する

Slack 統合

Keeper アラートをリアルタイムトリアージのために Slack チャンネルにルーティングする

タスク

Keepers を補完するための追加の定期分析をスケジュールする