2.6. Athena のアカウントアクセスの有効化

AWS で Athena と Lambda 関数用の IAM ポリシーとロールを作成します。

手順

AWS Identity and Access Management (IAM) コンソールから、設定する Athena Lambda 関数用の IAM ポリシーを作成します。

JSON タブを選択し、JSON ポリシーテキストボックスに以下の内容を貼り付けます。

{
	"Version": "2012-10-17",
	"Statement": [
    	{
        	"Effect": "Allow",
        	"Action": [
            	"athena:*"
        	],
        	"Resource": [
            	"*"
        	]
    	},
    	{
        	"Effect": "Allow",
        	"Action": [
            	"glue:CreateDatabase",
            	"glue:DeleteDatabase",
            	"glue:GetDatabase",
            	"glue:GetDatabases",
            	"glue:UpdateDatabase",
            	"glue:CreateTable",
            	"glue:DeleteTable",
            	"glue:BatchDeleteTable",
            	"glue:UpdateTable",
            	"glue:GetTable",
            	"glue:GetTables",
            	"glue:BatchCreatePartition",
            	"glue:CreatePartition",
            	"glue:DeletePartition",
            	"glue:BatchDeletePartition",
            	"glue:UpdatePartition",
            	"glue:GetPartition",
            	"glue:GetPartitions",
            	"glue:BatchGetPartition"
        	],
        	"Resource": [
            	"*"
        	]
    	},
    	{
        	"Effect": "Allow",
        	"Action": [
            	"s3:GetBucketLocation",
            	"s3:GetObject",
            	"s3:ListBucket",
            	"s3:ListBucketMultipartUploads",
            	"s3:ListMultipartUploadParts",
            	"s3:AbortMultipartUpload",
            	"s3:CreateBucket",
            	"s3:PutObject",
            	"s3:PutBucketPublicAccessBlock"
        	],
        	"Resource": [
            	"arn:aws:s3:::CHANGE-ME*"
        	]
    	},
    	{
        	"Effect": "Allow",
        	"Action": [
            	"s3:GetObject",
            	"s3:ListBucket"
        	],
        	"Resource": [
            	"arn:aws:s3:::CHANGE-ME*"
        	]
    	},
    	{
        	"Effect": "Allow",
        	"Action": [
            	"s3:ListBucket",
            	"s3:GetBucketLocation",
            	"s3:ListAllMyBuckets"
        	],
        	"Resource": [
            	"*"
        	]
    	},
    	{
        	"Effect": "Allow",
        	"Action": [
            	"sns:ListTopics",
            	"sns:GetTopicAttributes"
        	],
        	"Resource": [
            	"*"
        	]
    	},
    	{
        	"Effect": "Allow",
        	"Action": [
            	"cloudwatch:PutMetricAlarm",
            	"cloudwatch:DescribeAlarms",
            	"cloudwatch:DeleteAlarms",
            	"cloudwatch:GetMetricData"
        	],
        	"Resource": [
            	"*"
        	]
    	},
    	{
        	"Effect": "Allow",
        	"Action": [
            	"lakeformation:GetDataAccess"
        	],
        	"Resource": [
            	"*"
        	]
    	},
    	{
        	"Effect": "Allow",
        	"Action": [
            	"logs:*"
        	],
        	"Resource": "*"
		},
		{
			"Sid": "VisualEditor3",
			"Effect": "Allow",
			"Action": [
				"secretsmanager:GetSecretValue",
				"secretsmanager:DescribeSecret"
			],
			"Resource": "*"
		}
	]
}

{
	"Version": "2012-10-17",
	"Statement": [
    	{
        	"Effect": "Allow",
        	"Action": [
            	"athena:*"
        	],
        	"Resource": [
            	"*"
        	]
    	},
    	{
        	"Effect": "Allow",
        	"Action": [
            	"glue:CreateDatabase",
            	"glue:DeleteDatabase",
            	"glue:GetDatabase",
            	"glue:GetDatabases",
            	"glue:UpdateDatabase",
            	"glue:CreateTable",
            	"glue:DeleteTable",
            	"glue:BatchDeleteTable",
            	"glue:UpdateTable",
            	"glue:GetTable",
            	"glue:GetTables",
            	"glue:BatchCreatePartition",
            	"glue:CreatePartition",
            	"glue:DeletePartition",
            	"glue:BatchDeletePartition",
            	"glue:UpdatePartition",
            	"glue:GetPartition",
            	"glue:GetPartitions",
            	"glue:BatchGetPartition"
        	],
        	"Resource": [
            	"*"
        	]
    	},
    	{
        	"Effect": "Allow",
        	"Action": [
            	"s3:GetBucketLocation",
            	"s3:GetObject",
            	"s3:ListBucket",
            	"s3:ListBucketMultipartUploads",
            	"s3:ListMultipartUploadParts",
            	"s3:AbortMultipartUpload",
            	"s3:CreateBucket",
            	"s3:PutObject",
            	"s3:PutBucketPublicAccessBlock"
        	],
        	"Resource": [
            	"arn:aws:s3:::CHANGE-ME*"


        	]
    	},
    	{
        	"Effect": "Allow",
        	"Action": [
            	"s3:GetObject",
            	"s3:ListBucket"
        	],
        	"Resource": [
            	"arn:aws:s3:::CHANGE-ME*"


        	]
    	},
    	{
        	"Effect": "Allow",
        	"Action": [
            	"s3:ListBucket",
            	"s3:GetBucketLocation",
            	"s3:ListAllMyBuckets"
        	],
        	"Resource": [
            	"*"
        	]
    	},
    	{
        	"Effect": "Allow",
        	"Action": [
            	"sns:ListTopics",
            	"sns:GetTopicAttributes"
        	],
        	"Resource": [
            	"*"
        	]
    	},
    	{
        	"Effect": "Allow",
        	"Action": [
            	"cloudwatch:PutMetricAlarm",
            	"cloudwatch:DescribeAlarms",
            	"cloudwatch:DeleteAlarms",
            	"cloudwatch:GetMetricData"
        	],
        	"Resource": [
            	"*"
        	]
    	},
    	{
        	"Effect": "Allow",
        	"Action": [
            	"lakeformation:GetDataAccess"
        	],
        	"Resource": [
            	"*"
        	]
    	},
    	{
        	"Effect": "Allow",
        	"Action": [
            	"logs:*"
        	],
        	"Resource": "*"
		},
		{
			"Sid": "VisualEditor3",
			"Effect": "Allow",
			"Action": [
				"secretsmanager:GetSecretValue",
				"secretsmanager:DescribeSecret"
			],
			"Resource": "*"
		}
	]
}

Copy to Clipboard

Toggle word wrap

1 2: 両方の場所の CHANGE-ME* を、手順 2.2 で設定した S3 バケットの ARN に置き換えます。

名前を入力してポリシーの作成を完了します。

新しい IAM ロールを作成します。
1. 信頼できるエンティティーのタイプには、AWS service を選択します。
2. Lambda を選択します。
3. 設定したばかりの IAM ポリシーを割り当てます。
4. ロール名と説明を入力し、ロールの作成を完了します。
サービスアカウントの情報を AWS Secrets Manager に保存し、作成したロールに追加します。
1. Secret type: Other type of secret を選択し、シークレットを作成します。
2. Red Hat Hybrid Cloud Console サービスアカウント client_id のキーを作成します。
3. Red Hat Hybrid Cloud Console サービスアカウント client_secret のキーを作成します。
4. サービスアカウントの値を対応するキーに追加します。
5. Continue をクリックし、名前を入力してシークレットを保存します。

2.6.1. レポート生成用の Athena 設定
リンクのコピー

Cost Management に送信する前にデータをフィルタリングするように Athena のテーブルを設定します。

次の設定では、保存されている追加の情報へのアクセスのみが提供されます。他のものは提供しません。

手順

AWS S3 コンソールで、手順 2.2 で設定した S3 バケットに移動します。次に、設定したデータエクスポートによって作成されるパスにある crawler-cfn.yml ファイルに移動します。例: {bucket-name}/{S3_path_prefix}/{export_name}/crawler-cfn.yml.crawler-cfn.yml の Object URL をコピーします。
AWS コンソールの Cloudformation から、新規リソースでスタックを作成します。
1. 既存のテンプレートを選択します。
2. Specify Template を選択します。
3. Template Source: Amazon S3 URL を選択します。
4. 以前にコピーしたオブジェクト URL を貼り付けます。
名前を入力し、Next をクリックします。
I acknowledge that AWS Cloudformation might create IAM resources をクリックして Submit をクリックします。

2.6.2. Athena クエリーの構築
リンクのコピー

Red Hat の経費のデータエクスポートをクエリーし、フィルタリングした経費のレポートを作成する Athena クエリーを作成します。

たとえば、Red Hat の支出をフィルタリングする場合は、サンプルスクリプトに含まれているクエリーだけが必要になることがあります。さらに高度な機能が必要な場合は、カスタムクエリーを作成します。RHEL メータリングを使用している場合は、RHEL サブスクリプションに固有のデータを返すようにクエリーを調整する必要があります。以下の手順では、RHEL サブスクリプションクエリーを作成する方法を説明します。

Red Hat 支出の Athena クエリーの例

SELECT *
    FROM <your_export_name>
    WHERE (
            bill_billing_entity = 'AWS Marketplace'
            AND line_item_legal_entity like '%Red Hat%'
        )
        OR (
            line_item_legal_entity like '%Amazon Web Services%'
            AND line_item_line_item_description like '%Red Hat%'
        )
        OR (
            line_item_legal_entity like '%Amazon Web Services%'
            AND line_item_line_item_description like '%RHEL%'
        )
        OR (
            line_item_legal_entity like '%AWS%'
            AND line_item_line_item_description like '%Red Hat%'
        )
        OR (
            line_item_legal_entity like '%AWS%'
            AND line_item_line_item_description like '%RHEL%'
        )
        OR (
            line_item_legal_entity like '%AWS%'
            AND product_product_name like '%Red Hat%'
        )
        OR (
            line_item_legal_entity like '%Amazon Web Services%'
            AND product_product_name like '%Red Hat%'
        )
        AND year = '2024'
        AND month = '07'

SELECT *
    FROM <your_export_name>
    WHERE (
            bill_billing_entity = 'AWS Marketplace'
            AND line_item_legal_entity like '%Red Hat%'
        )
        OR (
            line_item_legal_entity like '%Amazon Web Services%'
            AND line_item_line_item_description like '%Red Hat%'
        )
        OR (
            line_item_legal_entity like '%Amazon Web Services%'
            AND line_item_line_item_description like '%RHEL%'
        )
        OR (
            line_item_legal_entity like '%AWS%'
            AND line_item_line_item_description like '%Red Hat%'
        )
        OR (
            line_item_legal_entity like '%AWS%'
            AND line_item_line_item_description like '%RHEL%'
        )
        OR (
            line_item_legal_entity like '%AWS%'
            AND product_product_name like '%Red Hat%'
        )
        OR (
            line_item_legal_entity like '%Amazon Web Services%'
            AND product_product_name like '%Red Hat%'
        )
        AND year = '2024'
        AND month = '07'

Copy to Clipboard

Toggle word wrap

AWS アカウント:

エディタータブから Amazon Athena に移動します。
Data source メニューから、AwsDataCatalog を選択します。
Database メニューからデータのエクスポートを選択します。データエクスポート名の前に athenacurcfn_ が追加され、その後にデータエクスポート名が追加されます。例: {your_export_name}。

以下のサンプルクエリーを Query フィールドに貼り付けます。your_export_name の値は、データエクスポート名に置き換えます。

SELECT column_name
FROM information_schema.columns
WHERE table_name = '<your_export_name>'
AND column_name LIKE 'resource_tags_%';

SELECT column_name
FROM information_schema.columns
WHERE table_name = '<your_export_name>'
AND column_name LIKE 'resource_tags_%';

Copy to Clipboard

Toggle word wrap

Run をクリックします。このクエリーの結果は、データセットのタグに関連するすべての列を返します。
RHEL タグに使用される列と一致するタグ列をコピーします。

以下のクエリー例に貼り付けます。your_export_name は、前の手順でコピーした tags 列に、year と month はクエリーする年と月に置き換えます。結果として、RHEL サブスクリプションに対して適切にタグ付けされた EC2 インスタンスが返されます。このクエリーをコピーして保存し、今後 Lambda 関数で使用します。

SELECT *
        FROM <your_export_name>
        WHERE (
            line_item_product_code = 'AmazonEC2'
            AND strpos(lower(<rhel_tag_column_name>), 'com_redhat_rhel') > 0
        )
        AND year = '<year>'
        AND month = '<month>'

SELECT *
        FROM <your_export_name>
        WHERE (
            line_item_product_code = 'AmazonEC2'
            AND strpos(lower(<rhel_tag_column_name>), 'com_redhat_rhel') > 0
        )
        AND year = '<year>'
        AND month = '<month>'

Copy to Clipboard

Toggle word wrap

2.6.3. Athena の Lambda 関数の作成
リンクのコピー

Red Hat 関連の経費のデータエクスポートをクエリーし、フィルタリングされた経費のレポートを作成する Lambda 関数を作成する必要があります。

手順

AWS コンソールで Lambda に移動し、Create function をクリックします。
Author from scratch をクリックします。
関数の名前を入力します。
Runtime メニューから、利用可能な Python の最新バージョンを選択します。
Architecture メニューから x86_64 を選択します。
Permissions で、作成した Athena ロールを選択します。
Lambda 関数の一部としてビルドしたクエリーを追加するには、Create function をクリックして、進捗を保存します。
関数の Code タブから、このスクリプトを貼り付けます。以下の行を探します。
your_integration_external_id
AWS Cost and Usage Reports のアカウントアクセスを有効にする IAM ポリシーの設定 手順でコピーしたインテグレーションの UUID を入力します。
bucket
フィルタリングしたデータのレポートを保存するためのバケットの作成 の手順で、フィルタリングされたレポートを保存するために作成した S3 バケットの名前を入力します。
database
Building your Athena クエリー ステップで使用するデータベース名を入力します。
export_name
コストデータを保存するための AWS S3 バケットを作成したときのデータエクスポートの名前を入力します。

where 句を置き換えて、デフォルトのクエリーをカスタムクエリーに更新します。次に例を示します。

Athena query

# Athena query
query = f"SELECT * FROM {database}.{export_name} WHERE (line_item_product_code = 'AmazonEC2' AND strpos(lower(<rhel_tag_column_name>), 'com_redhat_rhel') > 0) AND year = '{year}' AND month = '{month}'"

Copy to Clipboard

Toggle word wrap

Deploy をクリックして関数をテストします。

2.6.4. レポートファイルを Post するための Lambda 関数の作成
リンクのコピー

フィルタリングしたレポートを Red Hat がアクセスできるバケットに投稿するには、2 番目の Lambda 関数を作成する必要があります。

手順

AWS コンソールの Lambda に移動し、Create function をクリックします。
Author from scratch をクリックします。
関数の名前を入力します。
Runtime メニューから、利用可能な Python の最新バージョンを選択します。
関数のアーキテクチャータイプとして x86_64 を選択します。
Permissions で、作成した Athena ロールを選択します。
Create function をクリックします。
このスクリプトを関数に貼り付け、次の行を置き換えます。
secret_name = "CHANGEME"
Athena のアカウントアクセスの有効化 手順で使用したシークレット名を入力します。
bucket = "<your_S3_Bucket_Name>"
フィルタリングされたデータのレポートを保存するためのバケットを作成する 手順で、フィルタリングされたレポートを保存するために作成した S3 バケットの名前を入力します。
Deploy をクリックして関数をテストします。

2.6. Athena のアカウントアクセスの有効化

2.6.1. レポート生成用の Athena 設定
リンクのコピー

2.6.2. Athena クエリーの構築
リンクのコピー

2.6.3. Athena の Lambda 関数の作成
リンクのコピー

2.6.4. レポートファイルを Post するための Lambda 関数の作成
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

2.6. Athena のアカウントアクセスの有効化

2.6.1. レポート生成用の Athena 設定リンクのコピーリンクがクリップボードにコピーされました!

2.6.2. Athena クエリーの構築リンクのコピーリンクがクリップボードにコピーされました!

2.6.3. Athena の Lambda 関数の作成リンクのコピーリンクがクリップボードにコピーされました!

2.6.4. レポートファイルを Post するための Lambda 関数の作成リンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

2.6.1. レポート生成用の Athena 設定
リンクのコピー

2.6.2. Athena クエリーの構築
リンクのコピー

2.6.3. Athena の Lambda 関数の作成
リンクのコピー

2.6.4. レポートファイルを Post するための Lambda 関数の作成
リンクのコピー