先に結論
- インスタンスに対して、適用したいルールがどれかを考えて評価テンプレートを作成する
- 検査したいルールにインスタンスを割り振ると料金面で損をする
日本語難しいがこんな感じの結論。
なぜこんなことを調べたか
Amazon Inspectorの料金体系は非常にシンプルで、1回のエージェントの評価で0.30 USDとなっている。
EC2の1インスタンスにエージェントを1つ入れて1回評価すれば0.3$かかる、と思えばおおよそ大丈夫なのだが、疑問に思った原因はこちら
ルールが複数設定可能である。
このことから、料金の観点から評価テンプレートをどうするべきなのかに悩んだのです。
評価テンプレートをルールベースに考えて、ルールは一つで、そのルールで評価したいインスタンス複数を指定しようと思っていた。
しかし、複数のルール適用で1評価であるのならば、評価テンプレートはインスタンスを1つにしてそのインスタンスの評価したいインスタンスを割り振ったほうが安い。
ex1)
評価テンプレート名をそれぞれ「CIS」、「SVE」、「SBP」にして4台のインスタンスを紐づけ
→3×4×0.3=3.6$
ex2)
評価テンプレート名をそれぞれ「i-111111111」「i-22222222」「i-33333333」「i-44444444」として、3つのルールを適用
→4×0.3=1.2$
になるのではないのだろうかということだ。
同時に評価を実行した場合に手に入れられる情報は同じだが、料金的に差が生まれないかと。
今はルールが4つだが、更に多くのルールが生まれる可能性もあるし、大量にテンプレートを生み出した場合に修正するとなると面倒なことになるので先に設計してから作りたい。
ex2でやっとけば安心かとも思うが、CISの評価しているインスタンス一覧は〜などと見るときに面倒そう。
まぁ、うまい具合にターゲット対象のタグで判別させればできなくはないのだが、後学のためにも知っておこうと思う。
AWSに問い合わせてみる。
上の認識で間違えていないのか、AWSに問い合わせてみました。
前にもお世話になったチャットからお願いしたところ、回答があり、上記の認識で間違いないとのこと。
つまり、ルールをどれだけ設定した評価テンプレートをインスタンスに対して実行しても、1回の評価になるが、
複数の評価テンプレートにインスタンスをつけたりすると複数回になって料金が上がるので、作るときにはex2のように作りましょう。