AWS Resource Explorer 完全ガイド v2.0

マルチリージョン・マルチアカウント統合リソース検索

AWS Resource Explorer は、AWS アカウント・Organizations 内の全リソースをリージョン横断・サービス横断で検索できるフルマネージドなリソース検出サービス です。2025年10月より AWS が自動で有効化（無設定で即利用可能）され、すべてのユーザーが追加のセットアップなしに全リソースを検索できるようになりました。複数アカウント・複数リージョンの統合ビューにより、インフラ棚卸し・セキュリティ監査・コスト最適化・ガバナンスの初期調査を効率化します。本ドキュメントは Resource Explorer の概念・機能・ユースケース・最新動向を体系的に解説する包括的ガイドです。

ドキュメントの目的

本ガイドは以下を対象としています。

初心者向け： Resource Explorer とは何か、何ができるかを学びたい方
DevOps/SRE 向け： マルチリージョン・リソース検索、可視化の実装
セキュリティ向け： 未承認リソース・セキュリティグループ設定の検出
FinOps 向け： 未使用リソース・停止中 EC2 の検出とコスト削減
アーキテクト向け： Organizations 全体のリソースガバナンス・設計パターン
意思決定者向け： AWS Config / ServiceNow CMDB / 他の Discovery ツールとの比較

2025-2026 年の Resource Explorer エコシステム

デフォルト有効化（2025年10月）： 設定なしで全ユーザーが利用可能に
即座の検索機能（2025年10月）： Aggregator インデックス不要で、各リージョンでの同期検索が即座に実行可能
リージョン拡大（2025年）： Asia Pacific（Taipei）・Asia Pacific（New Zealand）での一般提供開始
CloudFormation ネイティブ対応強化（2025年）： Stack リソースの自動検出・追跡
Tag Editor との統合深化（2025年以降）： 一括タグ編集 → リソース検索の流れの統合
Cost Explorer との連携（検討中）： コスト分析と検索結果の連動

概要
Resource Explorer が解決する課題
主な特徴
アーキテクチャ
インデックスの種類
セットアップ・初期化
検索クエリ・フィルタリング
ビュー（View）の作成・管理
CLI/SDK 実装例
Terraform/CDK による IaC
Organizations 統合
主要ユースケース
AWS Config との使い分け
他のディスカバリーツールとの比較
ベストプラクティス
トラブルシューティング
セキュリティ・ガバナンス
料金モデル
2025-2026 最新動向
学習リソース・参考文献
実装チェックリスト
まとめ

概要

AWS Resource Explorer は、AWS アカウント・Organizations 内の全リソースをフルテキスト検索・タグ・リソースタイプでフィルタリング して、複数リージョン・複数アカウント横断で瞬時に検出 できるサービスです。

2025年10月の大きな変更：

AWS がすべてのアカウントで Resource Explorer を自動的に有効化。追加の設定なしに、すぐにリソース検索が開始できます。

何ができるのか：

質問: “production タグが付いた EC2 インスタンスをすべてのリージョンで探してください”
検索: aws resource-explorer-2 search --query-string “tag:environment=production resourcetype:ec2:instance”
結果: 数秒で全リージョンの結果を返却（us-east-1: 5個、eu-west-1: 3個、ap-northeast-1: 7個）

Resource Explorer が解決する課題

1. マルチリージョン・マルチサービス環境での可視性喪失

従来の課題：

各リージョンのコンソールを個別に確認
        ↓
「US East の EC2 はいくつあるか？」「AP Northeast の Lambda は？」
        ↓
手動で複数コンソールにログイン→時間がかかる→ミス発生

Resource Explorer での解決：

AWS Resource Explorer で全リージョン一括検索
        ↓
結果が統一フォーマットで返却
        ↓
数秒で全体像を把握

2. シャドウ IT・未管理リソースの検出

典型的な問題：

長年の開発で、誰が作ったのか分からないリソースが散在
タグが付いていないリソースが存在
不要だと思われるリソースが残存

Resource Explorer での検出：

# タグが付いていないリソースを全リージョンで検索
aws resource-explorer-2 search \
  --query-string "-tag:Environment resourcetype:ec2:instance"

# 結果: 未タグのリソースを一覧化

# コスト削減対象を特定

3. セキュリティ監査の効率化

# パブリック IP を持つすべてのリソースを検索
aws resource-explorer-2 search \
  --query-string "tag:PublicIPAssigned=true"

# 全リージョンのセキュリティグループでポート 22 が開いているリソース
# (CloudTrail / Config 統合で検出)

4. インフラ棚卸し

# Organizations 全体で RDS を使用しているアカウント・リージョンを把握
aws resource-explorer-2 search \
  --query-string "resourcetype:rds:db" \
  --view-arn arn:aws:resource-explorer-2:us-east-1:123456789012:view/aggregator-view

# 結果: すべてのアカウント・リージョンの RDS インスタンスを統一表示

主な特徴

特徴	説明
完全無料	利用料金なし
自動有効化（2025年10月以降）	設定不要で即利用可能
マルチリージョン	全 AWS リージョンで検索可能
マルチアカウント	Organizations 全体から検索可能（Aggregator Index）
フルテキスト検索	リソース名・ID・タグで検索
タグベースフィルタ	tag:key=value で効率的に絞り込み
リソースタイプフィルタ	resourcetype:service:resource で限定
ビュー（View）機能	よく使う検索条件を保存・共有
IAM 制御	ビューアクセスを IAM で制限可能
CloudTrail 統合	検索操作をログ記録

アーキテクチャ

graph TB
    subgraph "AWS Resource Explorer"
        subgraph "リージョン A (us-east-1)"
            LOCAL_A["LOCAL Index<br/>(リージョン内のみ)"]
        end
        
        subgraph "リージョン B (eu-west-1)"
            LOCAL_B["LOCAL Index<br/>(リージョン内のみ)"]
        end
        
        subgraph "リージョン C (ap-northeast-1)"
            LOCAL_C["LOCAL Index<br/>(リージョン内のみ)"]
        end
        
        AGGREGATOR["AGGREGATOR Index<br/>(Regions A+B+C)"]
    end
    
    subgraph "AWS Console / CLI"
        CLI["aws resource-explorer-2 search"]
        CONSOLE["Resource Explorer Console"]
    end
    
    subgraph "AWS Organizations"
        ORG_MGMT["Management Account"]
        ACC_A["Account A"]
        ACC_B["Account B"]
        ACC_C["Account C"]
    end
    
    LOCAL_A -->|各リージョンのリソース| AGGREGATOR
    LOCAL_B -->|各リージョンのリソース| AGGREGATOR
    LOCAL_C -->|各リージョンのリソース| AGGREGATOR
    
    CLI -->|Query| LOCAL_A
    CLI -->|Query| AGGREGATOR
    
    AGGREGATOR -->|全リージョン・全アカウント| ACC_A
    AGGREGATOR -->|集約インデックス| ACC_B
    AGGREGATOR -->|Organizations 統合| ACC_C

インデックスの種類

1. LOCAL Index（リージョンローカル）

単一リージョン内のリソースのみをインデックス化。

# LOCAL Index の作成（デフォルト）
aws resource-explorer-2 create-index \
  --type LOCAL \
  --region ap-northeast-1

# 検索結果：ap-northeast-1 リージョン内のリソースのみ

用途： リージョン内の検索に特化

2. AGGREGATOR Index（集約インデックス）

複数リージョン・複数アカウントのリソースを集約。

# AGGREGATOR Index の作成（Organizations 全体を集約）
aws resource-explorer-2 create-index \
  --type AGGREGATOR \
  --region us-east-1  # Aggregator は us-east-1 のみ

# 検索結果：全リージョン・全アカウントのリソース

用途： Organizations 全体の統一検索

セットアップ・初期化

2025年10月以降（自動有効化）

# デフォルトで有効化されているか確認
aws resource-explorer-2 list-indexes

# 出力例
{
  "Indexes": [
    {
      "Type": "LOCAL",
      "Arn": "arn:aws:resource-explorer-2:ap-northeast-1:123456789012:index/default",
      "Status": "ACTIVE"
    }
  ]
}

2025年10月より前のセットアップ（非推奨）

# リージョンごとに LOCAL Index を有効化
for region in ap-northeast-1 us-east-1 eu-west-1; do
  aws resource-explorer-2 create-index --type LOCAL --region $region
done

# 管理アカウントで AGGREGATOR Index を作成
aws resource-explorer-2 create-index --type AGGREGATOR --region us-east-1

# Organizations との統合を有効化
aws organizations enable-aws-service-access \
  --service-principal resource-explorer-2.amazonaws.com

# Organizations の管理アカウントで許可
aws resource-explorer-2 associate-default-view \
  --view-arn arn:aws:resource-explorer-2:us-east-1:123456789012:view/aggregator

検索クエリ・フィルタリング

基本的な検索構文

# 1. フルテキスト検索（名前・ID を含むリソースを検索）
aws resource-explorer-2 search \
  --query-string "my-database"

# 2. リソースタイプでフィルタ
aws resource-explorer-2 search \
  --query-string "resourcetype:ec2:instance"

# 3. タグでフィルタ
aws resource-explorer-2 search \
  --query-string "tag:Environment=production"

# 4. リージョンでフィルタ
aws resource-explorer-2 search \
  --query-string "region:ap-northeast-1"

# 5. 複合検索
aws resource-explorer-2 search \
  --query-string "resourcetype:ec2:instance tag:Environment=production region:ap-northeast-1"

# 6. 否定検索（タグなしリソース）
aws resource-explorer-2 search \
  --query-string "resourcetype:ec2:instance -tag:Owner"

# 7. キーワード検索（名前の一部一致）
aws resource-explorer-2 search \
  --query-string "api-gateway-lambda"

高度なフィルタリング

# 複数の環境タグで検索
aws resource-explorer-2 search \
  --query-string "tag:Environment=production OR tag:Environment=staging"

# 特定のアカウント + リージョン
aws resource-explorer-2 search \
  --query-string "resourcetype:lambda:function region:us-east-1 region:ap-northeast-1"

# セキュリティグループで特定ポート開放
# (CloudTrail / Config 連携で可能)
aws resource-explorer-2 search \
  --query-string "resourcetype:ec2:security-group property:GroupOwnerId=123456789012"

# パブリック IP を持つリソース
aws resource-explorer-2 search \
  --query-string "resourcetype:ec2:instance property:PublicIpAddress=*"

ビュー（View）の作成・管理

ビューは、よく使う検索条件を保存 して、チーム全体で再利用できる機能。

# ビューの作成（Production 環境リソース）
aws resource-explorer-2 create-view \
  --name ProductionResources \
  --filters "{
    \"FilterString\": \"tag:Environment=production\"
  }" \
  --description "All production resources"

# ビューの一覧確認
aws resource-explorer-2 list-views

# ビューを使用した検索
aws resource-explorer-2 search \
  --view-arn arn:aws:resource-explorer-2:ap-northeast-1:123456789012:view/ProductionResources \
  --query-string "resourcetype:ec2:instance"  # ビューのフィルタに追加で AND 検索

# ビューのアクセス権限を設定
aws resource-explorer-2 associate-default-view \
  --view-arn arn:aws:resource-explorer-2:ap-northeast-1:123456789012:view/ProductionResources

CLI/SDK 実装例

Python SDK 高度な実装

import boto3
from datetime import datetime
import csv

class ResourceExplorerClient:
    def __init__(self, region='us-east-1'):
        self.explorer = boto3.client('resource-explorer-2', region_name=region)
    
    def search_resources(self, query_string, max_results=100):
        """リソースを検索"""
        response = self.explorer.search(
            QueryString=query_string,
            MaxResults=max_results
        )
        
        return response.get('Resources', [])
    
    def get_production_resources(self, resource_type=None):
        """Production リソースを一覧"""
        query = "tag:Environment=production"
        
        if resource_type:
            query += f" resourcetype:{resource_type}"
        
        return self.search_resources(query)
    
    def find_untagged_resources(self, resource_type=None):
        """タグなしリソースを検出"""
        query = "-tag:Environment -tag:Owner -tag:CostCenter"
        
        if resource_type:
            query += f" resourcetype:{resource_type}"
        
        return self.search_resources(query)
    
    def find_public_resources(self):
        """パブリック IP を持つリソース検出"""
        resources = self.search_resources("resourcetype:ec2:instance")
        
        public_resources = []
        for res in resources:
            properties = res.get('Properties', {})
            
            if properties.get('PublicIpAddress'):
                public_resources.append({
                    'arn': res['Arn'],
                    'type': res['ResourceType'],
                    'region': res['Region'],
                    'public_ip': properties.get('PublicIpAddress')
                })
        
        return public_resources
    
    def export_to_csv(self, query_string, output_file):
        """検索結果を CSV にエクスポート"""
        resources = self.search_resources(query_string)
        
        with open(output_file, 'w', newline='') as f:
            writer = csv.DictWriter(f, fieldnames=[
                'ARN', 'ResourceType', 'Region', 'Tags'
            ])
            writer.writeheader()
            
            for res in resources:
                tags = ', '.join([
                    f"{k}={v}" for k, v in res.get('Tags', {}).items()
                ])
                
                writer.writerow({
                    'ARN': res['Arn'],
                    'ResourceType': res['ResourceType'],
                    'Region': res['Region'],
                    'Tags': tags
                })
        
        print(f"Exported {len(resources)} resources to {output_file}")

# 使用例
if __name__ == "__main__":
    explorer = ResourceExplorerClient()
    
    # 1. Production リソースを検索
    prod_resources = explorer.get_production_resources('ec2:instance')
    print(f"Found {len(prod_resources)} production EC2 instances")
    
    # 2. タグなしリソース検出
    untagged = explorer.find_untagged_resources()
    print(f"Found {len(untagged)} untagged resources")
    
    # 3. パブリック IP の検出（セキュリティチェック）
    public = explorer.find_public_resources()
    for res in public:
        print(f"⚠️ Public resource: {res['arn']} ({res['public_ip']})")
    
    # 4. CSV エクスポート
    explorer.export_to_csv(
        "tag:CostCenter=IT-123",
        "/tmp/it-123-resources.csv"
    )

Node.js SDK 実装

const AWS = require('aws-sdk');

class ResourceExplorer {
    constructor(region = 'us-east-1') {
        this.explorer = new AWS.ResourceExplorer2({region});
    }
    
    async searchResources(queryString) {
        const params = {
            QueryString: queryString,
            MaxResults: 100
        };
        
        try {
            const response = await this.explorer.search(params).promise();
            return response.Resources || [];
        } catch (error) {
            console.error('Search error:', error);
            return [];
        }
    }
    
    async findSecurityIssues() {
        // セキュリティ監査用の検索パターン
        const patterns = [
            {
                name: 'Untagged EC2',
                query: 'resourcetype:ec2:instance -tag:Owner'
            },
            {
                name: 'Open SSH (Port 22)',
                query: 'resourcetype:ec2:security-group property:IpPermissions.FromPort=22'
            },
            {
                name: 'Public RDS',
                query: 'resourcetype:rds:db property:PubliclyAccessible=true'
            },
            {
                name: 'S3 Public ACL',
                query: 'resourcetype:s3:bucket'
            }
        ];
        
        const issues = {};
        
        for (const pattern of patterns) {
            const resources = await this.searchResources(pattern.query);
            if (resources.length > 0) {
                issues[pattern.name] = resources;
            }
        }
        
        return issues;
    }
}

// 使用例
(async () => {
    const explorer = new ResourceExplorer('ap-northeast-1');
    
    // セキュリティ監査実行
    const issues = await explorer.findSecurityIssues();
    
    for (const [issueType, resources] of Object.entries(issues)) {
        console.log(`\n${issueType}: ${resources.length} found`);
        resources.forEach(res => {
            console.log(`  - ${res.Arn}`);
        });
    }
})();

Terraform/CDK による IaC

Terraform 実装

# variables.tf
variable "aggregator_region" {
  default = "us-east-1"
}

# main.tf
terraform {
  required_providers {
    aws = {
      source  = "hashicorp/aws"
      version = "~> 5.0"
    }
  }
}

provider "aws" {
  region = var.aggregator_region
}

# Aggregator Index の作成（全リージョン集約）
resource "aws_resource_explorer_2_index" "aggregator" {
  region = var.aggregator_region
  type   = "AGGREGATOR"
  
  tags = {
    Name        = "organization-aggregator"
    Environment = "production"
  }
}

# Production リソースビュー
resource "aws_resource_explorer_2_view" "production" {
  name           = "ProductionResources"
  region         = var.aggregator_region
  default_view   = false
  
  filters {
    filter_string = "tag:Environment=production"
  }
  
  tags = {
    Name = "production-view"
  }
  
  depends_on = [aws_resource_explorer_2_index.aggregator]
}

# セキュリティ監査用ビュー
resource "aws_resource_explorer_2_view" "security_audit" {
  name         = "SecurityAudit"
  region       = var.aggregator_region
  default_view = false
  
  filters {
    filter_string = "-tag:Owner -tag:Environment"
  }
  
  tags = {
    Name = "security-audit-view"
  }
}

# 出力
output "aggregator_index_arn" {
  value = aws_resource_explorer_2_index.aggregator.arn
}

output "production_view_arn" {
  value = aws_resource_explorer_2_view.production.arn
}

Organizations 統合

Aggregator Index でマルチアカウント検索

# 管理アカウントで Aggregator Index を作成
aws resource-explorer-2 create-index --type AGGREGATOR --region us-east-1

# Organizations レベルでサービスアクセスを有効化
aws organizations enable-aws-service-access \
  --service-principal resource-explorer-2.amazonaws.com

# すべてのワークロードアカウントで LOCAL Index を有効化
# (CloudFormation StackSets で自動展開可)
for account_id in $(aws organizations list-accounts --query 'Accounts[?Id!=`123456789012`].Id' --output text); do
  aws resource-explorer-2 create-index --type LOCAL --region ap-northeast-1 \
    --account-id "$account_id"
done

# 複数アカウント・複数リージョンで検索
aws resource-explorer-2 search \
  --query-string "resourcetype:rds:db" \
  --view-arn arn:aws:resource-explorer-2:us-east-1:123456789012:view/aggregator

主要ユースケース

1. セキュリティ監査・コンプライアンス

# パブリック IP を持つすべてのリソース
aws resource-explorer-2 search \
  --query-string "property:PublicIpAddress=*"

# 未承認のセキュリティグループ
aws resource-explorer-2 search \
  --query-string "resourcetype:ec2:security-group -tag:ApprovedBy"

# 暗号化なしの RDS
aws resource-explorer-2 search \
  --query-string "resourcetype:rds:db property:StorageEncrypted=false"

2. コスト最適化・リソース棚卸し

# 停止中の EC2 インスタンス（長期間コスト）
aws resource-explorer-2 search \
  --query-string "resourcetype:ec2:instance property:State=stopped"

# 未使用の EIP（課金対象）
aws resource-explorer-2 search \
  --query-string "resourcetype:ec2:elastic-ip"

# 未使用の RDS スナップショット
aws resource-explorer-2 search \
  --query-string "resourcetype:rds:db-snapshot"

3. デプロイ前の影響分析

# あるタグを持つすべてのリソースを検索
aws resource-explorer-2 search \
  --query-string "tag:Application=payment-service"

# 複数リージョンの同一アプリケーションを一覧
aws resource-explorer-2 search \
  --query-string "tag:Application=inventory-service region:ap-northeast-1 region:us-east-1"

4. インシデント対応

# 特定のセキュリティグループを参照しているリソース
aws resource-explorer-2 search \
  --query-string "sg-0123456789abcdef0"

# 特定の VPC に属するリソル
aws resource-explorer-2 search \
  --query-string "vpc-0123456789abcdef0"

AWS Config との使い分け

観点	Resource Explorer	AWS Config
主目的	リソースの検索・発見	設定変更の記録・コンプライアンス
実行速度	即座（インデックス）	都度クエリ（遅い）
変更履歴	なし	あり（全変更を記録）
コンプライアンス評価	なし（カスタムクエリのみ）	あり（Config Rules）
料金	無料	課金あり
推奨用途	リソース横断検索	コンプライアンス・監査

組み合わせ使用例：

Resource Explorer: 「Prod の EC2 は全リージョンでいくつ？」
AWS Config: 「その EC2 の設定は過去1ヶ月でどう変わった？」

他のディスカバリーツールとの比較

ツール	強み	弱み	用途
Resource Explorer	マルチリージョン、無料、高速	メタデータのみ、変更履歴なし	リソース検索・棚卸し
AWS Config	変更追跡、コンプライアンス評価	遅い、課金あり	設定管理・監査
ServiceNow CMDB	統合ダッシュボード、エンタープライズ	複雑、高コスト	IT Service Management
Cloudability Discovery	コスト分析統合、推奨	AWS 専用、商用	コスト最適化
Snow Software Discovery	オンプレミス・クラウド統合	複雑、高コスト	Software Asset Management
OpenSearch	全文検索、カスタムクエリ	メンテナンスコスト	ログ分析・カスタマイズ

ベストプラクティス

1. ビューの標準化

ビューの例：
- ProductionResources: tag:Environment=production
- SecurityAudit: -tag:Owner -tag:Environment -tag:CostCenter
- Untagged: -tag:Owner -tag:Environment
- ExpiredResources: tag:ExpirationDate < now()

2. タグ戦略の統一

必須タグ：
- Owner: チーム / 個人
- Environment: production / staging / development
- CostCenter: コストセンター ID
- Application: アプリケーション名
- CreationDate: 作成日

3. 定期的な棚卸しスケジュール

# 月次監査スクリプト
#!/bin/bash

echo "=== Production Resources ===" 
aws resource-explorer-2 search \
  --query-string "tag:Environment=production" | jq '.Resources | length'

echo "=== Untagged Resources ===" 
aws resource-explorer-2 search \
  --query-string "-tag:Owner" | jq '.Resources | length'

echo "=== Stopped Instances ===" 
aws resource-explorer-2 search \
  --query-string "resourcetype:ec2:instance property:State=stopped"

4. 権限制御

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "resource-explorer-2:Search",
        "resource-explorer-2:GetView",
        "resource-explorer-2:ListIndexes"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Deny",
      "Action": [
        "resource-explorer-2:CreateView",
        "resource-explorer-2:UpdateView",
        "resource-explorer-2:DeleteView"
      ],
      "Resource": "*"
    }
  ]
}

トラブルシューティング

1. 検索結果が空

症状： query-string で結果が返されない

原因と対策：

# インデックスが有効化されているか確認
aws resource-explorer-2 list-indexes

# Status が ACTIVE か確認
# Status が CREATING の場合は数分待機

# クエリ文法を確認
# リソースタイプが存在するか確認
aws resource-explorer-2 list-supported-resource-types

2. マルチアカウント検索が機能しない

症状： Aggregator Index でも結果が少ない