プロビジョニングとオーケストレーション - AWS 規範ガイダンス
スタートアドバンスExcel

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

プロビジョニングとオーケストレーション

承認されたクラウド製品のカタログを作成、管理、およびユーザーに配布します。

一貫性があり、スケーラブルで、繰り返し可能な方法でインフラストラクチャをプロビジョニングすることは、組織の成長につれて、より困難になります。プロビジョニングとオーケストレーションを合理化することで、一貫したガバナンスを実現し、コンプライアンス要件を満たすと同時に、承認されたクラウド製品のみをユーザーがデプロイできるようになります。

組織内で事前に承認された製品を再利用することで、開発者は組織のセキュリティとガバナンスの要件を満たしながら、より迅速かつ一貫してアプリケーションを構築できます。

スタート

hub-and-spokeカタログモデルをデプロイする

ポートフォリオとしてサービスカタログで管理されるソフトウェアアセットは、hub-and-spokeパターンで 1 つ以上のアカウントのユーザーと共有されます。プライベートマーケットプレイスとプライベートオファーを使用して、サードパーティーのソリューションを厳選し、Infrastructure as Code (IaC) テンプレートで配信できます。

ビルダーが事前承認された製品を消費できるようにするには、これらの製品を確認して承認し、ユーザーに公開するプロセスを定義します。まず、これらの事前承認済み製品を含む一元管理されたリポジトリを設計および実装します。組織のユーザーが各製品を消費する必要がある場合に、このリポジトリ内のライセンスと製品へのアクセスを許可するシステムを設計します。

組織内のビルダーが製品を承認のために公開メカニズムに送信することを許可します。これにより、これらの製品は承認後に組織内のすべてのユーザーが使用できるようになります。

再利用のためにテンプレートをキュレートする

ソリューションの IaC テンプレートを体系化し、hub-and-spokeモデルを定義したら、スポークアカウントごとにプロビジョニング済み/強制済み使用可能な 2 つのカテゴリのテンプレートを定義する必要があります。プロビジョニング/強制テンプレートは、基本機能として管理アカウントから各メンバーアカウントに直接プロビジョニングされます。テンプレートを使用できるので、ビルダーはセルフサービス方式で参照およびプロビジョニングできます。

再利用のためにデフォルトパラメータを適用する

ビルダーが事前に選択できるデフォルトのパラメータを含む IaC テンプレートを実装します。これにより、ビルダーは各パラメータの詳細を評価することなくガバナンスに合わせることができ、誤った選択を行うのを防ぐことができます。このアプローチでは、セットアップに必要なものだけが公開されます。例えば、 は、特定のポートフォリオの製品に適用されるルールを制御する制約機能を使用してこのアプローチAWS Service Catalogを実装します。このカスタマイズは、ビルダーチームがテンプレートのセルフサービスプロビジョニングを使用する場合に事前設定されます。

承認プロセスを確立する

製品を使用するビジネス上の理由がある場合、ユーザーは承認されていない製品へのアクセスリクエストを送信できる必要があります。使用している製品の更新が利用可能になったときにユーザーに通知する通知システムを構築して、最新のセキュリティ更新に準拠できるようにします。

セルフサービスポータルを通じて、ビルダーがレビューのために新しい製品を送信するためのワークフローを確立します。ビルダーは、ポータルを使用して製品の対象者を定義し、製品にアクセスする必要があるユーザーグループを特定できます。送信ごとに、定義されたプロセスを使用して、製品をレビュー、承認し、セルフサービスポータルに公開します。 

アドバンス

セルフサービスポータルを作成する

承認されたクラウド製品を配布、参照、消費するためのセルフサービスポータルを作成します。組織内のユーザーは、このポータルを使用して、インフラストラクチャの構築や環境へのアプリケーションのデプロイに必要な製品を検索できます。ポータルで製品にアクセスできるユーザーのアクセス許可の境界を設定し、ユーザーがライセンス製品を使用できる回数に制限を設定します。カスタマイズ AWS Control Towerなどのソリューションを使用してアカウントが作成されるため、各スポークアカウントで直接プロビジョニングまたはセルフサービスモデルとして利用できるリソースの基本セットを定義します。

プライベートマーケットプレイスを有効にする

プライベートマーケットプレイスは、購入した製品 (ソフトウェア、データ、プロフェッショナルサービス) の厳選されたカタログを提供し、hub-and-spokeパターン (1 つの管理アカウントと複数のメンバーアカウントを使用) で実装されるため、スポークアカウントは承認されたソフトウェアのみをサブスクライブできます。この製品ガバナンスは、ソフトウェアコストを管理し、法的および契約上のレビューを合理化するのに役立ちます。プライマリハブとして機能するプライベートマーケットプレイスを管理アカウントレベルで作成します。

使用権限の管理

承認されたユーザーとワークロードのみがベンダー定義の制限内でライセンスを使用できるようにするコントロールを有効にします。これにより、コストのかかる監査や予期しないライセンス調整のリスクが軽減されます。

Excel

調達システムとの統合

既存の調達プロセスを補完するには、それらを に統合しますAWS Marketplace。これを行うには、調達システム (Coupa または SAP Ariba) をプライベートマーケットプレイスに拡張し、ユーザーが既存の調達および承認プロセスに従ってソフトウェアを取得できるようにします。適切な IAM 管理アクセス許可を作成し、 AWS Marketplace を使用して調達ソリューションを設定するために必要な情報を生成し、統合を完了するように調達ソリューションを設定します。例えば、パンチアウトを設定し、 AWS 請求書に発注書をアタッチして、調達プロセスを調整して標準プロビジョニングソリューションを使用できます。

ビルダーが内部 API を通じて事前承認された製品にアクセスできるようにすると、ユーザーは製品をアプリケーションに組み込むか、チームが製品を消費するための独自のパーソナライズされたポータルを構築できます。新しい製品を作成するための送信および公開プロセスを統合し、ユーザーが APIs を通じて新しいライセンスと製品へのアクセスをリクエストできるようにします。 

ITSM ツールとの統合

必要に応じて、IT サービス管理 (ITSM) ツールに接続し、設定管理データベース (CMDB) の更新を自動化します。組織が使用する製品を評価するプロセスとメカニズムを確立します。コンプライアンスのために更新する必要があることを事前に承認された製品をユーザーに通知するためのメカニズムを確立します。ITSM ツールを使用して環境を分析し、重要な更新が必要な場合に組織全体の製品にセキュリティとコンプライアンスの更新をプッシュします。 

ライフサイクル管理とバージョン配布システムの実装

開発ライフサイクルを通じて、IaC テンプレートのバージョンと、テンプレートからプロビジョニングされたサービスのバージョンを維持します。カタログに実装したhub-and-spokeモデルを使用して、スポークレベルで強制的な更新が必要かどうか (例えば、セルフサービスプロビジョニングで同時バージョンが利用可能な場合)、および廃止対象としてマークする必要があるバージョンを定義できます。hub-and-spokeカタログを使用すると、必要に応じて新しいバージョンの監査と配布を管理することもできます。