翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
複数の AWS アカウントと AWS リージョンで AWS Service Catalog 製品を管理
作成者: Ram Kandaswamy (AWS)
概要
Amazon Web Services (AWS) Service Catalog は、企業向けの Infrastructure as Code (IaC) テンプレートのガバナンスと配布を簡単かつ迅速にします。AWS CloudFormation テンプレートで、製品に必要な AWS リソース (スタック) のコレクションを定義します。AWS CloudFormation StackSets は、複数のアカウントおよび AWS リージョンにまたがるスタックを単一の操作で作成、更新、削除できるようにすることで、スタックの機能を拡張します。
AWS Service Catalog の管理者は、開発者が作成した CloudFormation テンプレートで製品を作成し、公開します。その後、これらの製品はポートフォリオに関連付けられ、ガバナンスに制約が適用されます。他の AWS アカウントまたは組織単位 (OU) のユーザーが製品を利用できるようにするには、通常、彼らと「ポートフォリオを共有」します。このパターンは、AWS CloudFormation StackSets に基づく AWS Service Catalog 製品の提供を管理するための代替アプローチを示しています。ポートフォリオを共有する代わりに、スタックセット制約により、製品をデプロイして使用できる AWS リージョンとアカウントを設定します。このアプローチを使用すると、ガバナンス要件を満たしながら、AWS Service Catalog 製品を複数のアカウント、OU と AWS リージョンにプロビジョニングし、一元的に管理できます。
この方法の利点:
製品はプライマリアカウントからプロビジョニング、管理され、他のアカウントと共有されることはありません。
この方法では、特定の製品に基づいてプロビジョニングされたすべての製品 (スタック) を統合して表示できます。
AWS Service Management Connector での設定は、1 つのアカウントのみを対象としているため、より簡単です。
AWS Service Catalog の製品のクエリと使用が簡単になりました。
前提条件と制限
前提条件
IaC とバージョニング用の AWS CloudFormation テンプレート
AWS リソースのプロビジョニングと管理のためのマルチアカウント設定と AWS Service Catalog
機能制限
このアプローチでは AWS CloudFormation StackSets が使用され、StackSets 制限が適用されます。
StackSets は、マクロによる CloudFormation テンプレートのデプロイをサポートしません。マクロでテンプレートを前処理している場合、StackSets ベースのデプロイを使用することはできません。
StackSets では、スタックをスタックセットから切り離すことができるため、特定のスタックをターゲットにして問題を解決できます。ただし、関連付けを解除したスタックをスタックセットに再関連付けることはできません。
AWS Service Catalog は StackSet 名を自動的に生成します。カスタマイズは現在サポートされていません。
アーキテクチャ
ターゲット アーキテクチャ
ユーザーは、AWS リソースをプロビジョニングするための AWS CloudFormation テンプレートを JSON 形式または YAML 形式で作成します。
CloudFormation テンプレートは AWS Service Catalog に製品を作成し、ポートフォリオに追加します。
ユーザーは、ターゲットアカウントに CloudFormation スタックを作成するプロビジョニング済み製品を作成します。
各スタックは、CloudFormationで指定されたリソースをプロビジョニングします。
ツール
AWS サービス
AWS CloudFormation を使用すると、AWS リソースをセットアップし、迅速かつ一貫したプロビジョニングを行い、AWS アカウントとリージョン全体でライフサイクル全体にわたってリソースを管理できます。
「AWS コマンドラインインターフェイス (AWS CLI)」は、オープンソースのツールであり、コマンドラインシェルのコマンドを使用して AWS サービスとやり取りすることができます。
「AWS Identity and Access Management (IAM)」は、AWS リソースへのアクセスを安全に管理し、誰が認証され、使用する権限があるかを制御するのに役立ちます。
AWS Service Catalog では、AWS で承認された IT サービスのカタログを一元管理できます。エンドユーザーは、組織によって設定された制約に従って、必要な承認済みの IT サービスのみをすばやくデプロイできます。
エピック
| タスク | 説明 | 必要なスキル |
|---|---|---|
ポートフォリオを作成します。 | ポートフォリオは、特定の基準に基づき、グループ化された 1 つ以上の製品を含むコンテナです。ポートフォリオを製品に使用すると、製品セット全体に共通の制約を適用しやすくなります。 ポートフォリオを作成するには、「AWS Service Catalog ドキュメント」の手順に従ってください。AWS CLI を使用している場合は、コマンドの例を挙げます。 詳細については、「AWS CLI ドキュメント | AWS Service Catalog、IAM |
CloudFormation テンプレートを作成します。 | リソースを説明する CloudFormation テンプレートを作成します。必要に応じて、リソースプロパティをパラメータ化する必要があります | AWS CloudFormation JSON/YAML |
バージョン情報を使用して製品を作成します。 | CloudFormation テンプレートは、AWS Service Catalog に公開すると製品になります。オプションのバージョン詳細パラメータ (バージョンタイトルや説明など) に値を指定することは、後で製品について問い合わせるときに役立ちます。 ポートフォリオを作成するには、「AWS Service Catalog ドキュメント」の手順に従ってください。AWS CLI を使用している場合は、コマンドの例:
| AWS Service Catalog |
制約を適用します。 | スタックセットの制約をポートフォリオに適用し、複数の AWS アカウント、リージョン、権限などの製品デプロイオプションを設定します。手順については、「AWS Service Catalog のドキュメント」を参照してください。 | AWS Service Catalog |
アクセス許可を追加します。 | ユーザーがポートフォリオ内の製品を起動できるようにアクセス権限を付与します。コンソールの手順については、「AWS Service Catalog のドキュメント」を参照してください。AWS CLI を使用している場合は、コマンドの例を挙げます。 詳細については、「AWS CLI ドキュメント | AWS Service Catalog、IAM |
製品をプロビジョニングします。 | プロビジョニングされた製品は、製品のリソースインスタンスです。たとえば、CloudFormation テンプレートに基づいて製品をプロビジョニングすると、CloudFormation スタックとその基礎となるリソースが起動します。 スタックセットの制約に基づき、該当する AWS リージョンとアカウントをターゲットにして製品をプロビジョニングします。AWS CLI でのコマンドの例は次のとおりです。 詳細については、「AWS CLI ドキュメント | AWS Service Catalog |
関連リソース
リファレンス
チュートリアルと動画
追加情報
create-product コマンドを使用する場合、cli-input-json パラメータは製品所有者、サポートメール、CloudFormation テンプレートの詳細などの情報を指定するファイルを指します。以下にそのようなファイルの例を示します。
{
"Owner": "Test admin",
"SupportDescription": "Testing",
"Name": "SNS",
"SupportEmail": "example@example.com",
"ProductType": "CLOUD_FORMATION_TEMPLATE",
"AcceptLanguage": "en",
"ProvisioningArtifactParameters": {
"Description": "SNS product",
"DisableTemplateValidation": true,
"Info": {
"LoadTemplateFromURL": "<url>"
},
"Name": "version 1"
}