Service Catalog の概要

Service Catalog の使用を開始するにあたり、そのコンポーネントと、管理者とエンドユーザーの初期ワークフローについて理解しておくと役立ちます。

[ユーザー]

Service Catalog では、次のタイプのユーザーがサポートされています。

• カタログ管理者 (管理者) - 製品 (アプリケーションおよびサービス) のカタログを管理し、ポートフォリオに整理してエンドユーザーにアクセス権限を付与します。カタログ管理者は、AWS CloudFormation テンプレートの準備や制約の設定を行い、製品の IAM ロールを管理して、高度なリソース管理を提供します。

• エンドユーザー - IT 部門またはマネージャーから AWS 認証情報を受け取り、AWS Management Console を使用して、アクセス権限を付与されている製品を起動します。単純にユーザーと呼ばれることもあるエンドユーザーには、操作要件によって異なるアクセス許可を付与できます。たとえば、ユーザーに (使用する製品によって求められるすべてのリソースを起動および管理できるように) 最大限のアクセス許可レベルを付与することも、特定のサービス機能の使用に対するアクセス許可のみを付与することもできます。

製品

製品とは、AWS でのデプロイに利用できるようにする IT サービスのことです。製品は、EC2 インスタンス、ストレージボリューム、データベース、モニタリング設定、ネットワーキングコンポーネント、パッケージ化された AWS Marketplace 製品など、1 つ以上の AWS リソースで構成されます。製品には、AWS Linux を実行する 1 つのコンピューティングインスタンス、独自の環境で実行される完全に構成された多層ウェブアプリケーション、その中間に位置するものを使用できます。

AWS CloudFormation テンプレートをインポートして製品を作成します。AWS CloudFormation テンプレートでは、製品に必要な AWS リソース、リソース間の関係、エンドユーザーが製品を起動したときにセキュリティグループの設定、キーペアの作成、その他のカスタマイズを行うために組み込むことができるパラメータを定義します。

HashiCorp Terraform Open Source と Terraform Cloud のサポート

AWS Service Catalog は、 内の HashiCorp Terraform Open Source と Terraform Cloud の設定を管理する、迅速なセルフサービスプロビジョニングを可能にしますAWS。Service Catalog は、AWS の Terraform 構成を大規模に整理、管理、配布するための単一のツールとして使用できます。標準化され事前承認された Terraform テンプレートのカタログ作成、アクセス制御、最小権限のプロビジョニング、バージョン管理、タグ付け、数千の AWS アカウントへの共有など、Service Catalog の主要な機能にアクセスできます。エンドユーザーには、アクセスできる製品とバージョンの簡単なリストが表示され、それらの製品を 1 回のアクションでデプロイできます。

Terraform 製品のチュートリアルで詳細を確認したり、完成させたりするには、Terraform 製品の使用開始 をご覧ください。

プロビジョニングされた製品

AWS CloudFormation スタックにより、製品インスタンスを単一のユニットとしてプロビジョニング、タグ付け、更新、および終了できるので、製品のライフサイクルを管理しやすくなります。AWS CloudFormation スタックには、JSON 形式または YAML 形式で記述された AWS CloudFormation テンプレートとそれに関連するリソースのコレクションが含まれます。プロビジョニングされた製品はスタックです。エンドユーザーが製品を起動すると、Service Catalog によってプロビジョニングされる製品のインスタンスは、製品の実行に必要なリソースを伴うスタックになります。詳細については、AWS CloudFormationユーザーガイド を参照してください。

ポートフォリオ

ポートフォリオとは、製品の集合で、設定情報も含まれます。ポートフォリオは、特定の製品を使用できるユーザー、そのユーザーに許可される製品の使用方法の管理に役立ちます。Service Catalog では、組織のユーザータイプごとにカスタマイズしたポートフォリオを作成し、適切なポートフォリオへのアクセス権を選択的に付与できます。製品の新しいバージョンをポートフォリオに追加すると、そのバージョンは、現在のすべてのユーザーに対して自動的に利用可能になります。

また、自分のポートフォリオを他の AWS アカウントと共有して、そのアカウントの管理者がそのポートフォリオに制約 (ユーザーが作成できる EC2 インスタンスの制限など) を加えて配布できるようにすることができます。ポートフォリオ、アクセス権限、共有、制約を使用することで、組織のニーズおよび標準に合わせて適切に設定された製品をユーザーが起動するよう制御できます。

バージョニング

Service Catalog では、カタログで複数のバージョンの製品を管理できます。このアプローチにより、ソフトウェアの更新または設定の変更に基づいて新しいバージョンのテンプレートと関連するリソースを追加できます。

新しいバージョンの製品を作成すると、その製品にアクセスできるすべてのユーザーに更新が自動的に配信されるので、ユーザーは使用する製品のバージョンを選択できます。ユーザーは、製品の実行中のインスタンスを新しいバージョンにすばやく簡単に更新できます。

アクセス許可

ポートフォリオへのアクセス権をユーザーに付与すると、ユーザーはポートフォリオを閲覧して、それに含まれる製品を起動できます。AWS Identity and Access Management (IAM) アクセス許可を適用して、カタログを表示および変更できるユーザーを制御できます。IAM アクセス許可は IAM ユーザー、グループ、およびロールに割り当てることができます。

ユーザーが IAM ロールが割り当てられている製品を起動すると、Service Catalog では、そのロールで、AWS CloudFormation を使用して製品のクラウドリソースを起動します。IAM ロールを各製品に割り当てると、承認されていない操作を実行できるアクセス権限がユーザーに割り当てられないようにすることができます。また、ユーザーは、カタログを使用してリソースをプロビジョニングできます。

制約

制約によって、特定の AWS リソースを製品に対してデプロイできる方法を制御します。制約を使用して、製品に制限を適用し、ガバナンスまたはコスト管理を実現できます。AWS Service Catalog の制約にはさまざまなタイプがあります。起動の制約、通知の制約、テンプレートの制約です。

起動の制約では、ポートフォリオ内の製品に対してロールを指定します。このロールを使用して、起動時にリソースをプロビジョニングすると、ユーザーがカタログから製品をプロビジョニングする機能に影響を与えずに、ユーザーのアクセス許可を制限できます。

通知の制約は、Amazon SNS トピックを使用してスタックのイベントに関する通知を受けることができます。

テンプレート制約では、製品を起動したときにユーザーが使用できる設定パラメータ (EC2 インスタンスタイプ、IP アドレス範囲など) を制限します。テンプレート制約では、汎用 AWS CloudFormation テンプレートを製品に再利用して、製品単位またはポートフォリオ単位でテンプレートに制限を適用します。

管理者の初期ワークフロー

次の図は、カタログを作成するときの管理者の初期ワークフローを示しています。

エンドユーザーの初期ワークフロー

次の図は、エンドユーザーの初期ワークフローを示しています。