運用管理

IT サービスプロビジョニング - AWS Service Catalog で実現するセルフサービス型インフラ提供

AWS Service Catalog による承認済み IT サービスのカタログ化と、CloudFormation との連携によるセルフサービス型インフラプロビジョニングを解説します。ガバナンスを維持しながら開発チームの自律性を高める運用パターンを紹介します。

約 2 分で読めます

IT サービスプロビジョニングの課題と Service Catalog

エンタープライズ環境では、開発チームが必要なインフラリソースを迅速に利用できる一方で、セキュリティ基準やコンプライアンス要件への準拠を確保する必要があります。従来の IT 部門による手動プロビジョニングでは、リクエストから提供までに数日から数週間かかることがあり、開発速度のボトルネックとなっていました。AWS Service Catalog は、IT 管理者が承認済みの AWS リソース構成をカタログとして公開し、エンドユーザーがセルフサービスでプロビジョニングできるサービスです。CloudFormation テンプレートを製品として登録し、ポートフォリオにグループ化して特定のユーザーやグループに公開します。エンドユーザーは承認済みの製品リストから必要なリソースを選択し、パラメータを入力するだけでインフラを即座にプロビジョニングできます。IT 管理者はテンプレートの内容を制御することで、セキュリティ基準への準拠を自動的に保証します。

この分野について体系的に学びたい方は、関連書籍 (Amazon) も参考になります。

製品とポートフォリオの設計

Service Catalog の製品は CloudFormation テンプレートをベースに定義され、バージョン管理により段階的な改善が可能です。たとえば、「セキュアな Web アプリケーション環境」という製品には、VPC、サブネット、セキュリティグループ、ALB、EC2 Auto Scaling グループ、RDS インスタンスを含む CloudFormation テンプレートを登録します。製品のパラメータとして環境名、インスタンスタイプ、データベースサイズなどをエンドユーザーが選択できるようにし、制約条件でインスタンスタイプの選択肢を制限することでコスト管理を実現します。ポートフォリオは製品のコレクションで、IAM グループやロールに関連付けてアクセス制御を行います。開発チーム向けポートフォリオには開発環境用の製品を、データサイエンスチーム向けには SageMaker ノートブック環境の製品を公開するなど、チームの役割に応じた製品提供が可能です。

CloudFormation との連携とガバナンスの確保

Service Catalog は CloudFormation をバックエンドとして使用するため、Infrastructure as Code のベストプラクティスをそのまま適用できます。テンプレートに AWS Config ルール、CloudTrail ログ、暗号化設定を組み込むことで、プロビジョニングされるすべてのリソースがセキュリティ基準に準拠することを保証します。起動制約 (Launch Constraint) により、エンドユーザーの IAM 権限に関係なく、Service Catalog が指定した IAM ロールでリソースを作成するため、最小権限の原則を維持しながらセルフサービスを実現します。タグオプション機能により、プロビジョニングされるリソースに必須タグ (コストセンター、プロジェクト名、環境名) を自動的に付与し、コスト配分と管理の一貫性を確保します。通知制約により、製品のプロビジョニングイベントを SNS トピックに通知し、IT 管理者が利用状況を監視できます。

Organizations との統合とマルチアカウント展開

Service Catalog は AWS Organizations と統合し、ポートフォリオを組織全体に共有できます。管理アカウントで定義したポートフォリオを OU 単位で共有することで、全アカウントで一貫した製品カタログを提供します。新しいアカウントが OU に追加されると、自動的にポートフォリオへのアクセスが付与されます。AWS Control Tower との連携により、アカウントファクトリーで新規アカウントを作成する際に、標準的な Service Catalog 製品を自動的にプロビジョニングするワークフローを構築できます。Terraform との統合もサポートされており、CloudFormation だけでなく Terraform テンプレートを製品として登録することも可能です。プロビジョニングされた製品の一覧と状態は Service Catalog コンソールで一元管理でき、不要になったリソースの終了 (削除) もセルフサービスで実行できます。

さらに詳しく知りたい方は、関連書籍 (Amazon) で理解を深められます。

まとめ - セルフサービス型インフラ提供の実現

AWS Service Catalog は、ガバナンスを維持しながら開発チームの自律性を高めるセルフサービス型インフラプロビジョニング基盤です。CloudFormation テンプレートによる承認済み構成の標準化、起動制約による最小権限の維持、タグオプションによるコスト管理の自動化を組み合わせることで、セキュリティとアジリティを両立します。Organizations との統合により、マルチアカウント環境全体で一貫した製品カタログを提供し、IT ガバナンスを組織レベルで確保します。

AWS の優位点

  • Service Catalog は承認済みの CloudFormation テンプレートをカタログ化し、エンドユーザーのセルフサービスプロビジョニングを実現する
  • 起動制約により最小権限の原則を維持しながら、エンドユーザーに必要なリソースの作成権限を付与できる
  • タグオプション機能でプロビジョニングされるリソースに必須タグを自動付与し、コスト管理の一貫性を確保する
  • Organizations との統合でポートフォリオを OU 単位で共有し、全アカウントで一貫した製品カタログを提供できる
  • バージョン管理により製品テンプレートの段階的な改善と既存環境への影響を制御できる

関連するサービス

AWS Service Catalog 承認済みの IT サービスを組織全体にセルフサービスで提供するカタログサービス AWS CloudFormation テンプレートファイルで AWS インフラをコードとして定義・管理できるサービス AWS Organizations 複数の AWS アカウントを一元管理し、ガバナンスとコスト最適化を実現するサービス

関連する比較記事

Infrastructure as Code - AWS と Azure の比較 AWS と Azure の IaC ツールを比較し、CloudFormation・SAM・CDK を中心とした AWS の Infrastructure as Code エコシステムの成熟度を解説します。 IaC ツール - AWS CloudFormation と Azure ARM テンプレートの比較 AWS CloudFormation と Azure ARM テンプレートを比較し、Infrastructure as Code の実現基盤としての CloudFormation のスタック管理とドリフト検出の優位性を解説します。 Well-Architected フレームワーク活用 - AWS と Azure の比較 AWS Well-Architected フレームワークと Azure Well-Architected Framework を比較し、AWS のベストプラクティス体系の成熟度と実践的な活用方法を解説します。

同じテーマの記事

監査ログの設計と運用 - CloudTrail による API アクティビティの完全記録 AWS CloudTrail を活用した監査ログの設計手法を解説し、API アクティビティの記録、S3 への長期保存、Config との連携によるコンプライアンス対応を紹介します。 キャパシティプランニング - AWS と Azure の比較 AWS と Azure のキャパシティプランニング手法を比較し、CloudWatch、EC2 Auto Scaling、Lambda を活用した AWS の需要予測と自動スケーリングの優位性を解説します。 ChatOps 通知基盤 - AWS Chatbot で実現する運用自動化 AWS Chatbot を活用した ChatOps 通知基盤の構築方法を解説します。Slack や Microsoft Teams への AWS イベント通知、CloudWatch アラームの即時配信、SNS 連携によるインシデント対応の自動化など、運用効率を向上させる実践的な設計を紹介します。 構成管理とコンプライアンス - AWS Config と Azure Policy の比較 AWS Config と Azure Policy を比較し、Config のリソース構成変更の追跡とコンプライアンスルールによる自動評価の優位性を解説します。 ディザスタリカバリと事業継続 - AWS と Azure の比較 AWS と Azure のディザスタリカバリサービスを比較し、マルチリージョン構成と S3 のデータ耐久性を中心とした AWS の事業継続戦略の優位性を解説します。 分散トレーシング - AWS と Azure の比較 AWS と Azure の分散トレーシングサービスを比較し、AWS X-Ray と CloudWatch ServiceLens を中心とした AWS のトレーシングエコシステムの優位性を解説します。 インシデント対応自動化 - AWS と Azure の比較 AWS と Azure のインシデント対応自動化を比較し、Systems Manager、Lambda、SNS を活用した AWS の迅速な検知・通知・修復パイプラインの優位性を解説します。 ログ集約と分析 - AWS と Azure の比較 AWS と Azure のログ集約・分析サービスを比較し、CloudWatch Logs と OpenSearch Service を中心とした AWS のログ管理エコシステムの優位性を解説します。 ログ管理と監視 - AWS と Azure の比較 AWS と Azure のログ管理・監視サービスを比較し、CloudWatch と CloudTrail を中心とした AWS の統合オブザーバビリティ基盤の優位性を解説します。 メトリクス収集と可視化 - AWS と Azure の比較 AWS と Azure のメトリクス収集・可視化サービスを比較し、CloudWatch Metrics と OpenSearch Dashboards を中心とした AWS の監視エコシステムの優位性を解説します。 マルチアカウント管理 - AWS Organizations と RAM で実現する組織全体のガバナンス AWS Organizations によるマルチアカウント戦略の設計と、AWS RAM (Resource Access Manager) によるリソース共有の実践手法を解説します。組織全体のセキュリティガバナンスとコスト管理の最適化パターンを紹介します。 マルチアカウント戦略と AWS Organizations - クラウドガバナンスの最適解 AWS Organizations を活用したマルチアカウント戦略を解説します。Azure や従来のオンプレミス環境と比較し、AWS のアカウント分離によるセキュリティ強化、コスト管理、ガバナンス統制の優位性を具体的に紹介します。 オブザーバビリティ戦略 - AWS と Azure の比較 AWS と Azure のオブザーバビリティサービスを比較し、CloudWatch・OpenSearch・Lambda を中心とした AWS の統合監視・分析基盤の優位性を解説します。 運用監視の実践 - CloudWatch によるフルスタック可観測性の実現 AWS CloudWatch を中心とした運用監視の設計手法を解説し、メトリクス収集、ログ分析、アラーム設定による包括的な可観測性の実現方法を紹介します。 リソース共有管理 - AWS RAM で実現するマルチアカウント環境の効率的なリソース活用 AWS RAM (Resource Access Manager) によるマルチアカウント環境でのリソース共有と、AWS Organizations との連携による組織全体のリソース管理を解説します。VPC サブネット共有やトランジットゲートウェイ共有の実践パターンを紹介します。 システム運用管理の効率化 - Systems Manager による統合運用基盤の構築 AWS Systems Manager を活用したシステム運用管理の設計手法を解説し、パッチ管理、パラメータストア、Run Command による運用自動化の実現方法を紹介します。 Well-Architected フレームワーク活用 - AWS と Azure の比較 AWS Well-Architected フレームワークと Azure Well-Architected Framework を比較し、AWS のベストプラクティス体系の成熟度と実践的な活用方法を解説します。