運用管理

AWS CloudFormation で実践する Infrastructure as Code - テンプレート設計とスタック管理

テンプレートでインフラを定義し、変更セットで影響範囲を事前確認する。ドリフト検出で構成の逸脱を検出し、スタックセットで Organizations 全体に一括デプロイする手法を紹介します。

約 1 分で読めます

CloudFormation の概要

CloudFormation は AWS リソースをテンプレートで定義し、スタックとしてプロビジョニングする IaC サービスです。手動でのリソース作成と比較して、環境の再現性、バージョン管理、自動化を実現します。SAM は CloudFormation の拡張で、サーバーレスアプリケーションの定義を簡素化します。

テンプレート設計とスタック管理

テンプレートは Parameters (最大 200 個) でデプロイ時の入力値、Mappings で環境ごとの設定値、Conditions で条件分岐を定義します。1 スタックあたり最大 500 リソースを管理でき、超過する場合はネストスタックで分割します。変更セットはスタック更新前に作成し、追加・変更・削除されるリソースをプレビューします。Replace (置換) が発生するリソースは一時的にサービス断が生じるため、変更セットでの確認が重要です。ネストスタックは VPC、セキュリティグループ、データベースなどのコンポーネントを個別のテンプレートに分割し、親テンプレートから参照します。

ドリフト検出とスタックセット

ドリフト検出はスタックのリソースがテンプレートの定義から逸脱していないかを検出します。手動でのコンソール操作やスクリプトによる変更がドリフトとして検出され、テンプレートとの差分を確認できます。定期的なドリフト検出を EventBridge スケジュールで自動化し、構成の逸脱を早期に発見します。スタックセットは複数のアカウントとリージョンに同一テンプレートを一括デプロイする機能で、 Organizations との統合で OU 単位のデプロイを自動化します。新しいアカウントが OU に追加されると、スタックセットが自動的にデプロイされ、ガードレールの適用漏れを防止します。 IaC について体系的に学びたい方は、関連書籍 (Amazon)も参考になります。

CloudFormation の料金と効率化

CloudFormation 自体に追加料金は発生しません。コストはプロビジョニングされる AWS リソースの利用料金のみです。サードパーティリソースの管理にはリソースあたりのハンドラー操作で課金されます。テンプレートの開発効率を高めるには、CloudFormation Linter (cfn-lint) でテンプレートの構文エラーを事前検出し、変更セットでデプロイ前に影響範囲を確認します。ネストされたスタックで共通リソース (VPC、セキュリティグループ) を再利用し、テンプレートの重複を排除します。Rain CLI でテンプレートのフォーマットとデプロイを効率化できます。

まとめ

CloudFormation はテンプレートベースの IaC でインフラの再現性と自動化を実現するサービスです。変更セットでデプロイ前に影響範囲を確認し、ドリフト検出で構成の逸脱を検出します。スタックセットで Organizations 全体にテンプレートを一括デプロイし、マルチアカウント・マルチリージョンのインフラ管理を自動化します。

関連するサービス

AWS CloudFormationテンプレートで AWS リソースをコードとして定義・プロビジョニングする IaC サービスAmazon S3スケーラブルなオブジェクトストレージサービスAWS Lambdaサーバー管理不要でコードを実行するサーバーレスコンピュートサービス

関連する記事

AWS Application Composer でサーバーレスアプリケーションをビジュアル設計 - IaC テンプレートの自動生成Application Composer によるサーバーレスアーキテクチャのビジュアル設計、SAM テンプレートの自動生成、VS Code 統合を解説します。AWS CDK でプログラミング言語による IaC - コンストラクトとスタックの設計CDK による TypeScript/Python でのインフラ定義、L1/L2/L3 コンストラクトの使い分け、テスト手法を解説します。AWS Proton でプラットフォームエンジニアリングを実現 - インフラテンプレートのセルフサービス提供Proton によるインフラテンプレートの管理、環境とサービスの分離、開発者セルフサービスの設計を解説します。

同じテーマの記事

AWS の内部時刻同期の仕組み - Amazon Time Sync Service とうるう秒スミアリングの設計AWS が独自に運用する Amazon Time Sync Service の仕組み、GPS と原子時計による高精度時刻源、うるう秒をスミアリングで吸収する設計判断、分散システムにおける時刻同期の重要性を解説します。AWS AppFabric で SaaS 監査ログを集約 - OCSF 標準化と Security Lake 統合AppFabric による SaaS アプリケーションの監査ログ収集、OCSF 形式への標準化、分析パイプラインの構築を解説します。AWS AppConfig で実装するフィーチャーフラグ - 安全な設定デプロイとロールバックコードデプロイとは独立した設定変更を、Linear・Exponential 戦略で段階的にロールアウトする。CloudWatch アラーム連動の自動ロールバックで安全性を確保します。アーキテクチャレビュー - AWS Well-Architected Tool でワークロードを体系的に評価するAWS Well-Architected Tool を使ったワークロードのアーキテクチャレビューを解説。6 つの柱に基づく評価、改善計画の策定、カスタムレンズの活用を紹介します。監査ログの設計と運用 - CloudTrail による API アクティビティの完全記録AWS CloudTrail を活用した監査ログの設計手法を解説し、API アクティビティの記録、S3 への長期保存、Config との連携によるコンプライアンス対応を紹介します。AWS の障害報告書 (COE) から学ぶ分散システムの教訓 - 過去の大規模障害が変えた設計原則AWS が公開した Correction of Errors (COE) と障害報告書から、S3 障害、us-east-1 の DNS 障害、Kinesis 障害など過去の大規模インシデントの根本原因と、それが AWS の設計原則をどう変えたかを解説します。タグの設計が運用を決める - AWS リソースタグ戦略の雑学と実践的な命名規則AWS リソースタグが単なるラベルではなくコスト配分、アクセス制御、自動化の基盤である理由、タグキーの命名規則、タグの上限 50 個の使い方、タグポリシーによるガバナンスを解説します。AWS のサービスクォータはなぜ存在するのか - 共有インフラを守るマルチテナント設計AWS のサービスクォータ (旧サービス制限) が単なる制約ではなく、マルチテナント環境で他の顧客を守るための設計であることを、ノイジーネイバー問題、ソフトリミットとハードリミットの違い、引き上げ申請の裏側から解説します。

内容が近い記事・サービス

AWS CloudFormationJSON または YAML テンプレートで AWS インフラをコードとして定義・管理する Infrastructure as Code サービスで、リソースの作成から削除までをスタック単位で一括管理するCloudFormation のドリフト検出はどこまで見ているのか - 手動変更を追跡する仕組みと限界CloudFormation のドリフト検出が内部でどのようにリソースの現在状態とテンプレートの期待状態を比較しているのか、検出できる変更と検出できない変更の境界、ドリフト修復の戦略を解説します。CloudFormation のスタック更新で何が起きているのか - 変更セット・ロールバック・置換の裏側CloudFormation がスタックを更新する際の内部処理フローを、変更セットの差分検出、リソースの更新・置換・削除の判断ロジック、ロールバックの仕組みから解説します。AWS の IaC 成熟度 - CloudFormation・CDK・SAM が築く宣言的インフラ管理の優位性CloudFormation、CDK、SAM を中心とする AWS の Infrastructure as Code エコシステムの成熟度を、Azure ARM/Bicep や GCP Deployment Manager と比較し、多言語対応の CDK がもたらす開発体験の差を解説します。