運用管理

IT サービスプロビジョニング - AWS Service Catalog で実現するセルフサービス型インフラ提供

AWS Service Catalog による承認済み IT サービスのカタログ化と、CloudFormation との連携によるセルフサービス型インフラプロビジョニングを解説します。ガバナンスを維持しながら開発チームの自律性を高める運用パターンを紹介します。

約 3 分で読めます

IT サービスプロビジョニングの課題と Service Catalog

エンタープライズ環境では、開発チームが必要なインフラリソースを迅速に利用できる一方で、セキュリティ基準やコンプライアンス要件への準拠を確保する必要があります。従来の IT 部門による手動プロビジョニングでは、リクエストから提供までに数日から数週間かかることがあり、開発速度のボトルネックとなっていました。AWS Service Catalog は、IT 管理者が承認済みの AWS リソース構成をカタログとして公開し、エンドユーザーがセルフサービスでプロビジョニングできるサービスです。CloudFormation テンプレートを製品として登録し、ポートフォリオにグループ化して特定のユーザーやグループに公開します。エンドユーザーは承認済みの製品リストから必要なリソースを選択し、パラメータを入力するだけでインフラを即座にプロビジョニングできます。IT 管理者はテンプレートの内容を制御することで、セキュリティ基準への準拠を自動的に保証します。CLI で製品一覧を確認するには aws servicecatalog search-products --region ap-northeast-1 を実行します。

製品とポートフォリオの設計

Service Catalog の製品は CloudFormation テンプレートをベースに定義され、バージョン管理により段階的な改善が可能です。たとえば、「セキュアな Web アプリケーション環境」という製品には、VPC、サブネット、セキュリティグループ、ALB、EC2Auto Scaling グループ、RDS インスタンスを含む CloudFormation テンプレートを登録します。製品のパラメータとして環境名、インスタンスタイプ、データベースサイズなどをエンドユーザーが選択できるようにし、制約条件でインスタンスタイプの選択肢を制限することでコスト管理を実現します。ポートフォリオは製品のコレクションで、IAM グループやロールに関連付けてアクセス制御を行います。開発チーム向けポートフォリオには開発環境用の製品を、データサイエンスチーム向けには SageMaker ノートブック環境の製品を公開するなど、チームの役割に応じた製品提供が可能です。

CloudFormation との連携とガバナンスの確保

Service Catalog は CloudFormation をバックエンドとして使用するため、 Infrastructure as Code のベストプラクティスをそのまま適用できます。テンプレートに AWS Config ルール、 CloudTrail ログ、暗号化設定を組み込むことで、プロビジョニングされるすべてのリソースがセキュリティ基準に準拠することを保証します。起動制約 (Launch Constraint) により、エンドユーザーの IAM 権限に関係なく、 Service Catalog が指定した IAM ロールでリソースを作成するため、最小権限の原則を維持しながらセルフサービスを実現します。タグオプション機能により、プロビジョニングされるリソースに必須タグ (コストセンター、プロジェクト名、環境名) を自動的に付与し、コスト配分と管理の一貫性を確保します。通知制約により、製品のプロビジョニングイベントを SNS トピックに通知し、 IT 管理者が利用状況を監視できます。 クラウドガバナンス設計の運用ノウハウを深めるには、専門書籍 (Amazon)が役立ちます。

Organizations との統合とマルチアカウント展開

Service Catalog は AWS Organizations と統合し、ポートフォリオを組織全体に共有できます。管理アカウントで定義したポートフォリオを OU 単位で共有することで、全アカウントで一貫した製品カタログを提供します。新しいアカウントが OU に追加されると、自動的にポートフォリオへのアクセスが付与されます。AWS Control Tower との連携により、アカウントファクトリーで新規アカウントを作成する際に、標準的な Service Catalog 製品を自動的にプロビジョニングするワークフローを構築できます。Terraform との統合もサポートされており、CloudFormation だけでなく Terraform テンプレートを製品として登録することも可能です。プロビジョニングされた製品の一覧と状態は Service Catalog コンソールで一元管理でき、不要になったリソースの終了 (削除) もセルフサービスで実行できます。

Service Catalog の料金

Service Catalog 自体に追加料金は発生しません。コストはプロビジョニングされた AWS リソースの利用料金のみです。Organizations でポートフォリオを共有する場合も追加料金はなく、組織全体のガバナンス基盤として導入コストが低い点が魅力です。テンプレート制約でインスタンスタイプを制限し、エンドユーザーが高額なリソースを誤って作成するリスクを抑えられます。

まとめ - セルフサービス型インフラ提供の実現

AWS Service Catalog は、ガバナンスを維持しながら開発チームの自律性を高めるセルフサービス型インフラプロビジョニング基盤です。CloudFormation テンプレートによる承認済み構成の標準化、起動制約による最小権限の維持、タグオプションによるコスト管理の自動化を組み合わせることで、セキュリティとアジリティを両立します。Organizations との統合により、マルチアカウント環境全体で一貫した製品カタログを提供し、IT ガバナンスを組織レベルで確保します。

関連するサービス

AWS Service Catalog承認済みの IT サービスを組織全体にセルフサービスで提供するカタログサービスAWS CloudFormationテンプレートで AWS リソースをコードとして定義・プロビジョニングする IaC サービスAWS Organizations複数の AWS アカウントを一元管理するサービス

関連する記事

AWS Service Catalog で実現する IT ガバナンス - 承認済み製品の標準化とセルフサービスIT 部門が承認した CloudFormation テンプレートをカタログ化し、起動制約とテンプレート制約でエンドユーザーのセルフサービスを安全に提供する手法を紹介します。AWS Marketplace でソフトウェアを調達 - SaaS サブスクリプションとプライベートオファーAMI・コンテナ・SaaS の 3 形態でサードパーティソフトウェアを調達し、AWS 請求に統合する。Private Marketplace による組織全体のガバナンスと、契約管理の自動化手法を解説します。AWS Artifact でコンプライアンスレポートを取得 - 監査対応と契約管理SOC・PCI DSS・ISO の監査レポートをオンデマンドで取得し、BAA や GDPR DPA を Organizations 全体に一括適用する手順を紹介します。

同じテーマの記事

AWS の内部時刻同期の仕組み - Amazon Time Sync Service とうるう秒スミアリングの設計AWS が独自に運用する Amazon Time Sync Service の仕組み、GPS と原子時計による高精度時刻源、うるう秒をスミアリングで吸収する設計判断、分散システムにおける時刻同期の重要性を解説します。AWS AppFabric で SaaS 監査ログを集約 - OCSF 標準化と Security Lake 統合AppFabric による SaaS アプリケーションの監査ログ収集、OCSF 形式への標準化、分析パイプラインの構築を解説します。AWS AppConfig で実装するフィーチャーフラグ - 安全な設定デプロイとロールバックコードデプロイとは独立した設定変更を、Linear・Exponential 戦略で段階的にロールアウトする。CloudWatch アラーム連動の自動ロールバックで安全性を確保します。アーキテクチャレビュー - AWS Well-Architected Tool でワークロードを体系的に評価するAWS Well-Architected Tool を使ったワークロードのアーキテクチャレビューを解説。6 つの柱に基づく評価、改善計画の策定、カスタムレンズの活用を紹介します。監査ログの設計と運用 - CloudTrail による API アクティビティの完全記録AWS CloudTrail を活用した監査ログの設計手法を解説し、API アクティビティの記録、S3 への長期保存、Config との連携によるコンプライアンス対応を紹介します。AWS の障害報告書 (COE) から学ぶ分散システムの教訓 - 過去の大規模障害が変えた設計原則AWS が公開した Correction of Errors (COE) と障害報告書から、S3 障害、us-east-1 の DNS 障害、Kinesis 障害など過去の大規模インシデントの根本原因と、それが AWS の設計原則をどう変えたかを解説します。タグの設計が運用を決める - AWS リソースタグ戦略の雑学と実践的な命名規則AWS リソースタグが単なるラベルではなくコスト配分、アクセス制御、自動化の基盤である理由、タグキーの命名規則、タグの上限 50 個の使い方、タグポリシーによるガバナンスを解説します。AWS のサービスクォータはなぜ存在するのか - 共有インフラを守るマルチテナント設計AWS のサービスクォータ (旧サービス制限) が単なる制約ではなく、マルチテナント環境で他の顧客を守るための設計であることを、ノイジーネイバー問題、ソフトリミットとハードリミットの違い、引き上げ申請の裏側から解説します。

内容が近い記事・サービス

AWS Service Catalog で実現する IT ガバナンス - 承認済み製品の標準化とセルフサービスIT 部門が承認した CloudFormation テンプレートをカタログ化し、起動制約とテンプレート制約でエンドユーザーのセルフサービスを安全に提供する手法を紹介します。AWS Service Catalog組織が承認した CloudFormation テンプレートをカタログとして管理し、エンドユーザーにセルフサービスでのリソースプロビジョニングを提供するガバナンスサービスAWS Marketplace でソフトウェアを調達 - SaaS サブスクリプションとプライベートオファーAMI・コンテナ・SaaS の 3 形態でサードパーティソフトウェアを調達し、AWS 請求に統合する。Private Marketplace による組織全体のガバナンスと、契約管理の自動化手法を解説します。プラットフォームエンジニアリング - AWS Proton でインフラテンプレートを標準化するProton と Service Catalog で社内プラットフォームを構築し、開発者にセルフサービスのインフラプロビジョニングを提供する。テンプレート管理とガバナンスの設計パターンを解説します。