運用管理

AWS Service Catalog で実現する IT ガバナンス - 承認済み製品の標準化とセルフサービス

IT 部門が承認した CloudFormation テンプレートをカタログ化し、起動制約とテンプレート制約でエンドユーザーのセルフサービスを安全に提供する手法を紹介します。

約 1 分で読めます

Service Catalog の役割

Service Catalog は IT 部門が承認した AWS リソースの構成を最大 5,000 製品のカタログとして管理し、エンドユーザーにセルフサービスでプロビジョニングさせるサービスです。エンドユーザーが自由に AWS リソースを作成すると、セキュリティ設定の不備、コスト管理の困難、アーキテクチャの不統一が発生します。Service Catalog では、IT 部門が CloudFormation テンプレートを製品として登録し、承認済みの構成のみをエンドユーザーに提供します。エンドユーザーはカタログから製品を選択してパラメータを入力するだけで、標準化されたリソースがプロビジョニングされます。

ポートフォリオと制約の設計

ポートフォリオは製品のコレクションで、IAM プリンシパル (ユーザー、グループ、ロール) にアクセス権を付与します。開発チーム用ポートフォリオには開発環境の EC2RDS を、データチーム用ポートフォリオには RedshiftGlue を含めるといった設計が可能です。起動制約は製品のプロビジョニング時に使用する IAM ロールを指定し、エンドユーザー自身の IAM 権限ではなく、制約で指定されたロールの権限でリソースが作成されます。これにより、エンドユーザーに CloudFormation の直接実行権限を与えずに、カタログ経由でのみリソース作成を許可できます。テンプレート制約で CloudFormation パラメータの許容値を制限し、インスタンスタイプを t3.micro と t3.small のみに制限するといった制御も可能です。

マルチアカウント環境での活用

Organizations との統合で、管理アカウントで作成したポートフォリオを組織内の全アカウントまたは特定の OU に共有できます。共有されたポートフォリオの製品は各アカウントのエンドユーザーが利用でき、組織全体で統一されたアーキテクチャパターンを適用できます。製品のバージョン管理により、テンプレートの更新を段階的にロールアウトできます。新バージョンを公開しても、既存のプロビジョニング済み製品は自動更新されず、エンドユーザーが明示的にバージョンアップを実行します。これにより、更新による予期しない影響を防止できます。 Service Catalog の運用設計を検討するうえで関連書籍 (Amazon)が参考になります。

Service Catalog の料金

Service Catalog 自体に追加料金は発生しません。コストはプロビジョニングされた AWS リソース (EC2、RDS 等) の利用料金のみです。ただし、AWS CloudFormation のサードパーティリソースタイプを使用する場合は、ハンドラー操作ごとに課金されます。Organizations でポートフォリオを共有する場合も追加料金はなく、組織全体のガバナンス基盤として導入コストが低い点が魅力です。テンプレート制約でインスタンスタイプを制限することで、エンドユーザーが高額なリソースを誤って作成するリスクも抑えられます。

まとめ

Service Catalog は IT ガバナンスとエンドユーザーのセルフサービスを両立するサービスです。承認済みのアーキテクチャパターンをカタログ化し、起動制約とテンプレート制約で安全なプロビジョニングを強制します。Organizations との統合でマルチアカウント環境の標準化を実現できます。

関連するサービス

AWS Service Catalog承認済みの IT サービスを組織全体にセルフサービスで提供するカタログサービスAWS CloudFormationテンプレートで AWS リソースをコードとして定義・プロビジョニングする IaC サービスAWS Organizations複数の AWS アカウントを一元管理するサービス

関連する記事

AWS Chatbot で実現する DevOps 通知 - Slack ・ Teams への AWS イベント連携CloudWatch アラームや CodePipeline の通知を Slack・Teams に配信し、チャットから @aws コマンドで AWS を操作する ChatOps 環境を構築する手法を紹介します。AWS Control Tower で構築するマルチアカウント環境 - ランディングゾーンとガードレールランディングゾーンの自動構築とガードレールによるポリシー適用で、マルチアカウント環境のガバナンスを確立する。Account Factory によるアカウント自動作成も紹介します。IT サービスプロビジョニング - AWS Service Catalog で実現するセルフサービス型インフラ提供AWS Service Catalog による承認済み IT サービスのカタログ化と、CloudFormation との連携によるセルフサービス型インフラプロビジョニングを解説します。ガバナンスを維持しながら開発チームの自律性を高める運用パターンを紹介します。

同じテーマの記事

AWS の内部時刻同期の仕組み - Amazon Time Sync Service とうるう秒スミアリングの設計AWS が独自に運用する Amazon Time Sync Service の仕組み、GPS と原子時計による高精度時刻源、うるう秒をスミアリングで吸収する設計判断、分散システムにおける時刻同期の重要性を解説します。AWS AppFabric で SaaS 監査ログを集約 - OCSF 標準化と Security Lake 統合AppFabric による SaaS アプリケーションの監査ログ収集、OCSF 形式への標準化、分析パイプラインの構築を解説します。AWS AppConfig で実装するフィーチャーフラグ - 安全な設定デプロイとロールバックコードデプロイとは独立した設定変更を、Linear・Exponential 戦略で段階的にロールアウトする。CloudWatch アラーム連動の自動ロールバックで安全性を確保します。アーキテクチャレビュー - AWS Well-Architected Tool でワークロードを体系的に評価するAWS Well-Architected Tool を使ったワークロードのアーキテクチャレビューを解説。6 つの柱に基づく評価、改善計画の策定、カスタムレンズの活用を紹介します。監査ログの設計と運用 - CloudTrail による API アクティビティの完全記録AWS CloudTrail を活用した監査ログの設計手法を解説し、API アクティビティの記録、S3 への長期保存、Config との連携によるコンプライアンス対応を紹介します。AWS の障害報告書 (COE) から学ぶ分散システムの教訓 - 過去の大規模障害が変えた設計原則AWS が公開した Correction of Errors (COE) と障害報告書から、S3 障害、us-east-1 の DNS 障害、Kinesis 障害など過去の大規模インシデントの根本原因と、それが AWS の設計原則をどう変えたかを解説します。タグの設計が運用を決める - AWS リソースタグ戦略の雑学と実践的な命名規則AWS リソースタグが単なるラベルではなくコスト配分、アクセス制御、自動化の基盤である理由、タグキーの命名規則、タグの上限 50 個の使い方、タグポリシーによるガバナンスを解説します。AWS のサービスクォータはなぜ存在するのか - 共有インフラを守るマルチテナント設計AWS のサービスクォータ (旧サービス制限) が単なる制約ではなく、マルチテナント環境で他の顧客を守るための設計であることを、ノイジーネイバー問題、ソフトリミットとハードリミットの違い、引き上げ申請の裏側から解説します。

内容が近い記事・サービス

IT サービスプロビジョニング - AWS Service Catalog で実現するセルフサービス型インフラ提供AWS Service Catalog による承認済み IT サービスのカタログ化と、CloudFormation との連携によるセルフサービス型インフラプロビジョニングを解説します。ガバナンスを維持しながら開発チームの自律性を高める運用パターンを紹介します。AWS Service Catalog組織が承認した CloudFormation テンプレートをカタログとして管理し、エンドユーザーにセルフサービスでのリソースプロビジョニングを提供するガバナンスサービスAWS Marketplace でソフトウェアを調達 - SaaS サブスクリプションとプライベートオファーAMI・コンテナ・SaaS の 3 形態でサードパーティソフトウェアを調達し、AWS 請求に統合する。Private Marketplace による組織全体のガバナンスと、契約管理の自動化手法を解説します。プラットフォームエンジニアリング - AWS Proton でインフラテンプレートを標準化するProton と Service Catalog で社内プラットフォームを構築し、開発者にセルフサービスのインフラプロビジョニングを提供する。テンプレート管理とガバナンスの設計パターンを解説します。