運用管理

AWS Service Catalog

組織が承認した CloudFormation テンプレートをカタログとして管理し、エンドユーザーにセルフサービスでのリソースプロビジョニングを提供するガバナンスサービス

約 2 分で読めます

概要

AWS Service Catalog は、IT 管理者が承認済みのインフラストラクチャ構成をプロダクトとして登録し、エンドユーザーがセルフサービスでプロビジョニングできる仕組みを提供します。CloudFormation テンプレートや Terraform 構成をプロダクトとしてカタログ化し、ポートフォリオ単位でアクセス権限を管理します。エンドユーザーは CloudFormation の知識がなくても、パラメータを入力するだけで承認済みの構成をデプロイできます。制約 (Constraints) により、インスタンスタイプの制限やリージョンの限定など、ガバナンスルールをプロダクトレベルで強制できます。

ポートフォリオとプロダクトの設計

Service Catalog の中核概念はポートフォリオとプロダクトの 2 層構造です。ポートフォリオはプロダクトの論理的なグループで、IAM プリンシパル (ユーザー、グループ、ロール) に対するアクセス権限の単位になります。たとえば「データ分析チーム用ポートフォリオ」に Redshift クラスター、Glue ジョブ、S3 バケットのプロダクトを含め、データチームのみに共有します。プロダクトは CloudFormation テンプレートまたは Terraform 構成をバージョン管理したもので、テンプレートのパラメータがエンドユーザーへの入力項目になります。プロダクトのバージョニングにより、テンプレートの更新を段階的にロールアウトできます。古いバージョンでプロビジョニングされた既存環境はそのまま動作し、ユーザーが明示的にバージョンアップを実行するまで影響を受けません。プロダクト設計のベストプラクティスとして、パラメータ数を最小限に抑え、デフォルト値と AllowedValues で選択肢を絞ることが重要です。エンドユーザーが判断に迷わないよう、CIDR ブロックの直接入力ではなく「小規模/中規模/大規模」のような抽象化されたパラメータを提供します。

制約とプロビジョニングルール

制約 (Constraints) は、プロダクトのプロビジョニング時に適用されるガバナンスルールです。テンプレート制約は CloudFormation パラメータの許容値を制限し、たとえばインスタンスタイプを t3.micro と t3.small のみに限定できます。起動制約 (Launch Constraint) は、プロビジョニング時に使用する IAM ロールを指定します。エンドユーザー自身に CloudFormation の実行権限を付与する必要がなく、起動ロールに必要最小限の権限を集約できるため、最小権限の原則を実現しやすくなります。通知制約は、プロビジョニングイベントを SNS トピックに送信し、管理者への通知や監査ログの記録に利用します。スタックセット制約を使えば、1 つのプロダクトを複数のリージョンやアカウントに同時展開できます。TagOption は後述しますが、プロビジョニングされるリソースに強制的にタグを付与する仕組みです。制約の組み合わせにより、エンドユーザーの自由度を適切に制御しつつ、セルフサービスの利便性を維持するバランスを設計します。過度に制約を厳しくするとセルフサービスの意味が薄れ、緩すぎるとガバナンスが機能しません。

TagOption と Organizations 統合

TagOption は、Service Catalog でプロビジョニングされるリソースにタグを強制付与する機能です。ポートフォリオまたはプロダクトに TagOption を関連付けると、エンドユーザーがプロビジョニングする際にそのタグが自動的に適用されます。コスト配分タグ (CostCenter、Project、Environment) を TagOption で強制することで、タグ付け漏れによるコスト追跡の欠落を防止します。TagOption のキーと値のペアは管理者が一元管理し、エンドユーザーは値の選択肢から選ぶだけです。Organizations との統合により、Service Catalog のポートフォリオを組織内の複数アカウントに一括共有できます。管理アカウントまたは委任管理者アカウントでポートフォリオを作成し、OU (組織単位) やアカウント単位で共有先を指定します。共有されたポートフォリオはメンバーアカウントにインポートされ、ローカルのポートフォリオと同様に利用できます。この仕組みにより、中央の IT チームが承認済みの構成を全社に配布し、各チームはセルフサービスで必要なリソースをプロビジョニングするハブ&スポーク型のガバナンスモデルを実現します。Control Tower との連携で、アカウント作成時に標準ポートフォリオを自動配布する運用も可能です。

共有するXB!

関連する用語

AWS CloudFormationAWS OrganizationsAWS Control TowerAWS ConfigAWS Resource Access Manager

関連するサービス

AWS CloudFormationAWS OrganizationsAWS Control TowerAWS ConfigAWS Resource Access Manager

関連する記事

AWS Control Tower で構築するマルチアカウント環境 - ランディングゾーンとガードレールランディングゾーンの自動構築とガードレールによるポリシー適用で、マルチアカウント環境のガバナンスを確立する。Account Factory によるアカウント自動作成も紹介します。マルチアカウント管理 - AWS Organizations と RAM で実現する組織全体のガバナンスOrganizations の委任管理者モデルで CloudTrail・Config・GuardDuty・Security Hub を全アカウントに一括展開し、セキュリティとコンプライアンスの統合管理を実現する方法を解説します。AWS Organizations で実現するマルチアカウント管理 - OU 設計と SCP によるガバナンスOU 階層の設計と SCP によるアクセス制御でマルチアカウント環境のガバナンスを確立する。一括請求によるコスト管理も紹介します。AWS Artifact でコンプライアンスレポートを取得 - 監査対応と契約管理SOC・PCI DSS・ISO の監査レポートをオンデマンドで取得し、BAA や GDPR DPA を Organizations 全体に一括適用する手順を紹介します。タグの設計が運用を決める - AWS リソースタグ戦略の雑学と実践的な命名規則AWS リソースタグが単なるラベルではなくコスト配分、アクセス制御、自動化の基盤である理由、タグキーの命名規則、タグの上限 50 個の使い方、タグポリシーによるガバナンスを解説します。

内容が近い用語・記事

AWS Service Catalog で実現する IT ガバナンス - 承認済み製品の標準化とセルフサービスIT 部門が承認した CloudFormation テンプレートをカタログ化し、起動制約とテンプレート制約でエンドユーザーのセルフサービスを安全に提供する手法を紹介します。IT サービスプロビジョニング - AWS Service Catalog で実現するセルフサービス型インフラ提供AWS Service Catalog による承認済み IT サービスのカタログ化と、CloudFormation との連携によるセルフサービス型インフラプロビジョニングを解説します。ガバナンスを維持しながら開発チームの自律性を高める運用パターンを紹介します。AWS Service Catalog承認済みの IT サービスを組織全体にセルフサービスで提供するカタログサービスプラットフォームエンジニアリング - AWS Proton でインフラテンプレートを標準化するProton と Service Catalog で社内プラットフォームを構築し、開発者にセルフサービスのインフラプロビジョニングを提供する。テンプレート管理とガバナンスの設計パターンを解説します。マルチアカウント管理 - AWS Organizations と RAM で実現する組織全体のガバナンスOrganizations の委任管理者モデルで CloudTrail・Config・GuardDuty・Security Hub を全アカウントに一括展開し、セキュリティとコンプライアンスの統合管理を実現する方法を解説します。