AWS Service Catalogで標準化されたAWSリソースを展開する - CloudFormationテンプレートによるガバナンス
どうも、Shinyaです。この記事では、組織内で標準化されたAWSリソースをメンバーに提供するためのサービスであるAWS Service Catalogについて解説します。CloudFormationテンプレートを活用したサービスカタログの仕組みと、ガバナンスルールに準拠したリソース展開について整理します。
- 組織内のAWSリソース作成を標準化したい人
- AWS Service Catalogの基本的な仕組みを理解したい人
- CloudFormationテンプレートを使ったガバナンスに関心がある人
- メンバー間の環境差異をなくしたい人
組織におけるAWSリソース管理の課題
組織でAWSを使って開発や運用を行う際に、個々のメンバーが独自にAWSリソースを作成・設定できる状態は、以下のリスクを伴います。
- 組織のガバナンスルールから逸脱したリソースが作成される
- 組織が把握していない設定のリソースが存在する
- メンバー間や部門間で実行環境に差異が生まれる
- コンプライアンス要件を満たさないリソースが運用される
これらの問題に対応するために、AWSではAWS Service Catalogが提供されています。
AWS Service Catalogとは
AWS Service Catalogは、組織がAWS CloudFormationテンプレートを使用して事前に作成した標準化されたリソース構成を、サービスカタログとして組織のメンバーに提供するサービスです。
メンバーはサービスカタログから承認済みのリソース構成を選択してプロビジョニングするため、ガバナンスルールに準拠したリソースのみが作成されます。
Service Catalogの構成要素
ポートフォリオ
ポートフォリオは、関連する製品(CloudFormationテンプレート)をグループ化するコンテナです。部門やチーム、ユースケースごとにポートフォリオを作成し、適切なメンバーやOUに共有します。
製品
製品は、CloudFormationテンプレートとして定義された具体的なリソース構成です。例えば、「標準Webアプリケーション構成」「セキュアデータベース構成」など、ガバナンスルールに準拠した構成をテンプレートとして登録します。
制約
制約は、メンバーが製品をプロビジョニングする際に適用される追加のルールです。起動制約(どのIAMロールで起動するか)、テンプレート制約(パラメータの選択肢を制限する)などを設定できます。
Service Catalogの利点
| 利点 | 説明 |
|---|---|
| ガバナンス準拠 | メンバーは承認済みの構成のみをプロビジョニングするため、ガバナンスルールからの逸脱を防止できる |
| 環境の一貫性 | サービスカタログから標準化されたリソースを選択するため、メンバー間・部門間の環境差異がなくなる |
| 開発効率の向上 | メンバーは一からインフラを設計する必要がなく、カタログから選択するだけでプロビジョニングが完了する |
| バージョン管理 | 製品のバージョン管理が可能で、テンプレートの更新を段階的に展開できる |
CloudFormationテンプレートの基本については、IaC(Infrastructure as Code)とAWS CloudFormationで解説しています。
まとめ
この記事では、AWS Service Catalogの基本的な仕組みについて解説しました。AWS Service Catalogは、CloudFormationテンプレートをサービスカタログとして組織のメンバーに提供し、ガバナンスルールに準拠した標準化されたAWSリソースの展開を実現するサービスです。メンバーはカタログから承認済みの構成を選択してプロビジョニングするため、ガバナンスからの逸脱防止と環境の一貫性の確保、開発効率の向上が期待できます。
参考リンク:
