GitHub Actions を使用して AWS CloudFormation テンプレートに基づいて AWS Service Catalog 製品をプロビジョニングする - AWS 規範ガイダンス
概要前提条件と制限事項アーキテクチャツールベストプラクティスエピックトラブルシューティング関連リソース追加情報

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

GitHub Actions を使用して AWS CloudFormation テンプレートに基づいて AWS Service Catalog 製品をプロビジョニングする

Amazon Web Services、Ashish Bhatt、Ruchika Modi

概要

このパターンは、AWS Service Catalog製品とポートフォリオを使用して標準化され、チーム AWS のサービス 間で準拠したプロビジョニングを行う効率的なアプローチを組織に提供します。 は、Service Catalog 製品とポートフォリオの重要なコンポーネントを組み合わせて、ベースネットワークインフラストラクチャをプロビジョニングするAWS CloudFormationのに役立ちます AWS クラウド。このパターンは、GitHub Actions を使用して Infrastructure as Code (IaC) を自動開発ワークフローに統合することで、DevOps プラクティスも促進します。

AWS Service Catalog を使用すると、組織は で承認された IT サービスを作成および管理でき AWS、標準化、一元管理、セルフサービスプロビジョニング、コスト管理などのメリットが得られます。GitHub Actions を通じて Service Catalog ポートフォリオと製品のデプロイを自動化することで、組織は以下を実行できます。

  • 一貫性のある反復可能なデプロイ。

  • IaC のバージョン管理。

  • クラウドリソース管理の既存の開発ワークフローとの統合。

この組み合わせにより、手動エラーを減らし、全体的な効率を向上させながら、クラウド運用を合理化し、コンプライアンスを強制し、承認されたサービスの配信を高速化できます。

前提条件と制限事項

前提条件

  • アクティブな AWS アカウント

  • GitHub リポジトリへのアクセス権

  • AWS CloudFormation と の基本的な理解 AWS Service Catalog

  • CloudFormation テンプレートをホストするための Amazon Simple Storage Service (Amazon S3) バケット

  • GitHub と 間の接続に使用される という名前github-actionsの AWS Identity and Access Management (IAM) ロール AWS

制限事項

  • このパターンの再利用可能なコードは、GitHub Actions でのみテストされています。

  • 一部の AWS のサービス は では使用できません AWS リージョン。利用可能なリージョンについては、「AWS のサービス (リージョン別)」を参照してください。特定のエンドポイントについては、「Service endpoints and quotas」で、サービスのリンクを選択してご確認ください。

製品バージョン

このパターンのソリューションは、次の GitHub Marketplace アクションとそれぞれのバージョンを使用して作成されました。

  • actions/checkout@v4

  • aws-actions/configure-aws-credentials@v2

  • aws-actions/aws-cloudformation-github-deploy@v1.2.0

アーキテクチャ

このソリューション用のアーキテクチャを次の図に示します。

GitHub Actions を使用して、CloudFormation テンプレートに基づいて Service Catalog 製品をプロビジョニングします。

  1. 管理者またはプラットフォームエンジニアは、標準化された CloudFormation テンプレートを GitHub リポジトリにプッシュし、そこでテンプレートが維持されます。GitHub リポジトリには、GitHub Actions AWS Service Catalog を使用した のプロビジョニングを自動化するワークフローも含まれています。

  2. GitHub Actions は、OpenID Connect (OIDC) プロバイダー AWS クラウド を使用して に接続し、Service Catalog をプロビジョニングするワークフローをトリガーします。

  3. Service Catalog には、開発者が標準化された AWS リソースのプロビジョニングに直接使用できるポートフォリオと製品が含まれています。このパターンは、仮想プライベートクラウド (VPCs)、サブネット、NAT およびインターネットゲートウェイ、ルートテーブルなどの AWS リソースをバンドルします。

  4. デベロッパーが Service Catalog 製品を作成すると、Service Catalog はそれを事前設定および標準化された AWS リソースに変換します。その結果、開発者は個々のリソースをプロビジョニングして手動で設定する必要がなくなるため、時間を節約できます。

ツール

AWS のサービス

  • AWS CloudFormation は、 AWS リソースをセットアップし、迅速かつ一貫してプロビジョニングし、 AWS アカウント および 全体のライフサイクルを通じてリソースを管理するのに役立ちます AWS リージョン。これは、 製品タイプの 1 つとして簡単に使用できるコードとしてのインフラストラクチャ (IaC) サービスです AWS Service Catalog。

  • AWS Identity and Access Management (IAM) は、誰を認証し、誰に使用を許可するかを制御することで、 AWS リソースへのアクセスを安全に管理できます。

  • AWS Service Catalog では、承認された IT サービスのカタログを一元管理できます AWS。エンドユーザーは、組織によって設定された制約に従って、必要な承認済みの IT サービスのみをすばやくデプロイできます。

  • Amazon Simple Storage Service (Amazon S3) は、あらゆる量のデータを保存、保護、取得できるクラウドベースのオブジェクトストレージサービスです。

その他

  • GitHub Actions は、GitHub リポジトリと緊密に統合された継続的インテグレーションおよび継続的デリバリー (CI/CD) プラットフォームです。GitHub アクションを使用することで、生成、テスト、デプロイのパイプラインを自動化できます。

コードリポジトリ

このパターンのコードは、GitHub 内の service-catalog-with-github-actions リポジトリから取得できます。リポジトリには、以下のファイルが含まれます。

  • github/workflows:

    • e2e-test.yaml – このファイルは再利用可能なワークフローである workflow.yaml を呼び出します。このワークフローは、ブランチにコミットとプッシュがあるとすぐにトリガーされます。

    • workflow.yaml – このファイルには、このソリューションの再利用可能なワークフローが含まれており、トリガーとして workflow_call が設定されています。再利用可能なワークフローとして、workflow.yaml は他のワークフローから呼び出すことができます。

  • templates:

    • servicecatalog-portfolio.yaml – この CloudFormation テンプレートには、Service Catalog ポートフォリオと Service Catalog 製品をプロビジョニングするリソースが含まれています。テンプレートには、Service Catalog ポートフォリオと製品のプロビジョニング中に使用される一連のパラメータが含まれています。1 つのパラメータは、テンプレートの vpc.yaml がアップロードされる Amazon S3 ファイル URL を受け入れます。このパターンには AWS リソースをプロビジョニングする vpc.yaml ファイルが含まれていますが、設定に パラメータ S3 ファイル URL を使用することもできます。

    • vpc.yaml – この CloudFormation テンプレートには、Service Catalog product に追加される AWS リソースが含まれています。 AWS リソースには、VPCs、サブネット、インターネットゲートウェイ、NAT ゲートウェイ、ルートテーブルが含まれます。vpc.yaml テンプレートは、Service Catalog 製品およびポートフォリオテンプレートで CloudFormation テンプレートを使用する方法の例です。

ベストプラクティス

エピック

タスク説明必要なスキル

ローカルワークステーションに Git をセットアップします。

Git ドキュメントの「Getting Started – Installing Git」に記載の手順に従って、ローカルワークステーションへ Git をインストールし、設定します。

アプリ開発者

GitHub プロジェクトリポジトリのクローンを作成します。

GitHub プロジェクトリポジトリのクローンを作成するには、以下を実行します。

  1. このパターンの GitHub リポジトリを開く

  2. [Code] を選択してクローンオプションを表示し、[HTTPS] タブで提示されている URL をコピーします。

  3. ワークステーションでプロジェクトのフォルダを作成します。

  4. ターミナルを開き、このフォルダに移動します。

  5. GitHub リポジトリのクローンを作成するには、ステップ 2 でコピーした URL を使用して次のコマンドを実行します。

    git clone https://github.com/aws-samples/service-catalog-with-github-actions.git

  6. クローン作成が完了したら、プロジェクトフォルダのクローンリポジトリに変更するには、次のコマンドを実行します。

    cd <folder-name>/service-catalog-with-github-actions

  7. 選択した統合開発環境 (IDE) でこのプロジェクトを開きます。

DevOps エンジニア
タスク説明必要なスキル

OIDC プロバイダーを設定します。

AWS 認証情報を存続期間の長い GitHub シークレットとして保存することなく AWS、GitHub Actions ワークフローがリソースにアクセスできるようにする OpenID Connect (OIDC) GitHub プロバイダーを作成します。手順について、詳しくは GitHub ドキュメントの「Amazon Web Services での OpenID Connect の構成」をご確認ください。

OIDC プロバイダーが設定されると、前提条件で前述した IAM ロール github-actions の信頼ポリシーが更新されます。

AWS 管理者、AWS DevOps、AWS 全般
タスク説明必要なスキル

e2e-test.yaml を更新する。

この e2e-test.yaml ファイルは、workflow.yaml で再利用可能なワークフローをトリガーします。e2e-test.yaml で次の入力パラメータの値を更新して検証します。

  • aws_account_id – 正しい を指定します AWS アカウント。

  • aws_region – 正しい を指定します AWS リージョン。

  • s3BucketName – CloudFormation テンプレートを保持する Amazon S3 バケットを指定します。

  • ワークフローファイルには、入力として 2 つの IAM ロールが必要です。

    • LaunchConstraintRole - エンドユーザーが製品を起動、更新、または終了するときに AWS Service Catalog 引き受ける IAM ロール。

    • PrincipalArn – Service Catalog ポートフォリオに関連付けられるプリンシパル (IAM ユーザー、ロール、またはグループ) の Amazon リソースネーム (ARN) です。PrincipalTypeIAM の場合、サポートされている値は完全に定義された IAM Amazon リソースネーム (ARN) となります。PrincipalTypeIAM_PATTERN の場合、サポートされている値は、次の形式の AccountID を持たない IAM ARN となります: arn:partition:iam:::resource-type/resource-id

DevOps エンジニア
タスク説明必要なスキル

Service Catalog リソースを検証します。

Service Catalog リソースを検証するには、以下を実行します。

  1. AWS マネジメントコンソール の にサインインし AWS アカウント、 AWS リージョン が正しいことを確認します。

  2. AWS Service Catalog へ移動し、[管理][ポートフォリオ] の順に選択し、ポートフォリオが存在することを確認します。

  3. ポートフォリオを選択し、[製品][制約][アクセス] タブの情報を検証します。

AWS DevOps
タスク説明必要なスキル

CloudFormation スタックを削除します。

以下の操作を行い CloudFormation スタックを削除します。

  1. https://console.aws.amazon.com/cloudformation で AWS CloudFormation コンソールを開きます。

  2. 画面上部のナビゲーションバーで、スタック AWS リージョン がある を選択します。

  3. [スタック] ページで、削除するスタックを選択します。スタックは現在実行中である必要があります。

  4. [スタックの詳細] ペインで、[削除] を選択します。

  5. プロンプトが表示されたら、[スタックの削除] を選択します。

詳細については、CloudFormation ドキュメントの「CloudFormation コンソールからスタックを削除する」をご確認ください。

DevOps エンジニア、AWS 管理者

トラブルシューティング

問題ソリューション

e2e-test

Can't find 'action.yml', 'action.yaml' or 'Dockerfile' under '*/home/runner/work/service-catalog-with-github-actions/service-catalog-with-github-actions

Did you forget to run actions/checkout before running your local action?

正しいリポジトリ設定が有効になっていることを確認するには、以下を実行します。

  1. Github リポジトリへ移動し、[Settings] タブを開きます。

  2. 左側のメニューから [Actions][General] を選択します。

  3. [Access] セクションに移動し、[Accessible from repositories in the 'XXX' organization] オプションを選択します。

関連リソース

AWS ドキュメント

その他のリソース

追加情報

エピックに関連するスクリーンショットを表示するには、このパターンの GitHub リポジトリの [Images] フォルダに移動してください。次のスクリーンショットを使用できます。