Service Catalog の概要 - AWS Service Catalog
[ユーザー]製品HashiCorp Terraform Open Source と Terraform Cloud のサポートプロビジョニングされた製品ポートフォリオバージョニングアクセス許可制約管理者の初期ワークフローエンドユーザーの初期ワークフロー

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Service Catalog の概要

Service Catalog の使用を開始するにあたり、そのコンポーネントと、管理者とエンドユーザーの初期ワークフローについて理解しておくと役立ちます。

[ユーザー]

Service Catalog では、次のタイプのユーザーがサポートされています。

  • カタログ管理者 (管理者) - 製品 (アプリケーションおよびサービス) のカタログを管理し、ポートフォリオに整理してエンドユーザーにアクセス権限を付与します。カタログ管理者は、高度なリソース管理を提供するために、製品の AWS CloudFormation テンプレートの準備、制約の設定、IAM ロールの管理を行います。

  • エンドユーザー – IT 部門またはマネージャーから AWS 認証情報を受け取り、 AWS Management Console を使用して、アクセス権が付与された製品を起動します。単純にユーザーと呼ばれることもあるエンドユーザーには、操作要件によって異なるアクセス許可を付与できます。たとえば、ユーザーに (使用する製品によって求められるすべてのリソースを起動および管理できるように) 最大限のアクセス許可レベルを付与することも、特定のサービス機能の使用に対するアクセス許可のみを付与することもできます。

製品

製品とは、 AWSでのデプロイに利用できるようにする IT サービスのことです。製品は、EC2 インスタンス、ストレージボリューム、データベース、モニタリング設定、ネットワークコンポーネント、パッケージ化された AWS Marketplace 製品などの 1 つ以上の AWS リソースで構成されます。製品は、 AWS Linux を実行する 1 つのコンピューティングインスタンス、独自の環境で実行される完全に設定された多層ウェブアプリケーション、またはその中間のものになります。

AWS CloudFormation テンプレートをインポートして製品を作成します。 AWS CloudFormation テンプレートは、 AWS 製品に必要なリソース、リソース間の関係、およびエンドユーザーが製品を起動するときにプラグインできるパラメータを定義し、セキュリティグループの設定、キーペアの作成、その他のカスタマイズを実行します。

HashiCorp Terraform Open Source と Terraform Cloud のサポート

AWS Service Catalog では、HashiCorp Terraform Open Source と Terraform Cloud の設定をガバナンスですばやくセルフサービスプロビジョニングできます AWS。Service Catalog は、 AWSの Terraform 構成を大規模に整理、管理、配布するための単一のツールとして使用できます。標準化および事前承認された Terraform テンプレートのカタログ作成、アクセスコントロール、最小特権のプロビジョニング、バージョニング、タグ付け、数千の AWS アカウントへの共有など、Service Catalog の主な機能にアクセスできます。エンドユーザーには、アクセスできる製品とバージョンの簡単なリストが表示され、それらの製品を 1 回のアクションでデプロイできます。

Terraform 製品のチュートリアルで詳細を確認したり、完成させたりするには、Terraform 製品の使用開始 をご覧ください。

プロビジョニングされた製品

AWS CloudFormation スタックを使用すると、製品インスタンスを 1 つのユニットとしてプロビジョニング、タグ付け、更新、終了できるため、製品のライフサイクルを簡単に管理できます。スタックには、JSON AWS CloudFormation 形式または YAML 形式で記述された AWS CloudFormation テンプレートと、それに関連するリソースのコレクションが含まれています。プロビジョニングされた製品はスタックです。エンドユーザーが製品を起動すると、Service Catalog によってプロビジョニングされる製品のインスタンスは、製品の実行に必要なリソースを伴うスタックになります。詳細については、「AWS CloudFormation ユーザーガイド」を参照してください。

ポートフォリオ

ポートフォリオとは、製品の集合で、設定情報も含まれます。ポートフォリオは、特定の製品を使用できるユーザー、そのユーザーに許可される製品の使用方法の管理に役立ちます。Service Catalog では、組織のユーザータイプごとにカスタマイズしたポートフォリオを作成し、適切なポートフォリオへのアクセス権を選択的に付与できます。製品の新しいバージョンをポートフォリオに追加すると、そのバージョンは、現在のすべてのユーザーに対して自動的に利用可能になります。

また、ポートフォリオを他の AWS アカウントと共有し、それらのアカウントの管理者が、ユーザーが作成できる EC2 インスタンスの制限など、追加の制約でポートフォリオを配布することを許可することもできます。ポートフォリオ、アクセス権限、共有、制約を使用することで、組織のニーズおよび標準に合わせて適切に設定された製品をユーザーが起動するよう制御できます。

バージョニング

Service Catalog では、カタログで複数のバージョンの製品を管理できます。このアプローチにより、ソフトウェアの更新または設定の変更に基づいて新しいバージョンのテンプレートと関連するリソースを追加できます。

新しいバージョンの製品を作成すると、その製品にアクセスできるすべてのユーザーに更新が自動的に配信されるので、ユーザーは使用する製品のバージョンを選択できます。ユーザーは、製品の実行中のインスタンスを新しいバージョンにすばやく簡単に更新できます。

アクセス許可

ポートフォリオへのアクセス権をユーザーに付与すると、ユーザーはポートフォリオを閲覧して、それに含まれる製品を起動できます。( AWS Identity and Access Management IAM) アクセス許可を適用して、カタログを表示および変更できるユーザーを制御します。IAM アクセス許可は IAM ユーザー、グループ、およびロールに割り当てることができます。

ユーザーが IAM ロールが割り当てられている製品を起動すると、Service Catalog では、そのロールで、 AWS CloudFormationを使用して製品のクラウドリソースを起動します。IAM ロールを各製品に割り当てると、承認されていない操作を実行できるアクセス権限がユーザーに割り当てられないようにすることができます。また、ユーザーは、カタログを使用してリソースをプロビジョニングできます。

制約

制約は、製品の特定の AWS リソースをデプロイする方法を制御します。制約を使用して、製品に制限を適用し、ガバナンスまたはコスト管理を実現できます。 AWS Service Catalog 制約には、起動制約通知制約テンプレート制約のさまざまなタイプがあります。

起動の制約では、ポートフォリオ内の製品に対してロールを指定します。このロールを使用して、起動時にリソースをプロビジョニングすると、ユーザーがカタログから製品をプロビジョニングする機能に影響を与えずに、ユーザーのアクセス許可を制限できます。

通知の制約は、Amazon SNS トピックを使用してスタックのイベントに関する通知を受けることができます。

テンプレート制約では、製品を起動したときにユーザーが使用できる設定パラメータ (EC2 インスタンスタイプ、IP アドレス範囲など) を制限します。テンプレート制約では、汎用 AWS CloudFormation テンプレートを製品に再利用して、製品単位またはポートフォリオ単位でテンプレートに制限を適用します。

管理者の初期ワークフロー

次の図は、カタログを作成するときの管理者の初期ワークフローを示しています。

Workflow diagram showing steps for administrators to create and manage product portfolios.

エンドユーザーの初期ワークフロー

次の図は、エンドユーザーの初期ワークフローを示しています。

End user workflow: discover products, select version, provide inputs, manage lifecycle.