いろんなところに出てくるので、大事と思うけどよくわからないシリーズと言われる AWS Service Catalog の回です。
セッション
AWS Service Catalog
講師:アマゾン ウェブ サービス ジャパン、シニアエバンジェリスト 亀田氏
AWS Service Catalog 概要
- AWS Service Catalog の実態は CloudFormation
- 開発者が必要な環境を許可された範囲内で冪等性を確保してオンデマンドに構築できるサービス
- CloudFormation のテンプレートを管理するサービスとも言える
- 権限管理とリソース管理を解決する
- 権限管理は IAM Permission Boundary の活用
- リソース管理は CloudFormation
- Control Tower と Organizations と連携して使うと、Service Catalog 内の CloudFormation テンプレートしか起動できなくできる
- Service Catalog 単体でも使えるがその場合 Service Catalog 経由でしか CFn を実行させないための設定が困難
AWS Service Catalog
- 「入門ライブラリ」に基本テンプレートが公開されている
- 「製品リスト」で作成済みの独自 CFn を追加できる
- バージョニング機能あり
- 「ポートフォリオ」で複数の製品をまとめて組むことができる
- ポートフォリオ経由でスタックを作成
- 制約として、IAM を利用して Catalog へのアクセス制限をすると良い
- イベントで通知可能
- Lambda を呼べるので色々カスタマイズできる
Account Factory
- アカウント払い出しの標準化を行うテンプレート
- 昔は Service Catalog の1機能だった
- 今は Control Tower にありこちらの機能
所感
Service Catalog に作った CFn を製品リストとして登録してポートフォリオでまとめてしまえば、自身のサービス一式をまとめた CFn として管理できるということかな。
テンプレートをたくさん作ると管理やデプロイが複雑になったりするので、Service Catalog 使えばある程度解決できそうな気がしました。