aws service catalog - 管理者ガイド...jira service desk...
TRANSCRIPT
AWS Service Catalog管理者ガイド
AWS Service Catalog 管理者ガイド
AWS Service Catalog: 管理者ガイドCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.
Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.
AWS Service Catalog 管理者ガイド
Table of ContentsAWS Service Catalog とは .................................................................................................................. 1
概要 .......................................................................................................................................... 1ユーザー ............................................................................................................................ 1製品 .................................................................................................................................. 2プロビジョニングされた製品 ................................................................................................ 2ポートフォリオ .................................................................................................................. 2バージョニング .................................................................................................................. 2アクセス許可 ..................................................................................................................... 2制約 .................................................................................................................................. 3管理者の初期ワークフロー ................................................................................................... 3エンドユーザーの初期ワークフロー ....................................................................................... 3
クォータ .................................................................................................................................... 4セットアップ ..................................................................................................................................... 6
Amazon Web Services へのサインアップ ....................................................................................... 6管理者およびエンドユーザー用のアクセス権限の付与 ...................................................................... 6管理者へのアクセス権限の付与 ..................................................................................................... 6エンドユーザーへのアクセス権限の付与 ......................................................................................... 8
開始方法 ............................................................................................................................................ 9ステップ 1: テンプレートのダウンロード ....................................................................................... 9
テンプレートのダウンロード ................................................................................................ 9テンプレートの概要 ............................................................................................................ 9
ステップ 2: キーペアを作成する ................................................................................................. 12ステップ 3. ポートフォリオの作成 .............................................................................................. 12ステップ 4: 製品を作成する ....................................................................................................... 13ステップ 5: テンプレート制約を追加する ..................................................................................... 13ステップ 6: 起動制約を追加する ................................................................................................. 14ステップ 7: ポートフォリオへのアクセス権限のエンドユーザーへの付与 ........................................... 15ステップ 8: エンドユーザーのエクスペリエンスをテストする .......................................................... 16
入門ライブラリ ................................................................................................................................. 17Prerequisites ............................................................................................................................ 17リファレンスアーキテクチャ ...................................................................................................... 17高信頼性アーキテクチャ ............................................................................................................ 18詳細はこちら ............................................................................................................................ 18
セキュリティ .................................................................................................................................... 19データ保護 ............................................................................................................................... 19
暗号化によるデータの保護 ................................................................................................. 20Identity and Access Management ................................................................................................ 21
対象者 ............................................................................................................................. 21アクセスの制御 ................................................................................................................. 21事前定義の AWS 管理ポリシー ........................................................................................... 22エンドユーザーのコンソールアクセス .................................................................................. 23エンドユーザー向け製品アクセス ........................................................................................ 24ポリシーの例 .................................................................................................................... 24
ログ記録とモニタリング ............................................................................................................ 27コンプライアンス検証 ............................................................................................................... 27弾力 ........................................................................................................................................ 27インフラストラクチャセキュリティ ............................................................................................. 28セキュリティのベストプラクティス ............................................................................................. 28
カタログの管理 ................................................................................................................................. 30ポートフォリオの管理 ............................................................................................................... 30
ポートフォリオの作成、表示、削除 ..................................................................................... 30ポートフォリオの詳細の表示 .............................................................................................. 31ポートフォリオの作成と削除 .............................................................................................. 31製品の追加 ....................................................................................................................... 31
iii
AWS Service Catalog 管理者ガイド
制約の追加 ....................................................................................................................... 33ユーザーへのアクセス権限の付与 ........................................................................................ 34
製品の管理 ............................................................................................................................... 34[Products] ページの表示 ..................................................................................................... 35製品の作成 ....................................................................................................................... 35ポートフォリオへの製品の追加 ........................................................................................... 36製品の更新 ....................................................................................................................... 36製品の削除 ....................................................................................................................... 37バージョンの管理 .............................................................................................................. 37
制約の使用 ............................................................................................................................... 38起動制約 .......................................................................................................................... 38通知の制約 ....................................................................................................................... 41タグの更新の制約 .............................................................................................................. 41スタックセットの制約 ....................................................................................................... 42テンプレート制約 .............................................................................................................. 42
サービスアクションの使用 ......................................................................................................... 51前提条件 .......................................................................................................................... 51ステップ 1: エンドユーザーのアクセス許可を設定する ........................................................... 52ステップ 2: サービスアクションを作成する .......................................................................... 52ステップ 3: サービスアクションを製品バージョンに関連付ける ............................................... 53ステップ 4: エンドユーザーのエクスペリエンスをテストする .................................................. 53ステップ 5: トラブルシューティング ................................................................................... 54
ポートフォリオへの AWS Marketplace 製品の追加 ........................................................................ 55AWS Service Catalog を使用した AWS Marketplace 製品の管理 .............................................. 56手動での AWS Marketplace 製品の管理と追加 ...................................................................... 56
ポートフォリオの共有 ............................................................................................................... 60共有ポートフォリオとインポートされたポートフォリオの関係 ................................................ 61ポートフォリオの共有 ....................................................................................................... 62
AWS CloudFormation StackSets の使用 ....................................................................................... 64スタックセットとスタックインスタンス ............................................................................... 64スタックセットの制約 ....................................................................................................... 64
予算の管理 ............................................................................................................................... 64前提条件 .......................................................................................................................... 65予算の作成 ....................................................................................................................... 66予算の関連付け ................................................................................................................. 66予算の表示 ....................................................................................................................... 67予算の関連付けの解除 ....................................................................................................... 67
プロビジョニング済み製品の管理 ........................................................................................................ 68管理者としてすべてのプロビジョニング済み製品を管理する ........................................................... 68プロビジョニング済み製品所有者の変更 ....................................................................................... 68
以下の資料も参照してください。 ........................................................................................ 69チュートリアル:ユーザーのリソース割り当ての確認 .................................................................... 69
タグを管理する ................................................................................................................................. 73AutoTags ................................................................................................................................. 73TagOption ライブラリ ............................................................................................................... 74
TagOptions による製品の起動 ............................................................................................. 75TagOptions の管理 ............................................................................................................ 77
モニタリング .................................................................................................................................... 79モニタリングツール .................................................................................................................. 79
自動化ツール .................................................................................................................... 79CloudWatch メトリクス ............................................................................................................. 79
CloudWatch メトリクスを有効にする ................................................................................... 80使用できるメトリクスとディメンション ............................................................................... 80AWS Service Catalog メトリクスの表示 .............................................................................. 81
製品とサービスの統合 ....................................................................................................................... 82Connector for ServiceNow .......................................................................................................... 82
Background ...................................................................................................................... 83
iv
AWS Service Catalog 管理者ガイド
はじめに .......................................................................................................................... 83リリースノート ................................................................................................................. 84ベースラインアクセス許可 ................................................................................................. 84AWS Service Catalog の設定 .............................................................................................. 88の設定ServiceNow ............................................................................................................. 90構成の検証 ....................................................................................................................... 98ServiceNowその他の機能 .................................................................................................. 100バージョン 2.3.4 リリース移行手順 ................................................................................... 103
Connector for Jira Service Desk ................................................................................................ 104Background .................................................................................................................... 105Jira Service Desk でサポートされているバージョンとリリース .............................................. 105はじめに ........................................................................................................................ 105リリースノート ............................................................................................................... 106ベースラインアクセス許可 ................................................................................................ 108AWS Service Catalog の設定 ............................................................................................ 112Jira Service Desk の設定 .................................................................................................. 114IT ライフサイクル管理のセットアップとユースケース .......................................................... 120構成の検証 ..................................................................................................................... 126Jira のその他の管理者機能 ................................................................................................ 128
ドキュメント履歴 ............................................................................................................................ 130.................................................................................................................................................. cxxxii
v
AWS Service Catalog 管理者ガイド概要
AWS Service Catalog とはAWS Service Catalogでは、AWS 向けに承認された IT サービスのカタログを作成および管理できます。この IT サービスには、仮想マシンイメージ、サーバー、ソフトウェア、データベースから包括的な多層アプリケーションアーキテクチャまで、あらゆるものが含まれます。AWS Service Catalog により、組織は一般的にデプロイされる IT サービスを集中管理でき、一貫性のあるガバナンスを達成し、コンプライアンス要件を満たすうえで役立ちます。エンドユーザーは、組織によって設定された制約に従って、必要な承認済みの IT サービスのみをすばやくデプロイできます。
AWS Service Catalog には次の利点があります。
• 標準化
製品を起動できる場所、使用できるインスタンスのタイプ、およびその他の多くの設定オプションを制限することにより、承認済みのアセットを管理できます。その結果、組織全体で製品をプロビジョニングするために標準化された環境が実現します。
• セルフサービスの検出と起動
ユーザーは、アクセスできる製品 (サービスまたはアプリケーション) のリストを参照し、使用する製品を見つけ、プロビジョニング済み製品としてすべて自分で起動できます。
• きめ細かなアクセスコントロール
管理者は、カタログから製品のポートフォリオを生成し、プロビジョニングで使用する制約とリソースタグを追加して、AWS Identity and Access Management (IAM) のユーザーとグループを通じてポートフォリオにアクセス権限を付与します。
• 拡張性とバージョン管理
管理者は、任意の数のポートフォリオに製品を追加し、別のコピーを作成することなく、それを制限できます。製品を新しいバージョンに更新すると、それを参照するすべてのポートフォリオで、すべての製品に対して更新が伝播されます。
詳細情報については、AWS Service Catalog 詳細ページを参照してください。
AWS Service Catalog API では、AWS マネジメントコンソールを使用する代わりに、すべてのエンドユーザーアクションに対する制御をプログラムで行うことができます。詳細については、AWS Service Catalog開発者ガイド を参照してください。
AWS Service Catalog の概要AWS Service Catalog の使用を開始するにあたり、そのコンポーネントと、管理者とエンドユーザーの初期ワークフローについて理解しておくと役立ちます。
ユーザーAWS Service Catalog では、次のタイプのユーザーがサポートされています。
• カタログ管理者 (管理者) – 製品 (アプリケーションおよびサービス) のカタログを管理し、ポートフォリオに整理してエンドユーザーにアクセス権限を付与します。カタログ管理者は、AWS CloudFormationテンプレートの準備や制約の設定を行い、製品に割り当てられた IAM ロールを管理して、高度なリソース管理を提供します。
1
AWS Service Catalog 管理者ガイド製品
• エンドユーザー – IT 部門またはマネージャーから AWS 認証情報を受け取り、AWS マネジメントコンソールを使用して、アクセス権限を付与されている製品を起動します。単純にユーザーと呼ばれることもあるエンドユーザーには、操作要件によって異なるアクセス許可を付与できます。たとえば、ユーザーに (使用する製品によって求められるすべてのリソースを起動および管理できるように) 最大限のアクセス許可レベルを付与することも、特定のサービス機能の使用に対するアクセス許可のみを付与することもできます。
製品製品とは、AWS でのデプロイに利用できるようにする IT サービスのことです。製品は、EC2 インスタンス、ストレージボリューム、データベース、モニタリング設定、ネットワーキングコンポーネント、パッケージ化された AWS Marketplace 製品など、1 つ以上の AWS リソースで構成されます。製品には、AWSLinux を実行する 1 つのコンピューティングインスタンス、独自の環境で実行される完全に構成された多層ウェブアプリケーション、その中間に位置するものを使用できます。AWS CloudFormation テンプレートをインポートして製品を作成します。AWS CloudFormation テンプレートでは、製品に必要な AWS リソース、リソース間の関係、エンドユーザーが製品を起動したときにセキュリティグループの設定、キーペアの作成、その他のカスタマイズを行うために組み込むことができるパラメータを定義します。
プロビジョニングされた製品AWS CloudFormation スタックにより、製品インスタンスを単一のユニットとしてプロビジョニング、タグ付け、更新、および終了できるので、製品のライフサイクルを管理しやすくなります。AWSCloudFormation スタックには、JSON 形式または YAML 形式で記述された AWS CloudFormation テンプレートとそれに関連するリソースのコレクションが含まれます。プロビジョニングされた製品はスタックです。エンドユーザーが製品を起動すると、AWS Service Catalog によってプロビジョニングされる製品のインスタンスは、製品の実行に必要なリソースを伴うスタックになります。詳細については、「AWSCloudFormation ユーザーガイド」を参照してください。
ポートフォリオポートフォリオとは、製品の集合で、設定情報も組み込まれています。ポートフォリオは、特定の製品を使用できるユーザー、そのユーザーに許可される製品の使用方法の管理に役立ちます。AWS ServiceCatalog では、組織のユーザータイプごとにカスタマイズしたポートフォリオを作成し、適切なポートフォリオへのアクセス権を選択的に付与できます。製品の新しいバージョンをポートフォリオに追加すると、そのバージョンは、現在のすべてのユーザーに対して自動的に利用可能になります。また、自分のポートフォリオを他の AWS アカウントと共有して、そのアカウントの管理者がそのポートフォリオに制約 (ユーザーが作成できる EC2 インスタンスの制限など) を加えて配布できるようにすることができます。ポートフォリオ、アクセス権限、共有、制約を使用することで、組織のニーズおよび標準に合わせて適切に設定された製品をユーザーが起動するよう制御できます。
バージョニングAWS Service Catalog では、カタログで複数のバージョンの製品を管理できます。これにより、ソフトウェアの更新または設定の変更に基づいて新しいバージョンのテンプレートと関連するリソースを追加できます。新しいバージョンの製品を作成すると、その製品にアクセスできるすべてのユーザーに更新が自動的に配信されるので、ユーザーは使用する製品のバージョンを選択できます。ユーザーは、製品の実行中のインスタンスを新しいバージョンにすばやく簡単に更新できます。
アクセス許可ポートフォリオへのアクセス権をユーザーに付与すると、ユーザーはポートフォリオを閲覧して、それに含まれる製品を起動できます。AWS Identity and Access Management (IAM) アクセス許可を適用して、カタログを表示および変更できるユーザーを制御できます。IAM アクセス許可は IAM ユーザー、グループ、およびロールに割り当てることができます。ユーザーが IAM ロールが割り当てられている製品を起動
2
AWS Service Catalog 管理者ガイド制約
すると、AWS Service Catalog では、そのロールで、AWS CloudFormation を使用して製品のクラウドリソースを起動します。IAM ロールを各製品に割り当てると、承認されていない操作を実行できるアクセス権限がユーザーに割り当てられないようにすることができます。また、ユーザーは、カタログを使用してリソースをプロビジョニングできます。
制約制約によって、特定の AWS リソースを製品に対してデプロイできる方法を制御します。制約を使用して、製品に制限を適用し、ガバナンスまたはコスト管理を実現できます。AWS Service Catalog の制約にはさまざまなタイプがあります。起動の制約、通知の制約、テンプレートの制約です。
起動の制約では、ポートフォリオ内の製品に対してロールを指定します。このロールは、起動時にリソースをプロビジョニングするときに使用されるので、ユーザーがカタログから製品をプロビジョニングする機能に影響を与えずに、ユーザーのアクセス許可を制限できます。
通知の制約は、Amazon SNS トピックを使用してスタックのイベントに関する通知を受けることができます。
テンプレート制約では、製品を起動したときにユーザーが使用できる設定パラメータ (EC2 インスタンスタイプ、IP アドレス範囲など) を制限します。テンプレート制約では、汎用 AWS CloudFormation テンプレートを製品に再利用して、製品単位またはポートフォリオ単位でテンプレートに制限を適用します。
管理者の初期ワークフロー次の図は、カタログを作成するときの管理者の初期ワークフローを示しています。
エンドユーザーの初期ワークフロー次の図は、管理者ワークフローの状態を開始点として、エンドユーザーの初期ワークフローを示しています。この例では、右側にエンドユーザーの製品確認タスクおよびプロビジョニングタスクを示し、左側に管理者のタスクを示しています。タスクには、順番どおり番号が付いています。
3
AWS Service Catalog 管理者ガイドクォータ
AWS Service Catalog のデフォルトのサービスクォータ
お客様の AWS アカウントには、AWS Service Catalog に関連する以下のデフォルトのクォータがあります。
AWS Service Quotas を使用して、クォータを管理したり、クォータの増加をリクエストしたりできます。サービスクォータの詳細については、サービスクォータユーザーガイドの「サービスクォータとは」を参照してください。クォータの増加をリクエストする方法については、「クォータ増加のリクエスト」を参照してください。
リージョン別クォータ
• ポートフォリオ: 100• 製品: 350
ポートフォリオのクォータ
• ポートフォリオあたりのユーザー、グループ、ロール: 100• ポートフォリオあたりの製品: 150• ポートフォリオあたりのタグ: 20• ポートフォリオあたりの共有アカウント: 5000• タグキーあたりのタグ値: 25
4
AWS Service Catalog 管理者ガイドクォータ
製品クォータ
• 製品あたりのユーザー、グループ、ロール: 200• 製品あたりの製品バージョン: 100• 製品あたりのタグ: 20• タグキーあたりのタグ値: 25
プロビジョニング済み製品のクォータ
• プロビジョニング済み製品あたりのタグ: 50
制約クォータ
• ポートフォリオ別の製品あたりの制約事項: 100
サービスアクションクォータ
• リージョンあたりのサービスアクション: 200• 製品バージョンごとのサービスアクションの関連付け: 25
TagOption のクォータ
• リソースあたりの TagOption: 25• TagOption あたりの値: 25
AWS Organizations のクォータ
• 組織あたりの AWS Service Catalog 委任管理者数: 50
5
AWS Service Catalog 管理者ガイドAmazon Web Services へのサインアップ
AWS Service Catalog のセットアップ
AWS Service Catalog の使用を開始する前に、以下のタスクを完了します。
Amazon Web Services へのサインアップAmazon Web Services (AWS) を使用するには、AWS アカウントにサインアップする必要があります。
AWS にサインアップしてアカウントを作成するには
1. https://portal.aws.amazon.com/billing/signup を開きます。2. オンラインの手順に従います。
サインアップ手順の一環として、通話呼び出しを受け取り、電話のキーパッドを用いて確認コードを入力することが求められます。
AWS のサインアップ処理が完了すると、ユーザーに確認メールが送信されます。ユーザーはいつでもhttps://aws.amazon.com/ で [アカウント]、[AWS マネジメントコンソール] の順に選択することで、現在のアカウントアクティビティを表示し、アカウントを管理することができます。
管理者およびエンドユーザー用のアクセス権限の付与
カタログ管理者とエンドユーザーは、IAM を使用するためにさまざまな AWS Service Catalog アクセス権限を必要とします。カタログ管理者には、AWS Service Catalog 管理者コンソールにアクセスし、製品を作成して、製品を管理するための IAM アクセス権限が必要です。製品をエンドユーザーが使用するには、AWS Service Catalog エンドユーザーコンソールへのアクセス、製品の起動、起動された製品の (プロビジョニング済み製品としての) 管理に必要なアクセス権限をエンドユーザーに付与する必要があります。
AWS Service Catalog では、管理ポリシーを使用して、これらのアクセス権限の多くが提供されます。AWS はこのようなポリシーを維持し、AWS Identity and Access Management (IAM) サービスで提供します。これらのポリシーは、IAM ユーザー、グループ、または自分やエンドユーザーが使用するロールにアタッチして使用できます。
• AWS Service Catalog での Identity and Access Management (p. 21)• AWS Service Catalog 管理者へのアクセス権限の付与 (p. 6)• AWS Service Catalog エンドユーザーへのアクセス権限の付与 (p. 8)
AWS Service Catalog 管理者へのアクセス権限の付与
カタログ管理者には、AWS Service Catalog 管理者コンソールビューへのアクセスと、以下のようなタスクの実行を許可する IAM アクセス権限が必要です。
6
AWS Service Catalog 管理者ガイド管理者へのアクセス権限の付与
• ポートフォリオの作成と管理• 製品の作成と管理• 製品を起動するときにエンドユーザーが使用可能なオプションを管理するためのテンプレート制約の追
加• エンドユーザーが製品を起動するときに IAM が引き受ける AWS Service Catalog ロールを定義する起動
制約の追加• 製品へのエンドユーザーアクセス権の付与
このチュートリアルを完了するには、ユーザー、または IAM アクセス権限を管理する管理者は、IAM ユーザー、グループ、またはロールにポリシーをアタッチする必要があります。
カタログ管理者にアクセス権限を付与するには
1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。2. ナビゲーションペインで [Users] を選択します。カタログ管理者として使用する IAM ユーザーをすで
に作成している場合は、そのユーザー名を選択して [アクセス許可の追加] を選択します。それ以外の場合は、次のようにしてユーザーを作成します。
a. [Add user] を選択します。b. [User name] に、ServiceCatalogAdmin と入力します。c. [Programmatic access] と [AWS Management Console access] を選択します。d. [次へ: アクセス許可] を選択します。
3. [Attach existing policies directly] を選択します。4. [Create policy] を選択して、次の操作を行います。
a. [JSON] タブを選択します。b. 次のポリシー例をコピーし、[Policy Document] に貼り付けます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateKeyPair", "iam:AddRoleToInstanceProfile", "iam:AddUserToGroup", "iam:AttachGroupPolicy", "iam:CreateAccessKey", "iam:CreateGroup", "iam:CreateInstanceProfile", "iam:CreateLoginProfile", "iam:CreateRole", "iam:CreateUser", "iam:Get*", "iam:List*", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy" ], "Resource": [ "*" ] } ]}
c. [ポリシーの確認] を選択します。
7
AWS Service Catalog 管理者ガイドエンドユーザーへのアクセス権限の付与
d. [Policy Name] に「ServiceCatalogAdmin-AdditionalPermissions」と入力します。e. AWS Service Catalog によって Amazon S3 保存されているテンプレートにアクセスできるよう
に、Amazon S3 の管理者アクセス権限を付与する必要があります。詳細については、AmazonSimple Storage Service 開発者ガイドの「ユーザーポリシーの例」を参照してください。
f. [Create Policy] を選択します。5. アクセス権限ページのブラウザウィンドウに戻り、[Refresh] を選択します。6. 検索フィールドに ServiceCatalog と入力してポリシーリストをフィルタリングします。7. [AWSServiceCatalogAdminFullAccess] ポリシーと [ServiceCatalogAdmin-AdditionalPermissions] ポリ
シーのチェックボックスをオンにして、[次へ: レビュー] を選択します。8. ユーザーを更新する場合は [Add permissions] を選択します。
ユーザーを作成する場合は [Create user] を選択します。認証情報をダウンロードまたはコピーして、[Close] を選択できます。
9. カタログ管理者としてサインインするには、アカウント固有の URL を使用します。この URL を確認するには、ナビゲーションペインの [Dashboard] を選択し、[Copy Link] を選択します。ブラウザにリンクを貼り付け、この手順で更新または作成した IAM ユーザーの名前とパスワードを使用します。
AWS Service Catalog エンドユーザーへのアクセス権限の付与
エンドユーザーが AWS Service Catalog を使用できるようにする前に、AWS Service Catalog エンドユーザーコンソールビューへのアクセス権を付与する必要があります。アクセス権を付与するには、IAMユーザー、グループ、またはエンドユーザーが使用するロールにポリシーをアタッチします。次の手順では、AWSServiceCatalogEndUserFullAccess ポリシーを IAM グループにアタッチします。詳細については、「事前定義の AWS 管理ポリシー (p. 22)」を参照してください。
エンドユーザーグループにアクセス権限を付与するには
1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。2. ナビゲーションペインで、[ Groups] を選択します。3. [Create New Group] を選択して、次の操作を行います。
a. [グループ名] に「Endusers」と入力し、[次のステップ] を選択します。b. 検索フィールドに AWSServiceCatalog と入力してポリシーリストをフィルタリングします。c. AWSServiceCatalogEndUserFullAccess ポリシーのチェックボックスをオンにし、[Next Step] を
選択します。また、代わりに AWSServiceCatalogEndUserReadOnlyAccess を選択することもできます。
d. [Review] ページで、[Create Group] を選択します。4. ナビゲーションペインで [Users] を選択します。5. [ユーザーを追加] を選択し、次の操作を行います。
a. [ユーザー名] にユーザーの名前を入力します。b. [AWS Management Console access] を選択します。c. [次へ: アクセス許可] を選択します。d. [Add user to group] を選択します。e. [Endusers] グループのチェックボックスをオンにし、[次へ: タグ]、[次へ: レビュー] の順にを選択
します。f. [Review] ページで、[Create user] を選択します。認証情報をダウンロードまたはコピーして、[閉
じる] を選択します。
8
AWS Service Catalog 管理者ガイドステップ 1: テンプレートのダウンロード
開始方法このチュートリアルでは、カタログ管理者として実行する主なタスクについて説明します。AWSCloudFormation テンプレートに基づいて製品を作成します。これにより、製品で使用される AWS リソースが定義されます。Linux Desktop 製品は、Amazon Linux 上で動作するクラウド開発環境です。ポートフォリオに製品を追加し、エンドユーザーに配信します。最後に、エンドユーザーとしてログインして製品をテストします。
開始する前に
「AWS Service Catalog のセットアップ (p. 6)」で説明されている各タスクを実行します。
タスク• ステップ 1: AWS CloudFormation テンプレートのダウンロード (p. 9)• ステップ 2: キーペアを作成する (p. 12)• ステップ 3. 作成 AWS Service Catalog ポートフォリオ (p. 12)• ステップ 4: AWS Service Catalog 製品を作成する (p. 13)• ステップ 5: テンプレート制約を追加してインスタンスサイズを制限する (p. 13)• ステップ 6: IAM ロールを割り当てる起動制約を追加する (p. 14)• ステップ 7: ポートフォリオへのアクセス権限のエンドユーザーへの付与 (p. 15)• ステップ 8: エンドユーザーのエクスペリエンスをテストする (p. 16)
ステップ 1: AWS CloudFormation テンプレートのダウンロード
ポートフォリオおよび製品をプロビジョニングし、設定するには、JSON AWS CloudFormationまたは YAML 形式のテキストファイルである – テンプレートを使用します。詳細については、AWSCloudFormation ユーザーガイドの「テンプレート形式」を参照してください。これらのテンプレートは、プロビジョニングするリソースについて記述します。AWS CloudFormation エディタまたはその他のテキストエディタを使用して、テンプレートを作成し保存できます。このチュートリアルでは、開始するためのシンプルなテンプレートが用意されています。このテンプレートでは、SSH アクセス用に設定された 1つの Linux インスタンスを起動します。
テンプレートのダウンロードこのチュートリアルのサンプルテンプレート development-environment.template は、https://awsdocs.s3.amazonaws.com/servicecatalog/development-environment.template にあります。
テンプレートの概要サンプルテンプレートのテキストは次のとおりです。
{ "AWSTemplateFormatVersion" : "2010-09-09",
"Description" : "AWS Service Catalog sample template. Creates an Amazon EC2 instance running the Amazon Linux AMI. The AMI is chosen based on the region in which the stack is run. This example creates an EC2 security group for the instance to give you SSH access. **WARNING** This template creates an Amazon EC2 instance. You will be billed for the AWS resources used if you create a stack from this template.",
9
AWS Service Catalog 管理者ガイドテンプレートの概要
"Parameters" : { "KeyName": { "Description" : "Name of an existing EC2 key pair for SSH access to the EC2 instance.", "Type": "AWS::EC2::KeyPair::KeyName" },
"InstanceType" : { "Description" : "EC2 instance type.", "Type" : "String", "Default" : "t2.micro", "AllowedValues" : [ "t2.micro", "t2.small", "t2.medium", "m3.medium", "m3.large", "m3.xlarge", "m3.2xlarge" ] },
"SSHLocation" : { "Description" : "The IP address range that can SSH to the EC2 instance.", "Type": "String", "MinLength": "9", "MaxLength": "18", "Default": "0.0.0.0/0", "AllowedPattern": "(\\d{1,3})\\.(\\d{1,3})\\.(\\d{1,3})\\.(\\d{1,3})/(\\d{1,2})", "ConstraintDescription": "Must be a valid IP CIDR range of the form x.x.x.x/x." } },
"Metadata" : { "AWS::CloudFormation::Interface" : { "ParameterGroups" : [{ "Label" : {"default": "Instance configuration"}, "Parameters" : ["InstanceType"] },{ "Label" : {"default": "Security configuration"}, "Parameters" : ["KeyName", "SSHLocation"] }], "ParameterLabels" : { "InstanceType": {"default": "Server size:"}, "KeyName": {"default": "Key pair:"}, "SSHLocation": {"default": "CIDR range:"} } } },
"Mappings" : { "AWSRegionArch2AMI" : { "us-east-1" : { "HVM64" : "ami-08842d60" }, "us-west-2" : { "HVM64" : "ami-8786c6b7" }, "us-west-1" : { "HVM64" : "ami-cfa8a18a" }, "eu-west-1" : { "HVM64" : "ami-748e2903" }, "ap-southeast-1" : { "HVM64" : "ami-d6e1c584" }, "ap-northeast-1" : { "HVM64" : "ami-35072834" }, "ap-southeast-2" : { "HVM64" : "ami-fd4724c7" }, "sa-east-1" : { "HVM64" : "ami-956cc688" }, "cn-north-1" : { "HVM64" : "ami-ac57c595" }, "eu-central-1" : { "HVM64" : "ami-b43503a9" } }
},
"Resources" : { "EC2Instance" : { "Type" : "AWS::EC2::Instance", "Properties" : { "InstanceType" : { "Ref" : "InstanceType" }, "SecurityGroups" : [ { "Ref" : "InstanceSecurityGroup" } ],
10
AWS Service Catalog 管理者ガイドテンプレートの概要
"KeyName" : { "Ref" : "KeyName" }, "ImageId" : { "Fn::FindInMap" : [ "AWSRegionArch2AMI", { "Ref" : "AWS::Region" }, "HVM64" ] } } },
"InstanceSecurityGroup" : { "Type" : "AWS::EC2::SecurityGroup", "Properties" : { "GroupDescription" : "Enable SSH access via port 22", "SecurityGroupIngress" : [ { "IpProtocol" : "tcp", "FromPort" : "22", "ToPort" : "22", "CidrIp" : { "Ref" : "SSHLocation"} } ] } } },
"Outputs" : { "PublicDNSName" : { "Description" : "Public DNS name of the new EC2 instance", "Value" : { "Fn::GetAtt" : [ "EC2Instance", "PublicDnsName" ] } }, "PublicIPAddress" : { "Description" : "Public IP address of the new EC2 instance", "Value" : { "Fn::GetAtt" : [ "EC2Instance", "PublicIp" ] } } }}
テンプレートのリソース
テンプレートでは、製品の起動時に作成されるリソースを宣言します。次のセクションがあります。
• [AWSTemplateFormatVersion] – このテンプレートの作成に使用される AWS テンプレート形式のバージョン。
• [説明] – テンプレートの説明。• [パラメータ] – 製品を起動するためにユーザーが指定する必要があるパラメータ。各パラメータについ
て、テンプレートには、入力する値が一致する必要がある説明と制約が含まれます。制約の詳細については、「AWS Service Catalog の使用の制約 (p. 38)」を参照してください。
KeyName パラメータでは、エンドユーザーが Amazon Elastic Compute Cloud を使用して製品を起動するときに指定する必要がある、Amazon EC2 (AWS Service Catalog) キーペア名を指定することができます。次のステップでキーペアを作成します。
• [メタデータ] – テンプレートの詳細を定義するオプションのセクション。AWS::CloudFormation::Interface キーは、エンドユーザーのコンソールビューにパラメータがどのように表示されるかを定義します。ParameterGroups プロパティは、パラメータのグループ化の方法と、それらのグループの見出しを定義します。ParameterLabels プロパティはフレンドリなパラメータ名を定義します。このテンプレートに基づいた製品を起動するパラメータをユーザーが指定すると、エンドユーザーコンソールビューには、見出し Server size: に Instance configurationというラベルのパラメータが表示され、見出し Key pair: に CIDR range: および Securityconfiguration というラベルのパラメータが表示されます。
• [マッピング] – リージョンと、それぞれに対応する Amazon Machine Image (AMI) のリスト。AWSService Catalog はこのマッピングを使用して、ユーザーが AWS マネジメントコンソール で選択したリージョンに基づいて使用する AMI を決定します。
• [リソース] – Amazon Linux を実行している EC2 インスタンス、およびインスタンスへの SSH アクセスを許可するセキュリティグループ。EC2 インスタンスリソースの [Properties] セクションは、ユーザーが入力する情報を使用して、SSH アクセスのインスタンスタイプとキー名を設定します。
11
AWS Service Catalog 管理者ガイドステップ 2: キーペアを作成する
AWS CloudFormation は、現在のリージョンを使用して、前に定義されたマッピングから AMI ID を選択し、それにセキュリティグループを割り当てます。セキュリティグループは、ユーザーが指定するCIDR IP アドレス範囲からポート 22 でインバウンドアクセスを許可するように設定されます。
• [出力] – 製品の起動が完了したときにユーザーに知らせるテキスト。提供されたテンプレートは、起動されたインスタンスのパブリック DNS 名を取得し、それをユーザーに表示します。ユーザーが SSH を使用してインスタンスに接続するためには、DNS 名が必要です。
ステップ 2: キーペアを作成するエンドユーザーが、このチュートリアル用のサンプルテンプレートに基づいた製品を起動できるようにするには、Amazon EC2 キーペアを作成する必要があります。キーペアは、データを暗号化するために使用されるパブリックキーと、データを復号化するために使用されるプライベートキーの組み合わせです。キーペアの詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイド の「Amazon EC2 KeyPairs」を参照してください。
このチュートリアル用の AWS CloudFormation テンプレート development-environment.templateには、KeyName パラメータが含まれます。
. . . "Parameters" : { "KeyName": { "Description" : "Name of an existing EC2 key pair for SSH access to the EC2 instance.", "Type": "AWS::EC2::KeyPair::KeyName" },. . .
エンドユーザーは、テンプレートに基づいた製品を起動するために AWS Service Catalog を使用するときに、キーペアの名前を指定する必要があります。
使用したいキーペアがすでにアカウントにある場合は、「ステップ 3. 作成 AWS Service Catalog ポートフォリオ (p. 12)」に進むことができます。それ以外の場合は、以下のステップを完了します。
キーペアを作成するには
1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。2. ナビゲーションペインの [Network & Security] で、[Key Pairs] を選択します。3. [Key Pairs] ページで、[Create Key Pair] を選択します。4. [Key pair name] に、覚えやすい名前を入力し、[Create] を選択します。5. コンソールでプライベートキーファイルの保存を求められたら、安全な場所に保存します。
Important
これは、プライベートキーを保存する唯一のチャンスです。
ステップ 3. 作成 AWS Service Catalog ポートフォリオ
製品をユーザーに提供するには、最初に製品のポートフォリオを作成します。
ポートフォリオを作成するには
1. https://console.aws.amazon.com/servicecatalog/ で AWS Service Catalog コンソールを開きます
12
AWS Service Catalog 管理者ガイドステップ 4: 製品を作成する
2. をご使用の場合 AWS Service Catalog 管理者コンソールを初めて使用する場合は、 Getting Startedライブラリでソリューションを起動 ウィザードを起動してポートフォリオを構成します。それ以外の場合は、[ポートフォリオの作成] を選択します。
3. 以下の値を入力します。
• [ポートフォリオ名] – エエエエエエエエエエエ• 説明 – Sample portfolio that contains a single product.• [所有者] – IT ([email protected])
4. [作成] を選択します。
ステップ 4: AWS Service Catalog 製品を作成するポートフォリオを作成すると、製品を追加する準備が整います。このチュートリアルでは、Amazon Linux上で実行するクラウド開発環境である、Linux Desktop という製品を作成します。
製品を作成するには
1. 前のステップを完了すると、[Portfolios] ページがすでに表示されています。それ以外の場合は、[https://console.aws.amazon.com/servicecatalog/] を開きます。
2. [Engineering Tools] という名前を選択してポートフォリオ詳細ページを開き、[新しい製品のアップロード] を選択します。
3. [製品の詳細の入力] ページで以下を入力して、[次] を選択します。
• [製品名] – Linux エエエエエエ• [説明] – Cloud development environment configured for engineering staff. RunsAWS Linux.
• [提供元] – IT• [ベンダー] – (空白)
4. [サポート詳細の入力] ページで以下を入力して、[次] を選択します。
• [連絡先 E メール] – [email protected]• [サポートリンク] – https://wiki.example.com/IT/support• [サポートの説明] – Contact the IT department for issues deploying or connectingto this product.
5. [バージョンの詳細] ページで、[Specify an Amazon S3 template URL (Amazon S3 テンプレート URLの指定)] を選択して以下を入力し、[]次 を選択します。
• [テンプレートの選択] – https://awsdocs.s3.amazonaws.com/servicecatalog/development-environment.template
• [バージョンタイトル] – v1.0• [説明] – Base Version
6. [Review] ページで、[Create ] を選択します。
ステップ 5: テンプレート制約を追加してインスタンスサイズを制限する
制約により、ポートフォリオレベルでの製品の制御が強化されます。制約では、製品の起動コンテキストを制御 (起動制約) したり、AWS CloudFormation テンプレートにルールを追加 (テンプレート制約) したりできます。詳細については、「AWS Service Catalog の使用の制約 (p. 38)」を参照してください。
13
AWS Service Catalog 管理者ガイドステップ 6: 起動制約を追加する
これで、起動時にラージインスタンスタイプをユーザーが選択できないようにするテンプレート制約をLinux デスクトップ 製品に追加できます。development-environment テンプレートにより、ユーザーは 6つのインスタンスタイプから選択できます。この制約では、有効なインスタンスタイプを 2 つの最小タイプ (t2.micro および t2.small) に制限します。詳細については、Linux インスタンス用 Amazon EC2ユーザーガイドの「T2 インスタンス」を参照してください。
テンプレート制約を Linux デスクトップ 製品を追加するには
1. [ポートフォリオの詳細] ページで、[制約] セクションを展開し、[制約の追加] を選択します。2. [製品とタイプの選択] ウィンドウで、[製品] の [Linux デスクトップ] を選択します。次に、[制約タイ
プ] で [テンプレート] を選択します。3. 続行 を選択します。4. [説明] に Small instance sizes と入力します。5. [Template constraint] テキストボックスに以下を貼り付けます。
{ "Rules": { "Rule1": { "Assertions": [ { "Assert" : {"Fn::Contains": [["t2.micro", "t2.small"], {"Ref": "InstanceType"}]}, "AssertDescription": "Instance type should be t2.micro or t2.small" } ] } }}
6. 送信 を選択します。
ステップ 6: IAM ロールを割り当てる起動制約を追加する
起動制約は、エンドユーザーが製品を起動するときに IAM が引き受ける AWS Service Catalog ロールを指定します。このステップでは、製品の AWS Service Catalog テンプレートの一部である AWS リソースをAWS CloudFormation が使用できるよう、Linux Desktop 製品に起動制約を追加します。この起動制約により、エンドユーザーは製品を起動し、起動後にそれをプロビジョニング済み製品として管理できるようになります。詳細については、「AWS Service Catalog の起動制約 (p. 38)」を参照してください。
起動制約がない場合、エンドユーザーが Linux Desktop 製品を使用するには、事前に追加の IAM アクセス権限をエンドユーザーに付与する必要があります。たとえば、ServiceCatalogEndUserAccess ポリシーにより、IAM エンドユーザーコンソールビューにアクセスするために必要な最小の AWS ServiceCatalog アクセス権限が付与されます。起動制約を使用することで、エンドユーザーの IAM アクセス権限を最小に抑えることができます。これは IAM のベストプラクティスです。詳細については、「最小権限を付与する」 (IAM ユーザーガイド) を参照してください。
起動の制約を追加するには
1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。2. ナビゲーションペインで、[Policies] を選択します。[Create policy] を選択して、次の操作を行いま
す。
a. [ポリシーの作成] ページで、[JSON] タブを選択します。
14
AWS Service Catalog 管理者ガイドステップ 7: ポートフォリオへのアクセス権限のエンドユーザーへの付与
b. 次のポリシーの例をコピーして [ポリシードキュメント] に貼り付け、テキストボックスのプレースホルダー JSON を置き換えます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStacks", "cloudformation:GetTemplateSummary", "cloudformation:SetStackPolicy", "cloudformation:ValidateTemplate", "cloudformation:UpdateStack", "ec2:*", "s3:GetObject", "servicecatalog:*", "sns:*" ], "Resource": "*" } ]}
c. [ポリシーの確認] を選択します。d. [Policy Name] に「linuxDesktopPolicy」と入力します。e. [Create policy] を選択します。
3. ナビゲーションペインで [Roles (ロール) ] を選択します。[Create role] を選択して、次の操作を行います。
a. [Select role type] で、[AWS service]、[Service Catalog] の順に選択します。[Service Catalog]ユースケースを選択してから、[Next: Permissions] を選択します。
b. [linuxDesktopPolicy] ポリシーを探し、チェックボックスをオンにします。c. [次へ: タグ]、[次へ: レビュー] の順に選択します。d. [ロール名] に linuxDesktopLaunchRole を入力します。e. [Create role] を選択します。
4. https://console.aws.amazon.com/servicecatalog/ で AWS Service Catalog コンソールを開きます5. [すべてのエンジニアリングツール] ポートフォリオを選択します。6. ポートフェリオの詳細ページで、[制約] タブを選択し、[制約の作成] を選択します。7. [製品] で [Linux デスクトップ] を選択し、[制約タイプ] で [起動] を選択します。続行 を選択します。8. [起動の制約] ページで、[IAM ロールの検索] を選択し、[linuxDesktopLaunchRole] を選択して、送信
を選択します。
ステップ 7: ポートフォリオへのアクセス権限のエンドユーザーへの付与
これでポートフォリオを作成し、製品を追加したので、エンドユーザーにアクセス権限を付与することができます。
前提条件
15
AWS Service Catalog 管理者ガイドステップ 8: エンドユーザーのエクスペリエンスをテストする
エンドユーザーの IAM グループを作成していない場合は、「AWS Service Catalog エンドユーザーへのアクセス権限の付与 (p. 8)」を参照してください。
ポートフォリオへのアクセス権限を提供するには
1. ポートフォリオの詳細ページで、[グループ、ロール、ユーザー] タブを選択します。2. [グループ、ロール、ユーザーの追加] を選択します。3. [グループ] タブで、エンドユーザーの IAM グループのチェックボックスをオンにします。4. アクセス権の追加 を選択します。
ステップ 8: エンドユーザーのエクスペリエンスをテストする
エンドユーザーが正常にエンドユーザーコンソールビューにアクセスし、製品を起動できることを確認するには、AWS にエンドユーザーとしてサインインしてこれらのタスクを実行します。
エンドユーザーがエンドユーザーコンソールにアクセスできることを確認するには
1. IAM ユーザーとしてサインインするには、アカウント固有の URL を使用します。この URL を確認するには、IAM コンソールを開き、ナビゲーションペインの [ダッシュボード] を選択して、[リンクのコピー] を選択します。ブラウザにリンクを貼り付け、 IAM ユーザーの名前とパスワードを使用します。
2. メニューバーで、Engineering Tools ポートフォリオを作成したリージョンを選択します。3. https://console.aws.amazon.com/servicecatalog/ の AWS Service Catalog コンソールを開き、[Service
Catalog]、[ダッシュボード] の順に選択して以下を確認します。
• [製品] – ユーザーが使用できる製品。• [プロビジョニングされた製品] – ユーザーが起動したプロビジョニング済み製品。
エンドユーザーが Linux Desktop 製品を起動できることを確認するには
1. コンソールの [製品] セクションで [Linux デスクトップ] を選択します。2. [製品の起動] を選択して、製品を設定するウィザードを開始します。3. [製品バージョン] ページの [名前] に、「Linux-Desktop」と入力します。4. [Version] テーブルで、[v1.0] を選択します。5. 次 を選択します。6. [パラメータ] ページで以下を入力して、[次] を選択します。
• サーバーサイズ – [t2.micro] を選択します。• [キーペア] – 「ステップ 2: キーペアを作成する (p. 12)」で作成したキーペアを選択します。• [CIDR 範囲] – インスタンスへの接続元となる IP アドレスの有効な CIDR 範囲を入力します。これ
は、任意の IP アドレスからのアクセスを許可するデフォルト値 (0.0.0.0/0) とするか、自分の IP アドレスに /32 を追加して自分の IP アドレスのみにアクセスを制限するか、またはその中間とすることができます。
7. [確認] ページで、入力した情報を確認し、[作成する] を選択してスタックを起動します。コンソールには Linux Desktop のスタックのスタック詳細ページが表示されます。製品の最初のステータスは[Launching] です。AWS Service Catalog が製品を起動するには数分間かかります。現在のステータスを表示するには、ブラウザを更新してください。製品が起動されると、ステータスは [Available] になります。
16
AWS Service Catalog 管理者ガイドPrerequisites
入門ライブラリAWS Service Catalog には、Well-Architected 製品テンプレートの入門ライブラリが用意されているため、すぐに作業を開始できます。入門ライブラリポートフォリオの任意の製品を自分のアカウントにコピーし、ニーズに合わせてカスタマイズすることができます。
トピック• Prerequisites (p. 17)• リファレンスアーキテクチャ (p. 17)• 高信頼性アーキテクチャ (p. 18)• 詳細はこちら (p. 18)
Prerequisites入門ライブラリのテンプレートを使用する前に、次のものがあることを確認してください。
• AWS CloudFormation テンプレートを使用するために必要なアクセス許可。詳細については、「AWSIdentity and Access Management を使用したユーザーアクセスの制御」を参照してください。
• AWS Service Catalog の管理に必要な管理者権限。詳細については、the section called “Identity andAccess Management” (p. 21) を参照してください。
リファレンスアーキテクチャ[リファレンスアーキテクチャ] ポートフォリオは、すべての AWS Service Catalog 管理者が利用できる汎用リポジトリです。これには、Well-Architected、一般的な AWS のサービスのベストプラクティステンプレートが含まれています。
• コンピューティング - Amazon EC2 を使用• ストレージ - Amazon S3 を使用• ネットワーク - Amazon VPC を使用• データベース - Amazon RDS を使用
管理者コンソールでリファレンスアーキテクチャポートフォリオを表示するには
1. AWS Service Catalog コンソールで、[ポートフォリオ] を選択します。2. [ポートフォリオ] ページで、[入門ライブラリ] タブを選択します。3. [リファレンスアーキテクチャ] ポートフォリオを選択します。4. 使用可能な製品テンプレートのリストを参照し、独自のポートフォリオにコピーし、カスタマイズす
ることができます。
リファレンスアーキテクチャのリポジトリは AWS Service Catalog で表示できます。GitHubのサンプルAWS CloudFormationテンプレートとアーキテクチャAWS Service Catalog。
17
AWS Service Catalog 管理者ガイド高信頼性アーキテクチャ
高信頼性アーキテクチャ[高信頼性アーキテクチャ] ポートフォリオは、Well-Architected、マルチリージョンブループリントのリポジトリです。各ブループリントは、マルチリージョンのワークロードを構築するために一般的に使用される AWS のサービスについて、規範的な実装ガイダンスを提供します。たとえば、インフラストラクチャの変更を管理するためのパターンや、複数のリージョンにわたるユーザー ID、キー値、オブジェクトデータのデータストレージのバックアップとリカバリなどです。
詳細はこちら• Well-Architected フレームワークの詳細については、「AWS Well-Architected」を参照してください。
18
AWS Service Catalog 管理者ガイドデータ保護
AWS Service Catalog でのセキュリティ
AWS では、クラウドのセキュリティが最優先事項です。AWS のお客様は、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャから利点を得られます。
セキュリティは、AWS とお客様の間の共有責任です。責任共有モデルでは、これをクラウドのセキュリティおよびクラウド内のセキュリティと説明しています。
• クラウドのセキュリティ – AWS は、AWS クラウド内で AWS サービスを実行するインフラストラクチャを保護する責任を担います。また、AWS は、使用するサービスを安全に提供します。AWSコンプライアンスプログラムの一環として、サードパーティーの監査が定期的にセキュリティの有効性をテストおよび検証しています。AWS Service Catalog に適用するコンプライアンスプログラムの詳細については、「コンプライアンスプログラムによる AWS 対象範囲内サービス」を参照してください。
• クラウド内のセキュリティ – お客様の責任はお客様が使用する AWS のサービスによって決まります。また、お客様は、お客様のデータの機密性、企業の要件、および適用可能な法律および規制などの他の要因についても責任を担います。
このドキュメントは、AWS Service Catalog を使用する際に責任共有モデルを適用する方法を理解するのに役立ちます。以下のトピックでは、セキュリティおよびコンプライアンスの目的を達成するために AWSService Catalog を設定する方法を示します。また、AWS Service Catalog リソースのモニタリングや保護に役立つ他の AWS のサービスの使用方法についても説明します。
トピック• AWS Service Catalog でのデータ保護 (p. 19)• AWS Service Catalog での Identity and Access Management (p. 21)• AWS Service Catalog でのログ記録とモニタリング (p. 27)• AWS Service Catalog のコンプライアンス検証 (p. 27)• AWS Service Catalog での耐障害性 (p. 27)• AWS Service Catalog のインフラストラクチャセキュリティ (p. 28)• AWS Service Catalog のセキュリティのベストプラクティス (p. 28)
AWS Service Catalog でのデータ保護AWS Service Catalog は、データ保護の規制やガイドラインを含む AWS 責任共有モデルに準拠しています。AWS は、AWS のすべてのサービスを実行するグローバルなインフラストラクチャを保護する責任を担います。また、AWS は、カスタマーコンテンツおよび個人データを取り扱うためのセキュリティ構成の統制など、このインフラストラクチャ上でホストされるデータ管理を維持します。データコントローラーまたはデータプロセッサーとして機能する、AWS のお客様および APN パートナーは、AWS クラウドに保存された個人データに対する責任を担います。
データ保護目的の場合、AWS アカウント認証情報を保護して IAM (AWS Identity and AccessManagement) で個々のユーザーアカウントをセットアップし、そのユーザーに各自の職務を果たすために必要なアクセス許可のみが付与されるようにすることをお勧めします。また、以下の方法でデータを保護することをお勧めします。
• 各アカウントで多要素認証 (MFA) を使用します。• SSL/TLS を使用して AWS リソースと通信します。
19
AWS Service Catalog 管理者ガイド暗号化によるデータの保護
• AWS CloudTrail で API とユーザーアクティビティログをセットアップします。• AWS 暗号化ソリューションを、AWS サービス内のすべてのデフォルトのセキュリティ管理と一緒に使
用します。• Amazon Macie などの高度なマネージドセキュリティサービスを使用します。これにより、Amazon S3
に保存される個人データの検出と保護が支援されます。
顧客のアカウント番号などの機密の識別情報を、[名前] フィールドなどの自由形式のフィールドに配置しないことを強くお勧めします。これは、コンソール、API、 AWS Service Catalog 、または を使用して や他の AWS サービスを使用する場合も同様AWS CLIAWSSDKsです。 外部サーバーへの URL を指定するときは、そのサーバーへのリクエストを検証するための認証情報を URL に含めないでください。
データ保護の詳細については、 AWS セキュリティブログのブログ投稿「AWS責任共有モデル」と「GDPR」を参照してください。
AWS 共有モデルは、AWS Service Catalog (AWS Service Catalog) のデータ保護に適用されます。このモデルで説明したように、AWS は、すべての AWS クラウドを実行するグローバルインフラストラクチャを保護します。お客様は、このインフラストラクチャでホストされているコンテンツに対する管理を維持する責任があります。このコンテンツには、使用する AWS サービスのセキュリティ設定および管理タスクが含まれます。データプライバシーの詳細については、「データプライバシーのよくある質問」を参照してください。
データ保護の目的で、AWS アカウントの認証情報を保護し、個々のユーザーアカウントを AWS Identityand Access Management (IAM) で設定することをお勧めします。この方法により、それぞれの職務を遂行するために必要なアクセス許可のみを各ユーザーに付与できます。また、以下の方法でデータを保護することをお勧めします。
• 各アカウントで多要素認証 (MFA) を使用します。• SSL/TLS を使用して AWS リソースと通信します。• AWS CloudTrail で API とユーザーアクティビティログをセットアップします。• AWS 暗号化ソリューションを、AWS サービス内のすべてのデフォルトのセキュリティ管理と一緒に使
用します。• Amazon Macie などの高度なマネージドセキュリティサービスを使用します。これにより、Amazon S3
に保存される個人データの検出と保護が支援されます。
顧客のアカウント番号などの機密の識別情報は、[名前] フィールドなどの自由形式のフィールドに配置しないことを強くお勧めします。これは、コンソール、API、AWS CLI、または AWS で AWS ServiceCatalog または他の AWS サービスを使用する場合も同様です。AWS Service Catalog または他のサービスに入力したデータはすべて、診断ログの内容として取得される可能性があります。外部サーバーへの URLを指定するときは、そのサーバーへのリクエストを検証するための認証情報を URL に含めないでください。
暗号化によるデータの保護保管時の暗号化AWS Service Catalog では、Amazon が管理するキーを使用して、保管時に暗号化される Amazon S3バケットおよび Amazon DynamoDB データベースを使用します。詳細については、Amazon S3 およびAmazon DynamoDB で提供される保管時の暗号化に関する情報を参照してください。
転送時の暗号化AWS Service Catalog は、発信者と AWS 間を転送中の情報の暗号化に、Transport Layer Security (TLS)とクライアント側の暗号化を使用します。
20
AWS Service Catalog 管理者ガイドIdentity and Access Management
VPC エンドポイントを作成することでAWS Service Catalog、 (APIs) Amazon Virtual PrivateCloudAmazon VPCから にプライベートにアクセスできます。VPC エンドポイントを使うと、VPC とAWS Service Catalog の間のルーティングが AWS ネットワークによって処理されます。インターネットゲートウェイ、NAT ゲートウェイ、VPN 接続は必要ありません。
で使用される最新世代の VPC エンドポイントAWS Service Catalogは を利用していますAWS。これは、PrivateLinkで Elastic Network Interface とプライベートを使用して、 AWS のサービス間のプライベート接続を可能にする のAWSテクノロジーです。IPsVPCs
AWS Service Catalog での Identity and AccessManagement
AWS Service Catalog へのアクセスには、認証情報が必要です。これらの認証情報には、AWS ServiceCatalog ポートフォリオや製品など、AWS リソースにアクセスするための権限が必要です。AWS ServiceCatalog は、AWS Identity and Access Management (IAM) と統合して、製品の作成および管理のために必要なアクセス権限を AWS Service Catalog 管理者に付与できるようにします。また、製品を起動し、プロビジョニング済み製品を管理するために必要なアクセス権限を AWS Service Catalog エンドユーザーに付与します。これらのポリシーは、AWS によって作成、管理されるか、管理者やエンドユーザーによって個別に作成、管理されます。アクセスを制御するには、IAM ユーザー、グループ、および AWS ServiceCatalog で使用するロールに、これらのポリシーをアタッチします。
トピック• 対象者 (p. 21)• アクセスの制御 (p. 21)• 事前定義の AWS 管理ポリシー (p. 22)• エンドユーザーのコンソールアクセス (p. 23)• エンドユーザー向け製品アクセス (p. 24)• プロビジョニング済み製品を管理するためのポリシーの例 (p. 24)
対象者AWS Identity and Access Management (IAM) を介してお客様に与えられる権限は、AWS Service Catalogでのロールによって異なる場合があります。
管理者 - AWS Service Catalog 管理者には、管理者コンソールへのフルアクセスと、ポートフォリオと製品の作成および管理、制約の管理、エンドユーザーへのアクセスの許可などのタスクを実行できる IAM 権限が必要です。
エンドユーザー - エンドユーザーが製品を使用できるようにするには、AWS Service Catalog エンドユーザーコンソールへのアクセス権を付与する必要があります。また、製品を起動し、プロビジョニング済み製品を管理する権限も付与できます。
IAM 管理者 - IAM 管理者は、AWS Service Catalog へのアクセスを管理するポリシーの作成方法の詳細について確認する場合があります。IAM で使用できる AWS Service Catalog アイデンティティベースのポリシーの例を表示するには、「the section called “事前定義の AWS 管理ポリシー” (p. 22)」を参照してください。
アクセスの制御AWS Service Catalog ポートフォリオにより、エンドユーザーのグループに対するアクセスコントロールのレベルが管理者に与えられます。ユーザーをポートフォリオに追加すると、ユーザーは、ポートフォリ
21
AWS Service Catalog 管理者ガイド事前定義の AWS 管理ポリシー
オ内の任意の製品を閲覧および起動できるようになります。詳細については、「the section called “ポートフォリオの管理” (p. 30)」を参照してください。
制約制約により、特定のポートフォリオから製品を起動するときにエンドユーザーに適用されるルールが制御されます。制約を使用して、製品に制限を適用し、ガバナンスまたはコスト管理を実現します。制約の詳細については、「the section called “制約の使用” (p. 38)」を参照してください。
AWS Service Catalog 起動制約により、エンドユーザーが必要とするアクセス権限をより詳細に制御できます。管理者がポートフォリオ内の製品の起動制約を作成すると、起動制約によって、エンドユーザーがそのポートフォリオから製品を起動するときに使用されるロール ARN が関連付けられます。このパターンを使用して、AWS リソース作成に対するアクセス権限を管理できます。詳細については、「the sectioncalled “起動制約” (p. 38)」を参照してください。
事前定義の AWS 管理ポリシーAWS によって作成された管理ポリシーは、一般的ユースケースに必要なアクセス権限を付与します。IAMユーザーとロールにこれらのポリシーをアタッチできます。詳細については、『IAM ユーザーガイド』の「AWS 管理ポリシー」を参照してください。
AWS Service Catalog に対する AWS 管理ポリシーを次に示します。
Administrators• AWSServiceCatalogAdminFullAccess — 管理コンソールビューへのフルアクセス権と、製品とポー
トフォリオの作成および管理の権限を付与します。• AWSServiceCatalogAdminReadOnlyAccess — 管理者コンソールビューへのフルアクセス権を付与
します。製品とポートフォリオを作成または管理するためのアクセス権は付与しません。エンドユーザー
• AWSServiceCatalogEndUserFullAccess — エンドユーザーコンソールビューへのフルアクセス権を付与します。製品を起動し、プロビジョニング済み製品を管理するアクセス権を付与します。
• AWSServiceCatalogEndUserReadOnlyAccess — エンドユーザーコンソールビューへの読み取り専用アクセス権を付与します。製品を起動し、プロビジョニング済み製品を管理するアクセス権は付与しません。
IAM ユーザーにポリシーをアタッチするには
1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。2. ナビゲーションペインで [Users] を選択します。3. IAM ユーザーの (チェックボックスではなく) 名前を選択します。4. [Permissions] タブで、[Add permissions] を選択します。5. [Add permissions] ページで、[Attach existing policies directly] を選択します。6. AWS Service Catalog の管理ポリシーの横にあるチェックボックスをオンにし、[次へ: レビュー] を選
択します。7. [アクセス権限の概要] ページで、[アクセス権限の追加] を選択します。8. (オプション) 管理者がプライベート CloudFormation テンプレートを使用する必要がある場合
は、Amazon S3 用の追加のアクセス権限を管理者に付与する必要があります。詳細については、Amazon Simple Storage Service 開発者ガイドの「ユーザーポリシーの例」を参照してください。
廃止されたポリシー次の管理ポリシーは廃止されました。
22
AWS Service Catalog 管理者ガイドエンドユーザーのコンソールアクセス
• ServiceCatalogAdminFullAccess — 代わりに AWSServiceCatalogAdminFullAccess を使用します。• ServiceCatalogAdminReadOnlyAccess — 代わりに AWSServiceCatalogAdminReadOnlyAccess を使用
します。• ServiceCatalogEndUserFullAccess — 代わりに AWSServiceCatalogEndUserFullAccess を使用します。• ServiceCatalogEndUserAccess — 代わりに AWSServiceCatalogEndUserReadOnlyAccess を使用しま
す。
次の手順を使用して、現在のポリシーを使用して管理者とエンドユーザーにアクセス権限を確実に付与します。
廃止されたポリシーから現在のポリシーに移行するには
1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。2. ナビゲーションペインで、[Policies] を選択します。3. 検索フィールドに ServiceCatalog と入力してポリシーリストをフィルタリングしま
す。ServiceCatalogAdminFullAccess の名前 (チェックボックスではありません) を選択します。4. アタッチされている各エンティティ (ユーザー、グループ、またはロール) に対して、次の操作を行い
ます。
a. エンティティの概要ページを開きます。b. 「IAM ユーザーにポリシーをアタッチするには (p. 22)」の手順で説明されているように、いず
れかの現在のポリシーを追加します。c. ServiceCatalogAdminFullAccess の横にある [アクセス許可] タブで、[ポリシーのデタッチ] を選
択します。確認を求められたら、[デタッチ] を選択します。5. ServiceCatalogEndUserFullAccess に対してこの処理を繰り返します。
エンドユーザーのコンソールアクセスAWSServiceCatalogEndUserFullAccess および AWSServiceCatalogEndUserReadOnlyAccess ポリシーにより、AWS Service Catalog エンドユーザーコンソールビューへのアクセス権が付与されます。これらのいずれかのポリシーを持っているユーザーが AWS マネジメントコンソール で [AWS Service Catalog] を選択すると、エンドユーザーコンソールビューに、起動権限を持っている製品が表示されます。
アクセス権限を付与した製品をエンドユーザーが AWS Service Catalog から正常に起動するには、追加のIAM アクセス権限をエンドユーザーに提供することにより、製品の AWS CloudFormation テンプレートの基盤となる各 AWS リソースの使用を許可する必要があります。たとえば、製品テンプレートに AmazonRelational Database Service (Amazon RDS) が含まれる場合、製品を起動する Amazon RDS アクセス権限をユーザーに付与する必要があります。
AWS リソースへの最小アクセス権限を適用しながら、エンドユーザーが製品を起動できるようにする方法については、「the section called “制約の使用” (p. 38)」を参照してください。
AWSServiceCatalogEndUserReadOnlyAccess ポリシーを適用すると、ユーザーはエンドユーザーコンソールにアクセスできますが、製品を起動し、プロビジョニング済み製品を管理するために必要なアクセス権限は与えられません。IAM を使用してエンドユーザーに直接これらのアクセス権限を付与することもできますが、AWS リソースに対するエンドユーザーのアクセス権限を制限する場合は、ポリシーを起動ロールにアタッチします。次に、AWS Service Catalog を使用して、製品の起動制約に起動ロールを適用します。起動ロールの適用、起動ロールの制限、サンプルの起動ロールの詳細については、「AWSService Catalog の起動制約 (p. 38)」を参照してください。
Note
AWS Service Catalog 管理者用の IAM アクセス許可をユーザーに付与した場合は、代わりに管理者コンソールビューが表示されます。エンドユーザーが管理者コンソールビューにアクセス可能にする場合を除き、これらのアクセス権限をエンドユーザーに付与しないでください。
23
AWS Service Catalog 管理者ガイドエンドユーザー向け製品アクセス
エンドユーザー向け製品アクセスエンドユーザーが、アクセス権限を付与する製品を使用できるようにするには、製品の IAM テンプレートで、基盤となる各 AWS リソースを使用できるようにする追加の AWS CloudFormation アクセス権限を提供する必要があります。たとえば、製品テンプレートに Amazon Relational Database Service (AmazonRDS) が含まれる場合、製品を起動する Amazon RDS アクセス権限をユーザーに付与する必要があります。
ServiceCatalogEndUserAccess ポリシーを適用すると、ユーザーはエンドユーザーコンソールビューにアクセスできますが、製品を起動し、プロビジョニング済み製品を管理するために必要なアクセス権限は与えられません。IAM でエンドユーザーに直接これらのアクセス権限を付与できますが、エンドユーザーが AWS リソースに対して持つアクセス権限を制限する場合は、ポリシーを起動ロールにアタッチします。次に、AWS Service Catalog を使用して、製品の起動制約に起動ロールを適用します。起動ロールの適用、起動ロールの制限、サンプルの起動ロールの詳細については、「AWS Service Catalog の起動制約 (p. 38)」を参照してください。
プロビジョニング済み製品を管理するためのポリシーの例カスタムポリシーを作成して所属組織のセキュリティ要件を満たすことができます。以下では、ユーザーレベル、ロールレベル、アカウントレベルをサポートするアクションごとにアクセスレベルをカスタマイズする方法の例を示します。各自のロールまたは各自がログインしているアカウントで作成したプロビジョニング済み製品を表示、更新、終了、管理するためのアクセス権を付与できます。ユーザー自身が作成したもののみを操作することも、他のユーザーが作成したものも含めて操作することもできます。このアクセス権は階層状に順次適用されます。アカウントレベルのアクセスを付与すると、ロールレベルとユーザーレベルのアクセスも付与されます。ロールレベルのアクセスを付与すると、ユーザーレベルのアクセスも付与されますが、アカウントレベルのアクセスは付与されません。—これらのアクセス権は、Condition ブロックを accountLevel、roleLevel、または userLevel として使用して、ポリシー JSON で指定できます。
これらの例は、AWS Service Catalog API 書き込みオペレーション UpdateProvisionedProductと TerminateProvisionedProduct、および読み取りオペレーションDescribeRecord、ScanProvisionedProducts、ListRecordHistory のアクセスレベルにも適用されます。ScanProvisionedProducts および ListRecordHistory API オペレーションはAccessLevelFilterKey という入力を使用し、このキーの値は上で説明した Condition ブロックレベルに対応します (accountLevel は「アカウント」の AccessLevelFilterKey 値、roleLevel は「ロール」、userLevel は「ユーザー」に相当します)。詳細については、「AWS Service Catalog 開発者ガイド」を参照してください。
例• 例: プロビジョニング済み製品に対する完全な管理アクセス (p. 24)• 例: プロビジョニング済み製品へのエンドユーザーアクセス (p. 25)• 例: プロビジョニング済み製品に対する部分的な管理アクセス (p. 26)
例: プロビジョニング済み製品に対する完全な管理アクセス次のポリシーでは、アカウントレベルで、カタログ内のプロビジョニング済み製品およびレコードに対する読み取りと書き込みのフルアクセスを許可します。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow",
24
AWS Service Catalog 管理者ガイドポリシーの例
"Action":[ "servicecatalog:*" ], "Resource":"*", "Condition": { "StringEquals": { "servicecatalog:accountLevel": "self" } } } ]}
このポリシーは、次のポリシーと機能的に同じものです。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "servicecatalog:*" ], "Resource":"*" } ]}
つまり、Condition のどのポリシーにも AWS Service Catalog ブロックを指定しないと、"servicecatalog:accountLevel" のアクセスを指定した場合と同じに扱われます。accountLevel のアクセスには、roleLevel と userLevel のアクセスが含まれることに注意してください。
例: プロビジョニング済み製品へのエンドユーザーアクセス次のポリシーでは、読み取りと書き込みのオペレーションへのアクセスを、現在のユーザーが作成したプロビジョニング済み製品または関連するレコードにのみ制限します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "servicecatalog:DescribeProduct", "servicecatalog:DescribeProductView", "servicecatalog:DescribeProvisioningParameters", "servicecatalog:DescribeRecord", "servicecatalog:ListLaunchPaths", "servicecatalog:ListRecordHistory", "servicecatalog:ProvisionProduct", "servicecatalog:ScanProvisionedProducts", "servicecatalog:SearchProducts", "servicecatalog:TerminateProvisionedProduct", "servicecatalog:UpdateProvisionedProduct" ], "Resource": "*", "Condition": { "StringEquals": { "servicecatalog:userLevel": "self" } }
25
AWS Service Catalog 管理者ガイドポリシーの例
} ] }
例: プロビジョニング済み製品に対する部分的な管理アクセス次の 2 つのポリシーでは、両方が同じユーザーに適用された場合、読み取り専用のフルアクセスと書き込みの制限付きアクセスを提供することで、一種の「部分的な管理アクセス」を許可します。つまり、ユーザーはカタログのアカウント内にあるプロビジョニング済み製品または関連するレコードを表示することはできますが、そのユーザーが所有しないプロビジョニング済み製品やレコードに対しては一切の操作を実行できません。
最初のポリシーでは、ユーザーに許可されるアクセスは、現在のユーザーが作成したプロビジョニング済み製品に対する書き込みオペレーションのみとなり、他のユーザーが作成したプロビジョニング済み製品は対象外になります。2 番目のポリシーでは、すべて(ユーザー、ロール、またはアカウント)が作成したプロビジョニング済み製品に対する読み込みオペレーションへのフルアクセスを追加します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "servicecatalog:DescribeProduct", "servicecatalog:DescribeProductView", "servicecatalog:DescribeProvisioningParameters", "servicecatalog:ListLaunchPaths", "servicecatalog:ProvisionProduct", "servicecatalog:SearchProducts", "servicecatalog:TerminateProvisionedProduct", "servicecatalog:UpdateProvisionedProduct" ], "Resource": "*", "Condition": { "StringEquals": { "servicecatalog:userLevel": "self" } } } ] }
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "servicecatalog:DescribeRecord", "servicecatalog:ListRecordHistory", "servicecatalog:ScanProvisionedProducts" ], "Resource": "*", "Condition": { "StringEquals": { "servicecatalog:accountLevel": "self" } } } ] }
26
AWS Service Catalog 管理者ガイドログ記録とモニタリング
AWS Service Catalog でのログ記録とモニタリングAWS Service Catalog は、すべての AWS Service Catalog API コールを収集し、指定した AmazonS3 バケットにログファイルを送信する AWS CloudTrail サービスと統合されます。詳細については、「CloudTrail による AWS Service Catalog API コールのログ記録」を参照してください。
通知制約を使用して、スタックイベントに関する Amazon SNS 通知を設定することもできます。詳細については、「the section called “通知の制約” (p. 41)」を参照してください。
AWS Service Catalog のコンプライアンス検証サードパーティーの監査者は、以下を含む複数の AWS コンプライアンスプログラムの一環として、AWSService Catalog のセキュリティおよびコンプライアンスを評価します。
• System and Organization Controls (SOC)• Payment Card Industry Data Security Standard (PCI DSS)• Federal Risk and Authorization Management Program (FedRAMP)• Health Insurance Portability and Accountability Act (HIPAA)
特定のコンプライアンスプログラムの対象となる AWS サービスのリストについては、「コンプライアンスプログラムによる AWS 対象範囲内のサービス」を参照してください。一般的な情報については、「AWS コンプライアンスプログラム」を参照してください。
サードパーティーの監査レポートをダウンロードするには、AWS Artifact を使用します。詳細については、「AWS Artifact でレポートをダウンロードする」を参照してください。
AWS Service Catalog サービスを使用する際のお客様のコンプライアンス責任は、データの機密性、企業のコンプライアンス目的、適用法規や規則によって決まります。AWS ではコンプライアンスに役立つ以下のリソースを用意しています。
• セキュリティおよびコンプライアンスのクイックスタートガイド – これらのデプロイガイドでは、アーキテクチャ上の考慮事項について説明し、セキュリティとコンプライアンスに重点を置いたベースライン環境を AWS でデプロイするための手順を説明します。
• HIPAA のセキュリティとコンプライアンスに関するホワイトペーパーを作成する – このホワイトペーパーでは、企業が AWS を使用して HIPAA 準拠のアプリケーションを作成する方法について説明します。
• AWS コンプライアンスのリソース – このワークブックとガイドのコレクションは、お客様の業界や場所に適用される場合があります。
• AWS Config – この AWS サービスでは、自社プラクティス、業界ガイドライン、および規制に対するリソースの設定の準拠状態を評価します。
• AWS Security Hub – この AWS サービスでは、AWS 内のセキュリティ状態を包括的に表示しており、セキュリティ業界の標準およびベストプラクティスへの準拠を確認するのに役立ちます。
AWS Service Catalog での耐障害性AWS のグローバルインフラストラクチャは AWS リージョンとアベイラビリティーゾーンを中心として構築されます。AWS リージョンには、低レイテンシー、高いスループット、そして高度の冗長ネットワークで接続されている複数の物理的に独立・隔離されたアベイラビリティーゾーンがあります。アベイラビリティーゾーンでは、アベイラビリティーゾーン間で中断することなく自動的にフェイルオーバーするアプリケーションとデータベースを設計および運用することができます。アベイラビリティーゾーンは、従来
27
AWS Service Catalog 管理者ガイドインフラストラクチャセキュリティ
の単一または複数のデータセンターインフラストラクチャよりも可用性、耐障害性、および拡張性が優れています。
AWS リージョンとアベイラビリティーゾーンの詳細については、「AWS グローバルインフラストラクチャ」を参照してください。
AWS Service Catalog は、AWS グローバルインフラストラクチャに加えて、AWS Service Catalog セルフサービスアクションを提供しています。セルフサービスアクションにより、お客様はコンプライアンスとセキュリティ対策に従いながら、管理メンテナンスやエンドユーザートレーニングを減らすことができます。セルフサービスアクションを使用すると、管理者は、AWS Service Catalog での運用タスク (バックアップや復元など) の実行、問題のトラブルシューティング、承認されたコマンドの実行、アクセス許可のリクエストをエンドユーザーに許可できます。詳細については、「the section called “サービスアクションの使用” (p. 51)」を参照してください。
AWS Service Catalog のインフラストラクチャセキュリティ
マネージド型サービスとして、AWS Service Catalog は、ホワイトペーパー「Amazon Web Services: セキュリティプロセスの概要」に記載されている AWS グローバルネットワークセキュリティの手順で保護されています。
AWS が公開している API コールを使用して、ネットワーク経由で AWS Service Catalog にアクセスします。クライアントで Transport Layer Security (TLS) 1.0 以降がサポートされている必要があります。TLS1.2 以降が推奨されています。また、Ephemeral Diffie-Hellman (DHE) や Elliptic Curve Ephemeral Diffie-Hellman (ECDHE) などの Perfect Forward Secrecy (PFS) を使用した暗号スイートもクライアントでサポートされている必要があります。これらのモードは、Java 7 以降など、最近のほとんどのシステムでサポートされています。
また、リクエストは、アクセスキー ID と、IAM プリンシパルに関連付けられているシークレットのアクセスキーを使用して署名する必要があります。または、AWS Security Token Service (AWS STS) を使用して、一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。
AWS Service Catalog では、データを格納するリージョンを制御できます。ポートフォリオと製品は、それらを利用可能にしたリージョンでのみ利用できます。CopyProduct API を使用して、製品を別のリージョンにコピーできます。
AWS Service Catalog のセキュリティのベストプラクティス
AWS Service Catalog では、お客様が独自のセキュリティポリシーを開発および実装するにあたって検討すべき数多くのセキュリティ機能を提供しています。以下のベストプラクティスは一般的なガイドラインであり、完全なセキュリティソリューションに相当するものではありません。これらのベストプラクティスはお客様の環境に適切ではないか、十分ではない場合があるため、これらは処方箋ではなく、有用な考慮事項と見なしてください。
製品の起動時にユーザーが入力するパラメータ値を制限するルールを定義できます。このルールは、製品の AWS CloudFormation テンプレートのデプロイ方法を制限するため、テンプレート制約と呼ばれます。簡単なエディターを使用してテンプレート制約を作成し、各製品に適用します。
AWS Service Catalog では、新しい製品をプロビジョニングするとき、またはすでに使用中の製品を更新するときに制約が適用されます。常に、ポートフォリオと製品に適用されるすべての制約の中で、最も厳しい制約が適用されます。たとえば、すべての Amazon EC2 インスタンスの起動を許可する製品と、2 つ
28
AWS Service Catalog 管理者ガイドセキュリティのベストプラクティス
の制約 (GPU 以外のすべてのタイプの EC2 インスタンスの起動を許可する制約と、t1.micro と m1.smallEC2 インスタンスのみの起動を許可する制約) を含んだポートフォリオがあるシナリオを考えてみます。この例で、AWS Service Catalog では、2 つ目のより厳しい制約 (t1.micro と m1.small) が適用されます。
起動ロールに IAM ポリシーをアタッチして、エンドユーザーが持つ AWS リソースへのアクセス権限を制限します。次に、AWS Service Catalog を使用して、製品の起動時にロールを使用する起動制約を作成します。
29
AWS Service Catalog 管理者ガイドポートフォリオの管理
カタログの管理AWS Service Catalog には、管理者コンソールからポートフォリオ、製品、および制約を管理するためのインターフェイスがあります。
Note
このセクションのタスクを実行するには、AWS Service Catalog の管理者権限が必要です。詳細については、「AWS Service Catalog での Identity and Access Management (p. 21)」を参照してください。
タスク• ポートフォリオの管理 (p. 30)• 製品の管理 (p. 34)• AWS Service Catalog の使用の制約 (p. 38)• AWS Service Catalog のサービスアクション (p. 51)• ポートフォリオへの AWS Marketplace 製品の追加 (p. 55)• ポートフォリオの共有 (p. 60)• AWS CloudFormation StackSets の使用 (p. 64)• 予算の管理 (p. 64)
ポートフォリオの管理ポートフォリオの作成、表示、および更新は、AWS Service Catalog 管理者コンソールの [ポートフォリオ] ページで行います。
タスク• ポートフォリオの作成、表示、削除 (p. 30)• ポートフォリオの詳細の表示 (p. 31)• ポートフォリオの作成と削除 (p. 31)• 製品の追加 (p. 31)• 制約の追加 (p. 33)• ユーザーへのアクセス権限の付与 (p. 34)
ポートフォリオの作成、表示、削除[ポートフォリオ] ページには、現在のリージョンで作成したポートフォリオのリストが表示されます。このページを使用して、新しいポートフォリオの作成、ポートフォリオの詳細の表示、またはアカウントからのポートフォリオの削除を行います。
[ポートフォリオ] ページを表示するには
1. https://console.aws.amazon.com/servicecatalog/ で AWS Service Catalog コンソールを開きます2. 必要に応じて、別のリージョンを選択します。
30
AWS Service Catalog 管理者ガイドポートフォリオの詳細の表示
3. AWS Service Catalog を初めて使用すると、AWS Service Catalog スタートページが表示されます。[Get started] を選択してポートフォリオを作成します。最初のポートフォリオを作成する手順に従い、[ポートフォリオ] ページに進みます。
AWS Service Catalog の使用中に、いつでも [ポートフォリオ] ページに戻ることができます。ナビゲーションバーの [サービスカタログ] を選択し、[ポートフォリオ] を選択します。
ポートフォリオの詳細の表示AWS Service Catalog 管理者コンソールで、[ポートフォリオの詳細] ページには、ポートフォリオの設定が一覧表示されます。このページを使用してポートフォリオの製品を管理し、製品へのアクセス権をユーザーに付与して、TagOptions と制約を適用します。
[Portfolio details] ページを表示するには
1. https://console.aws.amazon.com/servicecatalog/ で AWS Service Catalog コンソールを開きます2. 管理するポートフォリオを選択します。
ポートフォリオの作成と削除[ポートフォリオ] ページを使用して、ポートフォリオを作成し、削除します。ポートフォリオを削除すると、アカウントから削除されます。ポートフォリオを削除する前に、それに含まれるすべての製品、制約、およびユーザーを削除する必要があります。
新しいポートフォリオを作成するには:
1. [ポートフォリオ] ページに移動します。2. ポートフォリオの作成 を選択します。3. [ポートフォリオの作成] ページで、要求された情報を入力します。4. 作成 を選択します。AWS Service Catalog によってポートフォリオが作成され、ポートフォリオの詳
細が表示されます。
ポートフォリオを削除するには
1. [ポートフォリオ] ページに移動します。2. ポートフォリオを選択するには、対応するラジオボタンまたはポートフォリオの名前を選択します。3. [Actions] を選択します。4. [Delete (削除)] を選択します。
確認メッセージが表示されます。5. [Delete] を選択して確定します。
製品の追加ポートフォリオに製品を追加するには、新しい製品を作成するか、カタログからポートフォリオに既存の製品を追加します。
Note
AWS Service Catalog 製品を作成する際にアップロードする AWS CloudFormation テンプレートは、AWS アカウントで cf-templates- で始まる Amazon Simple Storage Service (Amazon S3)バケットに保存されます。これらのファイルが使用されていないことが確実でない限り、ファイルを削除しないでください。
31
AWS Service Catalog 管理者ガイド製品の追加
新しい製品の追加新しい製品は [portfolio details] ページから直接追加します。このページから製品を作成すると、AWSService Catalog により、現在選択されているポートフォリオに追加されます。他のポートフォリオに製品を追加することもできます。
新しい製品を追加するには
1. [ポートフォリオ] ページに移動し、製品を追加するポートフォリオの名前を選択します。2. [ポートフォリオの詳細] ページで、[製品] セクションを展開し、[新しい製品のアップロード] を選択し
ます。3. [Enter product details] に、以下のように入力します。
• [製品名] – 製品の名前。• [Short description (短い説明)] – 短い説明。この説明は、検索結果でユーザーが正しい製品を選択で
きるように表示されます。• [説明] – 詳細な説明。この説明は、製品リストでユーザーが正しい製品を選択できるように表示され
ます。• [提供元] – IT 部門または管理者の名前または E メールアドレス。• [ベンダー] (オプション) – アプリケーションの発行元の名前。このフィールドでは、ユーザーが製品
リストをソートして、必要な製品を簡単に見つけられるようにします。
次 を選択します。4. [ Enter support details] に、以下のように入力します。
• [連絡先 E メール] (オプション) – 製品の問題を報告するための E メールアドレス。• [サポートリンク] (オプション) – ユーザーがサポート情報またはファイルチケットを見つけることが
できるサイトの URL。URL は http://、または https:// で始まる必要があります。• [サポートの説明] (オプション) – ユーザーが [連絡先 E メール] および [サポートリンク] を使用する
方法の説明。
次 を選択します。5. [Version details] ページに、以下のように入力します。
• [テンプレートの選択] – ローカルドライブからの AWS CloudFormation テンプレート、または Amazon S3 に保存されたテンプレートを指す URL。Amazon S3 の URL を指定する場合、https:// で始まる必要があります。テンプレートファイルの拡張子は、.template である必要があります。
• [バージョンタイトル] – 製品バージョンの名前 (たとえば「v1」、「v2beta」など)。スペースは使用できません。
• [説明] (オプション) – このバージョンと前のバージョンとの違いを含む、製品バージョンの説明。
次 を選択します。6. [確認] ページで、情報が正しいことを確認し、[確認およびアップロード] を選択します。数秒後、製
品がポートフォリオに表示されます。製品を表示するには、ブラウザの更新が必要になる場合があります。
既存の製品の追加[ポートフォリオ] リスト、ポートフォリオの詳細ページ、または [製品] ページの 3 つの場所から、既存の製品をポートフォリオに追加できます。
32
AWS Service Catalog 管理者ガイド制約の追加
既存の製品をポートフォリオに追加するには
1. [ポートフォリオ] ページに移動します。2. ポートフォリオを選択し、[製品の追加] を選択します。3. 製品を選択し、[ポートフォリオへの製品の追加] を選択します。
ポートフォリオからの製品の削除ユーザーが製品を使用しないようにする場合は、ポートフォリオからその製品を削除します。製品は、[製品] ページからカタログでまだ使用でき、他のポートフォリオに追加できます。ポートフォリオから複数の製品を一度に削除できます。
ポートフォリオから製品を削除するには
1. [ポートフォリオ] ページに移動し、製品を含むポートフォリオを選択します。ポートフォリオの詳細ページが開きます。
2. [製品] セクションを展開します。3. 1 つ以上の製品を選択し、[製品の削除] を選択します。4. 続行 を選択します。
制約の追加ユーザーが製品を使用できる方法を制御するには、制約を追加します。AWS Service Catalog でサポートされる制約事項のタイプの詳細については、「AWS Service Catalog の使用の制約 (p. 38)」を参照してください。
製品に制約を追加するのは、ポートフォリオに配置された後です。
製品に制約を追加するには
1. https://console.aws.amazon.com/servicecatalog/ で AWS Service Catalog コンソールを開きます2. [ポートフォリオ] を選択し、ポートフォリオを選択します。3. [ポートフォリオの詳細] ページで、[制約] セクションを展開し、[制約の追加] を選択します。4. [製品] で、制約事項を適用する製品を選択します。5. [制約タイプ] で、以下のいずれかのオプションを選択します。
• [起動] – 製品を起動して管理するために AWS Service Catalog が使用する IAM ロール。詳細については、「AWS Service Catalog の起動制約 (p. 38)」を参照してください。
• 通知 – 通知を受け取るように指定した Amazon SNS トピック。詳細については、「AWS ServiceCatalog 通知の制約 (p. 41)」を参照してください。
• テンプレート – JSON– フォーマットされた 1 つ以上のルールが含まれているテキストファイルです。ルールは、製品で使用される AWS CloudFormation テンプレートに追加されます。詳細については、「テンプレート制約のルール (p. 43)」を参照してください。
• スタックセット – AWS CloudFormation スタックセットを使用して、AWS Service Catalog 製品の起動で複数のアカウントおよびリージョンを指定します。詳細については、「AWS Service Catalogスタックセットの制約 (p. 42)」を参照してください。
• Tag Update (タグの更新) – 製品がプロビジョニングされた後にタグを更新できます。詳細については、「AWS Service Catalog タグの更新の制約 (p. 41)」を参照してください。
6. 続行 を選択します。
33
AWS Service Catalog 管理者ガイドユーザーへのアクセス権限の付与
制約を編集するには
1. AWS マネジメントコンソール にサインインし、AWS Service Catalog 管理者コンソール (https://console.aws.amazon.com/catalog/) を開きます。
2. [ポートフォリオ] を選択し、ポートフォリオを選択します。3. [ポートフォリオの詳細] ページで、[制約] セクションを展開し、編集する制約事項を選択します。4. 制約の編集 を選択します。5. 必要に応じて制約を編集し、[送信] を選択します。
ユーザーへのアクセス権限の付与IAM ユーザー、グループ、およびロールを使用して、ポートフォリオへのアクセス権限をユーザーに付与します。多くのユーザーにポートフォリオのアクセス権限を付与する最善の方法は、ユーザーを IAM グループに配置し、そのグループへのアクセス権限を付与することです。それにより、グループからユーザーを簡単に追加および削除して、ポートフォリオアクセスを管理することができます。詳細については、IAM ユーザーガイドIAM の使用の「IAM ユーザーとグループ」を参照してください。
ポートフォリオへのアクセスに加え、IAM ユーザーには、AWS Service Catalog エンドユーザーコンソールへのアクセス権限も必要です。IAM でアクセス権限を適用することにより、コンソールへのアクセス権限を付与します。詳細については、「AWS Service Catalog での Identity and AccessManagement (p. 21)」を参照してください。
ユーザーまたはグループにポートフォリオのアクセス権限を付与するには
1. [ポートフォリオの詳細] ページで、[ユーザー、グループ、およびロール] を展開し、[ユーザー、グループ、またはロールの追加] を選択します。
2. [グループ]、[ユーザー]、または [ロール] タブを選択して、グループ、ユーザー、またはロールをそれぞれ追加します。
3. 1 つ以上のユーザー、グループ、またはロールを選択し、[アクセス権の追加] を選択して現在のポートフォリオへのアクセス権限を付与します。
Tip
グループ、ユーザー、およびロールの組み合わせにアクセス権限を付与するには、選択を維持したままタブを切り替えることができます。
ポートフォリオへのアクセス権限を削除するには
1. ポートフォリオ詳細ページで、ユーザーまたはグループのチェックボックスをオンにします。2. ユーザー、グループ、またはロールの削除 を選択します。
製品の管理メタデータで AWS CloudFormation テンプレートをパッケージ化して製品を作成し、更新されたテンプレートに基づいて新しいバージョンを作成して製品を更新し、製品をまとめてポートフォリオにグループ化してユーザーに配信します。
新しいバージョンの製品は、ポートフォリオを通じて製品にアクセスできるすべてのユーザーに伝播されます。更新を配信すると、エンドユーザーは数回のクリック操作で既存のプロビジョニング済み製品を更新できます。
タスク• [Products] ページの表示 (p. 35)
34
AWS Service Catalog 管理者ガイド[Products] ページの表示
• 製品の作成 (p. 35)• ポートフォリオへの製品の追加 (p. 36)• 製品の更新 (p. 36)• 製品の削除 (p. 37)• バージョンの管理 (p. 37)
[Products] ページの表示製品 管理者コンソールの [AWS Service Catalog] ページから製品を管理します。
[製品] ページを表示するには
1. https://console.aws.amazon.com/servicecatalog/ で AWS Service Catalog コンソールを開きます2. ナビゲーションバーで [サービスカタログ] を選択します。3. 製品 を選択します。
製品の作成AWS Service Catalog 管理者コンソールの [製品] ページから製品を作成します。
新しい AWS Service Catalog 製品を作成するには
1. [製品] ページに移動します。2. 新しい製品のアップロード を選択します。3. [Enter product details] に、以下のように入力します。
• [製品名] – 製品の名前。• [Short description (短い説明)] – 短い説明。この説明は、検索結果でユーザーが正しい製品を選択で
きるように表示されます。• [説明] – 詳細な説明。この説明は、製品リストでユーザーが正しい製品を選択できるように表示され
ます。• [提供元] – IT 部門または管理者の名前。• [ベンダー] (オプション) – アプリケーションの発行元の名前。このフィールドでは、ユーザーが製品
リストをソートして、必要な製品を簡単に見つけられるようにします。
次 を選択します。4. [ Enter support details] に、以下のように入力します。
• [連絡先 E メール] (オプション) – 製品の問題を報告するための E メールアドレス。• [サポートリンク] (オプション) – ユーザーがサポート情報またはファイルチケットを見つけることが
できるサイトの URL。URL は http://、または https:// で始まる必要があります。• [サポートの説明] (オプション) – ユーザーが [連絡先 E メール] および [サポートリンク] を使用する
方法の説明。
次 を選択します。5. [Version details] に、以下のように入力します。
• [テンプレートの選択] – ローカルドライブからの AWS CloudFormation テンプレート、または Amazon S3 に保存されたテンプレートを指す URL。Amazon S3 の URL を指定する場
35
AWS Service Catalog 管理者ガイドポートフォリオへの製品の追加
合、https:// で始まる必要があります。テンプレートファイルの拡張子は、.template である必要があります。
• [バージョンタイトル] – 製品バージョンの名前 (たとえば「v1」、「v2beta」など)。スペースは使用できません。
• [説明] (オプション) – このバージョンと前のバージョンとの違いを含む、製品バージョンの説明。• ガイダンス – デフォルトでは、製品バージョンにはガイダンスがないため、エンドユーザーはその
バージョンを使用して、プロビジョニングされた製品を更新および起動できます。ガイダンスを非推奨に設定した場合、ユーザーはプロビジョニング済み製品を更新できますが、そのバージョンの新しいプロビジョニング済み製品を起動することはできません。
6. 次 を選択します。7. [確認] ページで、情報が正しいことを確認し、[確認およびアップロード] を選択します。数秒後、製
品が [製品] ページに表示されます。製品を表示するには、ブラウザの更新が必要になる場合があります。
CodePipeline は、製品テンプレートを AWS Service Catalog にデプロイするパイプラインの作成と設定や、ソースリポジトリで行った変更のデリバリにも使用できます。詳細については、「チュートリアル:AWS Service Catalog にデプロイするパイプラインを作成する」を参照してください。
ポートフォリオへの製品の追加任意の数のポートフォリオに製品を追加できます。製品が更新されたときに、製品を含むすべてのポートフォリオが自動的に新しいバージョンを受け取ります。これには、共有ポートフォリオも含まれます。
カタログからポートフォリオに製品を追加するには
1. [製品] ページに移動します。2. 製品を選択し、[アクション]、[ポートフォリオへの製品の追加] の順に選択します。3. ポートフォリオを選択し、[ポートフォリオへの製品の追加] を選択します。
製品の更新製品の AWS CloudFormation テンプレートを更新する必要がある場合は、製品の新しいバージョンを作成します。新しい製品バージョンは、製品を含むポートフォリオにアクセスできるすべてのユーザーが自動的に使用できるようになります。
製品の以前のバージョンのプロビジョニング済み製品を現在実行しているユーザーは、エンドユーザーコンソールビューを使用してプロビジョニング済み製品を更新できます。製品の新しいバージョンが利用できる場合、ユーザーは プロビジョニングされた製品の更新 コマンドを [プロビジョニングされた製品のリスト] または [プロビジョニングされた製品の詳細] ページで使用できます。
Note
製品の新しいバージョンを作成する前に、AWS CloudFormation で製品の更新プログラムをテストし、動作を確認します。
新しい製品バージョンを作成するには
1. [製品] ページに移動します。2. 製品名を選択します。3. [product details] ページで、[バージョン] セクションを展開し、[新しいバージョンの作成] を選択しま
す。
36
AWS Service Catalog 管理者ガイド製品の削除
4. [Version details] に、以下のように入力します。
• [テンプレートの選択] – ローカルドライブからの AWS CloudFormation テンプレート、または Amazon S3 に保存されたテンプレートを指す URL。Amazon S3 の URL を指定する場合、https:// で始まる必要があります。テンプレートファイルの拡張子は .templateで、JSON– または YAML 形式のテキストファイルとすることができます。詳細については、AWSCloudFormation ユーザーガイドの「テンプレート形式」を参照してください。
• [バージョンタイトル] – 製品バージョンの名前 (たとえば「v1」、「v2beta」など)。スペースは使用できません。
• [説明] (オプション) – このバージョンと前のバージョンとの違いを含む、製品バージョンの説明。• ガイダンス – デフォルトでは、製品バージョンにはガイダンスがないため、エンドユーザーはその
バージョンを使用して、プロビジョニングされた製品を更新および起動できます。ガイダンスを非推奨に設定した場合、ユーザーはプロビジョニング済み製品を更新できますが、そのバージョンの新しいプロビジョニング済み製品を起動することはできません。
保存 を選択します。
CodePipeline は、製品テンプレートを AWS Service Catalog にデプロイするパイプラインの作成と設定や、ソースリポジトリで行った変更のデリバリにも使用できます。詳細については、「チュートリアル:AWS Service Catalog にデプロイするパイプラインを作成する」を参照してください。
製品の削除アカウントから製品を完全に削除するには、カタログから削除します。製品を削除すると、製品のすべてのバージョンが、その製品を含む各ポートフォリオから削除されます。削除された製品を復元することはできません。
製品に予算が関連付けられている場合は、製品を削除する前に予算の関連付けを解除する必要があります。予算の関連付け解除の詳細については、「the section called “予算の管理” (p. 64)」を参照してください。
カタログから製品を削除するには
1. [製品] ページに移動します。2. 製品を選択し、[アクション]、[製品の削除] の順に選択します。3. 削除する製品を選択したことを確認してから、[続行] を選択します。
バージョンの管理製品を作成するときに製品バージョンを割り当てます。製品バージョンはいつでも更新できます。
バージョンには、AWS CloudFormation テンプレート、タイトル、説明、ステータス、ガイダンスがあります。
バージョンステータスバージョンには、次の 3 つのステータスのいずれかを指定できます。
• アクティブ - アクティブなバージョンがバージョンリストに表示され、ユーザーがそのバージョンを起動できるようにします。
• 非アクティブ - 非アクティブバージョンは、バージョンリストで非表示になります。このバージョンから起動された既存のプロビジョニング済み製品は影響を受けません。
37
AWS Service Catalog 管理者ガイド制約の使用
• 削除済み - バージョンが削除されると、バージョンリストから削除されます。バージョンの削除は元に戻せません。
バージョンガイダンスバージョンガイダンスを設定して、製品バージョンに関する情報をエンドユーザーに提供することができます。バージョンガイダンスは、アクティブな製品バージョンにのみ影響します。
バージョンガイダンスには、次の 2 つのオプションがあります。
• なし - デフォルトでは、製品バージョンにはガイダンスがないため、エンドユーザーはそのバージョンを使用して、プロビジョニングされた製品を更新および起動できます。
• 非推奨 - 非推奨バージョンでは、ユーザーはプロビジョニング済み製品を更新できますが、非推奨バージョンを使用して新しいプロビジョニング済み製品を起動することはできません。
バージョンの更新製品を作成するときに製品バージョンを割り当てます。また、バージョンはいつでも更新できます。製品の作成に関する詳細については、「製品の作成 (p. 35)」を参照してください。
製品バージョンを更新するには
1. AWS Service Catalog コンソールで、[製品] を選択します。2. 製品リストから、バージョンを更新する製品を選択します。3. [製品詳細] ページで、[バージョン] タブを選択し、更新するバージョンを選択します。4. [バージョンの詳細] ページで、製品バージョンを編集し、[変更の保存] を選択します。
AWS Service Catalog の使用の制約制約を適用して、エンドユーザーがポートフォリオを起動したときに特定のポートフォリオ内の製品に適用されるルールを制御します。エンドユーザーが製品を起動すると、制約を使用して適用したルールが表示されます。製品をポートフォリオに入れたら、製品に制約を適用できます。制約は、作成するとすぐに有効になり、起動されていない製品の現在のバージョンすべてに適用されます。
制約• AWS Service Catalog の起動制約 (p. 38)• AWS Service Catalog 通知の制約 (p. 41)• AWS Service Catalog タグの更新の制約 (p. 41)• AWS Service Catalog スタックセットの制約 (p. 42)• AWS Service Catalog テンプレート制約 (p. 42)
AWS Service Catalog の起動制約起動制約は、エンドユーザーが製品を起動するときに AWS Service Catalog が引き受ける AWS Identityand Access Management (IAM) ロールを指定します。IAM ロールは、IAM ユーザーや AWS サービスが、AWS サービスを使用するために一時的に引き受けることができるアクセス権限のコレクションです。簡単な例については、「ステップ 6: IAM ロールを割り当てる起動制約を追加する (p. 14)」を参照してください。
38
AWS Service Catalog 管理者ガイド起動制約
起動の制約は、ポートフォリオレベルやすべてのポートフォリオ全体にわたる製品に対してではなく、ポートフォリオ内の製品 (製品 - ポートフォリオの関連付け) に関連付けられます。起動の制約をポートフォリオ内のすべての製品に関連付けるには、起動の制約を各製品に個別に適用する必要があります。
起動制約がない場合、エンドユーザーは各自の IAM 認証情報を使用して製品を起動し、管理する必要があります。そのためには、AWS CloudFormation、製品で使用される AWS サービス、および AWS ServiceCatalog のアクセス権限が必要です。起動ロールを使用することにより、エンドユーザーのアクセス権限をその製品に必要な最小限のものに制限することができます。エンドユーザーのアクセス権限の管理の詳細については、「AWS Service Catalog での Identity and Access Management (p. 21)」を参照してください。
IAM ロールを作成して割り当てるには、以下の IAM 管理者権限が必要です。
• iam:CreateRole
• iam:PutRolePolicy
• iam:PassRole
• iam:Get*
• iam:List*
起動ロールの設定起動の制約として製品に割り当てる IAM ロールには、以下を使用するアクセス権限が必要です。
• AWS CloudFormation• 製品用に AWS CloudFormation テンプレートで使用されるサービス。• Amazon S3 の AWS CloudFormation テンプレートへの読み取りアクセス
IAM ロールは AWS Service Catalog との信頼関係も必要になります。この信頼関係は、以下のステップでロールタイプとして [AWS Service Catalog] を選択して割り当てます。信頼関係により、AWS ServiceCatalog は起動プロセス中にロールを引き受けてリソースを作成することができます。
Note
servicecatalog:ProvisionProduct、servicecatalog:TerminateProduct、servicecatalog:UpdateProductのアクセス権限を起動ロールで割り当てることはできません。「IAM」セクションのインラインポリシーのステップで示すように、AWS Service Catalog エンドユーザーへのアクセス権限の付与 (p. 8) を使う必要があります。
起動ロールを作成するには
1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。2. [Roles] を選択します。3. [Create New Role] を選択します。4. ロール名を入力し、[Next Step] を選択します。5. [AWS Service Catalog] の横の [AWS Service Roles] で、[Select] を選択します。6. [Attach Policy] ページで、[Next Step] を選択します。7. ロールを作成するには、[Create Role] を選択します。
ポリシーを新しいロールにアタッチするには
1. 作成したロールを選択して、[role details] ページを表示します。
39
AWS Service Catalog 管理者ガイド起動制約
2. [Permissions] タブを選択して、[Inline Policies] セクションを展開します。次に、[click here] を選択します。
3. [Custom Policy] を選択し、[Select] を選択します。4. ポリシーの名前を入力し、[Policy Document] エディタに次のように貼り付けます。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "servicecatalog:*", "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStacks", "cloudformation:GetTemplateSummary", "cloudformation:SetStackPolicy", "cloudformation:ValidateTemplate", "cloudformation:UpdateStack", "s3:GetObject" ], "Resource":"*" } ]}
5. 製品で使用する追加のサービスごとに、ポリシーに行を追加します。たとえば、Amazon RelationalDatabase Service (Amazon RDS) のアクセス権限を追加するには、"Action" リストの最後の行の末尾にカンマを入力し、次の行を追加します。
"rds:*"
6. [Apply Policy] を選択します。
起動制約の適用次に、起動制約として製品にロールを割り当てます。これにより、エンドユーザーが製品を起動した際にロールを引き受けるよう AWS Service Catalog に指示します。
製品にロールに割り当てるには
1. https://console.aws.amazon.com/servicecatalog/ で AWS Service Catalog コンソールを開きます2. 製品を含むポートフォリオを選択します。3. [制約] タブを選択して、[Create constraint (制約の作成)] を選択します。4. [製品] から製品を選択して、[制約タイプ] で [起動] に設定します。続行 を選択します。5. [起動の制約] セクションでは、アカウントから IAM ロールを選択するか、IAM ロール ARN を入力す
るか、ロール名を入力できます。
ロール名を指定すると、アカウントが起動制約を使用する場合、アカウント内のその名前の IAM ロールが使用されます。これにより、起動ロールの制約をアカウントに依存しないようにできます。共有アカウントごとに作成するリソースを減らすことができます。
Note
指定されたロール名は、起動制約の作成に使用するアカウントと、この起動制約を使用して製品を起動するユーザーのアカウントに存在している必要があります。
6. IAM ロールを指定したら、[作成] を選択します。
40
AWS Service Catalog 管理者ガイド通知の制約
起動制約が適用されていることの確認AWS Service Catalog がロールを使用して製品を起動すること、および AWS Service Catalog コンソールから製品を起動してプロビジョニング済み製品が正常に作成されることを確認します。ユーザーに公開する前に制約をテストするには、同じ製品を含むテストポートフォリオを作成し、そのポートフォリオで制約をテストします。
製品を起動するには
1. AWS Service Catalog コンソールのメニューで、[サービスカタログ]、[エンドユーザー] を選択します。
2. 製品を選択して、[製品の詳細] ページを開きます。[起動オプション] テーブルで、ロールの Amazonリソースネーム (ARN) が表示されることを確認します。
3. 製品の起動 を選択します。4. 起動手順を続行して必要な情報を入力します。5. 製品が正常に起動することを確認します。
AWS Service Catalog 通知の制約通知の制約は、スタックのイベントに関する通知を受ける Amazon SNS トピックを指定します。SNS トピックは、通知を受信するメールアドレスを指定します。
以下の手順を使用して、SNS トピックを作成しそれをサブスクライブします。
SNS トピックを作成しサブスクリプションするには
1. Amazon SNS コンソール (https://console.aws.amazon.com/sns/v3/home) を開きます。2. [Create topic] を選択します。3. トピック名を入力し、[Create topic] を選択します。4. [Create subscription] を選択します。5. [Protocol] で [Email] を選択します。[Endpoint] では、通知を受信するために使用できる E メールアド
レスを入力します。[Create subscription] を選択します。6. AWS Notification - Subscription Confirmation という件名の確認用 E メールを受信しま
す。E メールを開き、指示に従ってサブスクリプションを完了します。
次の手順を使用して、前の手順で作成された SNS トピックを使用する通知の制約を適用します。
製品に通知の制約を適用するには
1. https://console.aws.amazon.com/servicecatalog/ で AWS Service Catalog コンソールを開きます2. 製品を含むポートフォリオを選択します。3. [制約] を展開して [制約の追加] を選択します。4. [製品] から製品を選択して、[制約タイプ] を [通知] に設定します。続行 を選択します。5. [Choose a topic from your account] を選択して、[Topic Name] から作成した SNS トピックを選択しま
す。6. [Submit] を選択します。
AWS Service Catalog タグの更新の制約タグの更新の制約を使用すると、AWS Service Catalog 管理者は、AWS Service Catalog プロビジョニング済み製品に関連付けられたリソースのタグの更新をエンドユーザーに許可または禁止できます。タグの
41
AWS Service Catalog 管理者ガイドスタックセットの制約
更新が許可されている場合、AWS Service Catalog 製品またはポートフォリオに関連付けられた新しいタグは、プロビジョニング済み製品の更新中にプロビジョニングされたリソースに適用されます。
製品に対するタグの更新を有効にするには
1. https://console.aws.amazon.com/servicecatalog/ で AWS Service Catalog コンソールを開きます2. 更新する製品を含むポートフォリオを選択します。3. [制約] タブを選択し、[制約の追加] を選択します。4. [制約タイプ] で、[タグの更新] を選択します。5. [製品] から製品を選択して、[続行] を選択します。6. [タグの更新ページ] で、[タグの更新を有効にする] を選択します。7. [Submit] を選択します。
AWS Service Catalog スタックセットの制約Note
現在、AutoTags は AWS CloudFormation StackSets でサポートされていません。
スタックセットの制約では、AWS CloudFormation StackSets を使用して製品のデプロイオプションを設定できます。製品の起動で複数のアカウントおよびリージョンを指定できます。エンドユーザーは、これらのアカウントを管理し、製品の展開先と展開順序を決定できます。
製品にスタックセットの制約を適用するには
1. https://console.aws.amazon.com/servicecatalog/ で AWS Service Catalog コンソールを開きます2. 希望する製品でポートフォリオを選択します。3. _を選択 制約 タブを選択し、 制約を作成.4. 内 製品、製品を選択します。内 制約タイプ、選択 スタックセット.5. スタックセット制約の科目、地域、および権限を設定します。
• 内 アカウント設定、製品を作成するアカウントを特定します。• 内 領域設定では、製品を展開する地理的地域と、それらの地域に製品をデプロイする順序を選択し
ます。• 内 許可、IAM StackSet Administrator Roleを選択して、ターゲットアカウントを管理します。ロー
ルを選択しない場合、StackSetsはデフォルトのARNを使用します。スタックセットのアクセス許可の設定の詳細については、こちらを参照してください。
6. [作成] を選択します。
AWS Service Catalog テンプレート制約ユーザーが製品を起動するときに使用可能なオプションを制限するには、テンプレート制約を適用します。テンプレート制約を適用し、エンドユーザーが組織のコンプライアンス要件に違反することなく製品を使用できるようにします。製品へのテンプレート制約の適用は、AWS Service Catalog ポートフォリオで行います。テンプレート制約を定義するには、ポートフォリオに 1 つ以上の製品が含まれている必要があります。
テンプレート制約は 1 つ以上のルールで構成されます。これらのルールでは、製品の基盤となる AWSCloudFormation テンプレートで定義されているパラメータで許可される値の範囲を絞り込みます。AWSCloudFormation テンプレートのパラメータでは、スタックを作成するときにユーザーが指定できる値の
42
AWS Service Catalog 管理者ガイドテンプレート制約
セットを定義します。たとえば、パラメータで、EC2 インスタンスを含むスタックを起動するときにユーザーが選択できるさまざまなインスタンスタイプを定義します。
テンプレートのパラメータ値のセットが、ポートフォリオの対象者に対して広範囲すぎる場合、製品を起動するときにユーザーが選択できる値を制限するようテンプレート制約を定義できます。たとえば、テンプレートパラメータに、スモールインスタンスタイプ (t2.micro や t2.small など) のみを使用するユーザーにとって大きすぎる EC2 インスタンスタイプが含まれている場合は、エンドユーザーが選択できるインスタンスタイプを制限するテンプレート制約を追加できます。AWS CloudFormation テンプレートパラメータの詳細については、AWS CloudFormation ユーザーガイドの「パラメータ」を参照してください。
テンプレート制約はポートフォリオ内にバインドされます。1 つのポートフォリオで製品にテンプレート制約を適用し、別のポートフォリオに製品を含める場合、制約は 2 番目のポートフォリオの製品には適用されません。
既にユーザーと共有されている製品にテンプレート制約を適用する場合、制約は後続のすべての製品の起動と、ポートフォリオ内の製品のすべてのバージョンに対してすぐに有効になります。
ルールエディタを使用するか、AWS Service Catalog 管理者コンソールで JSON テキストとしてルールを書き込むことで、テンプレート制約ルールを定義します。構文と例を含むルールの詳細については、「テンプレート制約のルール (p. 43)」を参照してください。
ユーザーに公開する前に制約をテストするには、同じ製品を含むテストポートフォリオを作成し、そのポートフォリオで制約をテストします。
製品にテンプレート制約を適用するには
1. https://console.aws.amazon.com/servicecatalog/ で AWS Service Catalog コンソールを開きます2. [ポートフォリオ] ページで、テンプレート制約を適用する製品を含むポートフォリオを選択します。3. [制約] セクションを展開し、[制約の追加] を選択します。4. [製品とタイプの選択] ウィンドウの [製品] で、テンプレート制約を定義する製品を選択します。次
に、[制約タイプ] で [テンプレート] を選択します。続行 を選択します。5. [テンプレート制約ビルダー] ページで、JSON エディタまたはルールビルダーのインターフェイスを
使用して制約ルールを編集します。
• ルールの JSON コードを編集するには、[制約テキストエディター] タブを選択します。このタブには、使用を開始するためにいくつかの例が含まれています。
ルールビルダーのインターフェイスを使用してルールを作成するには、[ルールビルダー] タブを選択します。このタブで、製品向けにテンプレートで指定される任意のパラメータを選択し、そのパラメータで許可される値を指定できます。パラメータの種類に応じて、チェックリストで項目を選択する、数を指定する、またはカンマ区切りリストで値のセットを指定することで、許可される値を指定します。
ルールの作成を終了したら、[ルールを追加する] を選択します。[ルールビルダー] タブのテーブルにルールが表示されます。JSON 出力を確認して編集するには、[制約テキストエディター] タブを選択します。
6. 制約のルールの編集を終了したら、[送信] を選択します。制約を表示するには、ポートフォリオの詳細ページに移動し、[制約] を展開します。
テンプレート制約のルールAWS Service Catalog ポートフォリオでテンプレート制約を定義するルールでは、エンドユーザーがテンプレートをいつ使用できるかと、使用を試みている製品を作成するために使用される AWSCloudFormation テンプレートで宣言されるパラメータ用に指定できる値を示します。ルールは、エンド
43
AWS Service Catalog 管理者ガイドテンプレート制約
ユーザーが意図せずに不適切な値を指定することを防ぐために役立ちます。たとえば、エンドユーザーが、特定の VPC で有効なサブネットを指定したかどうかや、テスト環境用に m1.small インスタンスタイプを使用したかどうかを確認するルールを追加できます。AWS CloudFormation は、ルールを使用して、製品のリソースを作成する前にパラメータ値を確認します。
各ルールは、ルール条件 (オプション) とアサーション (必須) の 2 つのプロパティで構成されます。ルール条件では、ルールがいつ有効になるかを決定します。アサーションでは、特定のパラメータにユーザーが指定できる値を示します。ルール条件を定義しない場合、ルールのアサーションが常に有効になります。ルール条件とアサーションを定義するには、ルール固有の組み込み関数を使用します。これは、テンプレートの Rules セクションでのみ使用できる関数です。関数をネストすることができますが、ルール条件またはアサーションの最終結果は、true または false である必要があります。
例として、Parameters セクションで VPC とサブネットパラメータを宣言したとします。特定のサブネットが特定の VPC 内にあることを検証するルールを作成できます。したがって、ユーザーが VPC を指定するときに、AWS CloudFormation はアサーションを評価して、サブネットのパラメータ値がそのVPC にあるかどうか確認してから、スタックを作成または更新します。パラメータ値が無効の場合、AWSCloudFormation はスタックの作成または更新にすぐに失敗します。ユーザーが VPC を指定しない場合、AWS CloudFormation はサブネットのパラメータ値を確認しません。
構文
テンプレートの Rules セクションは、キーの名前 Rules とそれに続く単一のコロンで構成されます。ルールの宣言全体を中括弧で囲みます。複数のルールを宣言する場合は、カンマで区切ります。ルールごとに、引用符で囲んだ論理名、単一のコロン、およびルール条件とアサーションを囲む中括弧から成る形式で宣言します。
ルールには RuleCondition プロパティを含めることができ、Assertions プロパティを含める必要があります。ルールごとに、1 つのルール条件のみを定義できます。Assertions プロパティ内に 1 つ以上のアサーションを定義できます。次の擬似テンプレートに示すように、ルール固有の組み込み関数を使用してルール条件とアサーションを定義します。
"Rules" : { "Rule01" : { "RuleCondition" : { Rule-specific intrinsic function }, "Assertions" : [ { "Assert" : { Rule-specific intrinsic function }, "AssertDescription" : "Information about this assert" }, { "Assert" : { Rule-specific intrinsic function }, "AssertDescription" : "Information about this assert" } ] }, "Rule02" : { "Assertions" : [ { "Assert" : { Rule-specific intrinsic function }, "AssertDescription" : "Information about this assert" } ] }}
擬似テンプレートには、Rules および Rule01 という 2 つのルールを含む Rule02 セクションが表示されます。Rule01 には、ルール条件と 2 つのアサーションが含まれます。ルール条件の関数が true に評価される場合、各アサーションの両方の関数が評価および適用されます。ルール条件が false の場合、ルールは有効になりません。Rule02 にはルール条件がないため、常に有効になります。つまり、1 つのアサーションが常に評価および適用されます。
44
AWS Service Catalog 管理者ガイドテンプレート制約
次のルール固有の組み込み関数を使用して、ルール条件とアサーションを定義できます。
• Fn::And
• Fn::Contains
• Fn::EachMemberEquals
• Fn::EachMemberIn
• Fn::Equals
• Fn::If
• Fn::Not
• Fn::Or
• Fn::RefAll
• Fn::ValueOf
• Fn::ValueOfAll
例: パラメータ値の条件付きの確認
次の 2 つのルールでは、InstanceType パラメータの値を確認します。Environment パラメータの値 (test または prod) に応じて、ユーザーは m1.small パラメータに対して m1.large またはInstanceType を指定する必要があります。InstanceType および Environment パラメータは、同じテンプレートの Parameters セクションで宣言する必要があります。
"Rules" : { "testInstanceType" : { "RuleCondition" : {"Fn::Equals":[{"Ref":"Environment"}, "test"]}, "Assertions" : [ { "Assert" : { "Fn::Contains" : [ ["m1.small"], {"Ref" : "InstanceType"} ] }, "AssertDescription" : "For the test environment, the instance type must be m1.small" } ] }, "prodInstanceType" : { "RuleCondition" : {"Fn::Equals":[{"Ref":"Environment"}, "prod"]}, "Assertions" : [ { "Assert" : { "Fn::Contains" : [ ["m1.large"], {"Ref" : "InstanceType"} ] }, "AssertDescription" : "For the prod environment, the instance type must be m1.large" } ] }}
AWS Service Catalog ルール関数ルールの条件またはアサーションで、Fn::Equals、Fn::Not、Fn::RefAll などの組み込み関数を使用できます。条件プロパティにより、AWS CloudFormation によってアサーションが適用されるかどうかが決まります。条件が true に評価された場合、プロビジョニング済み製品の作成または更新時に、AWSCloudFormation はアサーションを評価してパラメータ値が有効かどうか確認します。パラメータ値が無効になっている場合、AWS CloudFormation はスタックを作成または更新しません。条件が false に評価される場合、AWS CloudFormation はパラメータ値を確認せず、スタック操作に進みます。
関数• Fn::And (p. 46)
45
AWS Service Catalog 管理者ガイドテンプレート制約
• Fn::Contains (p. 46)• Fn::EachMemberEquals (p. 47)• Fn::EachMemberIn (p. 47)• Fn::Equals (p. 48)• Fn::Not (p. 48)• Fn::Or (p. 49)• Fn::RefAll (p. 49)• Fn::ValueOf (p. 49)• Fn::ValueOfAll (p. 50)• サポートされている関数 (p. 51)• サポートされている属性 (p. 51)
Fn::And
指定されたすべての条件が true に評価された場合は true を返します。条件のいずれかが false に評価された場合は false を返します。Fn::And は AND 演算子として機能します。含めることができる条件の最小数は 2 で、最大数は 10 です。
宣言
"Fn::And" : [{condition}, {...}]
パラメータ
Condition
true または false に評価されるルール固有の組み込み関数。
例
次の例では、参照されるセキュリティグループの名前が true と等しい場合、および sg-mysggroup パラメータ値が InstanceType または m1.large の場合に、m1.small と評価されます。
"Fn::And" : [ {"Fn::Equals" : ["sg-mysggroup", {"Ref" : "ASecurityGroup"}]}, {"Fn::Contains" : [["m1.large", "m1.small"], {"Ref" : "InstanceType"}]}]
Fn::Contains
指定された文字列が文字列のリストの少なくとも 1 つの値と一致する場合に、true を返します。
宣言
"Fn::Contains" : [[list_of_strings], string]
パラメータ
list_of_strings
"A", "B", "C" のような文字列のリスト。
46
AWS Service Catalog 管理者ガイドテンプレート制約
文字列
文字列のリストに対して比較する、"A" などの文字列。
例
次の関数は、true パラメータ値がリスト (InstanceType または m1.large) に含まれる場合に、m1.small と評価されます。
"Fn::Contains" : [ ["m1.large", "m1.small"], {"Ref" : "InstanceType"}]
Fn::EachMemberEquals
指定された文字列がリストのすべての値と一致した場合に、true を返します。
宣言
"Fn::EachMemberEquals" : [[list_of_strings], string]
パラメータ
list_of_strings
"A", "B", "C" のような文字列のリスト。文字列
文字列のリストに対して比較する、"A" などの文字列。
例
次の関数は、タイプ true のすべてのDepartmentパラメータの タグが AWS::EC2::VPC::Id という値を持つ場合に IT を返します。
"Fn::EachMemberEquals" : [ {"Fn::ValueOfAll" : ["AWS::EC2::VPC::Id", "Tags.Department"]}, "IT"]
Fn::EachMemberIn
文字列のリストの各メンバーが、文字列の 2 番目のリストの少なくとも 1 つの値に一致する場合に、true を返します。
宣言
"Fn::EachMemberIn" : [[strings_to_check], [strings_to_match]]
パラメータ
strings_to_check
"A", "B", "C" のような文字列のリスト。AWS CloudFormation は strings_to_check パラメータの各メンバーが strings_to_match パラメータにあるかどうか確認します。
47
AWS Service Catalog 管理者ガイドテンプレート制約
strings_to_match
"A", "B", "C" のような文字列のリスト。strings_to_match パラメータの各メンバーは、strings_to_check パラメータのメンバーに対して比較されます。
例
次の関数は、有効な Virtual Private Cloud (VPC) にあるサブネットをユーザーが指定するかどうかを確認します。VPC は、ユーザーがスタックを使用しているアカウントおよびリージョンに存在する必要があります。関数は、AWS::EC2::Subnet::Id タイプのすべてのパラメータに適用されます。
"Fn::EachMemberIn" : [ {"Fn::ValueOfAll" : ["AWS::EC2::Subnet::Id", "VpcId"]}, {"Fn::RefAll" : "AWS::EC2::VPC::Id"}]
Fn::Equals2 つの値を比較し、同じかどうかを判断します。2 つの値が同じ場合は true を返し、同じでない場合はfalse を返します。
宣言
"Fn::Equals" : ["value_1", "value_2"]
パラメータ
value
別の値と比較する任意のタイプの値。
例
次の例では、true パラメータの値が と等しい場合に prodEnvironmentType に評価されます。
"Fn::Equals" : [{"Ref" : "EnvironmentType"}, "prod"]
Fn::Nottrue に評価される条件に対しては、false を返します。false に評価される条件に対しては、true を返します。Fn::Not は NOT 演算子として機能します。
宣言
"Fn::Not" : [{condition}]
パラメータ
condition
true または false に評価されるルール固有の組み込み関数。
例
次の例では、true パラメータの値が EnvironmentType と等しくない場合に prod に評価されます。
48
AWS Service Catalog 管理者ガイドテンプレート制約
"Fn::Not" : [{"Fn::Equals" : [{"Ref" : "EnvironmentType"}, "prod"]}]
Fn::Or
指定された条件のいずれかが true に評価された場合は true を返します。すべての条件が false に評価された場合は false を返します。Fn::Or は OR 演算子として機能します。含めることができる条件の最小数は 2 で、最大数は 10 です。
宣言
"Fn::Or" : [{condition}, {...}]
パラメータ
condition
true または false に評価されるルール固有の組み込み関数。
例
次の例では、参照されるセキュリティグループの名前が true と等しい場合、または sg-mysggroup パラメータ値が InstanceType または m1.large の場合に、m1.small と評価されます。
"Fn::Or" : [ {"Fn::Equals" : ["sg-mysggroup", {"Ref" : "ASecurityGroup"}]}, {"Fn::Contains" : [["m1.large", "m1.small"], {"Ref" : "InstanceType"}]}]
Fn::RefAll
指定したパラメータ型のすべての値を返します。
宣言
"Fn::RefAll" : "parameter_type"
パラメータ
parameter_type
AWS::EC2::SecurityGroup::Id や AWS::EC2::VPC::Id などの AWS 固有のパラメータ型。詳細については、AWS CloudFormation ユーザーガイドの「パラメータ」を参照してください。
例
次の関数は、スタックを作成または更新中のリージョンと AWS アカウントのすべての VPC ID のリストを返します。
"Fn::RefAll" : "AWS::EC2::VPC::Id"
Fn::ValueOf
特定のパラメータおよび属性の値の属性値またはリストを返します。
49
AWS Service Catalog 管理者ガイドテンプレート制約
宣言
"Fn::ValueOf" : [ "parameter_logical_id", "attribute" ]
パラメータ
属性
値の取得元となる属性の名前。属性の詳細については、「サポートされている属性 (p. 51)」を参照してください。
parameter_logical_id
属性値を取得する対象のパラメータの名前。パラメータは、テンプレートの [Parameters] セクションで宣言する必要があります。
例
次の例では、Department パラメータで指定された VPC の ElbVpc タグの値を返します:
"Fn::ValueOf" : ["ElbVpc", "Tags.Department"]
パラメータに複数の値を指定する場合、Fn::ValueOf 関数はリストを返すことができます。たとえば、複数のサブネットを指定して、各メンバーが特定のサブネットのアベイラビリティゾーンであるアベイラビリティゾーンのリストを取得できます。
"Fn::ValueOf" : ["ListOfElbSubnets", "AvailabilityZone"]
Fn::ValueOfAll
特定のパラメータ型および属性のすべての属性値のリストを返します。
宣言
"Fn::ValueOfAll" : ["parameter_type", "attribute"]
パラメータ
属性
値の取得元となる属性の名前。属性の詳細については、「サポートされている属性 (p. 51)」を参照してください。
parameter_type
AWS::EC2::SecurityGroup::Id や AWS::EC2::VPC::Id などの AWS 固有のパラメータ型。詳細については、AWS CloudFormation ユーザーガイドの「パラメータ」を参照してください。
例
次の例では、Fn::ValueOfAll 関数は値のリストを返します。各メンバーは、そのタグを持つ VPC のDepartment タグ値です。
"Fn::ValueOfAll" : ["AWS::EC2::VPC::Id", "Tags.Department"]
50
AWS Service Catalog 管理者ガイドサービスアクションの使用
サポートされている関数
Fn::ValueOf および Fn::ValueOfAll 関数内で他の関数を使用することはできません。ただし、他のすべてのルール固有の組み込み関数内では、以下の関数を使用できます。
• Ref
• その他のルール固有の組み込み関数
サポートされている属性
次の一覧に、特定のリソースおよびパラメータ型に対して取得できる属性値を示します。
AWS::EC2::VPC::Id パラメータタイプまたは VPC ID• DefaultNetworkAcl• DefaultSecurityGroup• タグ。tag_key
AWS::EC2::Subnet::Id パラメータタイプまたはサブネット ID• AvailabilityZone• タグ。tag_key
• VpcIdAWS::EC2::SecurityGroup::Id パラメータタイプまたはセキュリティグループ ID
• タグ。tag_key
AWS Service Catalog のサービスアクションAWS Service Catalog により、コンプライアンスとセキュリティ対策に従いながら、管理メンテナンスとエンドユーザートレーニングを減らすことができます。サービスアクションを使用すると、管理者は、AWS Service Catalog での運用タスクの実行、問題のトラブルシューティング、承認されたコマンドの実行、アクセス許可のリクエストをエンドユーザーに許可できます。AWS Systems Manager ドキュメントを使用して、サービスアクションを定義します。AWS Systems Manager ドキュメントでは、AWS のベストプラクティスを実装する事前定義されたアクション (Amazon EC2 の停止や再起動など) に対するアクセス許可を付与でき、カスタムアクションを定義することもできます。
このチュートリアルでは、Amazon EC2 インスタンスの再起動をエンドユーザーに許可します。必要なアクセス許可を追加し、サービスアクションを定義して製品に関連付けたら、プロビジョニングされた製品でそのアクションを使用して、エンドユーザーのエクスペリエンスをテストします。
前提条件このチュートリアルでは、AWS のフル管理アクセス許可を持ち、すでに AWS Service Catalog の使用に慣れていて、製品、ポートフォリオ、ユーザーの基本セットを所有していることを前提とします。AWSService Catalog の使用に慣れていない場合は、このチュートリアルを使用する前に「設定 (p. 6)」と「開始方法 (p. 9)」のタスクを完了してください。
トピック• ステップ 1: エンドユーザーのアクセス許可を設定する (p. 52)• ステップ 2: サービスアクションを作成する (p. 52)• ステップ 3: サービスアクションを製品バージョンに関連付ける (p. 53)• ステップ 4: エンドユーザーのエクスペリエンスをテストする (p. 53)• ステップ 5: トラブルシューティング (p. 54)
51
AWS Service Catalog 管理者ガイドステップ 1: エンドユーザーのアクセス許可を設定する
ステップ 1: エンドユーザーのアクセス許可を設定するエンドユーザーアカウントには、特定のサービスアクションを表示および実行するアクセス許可が必要です。この例では、AWS Service Catalog サービスアクション機能にアクセスして Amazon EC2 を再起動するアクセス許可がエンドユーザーに必要です。
アクセス許可を更新するには
1. AWS Identity and Access Management (IAM) コンソール (https://console.aws.amazon.com/iam/) を開きます。
2. メニューの [グループ] を選択します。3. [グループ] ページで、エンドユーザーによって AWS Service Catalog リソースへのアクセスに使用さ
れるグループを選択します。この例では、エンドユーザーグループを選択します。独自の実装では、該当するエンドユーザーによって使用されるグループを選択します。
4. グループの詳細ページの [Permissions (アクセス許可)] タブで、新しいポリシーを作成するか、既存のポリシーを編集します。この例では、グループの AWS Service Catalog プロビジョニングおよび終了アクセス許可用に作成されたカスタムポリシーを選択して、既存のポリシーにアクセス許可を追加します。
5. [Policy (ポリシー)] ページで、[ポリシーの編集] を選択して必要なアクセス許可を追加します。ビジュアルエディタまたは JSON エディタを使用してポリシーを編集できます。この例では、JSON エディタを使用してアクセス許可を追加します。このチュートリアルでは、以下のアクセス許可をポリシーに追加します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1536341175150", "Action": [ "servicecatalog:ListServiceActionsForProvisioningArtifact", "servicecatalog:ExecuteprovisionedProductServiceAction", "ssm:DescribeDocument", "ssm:GetAutomationExecution", "ssm:StartAutomationExecution", "ssm:StopAutomationExecution", "cloudformation:ListStackResources", "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances" ], "Effect": "Allow", "Resource": "*" } ]}
6. ポリシーを編集した後、ポリシーの変更を確認して承認します。これで、エンドユーザーグループのユーザーに、AWS Service Catalog で Amazon EC2 の再起動アクションを実行するアクセス許可が付与されました。
ステップ 2: サービスアクションを作成する次は、Amazon EC2 インスタンスを再起動するサービスアクションを作成します。
52
AWS Service Catalog 管理者ガイドステップ 3: サービスアクションを製品バージョンに関連付ける
1. AWS Service Catalog コンソール (https://console.aws.amazon.com/sc/) を開きます。2. メニューの [Service actions (サービスアクション)] を選択します。3. [service actions (サービスアクション)] ページで、[Create new action (新しいアクションの作成)] を選
択します。4. [Create action] ページで、サービスアクションを定義する AWS Systems Manager ドキュメントを選
択します。Amazon EC2 インスタンスの再起動アクションは AWS Systems Manager ドキュメントによって定義されているため、ドロップダウンメニューのデフォルトのオプションである [Amazondocuments (Amazon ドキュメント)] をそのまま使用します。
5. [AWS-RestartEC2Instance] アクションを選択します。6. お客様の環境とチームに合ったアクションの名前と説明を指定します。この説明はエンドユーザーに
表示されるため、アクションの内容を理解するのに役立つものを選択してください。7. [Parameter and target configuration] で、アクションのターゲットとなる SSM ドキュメントパラメー
タ ([インスタンス ID] など) を選択し、パラメータのターゲットを選択します。パラメータを追加するには、[パラメータの追加] を選択します。
8. [Permissions] で、ロールを選択します。この例では、デフォルトのアクセス許可を使用します。他のアクセス許可の設定も可能で、このページで定義します。
9. 設定を確認したら、[Create action (アクションの作成)] を選択します。10. 次のページでは、アクションが作成されて使用可能になると確認メッセージが表示されます。
ステップ 3: サービスアクションを製品バージョンに関連付けるアクションを定義したら、そのアクションを製品に関連付ける必要があります。
1. [Service actions] ページで、[AWS-RestartEC2instance]、[Associate action] の順に選択します。2. [Associate action (アクションの関連付け)] ページで、エンドユーザーによってサービスアクションが
実行されるようにする製品を選択します。この例では、[Linux Desktop] を選択します。3. 製品バージョンを選択します。1 番上のチェックボックスを使用して、すべてのバージョンを選択で
きます。4. [Associate action (アクションの関連付け)] を選択します。5. 次のページで、確認メッセージが表示されます。
これで、AWS Service Catalog でサービスアクションが作成されました。このチュートリアルの次のステップは、エンドユーザーとしてサービスアクションを使用することです。
ステップ 4: エンドユーザーのエクスペリエンスをテストするエンドユーザーはプロビジョニングされた製品に対してサービスアクションを実行できます。このチュートリアルの目的上、エンドユーザーには少なくとも 1 つのプロビジョニングされた製品が必要です。プロビジョニングされた製品は、前のステップでサービスアクションに関連付けた製品バージョンから起動する必要があります。
エンドユーザーとしてサービスアクションにアクセスするには
1. エンドユーザーとして AWS Service Catalog コンソールにログインします。2. AWS Service Catalog ダッシュボードのナビゲーションペインで、[プロビジョニングされた製品のリ
スト] を選択します。このリストには、エンドユーザーのアカウント用にプロビジョンされた製品が表示されます。
53
AWS Service Catalog 管理者ガイドステップ 5: トラブルシューティング
3. [プロビジョニングされた製品のリスト] ページで、プロビジョニングされたインスタンスを選択します。
4. [プロビジョニングされた製品の詳細] ページで、右上の [Actions (アクション)] を選択してから、[AWS-RestartEC2instance] アクションを選択します。
5. カスタムアクションを実行することを確認します。アクションが送信されたという確認メッセージが表示されます。
ステップ 5: トラブルシューティングサービスアクションの実行が失敗した場合、[Provisioned product (プロビジョニングされた製品)] ページのサービスアクション実行イベントの [Outputs (出力)] セクションにエラーメッセージが表示されます。以下に、よくあるエラーメッセージの説明を示します。
Note
エラーメッセージの正確なテキストは変更される可能性があるため、いずれの種類の自動化プロセスでも使用しないでください。
内部エラー
AWS Service Catalog で内部エラーが発生しました。後でもう一度お試しください。問題が解決しない場合は、カスタマーサポートまでお問い合わせください。
[An error occurred (ThrottlingException) when calling the StartAutomationExecution operation(StartAutomationExecution オペレーションの呼び出し時にエラーが発生しました (ThrottlingException))]
サービスアクションの実行が SSM などのバックエンドサービスによって制限されました。
[Access denied while assuming the role (ロールの引き受け中にアクセスが拒否されました)]
AWS Service Catalog は、サービスアクション定義で指定されたロールを引き受けることができませんでした。servicecatalog.amazonaws.com プリンシパル、または servicecatalog.us-east-1.amazonaws.comなどのリージョン別プリンシパルがロールの信頼ポリシーでホワイトリストに登録されていることを確認してください。
[An error occurred (AccessDeniedException) when calling the StartAutomationExecution operation: User isnot authorized to perform: ssm:StartAutomationExecution on the resource. (StartAutomationExecution オペレーションの呼び出し時にエラーが発生しました (AccessDeniedException): ユーザーはリソースに対するssm:StartAutomationExecution の実行を承認されていません)]
サービスアクション定義で指定されたロールに、ssm:StartAutomationExecution を呼び出すアクセス許可がありません。ロールに適切な SSM アクセス許可があることを確認してください。
[Cannot find any resources with type TargetType in provisioned product (プロビジョニングされた製品でTargetType タイプのリソースが見つかりません)]
プロビジョニングされた製品に、SSM ドキュメントで指定されたターゲットタイプと一致するリソース(AWS::EC2::Instance など) が含まれていません。プロビジョニングされた製品でこれらのリソースを確認するか、ドキュメントが正しいことを確認してください。
[Document with that name does not exist (その名前のドキュメントは存在しません)]
サービスアクション定義で指定されたドキュメントが存在しません。
[Failed to describe SSM Automation document (SSM 自動化ドキュメントの定義の取得に失敗しました)]
指定したドキュメントの定義を取得しようとしたときに、AWS Service Catalog が SSM からの不明な例外を検出しました。
54
AWS Service Catalog 管理者ガイドポートフォリオへの AWS Marketplace 製品の追加
[Failed to retrieve credentials for role (ロールの認証情報の取得に失敗しました)]
AWS Service Catalog は指定されたロールの引き受け中に不明なエラーを検出しました。
[Parameter has value "InvalidValue" not found in {ValidValue1}, {ValidValue2} (パラメータの値 InvalidValue が {ValidValue1}、{ValidValue2} に見つかりません)]
SSM に渡されたパラメータ値がドキュメントの許容値のリストにありません。渡されたパラメータが有効であることを確認し、再試行してください。
[Parameter type error. The value supplied for ParameterName is not a valid string. (パラメータタイプエラー。ParameterName に指定された値が有効な文字列ではありません)]
SSM に渡されたパラメータの値がドキュメントのこのタイプでは無効です。
[Parameter is not defined in service action definition (パラメータがサービスアクション定義で定義されていません)]
サービスアクション定義で定義されていないパラメータが AWS Service Catalog に渡されました。使用できるのは、サービスアクション定義で定義されたパラメータのみです。
[Step fails when it is executing/canceling action.Error message. Please refer to Automation ServiceTroubleshooting Guide for more diagnosis details (アクションの実行中/キャンセル中にステップが失敗します。Error message。診断の詳細については、Automation サービストラブルシューティングガイドを参照してください)]
SSM 自動化ドキュメントのステップが失敗しました。さらにトラブルシューティングするには、メッセージ内のエラーを参照してください。
[The following values for the parameter are not allowed because they are not in the provisioned product:InvalidResourceId (次のパラメータの値がプロビジョニングされた製品にないため許可されません:InvalidResourceId)]
プロビジョニングされた製品にないリソースに対するアクションをユーザーがリクエストしました。
[TargetType not defined for SSM Automation document (SSM 自動化ドキュメントに TargetType が定義されていません)]
サービスアクションでは、SSM 自動化ドキュメントに TargetType を定義する必要があります。SSM 自動化ドキュメントを確認してください。
ポートフォリオへの AWS Marketplace 製品の追加AWS Marketplace 製品をポートフォリオに追加し、それらの製品を AWS Service Catalog のエンドユーザーが使用するようにできます。
AWS Marketplace は、さまざまなソフトウェアやサービスを見つけ、サブスクライブし、すぐに使用を開始できるオンラインストアです。AWS Marketplace の製品のタイプには、データベース、アプリケーションサーバー、テストツール、モニタリングツール、コンテンツ管理ツール、ビジネスインテリジェンスソフトウェアなどがあります。AWS Marketplace は https://aws.amazon.com/marketplace で使用できます。
AWS Marketplace 製品を AWS Service Catalog のエンドユーザーに配信するには、AWS CloudFormationテンプレートで製品を定義し、ポートフォリオにテンプレートを追加します。ポートフォリオにアクセスできるエンドユーザーは、コンソールから製品を起動できます。
AWS Marketplace は、AWS Service Catalog を直接サポートすることも、登録して手動で追加することもできます。AWS Service Catalog 用に特別に設計された機能を使用して製品を追加することをお勧めします。
55
AWS Service Catalog 管理者ガイドAWS Service Catalog を使用した AWS Marketplace 製品の管理
AWS Service Catalog を使用した AWS Marketplace製品の管理カスタムインターフェイスを使用して、登録した AWS Marketplace を AWS Service Catalog に直接追加できます。AWS Marketplace で、[サービスカタログ] を選択します。詳細については、AWS Marketplaceのヘルプとよくある質問の「Copying Products to AWS Service Catalog」を参照してください。
手動での AWS Marketplace 製品の管理と追加AWS Marketplace 製品にサブスクライブするには、次のステップを完了し、その製品を AWSCloudFormation テンプレートで定義して、AWS Service Catalog ポートフォリオにテンプレートを追加します。
AWS Marketplace 製品をサブスクライブするには
1. AWS Marketplace (https://aws.amazon.com/marketplace) に移動します。2. 製品を参照するか、AWS Service Catalog ポートフォリオに追加する製品を検索します。製品を選択
して、製品の詳細ページを表示します。3. 受理ページを表示するには、[続行] を選択し、[Manual Launch] タブを選択します。
受理ページの情報には、サポートされる Amazon Elastic Compute Cloud (Amazon EC2) インスタンスタイプ、サポートされる AWS リージョン、および製品が各 AWS リージョン用に使用する Amazonマシンイメージ (AMI) ID が含まれます。選択内容によってはコストに影響する場合もあります。この情報を使用して、後のステップで AWS CloudFormation テンプレートをカスタマイズします。
4. 製品をサブスクライブするには、[Accept Terms] を選択します。
製品をサブスクライブしたら、[Your Software] を選択し、製品を選択することにより、いつでもAWS Marketplace の製品受理ページで情報にアクセスできます。
AWS CloudFormation テンプレートで AWS Marketplace 製品を定義するには
次のステップを完了するには、開始点として AWS CloudFormation サンプルテンプレートの 1 つを使用し、テンプレートをカスタマイズして、AWS Marketplace 製品を表すようにします。サンプルテンプレートにアクセスするには、AWS CloudFormation ユーザーガイドの「サンプルテンプレート」を参照してください。
1. 『AWS CloudFormation ユーザーガイド』の「サンプルテンプレート」ページで、製品を使用するリージョンを選択します。リージョンは AWS Marketplace 製品でサポートされている必要があります。サポートされているリージョンは、AWS Marketplace の製品受理のページで表示できます。
2. リージョンに適したサービスサンプルテンプレートのリストを表示するには、[サービス] リンクを選択します。
3. 開始点として、ニーズに適している任意のサンプルを使用できます。この手順のステップでは、[Amazon EC2 instance in a security group] テンプレートを使用します。サンプルテンプレートを表示するには、[View] を選択し、テンプレートのコピーをローカルに保存して、編集できるようにします。ローカルファイルには、.template 拡張子が必要です。
4. テキストエディタでテンプレートを開きます。5. テンプレートの上部の説明をカスタマイズします。ダッシュボードの外観は以下の例のようになって
います。
"Description": "Launches a LAMP stack from AWS Marketplace",
6. InstanceType パラメータをカスタマイズし、製品でサポートされる EC2 インスタンスタイプのみを含むようにします。サポートされていない EC2 インスタンスタイプがテンプレートに含まれる場合、製品はエンドユーザーに対して起動しません。
56
AWS Service Catalog 管理者ガイド手動での AWS Marketplace 製品の管理と追加
a. AWS Marketplace の製品受理のページで、サポートされる EC2 インスタンスタイプを次の例のように [Pricing Details] セクションで表示します。
b. テンプレートで、デフォルトのインスタンスタイプを、サポートされている任意の EC2 インスタンスタイプに変更します。
c. AllowedValues リストを編集し、製品でサポートされている EC2 インスタンスタイプのみを含むようにします。
d. エンドユーザーが AllowedValues リストから製品を起動するときに、使用しないようにするEC2 インスタンスタイプを削除します。
InstanceType パラメータの編集を終了した例を次に示します。
57
AWS Service Catalog 管理者ガイド手動での AWS Marketplace 製品の管理と追加
"InstanceType" : { "Description" : "EC2 instance type", "Type" : "String", "Default" : "m1.small", "AllowedValues" : [ "t1.micro", "m1.small", "m1.medium", "m1.large", "m1.xlarge", "m2.xlarge", "m2.2xlarge", "m2.4xlarge", "c1.medium", "c1.xlarge", "c3.large", "c3.large", "c3.xlarge", "c3.xlarge", "c3.4xlarge", "c3.8xlarge" ], "ConstraintDescription" : "Must be a valid EC2 instance type." },
7. テンプレートの Mappings セクションで、サポートされる EC2 インスタンスタイプとアーキテクチャのみが含まれるように、AWSInstanceType2Arch マッピングを編集します。
a. AllowedValues パラメータの InstanceType リストに含まれていないすべての EC2 インスタンスタイプを削除して、マッピングのリストを編集します。
b. 各 EC2 インスタンスタイプの Arch の値を編集し、製品でサポートされるアーキテクチャータイプとなるようにします。有効な値は、PV64、HVM64、HVMG2 です。製品でサポートされるアーキテクチャの詳細については、「AWS Marketplace」のサポート製品詳細ページを参照してください。EC2 インスタンスファミリーでサポートされるアーキテクチャについては、「AmazonLinux AMI インスタンスタイプのマトリックス」を参照してください。
AWSInstanceType2Arch マッピングの編集が完了した例を次に示します。
"AWSInstanceType2Arch" : { "t1.micro" : { "Arch" : "PV64" }, "m1.small" : { "Arch" : "PV64" }, "m1.medium" : { "Arch" : "PV64" }, "m1.large" : { "Arch" : "PV64" }, "m1.xlarge" : { "Arch" : "PV64" }, "m2.xlarge" : { "Arch" : "PV64" }, "m2.2xlarge" : { "Arch" : "PV64" }, "m2.4xlarge" : { "Arch" : "PV64" }, "c1.medium" : { "Arch" : "PV64" }, "c1.xlarge" : { "Arch" : "PV64" }, "c3.large" : { "Arch" : "PV64" }, "c3.xlarge" : { "Arch" : "PV64" }, "c3.2xlarge" : { "Arch" : "PV64" }, "c3.4xlarge" : { "Arch" : "PV64" }, "c3.8xlarge" : { "Arch" : "PV64" } },
8. テンプレートの Mappings セクションで、AWSRegionArch2AMI マッピングを編集し、各 AWSリージョンを、製品の対応するアーキテクチャと AMI ID に関連付けます。
a. AWS Marketplace の製品受理のページで、次の例のように、製品が AWS の各リージョンで使用する AMI ID を表示します。
58
AWS Service Catalog 管理者ガイド手動での AWS Marketplace 製品の管理と追加
b. テンプレートで、サポートしないすべてのリージョンのマッピングを削除します。c. 各リージョンのマッピングを編集し、サポートされないアーキテクチャ (PV64、HVM64、または
HVMG2) と、関連する AMI ID を削除します。d. 残りの各リージョンとアーキテクチャのマッピングで、AWS Marketplace の製品詳細ページか
ら、対応する AMI ID を指定します。
AWSRegionArch2AMI マッピングの編集が完了したコード例を次に示します。
"AWSRegionArch2AMI" : { "us-east-1" : {"PV64" : "ami-nnnnnnnn"}, "us-west-2" : {"PV64" : "ami-nnnnnnnn"}, "us-west-1" : {"PV64" : "ami-nnnnnnnn"}, "eu-west-1" : {"PV64" : "ami-nnnnnnnn"}, "eu-central-1" : {"PV64" : "ami-nnnnnnnn"}, "ap-northeast-1" : {"PV64" : "ami-nnnnnnnn"}, "ap-southeast-1" : {"PV64" : "ami-nnnnnnnn"}, "ap-southeast-2" : {"PV64" : "ami-nnnnnnnn"}, "sa-east-1" : {"PV64" : "ami-nnnnnnnn"} }
これで、テンプレートを使用して製品を AWS Service Catalog ポートフォリオに追加できます。追加の変更が必要な場合は、テンプレートの詳細について「AWS CloudFormation テンプレートの使用」を参照してください。
AWS Marketplace 製品を AWS Service Catalog ポートフォリオに追加するには
1. AWS マネジメントコンソールにサインインし、https://console.aws.amazon.com/servicecatalog/ にある AWS Service Catalog 管理コンソールに移動します。
2. [ポートフォリオ] ページで、AWS Marketplace 製品を追加するポートフォリオを選択します。3. ポートフォリオの詳細ページで、[新しい製品のアップロード] を選択します。4. リクエストされた製品とサポートの詳細を入力します。5. [Version details] ページで、[Upload a template file]、[Browse]、テンプレートファイルの順に選択しま
す。6. バージョンタイトルと説明を入力します。7. 次 を選択します。
59
AWS Service Catalog 管理者ガイドポートフォリオの共有
8. [Review] ページで、概要が正確であることを確認し、[確認およびアップロード] を選択します。製品がポートフォリオに追加されます。これで、ポートフォリオにアクセスするエンドユーザーが製品を使用できるようになりました。
ポートフォリオの共有AWS Service Catalog 製品を、AWS アカウントに属していないユーザー (他の組織のユーザー、または組織内の他の AWS アカウントに属しているユーザーなど) が利用できるようにするには、ポートフォリオをそれらのユーザーと共有します。これは、アカウント間共有、組織共有、スタックセットを使用したカタログのデプロイなど、いくつかの方法で実行できます。
トピック• 共有ポートフォリオとインポートされたポートフォリオの関係 (p. 61)• ポートフォリオの共有 (p. 62)
製品とポートフォリオを他のアカウントと共有する前に、カタログの参照を共有するか、カタログのコピーを各受信者アカウントにデプロイするかを決定する必要があります。コピーをデプロイする場合、受信者アカウントに反映する更新が発生したら再デプロイする必要があります。スタックセットを使用して、同時に複数のアカウントにカタログをデプロイできます。参照 (元のバージョンとの同期が維持されるポートフォリオのインポートバージョン) を共有する場合、アカウント間共有を使用するか、AWSOrganizations を使用して共有することができます。
スタックセットを使用してカタログのコピーをデプロイする場合、「会社標準 AWS Service Catalog 製品の、マルチリージョンでマルチアカウントのカタログを設定する方法」を参照してください。
アカウント間共有または AWS Organizations を使用してポートフォリオを共有するときに、他の AWS アカウントの AWS Service Catalog 管理者が、管理者のアカウントにポートフォリオをインポートし、そのアカウントのエンドユーザーに製品を配信できるようにします。このインポートされたポートフォリオは独立コピーではありません。インポートされたポートフォリオの製品と制約は、共有した元のポートフォリオである共有ポートフォリオに対して行う変更と同期が維持されます。ポートフォリオを共有する管理者である受取人管理者は、製品または制約を変更することはできませんが、エンドユーザーに対して AWSIdentity and Access Management (IAM) アクセス権限を追加できます。詳細については、「ユーザーへのアクセス権限の付与 (p. 34)」を参照してください。
受取人管理者は、次の方法で、自身の AWS アカウントに属しているエンドユーザーに製品を配信できます。
• IAM ユーザー、グループ、ロールを、インポートされたポートフォリオに追加する• インポートされたポートフォリオからローカルポートフォリオに製品を追加することにより、受取人管
理者が作成し、自身の AWS アカウントに属する別のポートフォリオが作成されます。次に、受取人管理者は、ローカルポートフォリオに IAM ユーザー、グループ、およびロールを追加します。共有ポートフォリオで製品に適用した制約は、ローカルポートフォリオにも存在します。受取人管理者は、ローカルポートフォリオに制限を追加することができますが、インポートされた制約を削除することはできません。
共有ポートフォリオに製品または制約を追加または削除すると、変更はポートフォリオのすべてのインポートされたインスタンスに伝搬されます。たとえば、共有ポートフォリオから製品を削除する場合、その製品はインポートされたポートフォリオからも削除されます。また、製品が追加されたすべてのローカルポートフォリオからも削除されます。削除する前にエンドユーザーが製品を起動した場合、エンドユーザーのプロビジョニング済み製品は実行し続けますが、それ以降の起動では使用できなくなります。
共有ポートフォリオで製品に起動制約を適用する場合、製品のすべてのインポートされたインスタンスに伝搬されます。この起動制約を上書きするには、受取人管理者はローカルポートフォリオに製品を追加し、別の起動制約を適用します。有効な起動制約により、製品の起動ロールが設定されます。起動ロールは、エンドユーザーが製品を起動するときに、AWS リソース (EC2 インスタンスや RDS データベース
60
AWS Service Catalog 管理者ガイド共有ポートフォリオとインポートされたポートフォリオの関係
など) をプロビジョニングするために AWS Service Catalog が使用する IAM ロールです。管理者は、特定の起動ロール ARN またはローカルロール名を指定できます。ロール ARN を使用する場合、起動ロールを所有しているのとは別の AWS アカウントにエンドユーザが属している場合でも、そのロールが使用されます。ローカルロール名を使用する場合、エンドユーザーのアカウントでその名前を持つ IAM ロールが使用されます。起動制約と起動ロールの詳細については、「AWS Service Catalog の起動制約 (p. 38)」を参照してください。起動ロールを所有する AWS アカウントが、AWS リソースをプロビジョニングし、このアカウントにより、これらのリソースの使用料金が発生します。詳細については、「AWS ServiceCatalog 料金表」を参照してください。
Note
インポートまたは共有されたポートフォリオの製品を再共有することはできません。
共有ポートフォリオとインポートされたポートフォリオの関係次の表に、インポートされたポートフォリオと共有ポートフォリオの関係、およびポートフォリオをインポートする管理者が、そのポートフォリオとポートフォリオ内の製品で実行できることと、実行できないことの概要を示します。
共有ポートフォリオの要素
インポートされたポートフォリオとの関係
受取人の管理者が実行できること
受取人の管理者が実行できないこと
製品と製品バージョン 継承されます。
ポートフォリオ作成者が共有ポートフォリオに製品を追加または削除すると、変更はインポートされたポートフォリオに伝播されます。
インポートされた製品をポートフォリオに追加する。製品は、共有ポートフォリオとの同期を維持します。
インポートされたポートフォリオに製品をアップロード、追加、または削除する。
起動制約 継承されます。
ポートフォリオ作成者が共有製品に起動制約を追加または削除すると、変更は製品のすべてのインポートされたインスタンスに伝播されます。
受取人管理者がインポートされた製品をローカルポートフォリオに追加すると、その製品に適用された、インポートされた起動制約が、ローカルポートフォリオにも存在します。
ローカルポートフォリオで、管理者は別の起動制約を製品に適用して、インポートされた起動制約を上書きできます。
インポートされたポートフォリオとの間で、起動制約を追加または削除する。
テンプレート制約 継承されます。
ポートフォリオ作成者がテンプレート制約を
ローカルポートフォリオで、管理者は、インポートされた制約に加
インポートされたテンプレートの制約を削除する。
61
AWS Service Catalog 管理者ガイドポートフォリオの共有
共有ポートフォリオの要素
インポートされたポートフォリオとの関係
受取人の管理者が実行できること
受取人の管理者が実行できないこと
共有製品に追加または削除すると、変更は製品のすべてインポートされたインスタンスに伝搬されます。
受取人管理者がインポートされた製品をローカルポートフォリオに追加すると、製品に適用された、インポートされたテンプレート制約がローカルポートフォリオによって継承されます。
えて有効になるテンプレート制約を追加できます。
IAM ユーザー、グループ、ロール
継承されません。 管理者の AWS アカウントに属する IAM ユーザー、グループ、およびロールを追加する。
該当しません。
ポートフォリオの共有別の AWS アカウント AWS Service Catalog 管理者が製品をエンドユーザーに配信できるようにするには、アカウント間共有または AWS Organizations を使用して AWS Service Catalog ポートフォリオを共有します。
アカウント間共有または Organizations を使用してポートフォリオを共有する場合、そのポートフォリオの参照を共有することになります。インポートされたポートフォリオの製品と制約は、共有した元のポートフォリオである共有ポートフォリオに対して行う変更と同期が維持されます。受信者は、製品または制約を変更することはできませんが、エンドユーザーの AWS Identity and Access Management (IAM) アクセス権を追加できます。
Note
共有リソースを共有することはできません。これには、共有製品を含むポートフォリオが含まれます。
アカウント間共有これらのステップを完了するには、対象のアカウントの AWS アカウント ID を取得する必要があります。IDは、 マイアカウント 」ページ( AWS マネジメントコンソール 参照できます。
AWS アカウントとポートフォリオを共有するには
1. https://console.aws.amazon.com/servicecatalog/ で AWS Service Catalog コンソールを開きます2. ポートフォリオ ページで、共有するポートフォリオを選択し、[アクション]、[共有] の順に選択しま
す。3. [AWS アカウント ID の入力] ウィンドウで、共有する AWS アカウントのアカウント ID を入力しま
す。次に、[共有] を選択します。4. 対象のアカウントの AWS Service Catalog 管理者に URL を送信します。URL では、共有ポートフォ
リオの ARN が自動的に提供されて [ポートフォリオのインポート] ページが開きます。
62
AWS Service Catalog 管理者ガイドポートフォリオの共有
ポートフォリオのインポート別の AWS アカウントの AWS Service Catalog 管理者がポートフォリオを共有した場合、そのポートフォリオをアカウントにインポートし、その製品をエンドユーザーに配信できるようにします。
ポートフォリオをインポートするには、管理者からポートフォリオをインポートするための URL を入手する必要があります。
URL を開き、[ポートフォリオのインポート] ページで [インポート] を選択します。[ポートフォリオ] ページが表示され、ポートフォリオが [Imported Portfolios] テーブルに表示されます。
ポートフォリオが AWS Organizations を通じて共有されている場合は、ポートフォリオをインポートする必要はありません。
AWS Organizations との共有AWS Organizations を使用して AWS Service Catalog ポートフォリオを共有できます。まず、管理アカウントまたは委任された管理者アカウントのどちらから共有するかを決定する必要があります。管理アカウントから共有したくない場合は、委任された管理者アカウントを登録し、共有に使用します。次に、共有する相手を決定する必要があります。次のエンティティと共有できます。
• 組織アカウント。• 部門単位 (OU)。• 組織そのもの (これは、組織内のすべてのアカウントと共有されます)。
管理アカウントからの共有
ポートフォリオを組織と共有するには
1. https://console.aws.amazon.com/servicecatalog/ で AWS Service Catalog コンソールを開きます2. ポートフォリオ ページで、共有するポートフォリオを選択し、[アクション]、[共有] の順に選択しま
す。3. AWS アカウント ID の入力 ウィンドウで、[組織] を選択します。4. [ノードタイプ] を選択し、共有する組織の [入力値] を入力します。5. [Share] を選択します。
委任管理者アカウントからの共有組織の管理アカウントは、組織の代理管理者として他のアカウントを登録および登録解除できます。委任された管理者は、 AWS Service Catalog 管理アカウントができることと同じ方法で、組織のリソースを管理できるようになります。ポートフォリオの作成、削除、共有などが許可されます。
代理管理者を登録または登録解除するには、管理アカウントから API または CLI を使用する必要があります。詳細については、AWS Organizations API リファレンス の「RegisterDelegatedAdministrator」および「DeregisterDelegatedAdministrator」を参照してください。
Note
代理管理者を指定する前に、 EnableAWSOrganizationsAccess.
委任された管理者アカウントからポートフォリオを共有する手順は、管理アカウントからの共有と同じです。 the section called “管理アカウントからの共有” (p. 63).
メンバーが委任管理者として登録解除されると、次のようになります。
• そのアカウントから作成されたポートフォリオ共有は削除されます。
63
AWS Service Catalog 管理者ガイドAWS CloudFormation StackSets の使用
• 新しいポートフォリオ共有を作成することはできません。
Note
委任管理者が登録解除された後に、委任管理者によって作成されたポートフォリオと共有が削除されない場合は、委任管理者を再度登録して登録解除します。これにより、そのアカウントで作成されたポートフォリオと共有が削除されます。
AWS CloudFormation StackSets の使用Note
現在、この機能はベータモードです。現在、AutoTags は AWS CloudFormation StackSets でサポートされていません。
AWS CloudFormation StackSets を使用して、複数のリージョンおよびアカウント全体で AWS ServiceCatalog 製品を起動できます。リージョン内で製品を順番にデプロイする順序を指定することができます。製品はアカウント間で並列にデプロイされます。ユーザーは起動時に、障害耐性と、同時にデプロイするアカウントの最大数を指定できます。詳細については、「Working with AWS CloudFormationStackSets」を参照してください。
スタックセットとスタックインスタンススタックでは、1 つの AWS CloudFormation テンプレートを使用して、複数のリージョンの AWS アカウントにスタックを作成できます。
スタックインスタンスは、リージョン内のターゲットアカウントのスタックのことであり、1 つのスタックセットのみと関連付けられます。
詳細については、「StackSets の概念」を参照してください。
スタックセットの制約AWS Service Catalog では、スタックセットの制約を使用して製品のデプロイオプションを設定できます。
詳細については、「the section called “スタックセットの制約” (p. 42)」を参照してください。
予算の管理AWS Budgets を使用して、AWS Service Catalog 内のサービスのコストと使用状況を追跡できます。予算を AWS Service Catalog 製品やポートフォリオに関連付けることができます。
AWS Budgets には、カスタム予算を設定して、コストまたは使用量が予算額や予算量を超えたとき (あるいは、超えると予測されたとき) にアラートを発信できる機能が用意されています。AWS Budgets の詳細については、https://aws.amazon.com/aws-cost-management/aws-budgetsを参照してください。
タスク• 前提条件 (p. 65)• 予算の作成 (p. 66)• 予算の関連付け (p. 66)
64
AWS Service Catalog 管理者ガイド前提条件
• 予算の表示 (p. 67)• 予算の関連付けの解除 (p. 67)
前提条件AWS Budgets を使用する前に、AWS Billing and Cost Management コンソールでコスト配分タグをアクティブ化する必要があります。詳細については、AWS Billing and Cost Management ユーザーガイドの「ユーザー定義のコスト配分タグのアクティブ化」を参照してください。
Note
タグがアクティブ化されるまでに最大 24 時間かかります。
また、Budgets 機能を使用するすべてのユーザーまたはグループに対して、AWS Billing and CostManagement コンソールへのユーザーアクセスを有効にする必要があります。これを行うには、ユーザー用の新しいポリシーを作成します。
IAM ユーザーが予算を作成できるようにするには、請求情報の表示もユーザーに許可する必要があります。Amazon SNS 通知を使用する場合は、以下のポリシー例に示すように、ユーザーに Amazon SNS 通知を作成する権限を与えることができます。
予算ポリシーを作成するには
1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。2. ナビゲーションペインで、[Policies] を選択します。3. コンテンツペインで、[ポリシーの作成] を選択します。4. [JSON] タブを選択し、以下の JSON ポリシードキュメントからテキストをコピーします。このテキ
ストを [JSON] ボックスに貼り付けます。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1435216493000", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "aws-portal:ModifyBilling", "budgets:ViewBudget", "budgets:ModifyBudget" ], "Resource": [ "*" ] }, { "Sid": "Stmt1435216552000", "Effect": "Allow", "Action": [ "sns:*" ], "Resource": [ "arn:aws:sns:us-east-1" ] } ]}
65
AWS Service Catalog 管理者ガイド予算の作成
5. 完了したら、[ポリシーの確認] を選択します。構文エラーがある場合、Policy Validator によって報告されます。
6. [確認] ページで、ポリシーに名前を付けます。ポリシーの [Summary (概要)] で、ポリシーによって割り当てられたアクセス許可を確認し、[ポリシーの作成] を選択して作業を保存します。
新しいポリシーが管理ポリシーの一覧に表示され、ユーザーやグループにアタッチできるようになります。詳細については、AWS Identity and Access Management ユーザーガイドの「カスタマー管理ポリシーの作成とアタッチ」を参照してください。
予算の作成AWS Service Catalog 管理者コンソールの [製品] ページと [ポートフォリオ] ページには、既存の製品とポートフォリオに関する情報が表示され、それらに対してアクションを実行できます。予算を作成するには、まず予算を関連付ける製品またはポートフォリオを決定します。
予算を作成するには
1. https://console.aws.amazon.com/servicecatalog/ で AWS Service Catalog コンソールを開きます2. [製品] または [ポートフォリオ] を選択します。3. 予算を追加する製品またはポートフォリオを選択します。4. [アクション] メニューを開き、[Create budget (予算を作成)] を選択します。5. [Budget creation (予算の作成)] ページで、1 つのタグタイプを予算に関連付けます。
タグには、AutoTags と TagOptions の 2 種類があります。AutoTags は製品を起動したポートフォリオ、製品、ユーザーを特定するタグで、AWS Service Catalog によりプロビジョニングされたリソースに自動的に適用されます。TagOption は、AWS Service Catalog で管理される管理者定義のキーと値のペアです。
ポートフォリオまたは製品で発生する支出が関連付けられた予算に反映されるには、両方に同じタグが必要です。初めて使用されたタグキーは、アクティブ化されるまでに 24 時間かかることがあります。詳細については、「the section called “前提条件” (p. 65)」を参照してください。
6. [Continue] を選択します。7. [Set up your budget (予算を設定)] ページが表示されます。「予算を作成」の手順に従って、予算の設
定を続行します。
予算を作成したら、それを製品またはポートフォリオに関連付ける必要があります。
予算の関連付け各ポートフォリオまたは製品に関連付けることができる予算は 1 つですが、各予算は複数の製品やポートフォリオに関連付けることができます。
予算を製品またはポートフォリオに関連付けると、その製品またはポートフォリオの詳細ページから予算に関する情報を表示できます。製品またはポートフォリオで発生する支出が予算に反映されるには、予算と製品またはポートフォリオの両方に同じタグを関連付ける必要があります。
Note
AWS Budgets から予算を削除しても、AWS Service Catalog 製品やポートフォリオとの既存の関連付けは残りますが、AWS Service Catalog で削除された予算に関する情報を表示することはできません。
予算を関連付けるには
1. https://console.aws.amazon.com/servicecatalog/ で AWS Service Catalog コンソールを開きます
66
AWS Service Catalog 管理者ガイド予算の表示
2. [製品] または [ポートフォリオ] を選択します。3. 予算を関連付ける製品またはポートフォリオを選択します。4. [アクション] メニューを開き、[Associate budget (予算を関連付ける)] を選択します。5. [Budget association (予算の関連付け)] ページで、既存の予算を選択します。オフにしたら、
[Continue] を選択します。6. [ポートフォリオ] または [製品] テーブルに、先ほど追加した予算のデータが含まれるようになりま
す。
予算の表示予算が製品に関連付けられている場合は、[製品] または [製品の詳細] ページで予算に関する情報を表示できます。予算が製品に関連付けられている場合は、[ポートフォリオ] または [ポートフォリオの詳細] ページで予算に関する情報を表示できます。
[ポートフォリオ] ページと [製品] ページの両方に、既存のリソースの予算情報が表示されます。[Currentvs.budget (現状対予算)] および [Forecast vs.budget (予測対予算)] を表示する列を表示できます。
製品またはポートフォリオをクリックすると、詳細ページに移動します。これらの [ポートフォリオの詳細] ページと [製品の詳細] ページには、関連付けられた予算に関する詳細情報を含むセクションがあります。予算額、現在の使用額、および予測使用額を確認できます。また、予算の詳細を表示し、予算を編集するオプションもあります。
予算の関連付けの解除ポートフォリオまたは製品から予算の関連付けを解除できます。
Note
AWS Budgets から予算を削除しても、AWS Service Catalog 製品やポートフォリオとの既存の関連付けは残りますが、AWS Service Catalog で削除された予算に関する情報を表示することはできません。
予算の関連付けを解除するには
1. https://console.aws.amazon.com/servicecatalog/ で AWS Service Catalog コンソールを開きます2. [製品] または [ポートフォリオ] を選択します。3. 予算の関連付けを解除する製品またはポートフォリオを選択します。4. [アクション] メニューを開き、[Disassociate budget (予算の関連付けを解除)] を選択します。5. 予算の関連付けを解除することを確認するアラートが表示されます。[Confirm] を選択します。
67
AWS Service Catalog 管理者ガイド管理者としてすべてのプロビジョニング済み製品を管理する
プロビジョニング済み製品の管理AWS Service Catalog は、プロビジョニング済み製品を管理するためのインターフェイスを提供します。アクセスレベルに基づいてカタログのすべてのプロビジョニング済み製品を表示、更新、終了できます。手順の例については、以下のセクションを参照してください。
トピック• 管理者としてすべてのプロビジョニング済み製品を管理する (p. 68)• プロビジョニング済み製品所有者の変更 (p. 68)• チュートリアル:ユーザーのリソース割り当ての確認 (p. 69)
管理者としてすべてのプロビジョニング済み製品を管理する
アカウントのすべてのプロビジョニング済み製品を管理するには、プロビジョニング済み製品に対する書き込みオペレーションへの AWSServiceCatalogAdminFullAccess または同等のアクセスが必要です。詳細については、「AWS Service Catalog での Identity and Access Management (p. 21)」を参照してください。
すべてのプロビジョニング済み製品を表示および管理するには
1. https://console.aws.amazon.com/servicecatalog/ で AWS Service Catalog コンソールを開きます
AWS Service Catalog コンソールに既にログインしている場合は、[サービスカタログ]、[エンドユーザー] の順に選択します。
2. 必要に応じて、[プロビジョニングされた製品] セクションまで下方へスクロールします。3. [プロビジョニングされた製品] セクションで 表示: リストを選択し、表示するアクセスレベル
(User、Role、または Account) を選択します。これにより、カタログ内のすべてのプロビジョニング済み製品が表示されます。
4. 表示、更新、または終了するプロビジョニング済み製品を選択します。このビューに表示される情報の詳細については、「プロビジョニング済み製品に関する情報を表示する」を参照してください。
プロビジョニング済み製品所有者の変更プロビジョニング済み製品の所有者はいつでも変更できます。新しい所有者として設定するユーザーまたはロールの ARN を知っている必要があります。
デフォルトでは、この機能は、AWSServiceCatalogAdminFullAccess 管理ポリシーを使用する管理者が使用できます。エンドユーザーに対して有効にするには、AWS Identity and Access Management (IAM) でservicecatalog:UpdateProvisionedProductProperties 権限を付与します。
プロビジョニング済み製品の所有者を変更するには
1. AWS Service Catalog コンソールで、[Provisioned products list (プロビジョニング済み製品リスト)] を選択します。
2. 更新するプロビジョニング済み製品を見つけ、その横にある 3 つのドットを選択して、[Changeprovisioned product owner (プロビジョニング済み製品所有者の変更)] を選択します。また、[アクショ
68
AWS Service Catalog 管理者ガイド以下の資料も参照してください。
ン] メニューのプロビジョニング済み製品の詳細ページに、[Change owner (所有者の変更)] オプションがあります。
3. ダイアログボックスで、新しい所有者として設定するユーザーまたはロールの ARN を入力します。ARN は arn: で始まり、コロンやスラッシュで区切られたその他の情報(arn:aws:iam::123456789012:user/NewOwner など) を含みます。
4. [Submit] を選択します。所有者が更新されると、成功メッセージが表示されます。
以下の資料も参照してください。• UpdateProvisionedProductProperties
チュートリアル:ユーザーのリソース割り当ての確認
AWS Service Catalog コンソールを使用して、製品をプロビジョニングしたユーザーとその製品に関連付けられているリソースを確認できます。このチュートリアルでは、次の例をユーザー独自の特定のプロビジョニング済み製品に応用できるようにします。
アカウントのすべてのプロビジョニング済み製品を管理するには、プロビジョニング済み製品に対する書き込みオペレーションへの AWSServiceCatalogAdminFullAccess または同等のアクセスが必要です。詳細については、「AWS Service Catalog での Identity and Access Management (p. 21)」を参照してください。
製品をプロビジョニングしたユーザーおよび関連するリソースを確認するには
1. AWS Service Catalog コンソールでプロビジョニング済みのエンドユーザーコンソールに移動します。
69
AWS Service Catalog 管理者ガイドチュートリアル:ユーザーのリソース割り当ての確認
2. [Provisioned products] ペインで、[View:] として [Account] を選択します。
3. 調査対象のプロビジョニング済み製品を特定し、そのプロビジョニング済み製品を選択します。
4. [Events] セクションを展開し、[Provisioned product ID] と [CloudformationStackARN] の値を確認します。
5. プロビジョニング済み製品 ID を使用して、この起動に対応する CloudTrail レコードを確認し、リクエストしているユーザー (通常は、フェデレーション時に入力されたメールアドレス) を確認します。この例では「steve」です。
{ "eventVersion":"1.03","userIdentity": { "type":"AssumedRole", "principalId":"[id]:steve", "arn":"arn:aws:sts::[account number]:assumed-role/SC-usertest/steve", "accountId":[account number], "accessKeyId":[access key], "sessionContext": { "attributes": { "mfaAuthenticated":[boolean], "creationDate":[timestamp] }, "sessionIssuer": { "type":"Role", "principalId":"AROAJEXAMPLELH3QXY",
70
AWS Service Catalog 管理者ガイドチュートリアル:ユーザーのリソース割り当ての確認
"arn":"arn:aws:iam::[account number]:role/[name]", "accountId":[account number], "userName":[username] } } }, "eventTime":"2016-08-17T19:20:58Z","eventSource":"servicecatalog.amazonaws.com", "eventName":"ProvisionProduct", "awsRegion":"us-west-2", "sourceIPAddress":[ip address], "userAgent":"Coral/Netty", "requestParameters": { "provisioningArtifactId":[id], "productId":[id], "provisioningParameters":[Shows all the parameters that the end user entered], "provisionToken":[token], "pathId":[id], "provisionedProductName":[name], "tags":[], "notificationArns":[] }, "responseElements": { "recordDetail": { "provisioningArtifactId":[id], "status":"IN_PROGRESS", "recordId":[id], "createdTime":"Aug 17, 2016 7:20:58 PM", "recordTags":[], "recordType":"PROVISION_PRODUCT", "provisionedProductType":"CFN_STACK", "pathId":[id], "productId":[id], "provisionedProductName":"testSCproduct", "recordErrors":[], "provisionedProductId":[id] } }, "requestID":[id], "eventID":[id], "eventType":"AwsApiCall", "recipientAccountId":[account number]}
6. CloudformationStackARN の値を使用して AWS CloudFormation イベントを識別し、作成されたリソースに関する情報を見つけます。AWS CloudFormation API を使用して、この情報を取得することもできます。詳細については、「AWS CloudFormation API Reference」を参照してください。
71
AWS Service Catalog 管理者ガイドチュートリアル:ユーザーのリソース割り当ての確認
ステップ 1 〜 4 は、AWS Service Catalog API または AWS CLI を使って行うことができます。詳細については、「AWS Service Catalog 開発者ガイド」および「AWS Service Catalog Command LineReference」を参照してください。
72
AWS Service Catalog 管理者ガイドAutoTags
AWS Service Catalog でタグを管理する
AWS Service Catalog には、リソースを分類できるように、タグが用意されています。タグには、AutoTags と TagOptions の 2 種類があります。
AutoTags は、AWS Service Catalog のプロビジョニングされたリソースのオリジンに関する情報を識別するタグであり、AWS Service Catalog によってプロビジョニングされたリソースに自動的に適用されます。
TagOptions は、AWS Service Catalog で管理されるキーと値のペアであり、AWS タグを作成するためのテンプレートとして機能します。
トピック• AWS Service Catalog AutoTags (p. 73)• AWS Service Catalog TagOption ライブラリ (p. 74)
AWS Service Catalog AutoTagsAutoTags は、AWS Service Catalog のプロビジョニングされたリソースのオリジンに関する情報を識別するタグであり、AWS Service Catalog によってプロビジョニングされたリソースに自動的に適用されます。
AutoTags には、ポートフォリオ、製品、ユーザー、製品バージョン、プロビジョニング済み製品の一意のID のタグが含まれます。これにより、ユーザーがカタログで設定した AWS Service Catalog 構造を反映する一連のタグが提供されます。AutoTags はユーザーのタグ 50 件制限には含まれません。
AWS Service Catalog の AutoTags はご使用のリソースに整合性のあるタグ付けを行う際に役立ちます。これはポートフォリオ、製品、またはユーザー用に予算を設定するときに便利です。AWS Config ルールの設定など、リリース後の運用時にリソースを特定するために AutoTags を使用することもできます。プロビジョニングされたリソースの AutoTags は、AWS CloudFormation、Amazon EC2、Amazon S3 など、プロビジョニングに使用されたダウンストリームのタグセクションで確認できます。
AutoTag の詳細
• aws:servicecatalog:portfolioArn - プロビジョニング済み製品の起動元のポートフォリオの ARN。• aws:servicecatalog:productArn - プロビジョニング済み製品の起動元の製品の ARN。• aws:servicecatalog:provisioningPrincipalArn - プロビジョニング済み製品を作成したプロビジョニングプ
リンシパル (ユーザー) の ARN。• aws:servicecatalog:provisionedProductArn - プロビジョニング済み製品の ARN。• aws:servicecatalog:provisioningArtifactIdentifier - 元のプロビジョニングアーティファクト (製品バージョ
ン) の ID。
Note
AWS Service Catalog は最近、2 つの新しい AutoTags aws:servicecatalog:provisionedProductArnおよび aws:servicecatalog:provisioningArtifactIdentifier を追加しました。これらの新しいAutoTags は、プロビジョニング済み製品の更新中に自動的にバックフィルされます。
73
AWS Service Catalog 管理者ガイドTagOption ライブラリ
AWS Service Catalog TagOption ライブラリ管理者がプロビジョニングされた製品のタグを簡単に管理できるように、AWS Service Catalog はTagOption ライブラリを提供しています。TagOption は AWS Service Catalog で管理されるキーと値のペアです。これは AWS のタグではありませんが、TagOption に基づいて AWS のタグを作成するためのテンプレートとして機能します。
TagOption ライブラリを使用すると、次のことをより簡単に実行できます。
• 整合性のある分類• AWS Service Catalog リソースの適切なタグ付け• 許可されたタグのためのユーザーが選択可能な定義済みのオプション
管理者は、TagOptions をポートフォリオと製品に関連付けることができます。製品の起動 (プロビジョニング) 中に、AWS Service Catalog は関連するポートフォリオと製品 TagOptions を集約し、それらを次の図に示すようにプロビジョニングされた製品に適用します。
TagOption ライブラリを使用すると、TagOptions を無効化してポートフォリオや製品への関連付けを保持し、必要なときにそれらを再アクティブ化することができます。このアプローチは、ライブラリの整合性を維持するのに役立つばかりでなく、断続的に使用される TagOption や特別な状況下でのみ使用可能なTagOption を管理することもできます。
TagOptions は、AWS Service Catalog コンソールまたは TagOption ライブラリ API を使用して管理します。詳細については、「AWS Service Catalog API Reference」を参照してください。
内容• TagOptions による製品の起動 (p. 75)• TagOptions の管理 (p. 77)
74
AWS Service Catalog 管理者ガイドTagOptions による製品の起動
TagOptions による製品の起動ユーザーが TagOptions を持つ製品を起動すると、AWS Service Catalog はユーザーの代わりに次の操作を実行します。
• 製品のすべての TagOptions を収集し、ポートフォリオを起動します。• プロビジョニングされた製品のタグで、一意のキーを持つ TagOptions のみが使用されるようにしま
す。ユーザーは、キーの複数選択値リストを取得します。ユーザーが値を選択すると、プロビジョニング済み製品のタグになります。
• ユーザーは、プロビジョニング中に競合しないタグを製品に追加することができます。
次のユースケースは、起動中に TagOptions がどのように動作するかを示しています。
例 1: 一意の TagOption キー管理者は TagOption[Group=Finance] を作成し、それを Portfolio1 に関連付けます。これは、TagOptionsを持たない Product1 です。ユーザーがプロビジョニング済み製品を起動すると、単一の TagOption は、次のように Tag[Group=Finance] となります。
例 2: ポートフォリオで同じキーを持つ TagOptions のセット管理者は、同じキーを持つ 2 つの TagOptions をポートフォリオに配置しており、そのポートフォリオ内の任意の製品には同じキーを持つ TagOptions は存在しません。起動時に、ユーザーはキーに関連付けられた 2 つの値のいずれかを選択する必要があります。プロビジョニング済みの製品には、キーとユーザーが選択した値でタグが付けられます。
75
AWS Service Catalog 管理者ガイドTagOptions による製品の起動
例 3: ポートフォリオとそのポートフォリオの製品の両方で同じキーを持つ TagOptions のセット管理者は、同じキーを持つ複数の TagOptions をポートフォリオに配置し、製品で同じキーを持つ複数の TagOptions もそのポートフォリオ内にあります。AWS Service Catalog は、TagOptions の集約 (論理AND 演算) から一連の値を作成します。ユーザーが製品を起動すると、ユーザーはこの値のセットを見て選択します。プロビジョニング済みの製品に、キーとユーザーが選択した値でタグが付けられます。
76
AWS Service Catalog 管理者ガイドTagOptions の管理
例 4: 同じキーと競合する値を持つ複数の TagOptions管理者は、同じキーを持つ複数の TagOptions をポートフォリオに配置し、製品で同じキーを持つ複数の TagOptions もそのポートフォリオにあります。AWS Service Catalog は、TagOptions の集約 (論理AND 演算) から一連の値を作成します。集約でキーの値が見つからない場合、AWS Service Catalog は同じキーと sc-tagconflict-portfolioid-productid という値を持つタグを作成します。ここで、portfolioid と productid は、ポートフォリオと製品の ARN です。これにより、プロビジョニング済みの製品に、正しいキーと、管理者が検索して修正できる値のタグが付けられます。
TagOptions の管理管理者は、TagOptions を作成、削除、編集し、TagOptions をポートフォリオや製品に関連付けることができます。
TagOption (コンソール) を作成するには
1. https://console.aws.amazon.com/servicecatalog/ で AWS Service Catalog コンソールを開きます2. [TagOption ライブラリ] を選択します。3. キーグループの 1 つに新しい値を入力するか、[新しい TagOption の作成] を選択して、新しいキーと
値を入力します。
新しい TagOption が作成されると、キーと値のペアごとにグループ化され、アルファベット順にソートされます。[ライブラリから削除] を選択すると、新しく作成された TagOption を削除できます。この削除機能は、新しく作成された TagOptions でのみ使用できます。誤入力された TagOptions をすばやく管理できるように設計されています。
AWS Service Catalog API を使用して TagOption を作成するには、「CreateTagOption」を参照してください。
TagOption をポートフォリオまたは製品 (コンソール) に関連付けるには
1. https://console.aws.amazon.com/servicecatalog/ で AWS Service Catalog コンソールを開きます2. [TagOption] を選択し、TagOption を選択してから、TagOption に関連付けるポートフォリオまたは製
品を選択します。
または、ポートフォリオまたは製品の詳細ページで、[TagOption の追加] を選択し、TagOption を選択してから TagOption に関連付けます。
3. [Save] を選択します。
AWS Service Catalog API を使用して TagOption をポートフォリオまたは製品 (コンソール) に関連付けるには、「AssociateTagOptionWithResource」を参照してください。
77
AWS Service Catalog 管理者ガイドTagOptions の管理
ポートフォリオまたは製品 (コンソール) から TagOption を削除 (関連付けを解除) するには
1. https://console.aws.amazon.com/servicecatalog/ で AWS Service Catalog コンソールを開きます2. [TagOption] を選択し、TagOption を選択してから詳細ページを開きます。3. 削除または関連付けを解除したいポートフォリオまたは製品の右側にある小さな [x] を選択します。
または、ポートフォリオまたは製品の詳細ページから、削除したい TagOption の右側にある小さな [x]を選択します。
AWS Service Catalog API を使用して TagOption を削除するには、「DisassociateTagOptionFromResource」を参照してください。
TagOption を編集するには
1. https://console.aws.amazon.com/servicecatalog/ で AWS Service Catalog コンソールを開きます2. [TagOption ライブラリ] を選択し、TagOption を選択してキーまたは値を編集します。3. [Save] を選択します。
78
AWS Service Catalog 管理者ガイドモニタリングツール
AWS Service Catalog におけるモニタリング
Amazon CloudWatch を使用して AWS Service Catalog リソースをモニタリングすることで、AWSService Catalog の raw データを読み取り可能なメトリクスとして収集して処理できます。これらの統計情報は 2 週間記録されるため、履歴情報にアクセスしてサービスの動作をより的確に把握できます。AWSService Catalog メトリクスデータは 1 分間隔で CloudWatch に自動的に送信されます。CloudWatch の詳細については、「Amazon CloudWatch ユーザーガイド」を参照してください。
使用可能なメトリクスとディメンションのリストについては、「AWS Service Catalog CloudWatch のメトリクス (p. 79)」を参照してください。
モニタリングは、AWS Service Catalog と AWS ソリューションの信頼性、可用性、パフォーマンスを維持する上で重要な部分です。マルチポイント障害が発生した場合は、その障害をより簡単にデバッグできるように、AWS ソリューションのすべての部分からモニタリングデータを収集する必要があります。AWS Service Catalog のモニタリングを開始する前に、以下の質問に対する回答を反映したモニタリング計画を作成する必要があります。
• どのような目的でモニタリングしますか?• モニタリングの対象となるリソースとは ?• どのくらいの頻度でこれらのリソースをモニタリングしますか?• 使用するモニタリングツールは?• 誰がモニタリングタスクを実行しますか?• 問題が発生したとき、誰が通知を受け取りますか?
モニタリングツールAWS では、AWS Service Catalog のモニタリングに使用できるさまざまなツールを用意しています。これらのツールの中には、自動モニタリングを設定できるものもあれば、手操作を必要とするものもあります。モニタリングタスクをできるだけ自動化することをお勧めします。
自動モニタリングツール以下の自動化されたモニタリングツールを使用して、AWS Service Catalog を監視し、問題が発生したときにレポートできます。
• Amazon CloudWatch アラーム – 指定した期間中に単一のメトリクスを監視し、複数の期間にわたる特定のしきい値に対するメトリクス値に基づいて 1 つ以上のアクションを実行します。アクションは、Amazon Simple Notification Service (Amazon SNS) トピックまたは Amazon EC2 Auto Scaling ポリシーに送信される通知です。CloudWatch アラームは、単に特定の状態にあるというだけではアクションを呼び出しません。状態が変わり、それが指定した数の期間にわたって持続する必要があります。アラームの作成方法については、「Amazon CloudWatch アラームの作成」を参照してください。AWSService Catalog で Amazon CloudWatch メトリクスを使用する詳しい方法については、「AWS ServiceCatalog CloudWatch のメトリクス (p. 79)」を参照してください。
AWS Service Catalog CloudWatch のメトリクスAmazon CloudWatch を使用して AWS Service Catalog リソースをモニタリングすることで、AWSService Catalog の raw データを読み取り可能なメトリクスとして収集して処理できます。これらの統計
79
AWS Service Catalog 管理者ガイドCloudWatch メトリクスを有効にする
情報は 2 週間記録されるため、履歴情報にアクセスしてサービスの動作をより的確に把握できます。AWSService Catalog メトリクスデータは 1 分間隔で CloudWatch に自動的に送信されます。CloudWatch の詳細については、「Amazon CloudWatch ユーザーガイド」を参照してください。
トピック• CloudWatch メトリクスを有効にする (p. 80)• 使用できるメトリクスとディメンション (p. 80)• AWS Service Catalog メトリクスの表示 (p. 81)
CloudWatch メトリクスを有効にするAmazon CloudWatch メトリクスはデフォルトで有効化されます。
使用できるメトリクスとディメンションAWS Service Catalog が Amazon CloudWatch に送信するメトリクスおよびディメンションは次のとおりです。
AWS Service Catalog メトリクスAWS/ServiceCatalog 名前空間には、次のメトリクスが含まれます。
メトリクス 説明
ProvisionedProductLaunch指定された期間内に特定の製品およびプロビジョニングアーティファクトに対して起動されたプロビジョニング済みの製品の数。
単位: カウント
有効な統計: Minimum、Maximum、Sum、Average
AWS Service Catalog メトリクスのディメンションAWS Service Catalog は以下のディメンションを CloudWatch に送信します。
ディメンション 説明
State このディメンションは、この指定された状態で起動されたすべてのプロビジョニング済み製品に対してリクエストしたデータをフィルタリングします。これにより、起動の状態別にデータを分類するのに役立ちます。
有効な状態: SUCCEEDED、FAILED
ProductId このディメンションは、識別された製品 ID に対してのみ、リクエストしたデータをフィルタリングします。これにより、起動予定の商品を正確に特定することができます。
ProvisioningArtifactId このディメンションは、識別されたプロビジョニングアーティファクト ID のみに対して、リクエストしたデータをフィルタリングします。これにより、起動予定の製品のバージョンを正確に特定することができます。
80
AWS Service Catalog 管理者ガイドAWS Service Catalog メトリクスの表示
AWS Service Catalog メトリクスの表示CloudWatch コンソールで CloudWatch メトリクスを表示できます。リソースを詳細でカスタマイズ可能な表示で示します。また、サービスの実行中タスク数も表示します。
トピック• CloudWatch コンソールでの AWS Service Catalog メトリクスの表示 (p. 81)
CloudWatch コンソールでの AWS Service Catalog メトリクスの表示AWS Service Catalog メトリクスを CloudWatch コンソールで表示できます。CloudWatch コンソールで AWS Service Catalog メトリクスの詳細を表示し、ニーズに合わせて表示をカスタマイズできます。CloudWatch の詳細については、Amazon CloudWatch ユーザーガイドを参照してください。
CloudWatch コンソールでメトリクスを表示するには
1. https://console.aws.amazon.com/cloudwatch/ にある CloudWatch コンソールを開きます。2. 左のナビゲーションの [メトリクス] セクションで、[Service Catalog] を選択します。3. 表示するメトリクスを選択します。
81
AWS Service Catalog 管理者ガイドConnector for ServiceNow
AWS Service Catalog による製品とサービスの統合
AWS Service Catalog は多数の AWS のサービス、およびパートナーの製品やサービスと統合されています。以下のセクションの情報は、使用している製品やサービスと統合するための AWS Service Catalog の設定に役立ちます。
トピック• Service Management Connector for ServiceNow (p. 82)• AWS Service Management Connector for Jira Service Desk (p. 104)
Service Management Connector for ServiceNowお客様がポータルに安全で適合しており、事前に承認された AWS 製品のプロビジョニングを統合しやすくするために、AWS では ServiceNow (旧 Service Management Connector for ServiceNow Connector) を作成しました。AWS Service Catalog
Service Management Connector for ServiceNowを使用すると、エンドユーザーは を介して AWS リソースをネイティブにプロビジョニング、管理、運用ServiceNowできます。ServiceNow
ServiceNow管理者は以下を提供できます。
• を使用してエンドユーザーに対して事前承認、保護、管理された AWS Service Catalog AWS リソース。
• を通じてオートメーションプレイブックを実行しますAWS Systems Manager。• で AWS Config をシームレスに起動して CMDB のリソースを追跡ServiceNowします。AWS Service
Management Connector
エンドユーザーは以下のことを実行できます。ServiceNow
• セキュリティで保護された AWS ソリューションを参照し、リクエストおよびプロビジョニングします。
• 設定項目の詳細を表示します。• AWS リソースServiceNowで のワークフローを実行します。
これらの機能は、ServiceNowユーザーに対する AWS 製品のリクエストアクションを簡素化し、AWS 製品のServiceNowガバナンスと監視を提供します。
AWS が提供するコネクタはServiceNow、ストアで無料で入手でき、ServiceNowプラットフォームリリースのパリ (P)、アイルランド (O)、ニューヨーク (N)、マドリード (M) をサポートしています。この新機能は、AWS Service Catalog、AWS Config、および AWS Systems Manager サービスが利用できるすべてのAWS リージョンで利用可能です。
トピック• Background (p. 83)• はじめに (p. 83)
82
AWS Service Catalog 管理者ガイドBackground
• リリースノート (p. 84)• ベースラインアクセス許可 (p. 84)• AWS Service Catalog の設定 (p. 88)• の設定ServiceNow (p. 90)• 構成の検証 (p. 98)• ServiceNowその他の機能 (p. 100)• バージョン 2.3.4 リリース移行手順 (p. 103)
BackgroundAWS Service Catalog では、一般的にデプロイされた AWS のサービスとプロビジョニング済みソフトウェア製品を集中管理できます。これにより組織は、一貫性のあるガバナンスとコンプライアンス要件を実現し、ユーザーは必要な承認された AWS のサービスのみをすばやくデプロイできるようになります。
AWS Config では、AWS リソースの設定の評価、監査、評価を行うことができます。AWS Configは、AWS リソース設定を継続的に監視および記録し、必要な設定に対して記録された設定の評価を自動化することができます。
AWS Systems Managerは、AWS 上のインフラストラクチャの可視性と制御を提供します。 SystemsManagerの統一されたユーザーインターフェイスで、複数の AWS のサービスの運用データを確認できます。また、AWS リソース全体に関わる運用タスクを自動化できます。
ServiceNowは、日々の業務を構成するアクティビティ、タスク、およびプロセスをサービス指向で特定し、最新の作業環境を実現するエンタープライズサービス管理プラットフォームです。ServiceNowService Catalog は、エンドユーザーがリクエストの受理の承認とワークフローに基づいて IT サービスを注文するために使用できるセルフサービスアプリケーションです。ServiceNowCMDBは、サービスの論理コンポーネントに対するリソースの透過性と関係を提供します。
はじめにService Management Connector for ServiceNowをインストールする前に、AWS アカウントと ServiceNowインスタンスに必要なアクセス権限があることを確認しています。
AWS の前提条件開始するには、以下を行う必要があります。
• Connector で AWS Service Catalog を使用するには、AWS ポートフォリオおよび製品で AWS アカウントを設定する必要があります。詳細については、「AWS Service Catalog の設定」を参照してください。
• AWS Config の詳細を表示するには、対象のリソースタイプのデータを記録するようにサービス設定を構成する必要があります。チームが使用する主要なリソースタイプに加えて、プロビジョニングされた製品とAWS CloudFormationスタックを含めることをお勧めします。詳細については、「コンソールによる AWS Config の設定」を参照してください。
• コネクタで AWS Systems Manager Automation を使用するための AWS 側のセットアップは必要ありません。標準として、AWS は多数のオートメーションドキュメントを提供します。使用するオートメーションドキュメントが他にもある場合は、Connector で利用できるようになります。詳細については、「オートメーションドキュメント (プレイブック) の操作」を参照してください。
ServiceNow の前提条件ServiceNowConnector 限定のアプリケーションをインストールするには、AWS アカウントに加えてServiceNowインスタンスが必要です。最初のインストールは、組織のテクノロジーガバナンスの要件に応
83
AWS Service Catalog 管理者ガイドリリースノート
じて、エンタープライズサンドボックスまたはServiceNowパーソナル開発者インスタンス (PDI) で行う必要があります。
ServiceNow限定のアプリケーションの Connector をインストールするには、ServiceNow管理者に管理者ロールが必要です。
リリースノートのバージョン 3.0.5 は、Service Management Connector for ServiceNowCMDB に RDS および ELB リソース用の AWS タグを含めるためのバグ修正リリースです。ServiceNow
AWS Service Management Connector の機能には、以下も含まれます。
• ServiceNow限定されたアプリにオプトインした AWS アカウントのインストールおよび設定プロセスが効率化されます。
• AWS Service Catalog 統合には、次のような機能が含まれています。• サービスポータルビューとフルフィラービューにおける AWS Service Catalog のポートフォリオと製
品のレンダリング。ServiceNow• ServiceNow管理者がプロビジョニング済み製品全体で AWS タグを作成できるようにします。• 同期された AWS ポートフォリオをServiceNowグループにマッピングする機能。• ServiceNow ユーザーが ServiceNow を経由して AWS Service Catalog 製品をリクエストする機能。• 管理者が、ポートフォリオと製品の予算と実際のコストを表示する機能 (AWS Service Catalog 内で予
算を関連付ける必要があります)。• AWS Service Catalogユーザーが製品を更新および終了するためのServiceNowサービスアクションの
サポート。• AWS CloudFormationStackSetsのサポートにより、複数のリージョンとアカウント間でAWS Service
Catalog製品を起動できます。• AWS CloudFormation の Change Sets のサポート。これにより、起動または更新に先立ってリソース
変更をプレビューできます。• AWS Config 統合には、次のような機能が含まれています。
• AWS Config設定項目の詳細 (EC2、RDS、ロードバランサー、S3 バケット、 CloudFormation スタック、タグなど) の CMDB へのレンダリング。ServiceNow
• このリリースの対象となる AWS リソースの設定項目の関係を表示する機能。• AWS Systems Manager 統合には、次のような機能が含まれています。
• AWS Systems Managerサービスポータルビューとフルフィラー (標準ユーザーインターフェイス)ビューにおけるServiceNowオートメーションドキュメントのレンダリング。
• ServiceNow管理者がAWS Systems Manager、限定のアプリの Connector にオプトインした AWS アカウントServiceNowの自動化を関連付ける機能。
• ServiceNow ユーザーが ServiceNow を通じて AWS Systems Manager オートメーションドキュメントをリクエストして実行する機能。
• 複数の AWS アカウントのサポート。• AWS GovCloud西部および東部リージョンでの FIPS エンドポイントと使用のサポート。• パリ (P)、ヘルパー (O)、ニューヨーク (N)、マドリード (M) の最新ServiceNowプラットフォームリリー
スのサポート。
ベースラインアクセス許可このセクションでは、 のベースライン AWS ユーザーとアクセス許可を設定する方法について説明しますService Management Connector for ServiceNow。
84
AWS Service Catalog 管理者ガイドベースラインアクセス許可
ベースラインのアクセス許可に使用できるテンプレートAWS CloudFormationテンプレートを使用して Connector for ServiceNow の AWS 設定をセットアップするには、Connector for ServiceNow v3.0.5 の AWS 設定 - AWS 商用リージョンと AWS リージョンを参照してくださいGovCloud。
Note
Connector for ServiceNow v3.0.5_AWS 設定テンプレートを使用する場合は、「AWS ServiceCatalog の設定 (p. 88)」に進みます。
Connector for AWS アカウントごとに、2 つの IAM ユーザーと 1 つのロールServiceNowが必要になります。
• AWS 同期ユーザー: AWS リソースを に同期する IAM ユーザーServiceNow。• AWS エンドユーザーロール: プロビジョニングと実行に必要なロールを引き受けるなど、 ServiceNow
を通じて公開されたリクエストをプロビジョニングおよび実行するためのエンドユーザー機能を実行できる IAM ユーザー。
• ロールSCConnectを起動する: 起動制約にベースライン AWS サービスのアクセス許可を配置するために使用される IAM ロール。AWS Service Catalogこのロールを設定すると、ServiceNow エンドユーザーに代わって製品のリソースをプロビジョニングすることで、職務の分離が可能になります。SCConnectLaunchロールのベースラインには、 Amazon EC2および Amazon S3 サービスに対するアクセス権限が含まれています。製品にさらに AWS のサービスが含まれている場合は、それらのサービスをSCConnectLaunchロールに含めるか新しい起動ロールを作成する必要があります。
AWS 同期ユーザーの作成次のセクションでは、AWS 同期ユーザーを作成し、適切な IAM アクセス許可を関連付ける方法について説明します。このタスクを実行するには、新しいユーザーを作成するために IAM アクセス許可が必要です。
AWS Service Catalog 同期ユーザーを作成するには
1. 「AWS アカウントでの IAM ユーザーの作成」にアクセスします。記載されている手順に従って、同期ユーザー ( ) を作成しますSMSyncUser。インストール手順については、Connector に従うために、ユーザーにプログラムおよび AWS マネジメントコンソールへのアクセス権が必要です。ServiceNow
2. 同期ユーザー (SMSyncUser) にアクセス許可を設定します。[既存のポリシーを直接アタッチ] を選択し、以下を選択します。
• AWSServiceCatalogAdminReadOnlyAccess(AWS 管理ポリシー)• AmazonSSMReadOnlyAccess(AWS 管理ポリシー)• AWSConfigUserAccess(AWS 管理ポリシー)
3. すべてのリソースに [budgets:ViewBudget] を追加するポリシーを追加します (*)。4. [ユーザーの作成] を確認し、選択します。5. アクセスとシークレットアクセス情報をメモしておきます。ユーザー認証情報が記載されている .csv
ファイルをダウンロードします。
AWS Service Catalog エンドユーザーの作成次のセクションでは、AWS Service Catalog エンドユーザーを作成し、適切な IAM アクセス許可を関連付ける方法について説明します。このタスクを実行するには、新しいユーザーを作成するための IAM アクセス許可が必要です。
85
AWS Service Catalog 管理者ガイドベースラインアクセス許可
AWS Service Catalog エンドユーザーを作成するには
1. 「AWS アカウントでの IAM ユーザーの作成」にアクセスします。手順に従ってユーザー ( ) を作成しますSMEndUser。Connector のインストール手順に従うには、ユーザーにプログラムおよび AWS マネジメントコンソールへのアクセス権が必要です。ServiceNow
AWS CloudFormationStackSetsを使用する製品の場合は、インラインポリシーを作成する必要があります。StackSetAWS CloudFormationStackSetsを使用すると、複数のアカウントおよびリージョンにまたがってデプロイされる製品を作成できます。
管理者アカウントを使用して、AWS Service Catalog 製品を定義および管理し、指定のリージョンの選択されたターゲットアカウントにスタックをプロビジョニングする基盤としてその製品を使用します。AWS アカウントで必要なアクセス権限を定義済みである必要があります。
必要なアクセス許可を設定するには、「スタックセットオペレーションのアクセス権限の付与」を参照してください。記載されている手順に従って、 AWSCloudFormationStackSetAdministrationRoleおよび を作成しますAWSCloudFormationStackSetExecutionRole。
インラインポリシーを作成して、1 つのアカウント内の複数のリージョンにまたがる製品のプロビジョニングを有効にします。StackSet
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Resource": [ "arn:aws:iam::123456789123:role/AWSCloudFormationStackSetExecutionRole" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:PassRole" ], "Resource": "arn:aws:iam::123456789123:role/AWSCloudFormationStackSetAdministrationRole" } ] }
Note
123456789123 をアカウント情報に置き換えます。Connector for ServiceNowAWS 設定 - 商用リージョンと Connector for ServiceNowAWS 設定 - GovCloudリージョンファイルには、スタックセットのアクセス許可が含まれています。
2. 次のアクセス許可 (ポリシー) をユーザーに追加します。
• AWSServiceCatalogEndUserFullAccess(AWS 管理ポリシー)• StackSet(インラインポリシー) - スタックセットを持つAWS Service Catalog製品の場合、
を変更して、プロビジョニングするサービスの読み取り専用アクセス許可を含める必要があります。SMEndUserたとえば、 Amazon S3バケットをプロビジョニングするには、にAmazonS3ReadOnlyAccessポリシーを含めますSMEndUser。
• AmazonEC2ReadOnlyAccess(AWS 管理ポリシー)
86
AWS Service Catalog 管理者ガイドベースラインアクセス許可
• AmazonS3ReadOnlyAccess(AWS 管理ポリシー)
SCConnectLaunchロールの作成次のセクションでは、SCConnectLaunchロールを作成する方法について説明します。このロールは、ベースラインとなる AWS のサービスへのアクセス許可AWS Service Catalogを起動制約に配置します。詳細については、「AWS Service Catalog 起動の設定」を参照してください。
SCConnectLaunchロールを作成するには
1. AWSCloudFormationFullAccessポリシーを作成します。[ポリシーの作成] を選択して、以下を JSONエディタに貼り付けます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:DescribeStackResource", "cloudformation:DescribeStackResources", "cloudformation:GetTemplate", "cloudformation:List*", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStacks", "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStacks", "cloudformation:GetTemplateSummary", "cloudformation:SetStackPolicy", "cloudformation:ValidateTemplate", "cloudformation:UpdateStack", "cloudformation:CreateChangeSet", "cloudformation:DescribeChangeSet", "cloudformation:ExecuteChangeSet", "cloudformation:DeleteChangeSet", "s3:GetObject" ], "Resource": "*" } ] }
Note
AWSCloudFormationFullAccessには、 の追加のアクセス権限が含まれていますChangeSets。
2. というポリシーを作成しますServiceCatalogSSMActionsBaseline。 IAM ポリシーの作成の手順に従って、次のテキストを JSON エディタに貼り付けます。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1536341175150", "Action": [
87
AWS Service Catalog 管理者ガイドAWS Service Catalog の設定
"servicecatalog:ListServiceActionsForProvisioningArtifact", "servicecatalog:ExecuteprovisionedProductServiceAction", "ssm:DescribeDocument", "ssm:GetAutomationExecution", "ssm:StartAutomationExecution", "ssm:StopAutomationExecution", "cloudformation:ListStackResources", "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances" ], "Effect": "Allow", "Resource": "*" } ] }
3. SCConnectLaunch ロールを作成し、AWS Service Catalog に信頼関係を割り当てます。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "servicecatalog.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
4. 関連するポリシーをSCConnectLaunchロールにアタッチします。次のベースライン IAM ポリシーをアタッチします。
• AmazonEC2FullAccess(AWS 管理ポリシー)• AmazonS3FullAccess(AWS 管理ポリシー)• AWSCloudFormationFullAccess(カスタム管理ポリシー)• ServiceCatalogSSMActionsBaseline(カスタム管理ポリシー)
AWS Service Catalog の設定各アカウントにベースラインアクセス許可を持つ 2 IAM人のユーザーを作成したら、次のステップは の設定ですAWS Service Catalog。このセクションでは、 AWS Service Catalogバケット製品でポートフォリオを持つAmazon S3ように を設定する方法について説明します。「予備的な製品のためのウェブサイトホスティング用に Amazon S3 バケットAmazon S3を作成する」にあるテンプレートを使用します。AmazonS3 テンプレートをコピーしてデバイスに保存します。
AWS Service Catalog を設定するには
1. AWS Service Catalog ポートフォリオを作成する (p. 12)のステップに従いポートフォリオを作成します。
2. 作成したポートフォリオに Amazon S3 バケット製品を追加するには、AWS Service Catalog コンソールの [新しい製品のアップロード] ページに製品の詳細を入力します。
88
AWS Service Catalog 管理者ガイドAWS Service Catalog の設定
3. [テンプレートの選択] でデバイスに保存した Amazon S3 バケット AWS CloudFormation テンプレートを選択します。
4. ベースラインアクセス許可でロールを使用して、ここで作成した製品に対して [Constraint type (制約タイプ)] を [Launch (起動)] に設定します。SCConnectLaunch追加の起動制約の手順については、「AWS Service Catalog の起動制約 (p. 38)」を参照してください。
Note
AWS 設定の設計では、各 AWS Service Catalog 製品に起動制約を設定する必要があります。このステップに従わないと、ServiceNowService Catalog で「パラメータを取得することはできません」というメッセージが表示されます。
5. SnowEndUserIAM ロールをAWS Service Catalogポートフォリオに追加します。その他のユーザーアクセス手順については、「ユーザーへのアクセス権限の付与 (p. 34)」を参照してください。
Note
AWS 設定の設計では、各 AWS Service Catalog 製品に起動制約またはスタックセットの制約が必要です。このステップに従わないと、ServiceNowService Catalog 内で「パラメータを取得することはできません」というエラーが発生する可能性があります。
スタックセットの制約を作成するAWS CloudFormationStackSetsを使用すると、ユーザーは複数のアカウントおよびリージョンにまたがって製品を作成およびデプロイできます。
AWS Service Catalog 製品にスタックセットの制約を適用するには
1. カタログ管理者AWS Service Catalogとして に移動します。2. 製品を含むポートフォリオを選択します。3. [制約] を展開して [制約の追加] を選択します。4. [製品] から製品を選択して、[制約タイプ] を [スタックセット] に設定します。続行 を選択します。5. [Stack Set constraint page (スタックセットの制約ページ)] で、説明を入力します。6. 製品を作成するアカウントを選択します。7. 製品をデプロイするリージョンを選択します。製品は、指定した順序でこれらのリージョンにデプロ
イされます。8. ターゲットアカウントを管理することを選択しま
す。AWSCloudFormationStackSetAdministrationRole9. 管理者が引き受けるロールを選択します。AWSCloudFormationStackSetExecutionRole10. [Submit] を選択します。
Connector for ServiceNow v3.0.5 - AWS 商用リージョンと Connector for ServiceNow v3.0.5 - AWSGovCloudリージョンのテンプレートによって、スタックセットの制約に必要なアクセス権限と出力が作成されます。スタックセットの出力例:
SCStackSetAdministratorRoleARN arn:aws:iam::123456789123:role/AWSCloudFormationStackSetAdministrationRole SCIAMStackSetExecutionRoleName AWSCloudFormationStackSetExecutionRole SCIAMAdminRoleARN arn:aws:iam::123456789123:role/AWSCloudFormationStackSetAdministrationRole
89
AWS Service Catalog 管理者ガイドの設定ServiceNow
Note
123456789123 をアカウント情報に置き換えます。
製品およびポートフォリオへの予算の関連付けConnector for ServiceNowを使用すると、ServiceNow管理者はAWS Service Catalog製品およびポートフォリオに関連する予算を表示できます。AWS Service Catalog管理者は、既存の予算を作成したり、製品やポートフォリオに関連付けたりできます。
予算の作成と関連付けの詳細については、「the section called “予算の管理” (p. 64)」を参照してください。
の設定ServiceNowIAMと AWS Service Catalog の設定が完了したら、次に設定する 領域ですServiceNow。 内のインストールタスクServiceNowには、以下が含まれます。
• ServiceNowプラットフォームのキャッシュをクリアします。• Web ブラウザのキャッシュをクリアします。• 2 つのServiceNowプラグインをアクティブにします。• ServiceNowConnector 限定のアプリケーションをインストールし、ServiceNowConnector 更新セットを
アップロードしてコミットします。• ServiceNowプラットフォームシステム管理コンポーネントを設定します。• アカウント、スケジュールされたジョブの同期、アクセス許可を含め、AWS Service Management
Connector 限定のアプリケーションを設定します。
ServiceNowプラットフォームのキャッシュをクリアするAWS Service Management 限定のアプリケーションをインストールする前に、ServiceNowプラットフォームキャッシュをクリアすることをお勧めします。これを行うには、この URL を入力しますhttps://[InsertServiceNowInstanceNameHere]/cache.do。
Note
更新セットは、必ず非運用/サンドボックス環境にインストールしてください。ServiceNowプラットフォームキャッシュをクリアするために承認が必要な場合は、ServiceNowシステム管理者までお問い合わせください。
ウェブブラウザキャッシュのクリアウェブブラウザキャッシュをクリアして、前にレンダリングした製品フォームをクリアします。
2 つのServiceNowプラグイン (ユーザーの条件が限定された APIと検出、およびサービスマッピングパターン) のアクティブ化ユーザーの条件が限定された API プラグインのアクティブ化
1. ServiceNowダッシュボードから、左上のナビゲーションパネルに入力します。plugins
2. [System Plugins (システムプラグイン)] ページで、[名前] というドロップダウンの横に入力されたら、「User criteria」を検索します。
90
AWS Service Catalog 管理者ガイドの設定ServiceNow
3. [User Criteria Scoped API (ユーザーの条件が限定された API)]、[有効化] の順に選択します。
検出およびサービスマッピングパターンプラグインのアクティブ化
1. ServiceNowダッシュボードから、左上のナビゲーションパネルに入力します。plugins
2. [System Plugins (システムプラグイン)] ページで、[名前] というドロップダウンの横に入力されたら、「Discovery」を検索します。
3. [Discovery and Service Mapping Patterns (検出とサービスマッピングパターン)] を選択し、[有効化]を選択します。
Note
このプラグインは無料であり、 ServiceNow のファミリーリリース CMDB 更新の外で利用できるCMDB テーブルに合わせるために必要です。
ServiceNowコネクタスコープアプリケーションのインストールService Management Connector for ServiceNowは、ServiceNow更新セットを通じて、通常のServiceNow限定のアプリケーションとしてリリースされました。
ServiceNow更新セットは、すぐに使用できるプラットフォームのコード変更であり、開発者がServiceNowインスタンス環境間でコードを移動できるようにします。Connector for ServiceNowupdateset はServiceNowストアでダウンロードできます。
Connector for ServiceNow version 3.0.5 のコードは、ServiceNowPersonal Developer Instance (PDI) に更新セットをインストールするユーザー向けに提供されています。
Connector for ServiceNowversion 3.0.5 更新セットは、 の「Paris」、「Madrid」、「New York」、または「Orlando」プラットフォームのリリースに適用できますServiceNow。
ServiceNowインスタンスがまだない場合は、以下の最初のステップから開始します。インスタンスがすでにある場合は、更新セットServiceNowのインストールに進みます。
ServiceNowインスタンスを取得するには
1. Obtaining a Personal Developer Instance にアクセスします。2. ServiceNow開発者プログラムの認証情報を作成します。3. ServiceNowインスタンスをリクエストする手順に従います。4. URL、管理 ID、および仮パスワード認証情報を含むインスタンスの詳細をキャプチャします。
更新セットをインストールするには
1. ServiceNowダッシュボードから、左上のナビゲーションパネルに更新セットを入力します。2. 結果から [Retrieved Update Sets (取得された更新セット)] を選択します。3. [Import Update Set from XML (XML から更新セットをインポート)] を選択し、リリース XML ファイル
をアップロードします。4. Service Management Connector for ServiceNow 更新セットを選択します。5. [Preview Update Set] (更新セットのプレビュー) を選択します。これにより、コネクタの更新セットが
ServiceNow検証されます。6. [Update] を選択します。7. [Commit Update Set (更新セットのコミット)] を選択して、更新セットを適用し、アプリケーションを
作成します。この手順は 100% 完了する必要があります。
91
AWS Service Catalog 管理者ガイドの設定ServiceNow
ServiceNowプラットフォームシステム管理コンポーネントの設定[AWS Service Management] という名前の Service Management Connector for ServiceNow 限定のアプリケーションを有効にするには、システム管理者が検出ソースを作成し、特定のプラットフォームテーブル、フォーム、ビューを設定する必要があります。
検出ソースの AWS Service Management Connector エントリの作成
AWS CIsに CMDB で検出されたレポートを許可するには、 という名前の新しい検出データソースを作成する必要がありますAWS Service Management Connector。以下のステップを実行します。
1. [ システム定義] > [選択リスト] に移動します。2. [新規作成] を選択します。3. 次の詳細を含む新しいエントリを作成します。
• 表: 設定項目 [cmdb_ci]• 要素: discovery_source• ラベル: AWS Service Management Connector• 値: AWS Service Management Connector
Note
システム定義を変更するには、ServiceNowシステム設定でグローバルモードになっていることを確認します。
ServiceNowプラットフォームテーブルに対するアクセス許可を有効にする (Catalog ItemCategory)
ServiceNowService Catalog の AWS ポートフォリオに AWS の製品を表示するには、Catalog ItemCategory テーブルの Application Access フォームを変更する必要があります。このアクションは、ServiceNow限定された API が Catalog Item Category テーブルで使用できないため、必要です。
1. ナビゲータで「Tables」と入力し、[System Definition (システム定義)]、[Tables (テーブル)] の順に選択します。
2. テーブルのリストで、「Catalog Item Category」ラベル (または「sc_cat_item_category」名) を持つテーブルを検索します。テーブルのリストが表示されます。[Category (カテゴリ)] を選択して、テーブルを定義するフォームを表示します。
3. フォームで [Application Access] タブを選択し、フォームの [Can Create (作成可)]、[Can Update (更新可)]、[Can delete (削除可)] のチェックボックスをオンにします。[Update (更新)] ボタンを選択します。
コネクタスコープアプリの管理者のServiceNowアクセス許可AWS Service Management 限定のアプリには、アプリケーションを設定するためにアクセスできるようにする 2 つのServiceNowロールが付属しています。この機能により、システム管理者は完全な sysadmin へのアクセスを開かずに、1 人以上のユーザーにアプリケーションを管理する権限を付与できます。システム管理者は、個々のユーザーまたは 1 人の管理者ユーザーにこのロールを割り当てることができます。
アプリケーション管理者権限を設定するには
1. ナビゲータに Users と入力し、[System Security - Users (システムセキュリティ - ユーザー)] を選択します。
92
AWS Service Catalog 管理者ガイドの設定ServiceNow
2. 以前のいずれかまたは両方のロールを付与するユーザー (admin など) を選択します。ユーザーを作成することもできます。
3. フォームの [ロール] タブで [編集] を選択します。4. プレフィックス「x_」でロールのコレクションをフィルタリングします。5. 次のいずれかまたは両方を選択し、ユーザーに追加しま
す。x_126749_aws_sc_account_admin、x_126749_aws_sc_portfolio_manager6. [Save] を選択します。
AWS Service CatalogService Catalog ServiceNowのカテゴリに追加するには
1. [セルフサービス | Service Catalog] に移動し、右上隅の [Add content (コンテンツを追加)] アイコンを選択します。
2. [AWS Service Catalog Product (AWS Service Catalog 製品)] エントリを選択します。カタログのホームページに追加するには、ページの下部にある選択パネルの 2 行目の [Add Here (ここに追加)] リンクを選択します。
AWS Systems ManagerService Catalog のカテゴリにServiceNowオートメーションドキュメントを追加するには
1. [セルフサービス | Service Catalog] に移動し、右上隅の [Add content (コンテンツを追加)] アイコンを選択します。
2. [AWS Systems Manager] エントリを選択します。カタログのホームページに追加するには、ページの下部にある選択パネルの 2 行目の [Add Here (ここに追加)] リンクを選択します。
Note
この Connector リリースには、AWS Systems Manager選択した AWS アカウントで利用可能なすべてのAWS Systems Managerドキュメントが表示されます。
システム管理者はAWS Systems Managerドキュメントリクエストを非アクティブ化することができます。リクエストを無効化するには、 AWS Systems Manager > Automation Documents に移動し、[Active] ボタンの選択を解除します。ドキュメントを非アクティブ化すると、エンドユーザーは ServiceNow ServiceCatalog にドキュメントを表示できなくなります。
変更リクエストタイプを追加するには
1. AWS Service Management 限定のアプリケーションの以前のバージョンからアップグレードしている場合は、新しい変更リクエストタイプを作成する前に、AWS Product Termination 変更リクエストタイプを削除する必要があります。
2. [Change Management (変更管理)] で限定のアプリケーションが自動化された変更リクエストをトリガーするには、[AWS Provisioned Product Event (AWS のプロビジョニング済み製品イベント)] という新しい変更リクエストタイプを追加する必要があります。手順については、「Add a new changerequest type (新しい変更リクエストタイプを追加)」を参照してください。
3. 既存の変更リクエストを開きます。4. [タイプ] のコンテキスト (右クリック) メニューを開き、[Show Choice List (選択リストを表示)] を選択
します。5. [新規] を選択して以下のフィールドに入力します。
• 表: Change Request• [Label: (ラベル:)] AWS Provisioned Product Event• 値: AWSProvisionedProductEvent• [シーケンス]: 次に使用されていない値を選択
6. フォームを送信します。
93
AWS Service Catalog 管理者ガイドの設定ServiceNow
AWS Service Management Connector 限定のアプリケーションの設定前の手順で Service Management Connector for ServiceNow をインストールして設定した後は、限定のアプリケーションと該当するロールを設定する必要があります。
AWS Service Management Connector 限定のアプリケーションのアクセス許可を設定するには
1. ServiceNowインスタンスで、Order_AWS_Products というユーザーグループを作成します。このグループのメンバーは、AWS Service Catalog製品を注文できます。手順については、「ユーザーグループの作成」を参照してください。
2. 次のユーザーにServiceNowアクセス許可を付与します。
• システム管理者 (admin): この例を簡単にするために、ユーザー管理者は AWS ServiceManagement 限定のアプリケーションの管理者です。このユーザーにアダプタから両方の管理者権限、x_126749_aws_sc_portfolio_manager と x_126749_aws_sc_account_admin を付与します。システム管理者を新しいServiceNowグループの Order_AWS_Products に追加します。実際のシナリオでは、これらのロールは多くの場合異なるユーザーまたはグループに付与されます。
• Abel Tuter: ユーザー abel.tuter はエンドユーザーの例として選択されます。Abel に新しいロールOrder_AWS_Product を付与します。これにより、AWS の製品を注文できるようにします。
ServiceNowアクセス許可の概要
ServiceNowペルソナ 限定のアプリのアクセス許可 ServiceNowアクセス許可タイプ
Admin x_126749_aws_sc_portfolio_manager,x_126749_aws_sc_account_admin,Order_AWS_Products
ロール (限定のアプリ)、ロール(限定のアプリ)、グループ
エンドユーザー (例: Abel Tuter) Order_AWS_Products グループ
アカウントの設定1. システム管理者としてログインします。2. ナビゲータで「AWS」と入力します。AWS Service Management 限定のアプリに移動します。3. AWS Service Management 限定のアプリの [アカウント] メニューで、AWS アカウントごとに 1 つの
エントリを作成します。AWS で作成したユーザーのキーとシークレットキーを使用する必要があります。
アカウントエントリを作成するには
1. Connector_Demo (商用リージョンの場合)、Connector_Demo_GovCloud (リージョンの場合) など、アカウントエントリ識別子として名前を入力します。GovCloud
2. AWS アカウントの同期ユーザー IAM 設定から AWS アクセスキーとシークレットアクセスキーを入力します。
3. AWS アカウントエンドユーザー IAM 設定から AWS アクセスキーとシークレットアクセスキーを入力します。
4. この AWS アカウントで表示する AWS サービス統合を選択します。選択肢は次のとおりです。
• AWS Service Catalog• AWS Config• AWS Systems Manager
94
AWS Service Catalog 管理者ガイドの設定ServiceNow
5. [アカウントリージョン] に移動します。商用またはGovCloudリージョンを選択します。AWS アカウントリージョンを表示するには、[新しい行を挿入...] をダブルクリックします。
6. 上記のステップを繰り返して、追加のリージョンを挿入します。7. アカウントエントリを保存または更新します。8. 次のセクションでは、AWS アカウントの接続を検証します。
AWS リージョンへの接続の検証ServiceNowConnector_Demo アカウントと AWS IAM SMSyncUserおよび 間の AWS リージョンへの接続を検証できるようになりましたSMEndUser。
AWS アカウントへの接続を検証するには
1. AWS Service Management 限定のアプリで、[アカウント] を選択します。2. [Connector_Demo] を選択し、[アカウントの検証] を選択します。3. 接続に成功すると、「参照される各リージョンで AWS アカウントの検証に成功しました」という
メッセージが表示されます。
AWS IAM アクセスキーまたはシークレットアクセスキーが正しくない場合、エラーメッセージが表示されます。
スケジュールされたジョブを手動で同期初期セットアップ中に、スケジュールされたジョブの実行を待たずに手動で同期を実行します。デフォルトの同期スケジュールは 31 分ごとです。
手動でアカウントを同期するには
1. システム管理者としてログインします。2. ナビゲータパネルで [Scheduled Jobs (スケジュールされたジョブ)] を見つけます。3. ジョブ [Sync all Accounts (すべてのアカウントを同期)] を検索し、選択して、[Execute Now (今すぐ
実行)] を選択します。
Note
左上に [Execute Now (今すぐ実行)] が表示されない場合は、[Configure Job Definition (ジョブ定義の設定)] を選択します。[Execute Now (今すぐ実行)] が表示されれます。
アダプタのスケジュールされた同期ジョブが実行された後、データは、AWS Service Management 限定のアプリのメニューに表示されます。
ポートフォリオへのアクセス権限の付与このリリースの Connector では、AWS ID をServiceNowロールにリンクする必要がなくなります。の製品へのアクセスを許可するには、AWS Service CatalogポートフォリオとServiceNowグループの間にリンクを確立する必要があります (たとえば、インストールの例として、前述の手順AWS Service Catalogで作成した ServiceNow Order_AWS_Products など)。
のAWS Service Catalogポートフォリオへのアクセス許可を付与するにはServiceNow
1. AWS Service Management 限定のアプリで、[ポートフォリオ] モジュールを選択します。2. 目的のポートフォリオ ARN を選択します。AWS Service Catalog ポートフォリオ名をダブルクリック
できます。
95
AWS Service Catalog 管理者ガイドの設定ServiceNow
3. [許可グループ] タブを選択します。4. [New (新規)] を選択し、[Order_AWS_Products] という名前のグループを入力します。5. [Submit] を選択します。
ServiceNow管理者によって生成された AWS タグの設定AWS Service Management Connectorv3.0.5 により、ServiceNow管理者は、限定のアプリ全体でグローバルに、またはポートフォリオレベルで細かく、プロビジョニング済み製品にタグ (メタデータ) を追加できます。これらのタグはエンドユーザーには表示されません。
このリリースでは、次の 2 つのタグタイプを使用できます。
• 管理者がキーと値を入力できる汎用タグ• 管理者がキーと値に次の構文を入力できるServiceNowリクエスト項目タグ
キー 値
リクエストされた項目番号 ${REQUEST_NUMBER}
User ${USERNAME}
リクエスト対象 ${REQUESTED_FOR}
開いたユーザー ${OPENED_BY}
でAWS Service Catalogプロビジョニング済み製品に汎用 AWS タグを追加するにはServiceNow
1. AWS Service Management 限定のアプリで、[タグ] モジュールを選択します。2. [新規作成] を選択します。3. グローバルタグの場合、[キー] と [値] のエントリを入力し、[送信] を選択します。4. ポートフォリオタグの場合、[グローバルチェック] を選択解除します。[ポートフォリオ] フィールド
が使用可能になります。AWS Service Catalog ポートフォリオを選択して、キーと値のエントリを入力し、[送信] を選択します。
スコープ内ServiceNowリクエスト項目 AWS タグを から派生したAWS Service Catalogプロビジョニング済み製品に追加するにはServiceNow
1. AWS Service Management 限定のアプリで、[タグ] モジュールを選択します。2. [新規作成] を選択します。3. グローバルタグの場合、ユーザーまたはリクエスト項目番号に特定のキーと値のエントリを入力し、
[送信] を選択します。
製品がプロビジョニングされると、AWS コンソールで、これらのタグがリソースに関連付けられていることを確認できます。
エンドユーザーに表示される AWS Service Catalog 製品ウィジェットコンポーネントの設定AWS 製品をリクエストするエンドユーザーのさまざまなパーソナに対応するため、Connector forServiceNow には、AWS 製品ウィジェットのコンポーネントを有効または無効にする限定のアプリ設定が含まれています。デフォルトでは、すべての AWS 製品コンポーネントが有効になっています。
96
AWS Service Catalog 管理者ガイドの設定ServiceNow
AWS 製品ビューを変更するには
1. ナビゲータで、「System Properties」と入力して [AWS Service Catalog] を選択します。Note
AWS Service Management Connector 限定のアプリケーションモードになっていることを確認します。
2. 次のような AWS 製品コンポーネントを選択解除します。
• AWS Service Catalog 製品名の編集を有効にします。• AWS Service Catalog 製品の起動オプションの選択を有効にします (このコンポーネントは、AWS
製品に複数の起動パスがある場合のみ表示されます)。• AWS Service Catalog の製品バージョンの選択を有効にします (このコンポーネントは、AWS 製品
に複数の製品バージョンがある場合にのみ表示されます)。• AWS Service Catalog 製品のタグを有効にします。• プロダクトのプラン (変更セット) の作成を有効にします (false に設定すると、プランセクションは
非表示になります)。3. [Save] を選択します。
サービスポータルビューへの [マイ AWS 製品] ウィジェットの追加ServiceNow管理者は、[マイ AWS 製品] ウィジェットをServiceNowポータルビューに追加することをお勧めします。ウィジェットを使用すると、ユーザーは AWS 製品リクエストを表示したり、出力を表示したり、更新、終了、サービスアクション (AWS Systems Manager ドキュメント) などのオペレーション後アクションを実行できます。
[サービスポータル] ビューに [マイ AWS 製品] ウィジェットを追加するには
1. ServiceNow標準のユーザーインターフェイス (フルフィラービュー) にシステム管理者としてログインします。
2. ナビゲータパネルで、[サービスポータル] を見つけます。3. [サービスポータルの設定] を選択します。4. [デザイナー] を選択します。5. フィルタで [サービスポータル] を検索します。6. 家のイメージが表示された [サービスポータル] ボックスと、右下隅の [インデックス] という単語を選
択します。7. 左側のパネルの [ウィジェット] セクションで、[フィルターウィジェット] に「My AWS Products」
と入力します。8. ウィジェットを [サービスポータル] 編集ビューの目的の場所にドラッグします。9. 変更をプレビューします。
AWS Service Catalog ポートフォリオおよび製品に関連する予算の表示ServiceNow管理者は、AWS Service Catalog標準のユーザーインターフェイスでServiceNowポートフォリオおよび製品に関連する予算と実際のコストを表示できます。
ポートフォリオ予算を表示するには
1. システム管理者としてログインします。
97
AWS Service Catalog 管理者ガイド構成の検証
2. ナビゲータパネルで、[AWS Service Catalog] を探します。3. [ポートフォリオ] モジュールを選択します。4. 関連する予算を含む AWS Service Catalog ポートフォリオを選択します。5. [予算] タブを選択します。
製品予算を表示するには
1. システム管理者としてログインします。2. ナビゲータパネルで、[AWS Service Catalog] を探します。3. [製品] モジュールを選択します。4. 関連する予算を含む AWS Service Catalog 製品を選択します。5. [予算] タブを選択します。
構成の検証これで、Service Management Connector for ServiceNow インストール手順を検証する準備ができました。
AWS Service Catalog 統合機能AWS Service Catalog 製品を注文するには
1. エンドユーザー (たとえば、Abel Tuter) としてServiceNowインスタンスにログインします。2. ナビゲーションフィルタに Service Catalog と入力し、[Service Catalog] を選択します。3. プロビジョニングする [AWS Service Catalog S3 ストレージ] 製品を選択します。4. 製品名、パラメータ、タグなどを含む製品リクエストの詳細を入力します。5. [Order Now (今すぐ注文)] ServiceNowを選択して、リクエストを送信し、AWS Service Catalog製品を
プロビジョニングします。6. 約 1 分後に、リクエストが送信されたことを示す注文ステータスが表示されます。
プロビジョニング済み製品を表示するには
エンドユーザーは、リクエスト項目 (Requests) またはマイ AWS 製品ウィジェットを使用してServiceNow、ポータル上の 2 つの場所で製品を表示できます。
Service Portal Requests で製品を表示するには
1. ホームページのナビゲーションバーで[Requests] を選択します。2. 選択したリクエスト項目 (AWS Service Catalog 製品およびリクエスト項目番号を含む) を選択しま
す。
Note
リクエスト項目は、AWS 製品イベントと出力で更新されます。AWS 製品が終了すると、ServiceNowリクエスト項目は完了状態になります。
マイ AWS 製品ウィジェットの Service Portal Requests で製品を表示するには
1. マイ AWS 製品ウィジェットに移動します。
98
AWS Service Catalog 管理者ガイド構成の検証
2. リクエストフォームに入力した AWS Select Product の名前を選択します。3. [Status and Product Events] を表示します。4. プロビジョニング後の運用アクションを実行する場合は、[Request Update]、[Request Self-Service
Action]、または [Terminate] を選択します。
AWS ConfigCMDB への ServiceNow 統合AWS Config の詳細を表示するには、対象のリソースタイプのデータを記録するようにサービス設定を構成する必要があります。詳細については、「コンソールによる AWS Config の設定」を参照してください。
AWS ConfigCMDB ServiceNowで から設定項目の詳細を表示するには
1. フィルラービュー (標準ユーザーインターフェイスビュー) で、ServiceNowインスタンスにユーザー(システム管理者など) としてログインします。
2. ナビゲータに、「AWS Service Management」と入力します。3. AWS Config を選択します。
利用可能な AWS リソースの関係を選択して表示します。次の表は、利用可能な AWS リソース、ServiceNowCMDB ラベル、およびテーブル名を示しています。
AWS リソース ServiceNowCMDB/限定のアプリテーブルラベル
ServiceNowCMDB/限定のアプリテーブル名
アカウント CMDB CI クラウドサービスアカウント
cmdb_ci_cloud_service_account
VPCs クラウドネットワーク cmdb_ci_network
アベイラビリティーゾーン アベイラビリティーゾーン cmdb_ci_availability_zone
EC2 インスタンス 仮想マシンインスタンス cmdb_ci_vm_instance
EBS ボリューム ストレージボリューム cmdb_ci_storage_volume
[セキュリティグループ] コンピューティングセキュリティグループ
cmdb_ci_compute_security_group
Auto Scaling グループ Auto Scaling グループ x_126749_aws_sc_cmdb_ci_autoscaling_group
ネットワークインターフェイス クラウド管理ネットワークインターフェイス
cmdb_ci_nic
RDS インスタンス クラウドDataBase cmdb_ci_cloud_database
Subnets クラウドサブネット cmdb_ci_cloud_subnet
ロードバランサー (V2) ロードバランサーサービス cmdb_ci_lb_service
S3 バケット クラウドオブジェクトストレージ
cmdb_ci_cloud_object_storage
CloudFormation スタック CloudFormation スタック x_126749_aws_sc_cmdb_ci_cloudformation_stack
CloudFormationプロビジョニング済み製品
CloudFormationプロビジョニング済み製品
x_126749_aws_sc_cmdb_ci_config_pp
99
AWS Service Catalog 管理者ガイドServiceNowその他の機能
AWS リソース ServiceNowCMDB/限定のアプリテーブルラベル
ServiceNowCMDB/限定のアプリテーブル名
Tags (タグ) キー値 cmdb_key_value
Note
設定項目と関係は、このリリースの対象となる AWS リソースに基づいています。AWS リージョンは、設定項目の関係に表示されます。ご質問やフィードバックがある場合は、[email protected] < まままままままままままま>。
AWS Systems Manager 統合機能AWS Systems Manager オートメーションドキュメントの実行をリクエストするには
1. エンドユーザー (たとえば、Abel Tuter) としてServiceNowインスタンスにログインします。2. ナビゲーションフィルタで「AWS Systems Manager」と入力し、[システムマネージャ] を選択しま
す。3. 実行する AWS Systems Manager ドキュメントを選択します。4. パラメータやタグを含むリクエストの詳細を入力します。5. [Order Now (今すぐ注文ServiceNow)] を選択してリクエストを送信し、AWS Systems Managerド
キュメントを実行します。6. リクエストが送信されたことを示す注文ステータスが表示されます。
AWS Systems Manager ドキュメントの実行を表示するには
1. エンドユーザー (たとえば、Abel Tuter) としてServiceNowインスタンスにログインします。2. ナビゲーションフィルタで「AWS Systems Manager」と入力し、[オートメーション実行] を選択し
ます。3. ユーザーインタフェースビューには、最新の実行とそのステータスが表示されます。
ServiceNowその他の機能このセクションでは、Service Management Connector for ServiceNow の追加機能について説明します。
標準ユーザーインターフェイス (フルフィラービュー) での製品の表示プロビジョニング済み製品をエンドユーザーとして表示するには
1. 標準ユーザーインターフェイスで [ServiceNowMy Assets (マイアセット)] に移動します。2. [My Asset Requests (マイアセットリクエスト)] で、実行されたリクエストを表示します。3. 製品を表示するには、リストビューをパーソナライズして、関連する設定項目を表示します。項目を
表示するには、アセットリクエストの表のヘッダー行で設定アイコンを選択します。4. [Configuration item (configuration_item) (設定項目 (configuration_item))] を選択し、> ボタンでビュー
に追加します。リスト内の [ステージ] の下に移動します。設定項目 (注文された製品) がアセットのリストに表示されます。
5. 製品を表示するには、設定項目名を選択します。6. フォームの [出力] タブでプロビジョニング済み製品の出力を表示します。
100
AWS Service Catalog 管理者ガイドServiceNowその他の機能
7. フォームの [製品イベント] タブで製品のプロビジョニング履歴を表示します。
限定のアプリからプロビジョニング済み製品を管理者として表示するには
1. エンドユーザー (たとえば、Abel Tuter) としてServiceNowインスタンスにログインします。2. ナビゲーションフィルタに「AWS Service Catalog」と入力し、[プロビジョニング済み製品] を選択し
ます。ユーザーインターフェイスビューにプロビジョニング済み製品が表示されます。3. プロビジョニング済み製品を選択して、現在のステータスを表示します。また、Request
Update、Request Termination、関連するサービスアクションなどのプロビジョニング後アクションを選択することもできます。
AWS Service Catalogサービスポータルからの ServiceNow 製品の注文Connector for ServiceNow version 3.0.5 は、Service Catalog と [Order Something (注文)] ビューを使用して、サービスポータルからのAWS Service Catalog製品の注文をサポートします。このリリースには、サービスポータルに追加して、ユーザーがプロビジョニングされた製品を表示できる、ページとウィジェットも含まれています。
Note
[Service Portal Features] セクションの対象者はServiceNow管理者または同等のユーザーです。ServiceNowこのユーザーは、サービスポータルを変更するためのアクセス許可を必要とします。
Service ポータルウィジェット
Connector for ServiceNowには、サービスポータルに追加できるウィジェットが含まれています。また、以下に対応する 2 つの代替ビューポータルページも含まれています。
• [My AWS Products – (マイ AWS 製品)] ユーザーが所有しているすべてのプロビジョニング済み製品の概要が表示されます。
• [AWS Product Details (AWS 製品の詳細)] – プロビジョニング済みの単一の製品の詳細が表示されます。
新しいウィジェットにアクセスするには、サービスポータルデザイナーを更新する必要があります。
サービスポータルデザイナーを更新するには
1. 「Create and edit a page using the Service Portal Designer (サービスポータルデザイナーを使用してページを作成および編集する)」を参照してください。.
2. 以下の手順に従って、[Service Portal Index (サービスポータルインデックス)] ページを選択します。3. [Order Something (注文)] コンテナに [My AWS Products (マイ AWS 製品)] ウィジェットを追加しま
す。4. メインサービスポータルビューに新しいウィジェットが表示されます。
サービスポータルページ
次のセクションでは、AWS Service Management Connector、[My AWS Products (マイ AWS 製品)] および[AWS Product Details (AWS 製品の詳細)] のサービスポータルベータリリースで使用できる 2 つの新しいページについて説明します。サービスポータルホームページまたはサービスポータルの通常のページ設定メカニズムを使用してその他のページでこれらページにリンクを追加できます。
My AWS Products (マイ AWS 製品)
101
AWS Service Catalog 管理者ガイドServiceNowその他の機能
ユーザーが所有しているすべてのプロビジョニング済み製品の概要。終了した製品は現在の製品とは別に、初期のページ読み込み時には折りたたまれたパネルに表示されます。
[My AWS Products (マイ AWS 製品)] ページは次の形式を使用して利用できます。
http://<insertinstancename>.service-now.com/sp?id=aws_sc_pp
AWS Product Details (AWS 製品の詳細)
プロビジョニング済みの単一の製品の詳細。
[AWS Product Details (AWS 製品の詳細)] ページは次の形式を使用して利用できます。
http://<insertinstancename>.service-now.com/sp?id=aws_sc_pp_details&sys_id=<provisioned product id>
リファレンス: Connector で使用される AWS API コール• AWSBudgets.describeBudget• AmazonConfig.describeConfigurationRecorders• AmazonConfig.getResourceConfigHistory• AmazonConfig.listDiscoveredResources• AWSSecurityTokenService.getCallerIdentity• AWSServiceCatalog.createProvisionedProductPlan• AWSServiceCatalog.deleteProvisionedProductPlan• AWSServiceCatalog.describePortfolio• AWSServiceCatalog.describeProduct• AWSServiceCatalog.describeProductAsAdmin• AWSServiceCatalog.describeProductView• AWSServiceCatalog.describeProvisionedProduct• AWSServiceCatalog.describeProvisionedProductPlan• AWSServiceCatalog.describeProvisioningParameters• AWSServiceCatalog.describeRecord• AWSServiceCatalog.executeProvisionedProductPlan• AWSServiceCatalog.executeProvisionedProductServiceAction• AWSServiceCatalog.listBudgetsForResource• AWSServiceCatalog.listLaunchPaths• AWSServiceCatalog.listPortfolioAccess• AWSServiceCatalog.listPortfolios• AWSServiceCatalog.listProvisionedProductPlans• AWSServiceCatalog.listServiceActionsForProvisioningArtifact• AWSServiceCatalog.listStackInstancesForProvisionedProduct• AWSServiceCatalog.provisionProduct• AWSServiceCatalog.searchProducts• AWSServiceCatalog.searchProductsAsAdmin• AWSServiceCatalog.terminateProvisionedProduct
102
AWS Service Catalog 管理者ガイドバージョン 2.3.4 リリース移行手順
• AWSServiceCatalog.updateProvisionedProduct• AWSSimpleSystemsManagement.describeAutomationExecutions• AWSSimpleSystemsManagement.describeDocument• AWSSimpleSystemsManagement.getAutomationExecution• AWSSimpleSystemsManagement.getDocument• AWSSimpleSystemsManagement.listDocuments• AWSSimpleSystemsManagement.startAutomationExecution
バージョン 2.3.4 リリース移行手順以前のバージョンの AWS Service Catalog Connector for ServiceNowは、以下の理由により、メジャーリリース v3.0.5 と完全には互換性がありません。
• ServiceNow限定のアプリでの AWS アカウント設定の合理化• ロールの AWS ID へのマッピングの依存関係を削除する。ServiceNow
そのため、ServiceNow本番環境で以前のバージョン (v2.3.4 以前) の AWS Service Catalog Connector を使用しているお客様は、バージョン 3.0.5 への移行を計画する必要があります。
バージョン 3.0.5 の主な変更点Service Management Connector for ServiceNowv3.0.5 には以下が含まれます。
• Connector への AWS Config および AWS Systems Manager 統合機能の追加。• Connector 限定のアプリの 6 つのモジュール (はじめに、アカウント、タグ、AWS Service
Catalog、AWS Config、AWS Systems Manager) への合理化。
Service Management Connector for ServiceNowv3.0.5 では以下の機能が削除されました。
• Connector 限定のアプリにおける ID およびロール付与モジュール。• Connector 限定のアプリにおける以前にプロビジョニング済み AWS Service Catalog 製品の詳細。
Note
プロビジョニング済み製品の詳細は、お客様の AWS アカウントの AWS Service Catalog 内に引き続き表示されます。これらの製品はServiceNowグループへの新しいマッピングではなくServiceNow、ユーザーロールの付与に基づいてマッピングされたため、ServiceNowConnector限定のアプリではこれらの詳細を利用できなくなります。
v2.3.4 バージョンのサンセットのサポートと 3.0.5 への移行計画と移行の時間を確保するため、次のような措置が取られています。
• AWS は、2021 年 12 月 31 日まで AWS Service Catalog Connector バージョン 2.3.4 をサポートします。<まままままままままままま[email protected] ままままままままままままま>
• v2.3.4 のドキュメントを参照できます。zip ファイルをダウンロードして解凍する必要があります。
移行の推奨事項本AWS Service Management Connector稼働環境からServiceNowバージョン 3.0.5 に移行するには:
103
AWS Service Catalog 管理者ガイドConnector for Jira Service Desk
• AWS Service Management Connectorをサンドボックスインスタンスにインストールします。ServiceNow
• 「the section called “ベースラインアクセス許可” (p. 84)」から AWS Service Management Connectorインストール手順に従います。
Note
以前のバージョンの Connector がインストールされている更新セットをコミットした場合、既知の問題があります。更新セットのプレビューは正常に実行できます。ただし、更新のコミットの終了時に、次のようなエラーが表示されます。「バージョンロードは ... によって停止されました。」DictionaryUpdateLoader このエラーは、更新セットに影響を与えないことをさらにテストした後、誤検出と見なされます。AWS はServiceNowサポートケースを記録しており、必要に応じて新しいリリースを提供します。
• 2 つのバージョンを比較して、ServiceNow開発をどのように進めるかを計画してください。• 以前のリリースで AWS Service Catalog プロビジョニング済み製品に対処する方法を決定します。• すべての移行アクション項目のチェックリストを作成します。以下の項目が含まれますが、これらに限
定されません。• 移行計画
• AWS Service Catalog プロビジョニング済み製品の決定ポイント。• 本稼働環境でServiceNowの開発における Connector の更新/インストールのステップ。
• ServiceNowプラットフォーム管理通信• エンドユーザーコミュニケーション
AWS Service Management Connector for JiraService Desk
お客様が Jira Service Desk ポータルに安全で準拠している AWS リソースをプロビジョニングおよび管理しやすくするために、AWS では AWS Service Management Connector for Jira Service Desk (旧 AWSService Catalog Connector) を作成しました。
AWS Service Management Connector for Jira Service Desk が許可 Jira Service Desk プロビジョニングするエンドユーザー、 Atlassian の AWS リソースをネイティブに管理して運用 Jira Service Desk。 JiraService Desk 管理者は、 AWS Service Catalog を介してエンドユーザーに保護され管理される AWS リソース AWS Systems Manager を使用した運用項目の作成と管理 OpsCenter, AWS Systems ManagerAutomation を使用してオートメーションプレイブックを実行し、AWS Config を使用する設定項目ビューでリソースをシームレスに追跡する Jira Service Desk AWS Service Management Connector を使用します。
これにより、Jira Service Desk ユーザーの AWS 製品のリクエストアクションがシンプル化されるとともに、AWS 製品に対する Jira Service Desk のガバナンスと監視が可能になります。
AWS 提供のコネクタは、Atlassian Marketplace から無料でご利用いただけます。この新機能は、AWSService Catalog、AWS Config、および AWS Systems Manager サービスが利用できるすべての AWS リージョンで利用可能です。
トピック• Background (p. 105)• Jira Service Desk でサポートされているバージョンとリリース (p. 105)• はじめに (p. 105)• リリースノート (p. 106)• ベースラインアクセス許可 (p. 108)• AWS Service Catalog の設定 (p. 112)
104
AWS Service Catalog 管理者ガイドBackground
• Jira Service Desk の設定 (p. 114)• IT ライフサイクル管理のセットアップとユースケース (p. 120)• 構成の検証 (p. 126)• Jira のその他の管理者機能 (p. 128)
BackgroundAWS Service Catalog では、一般的にデプロイされた AWS のサービスとプロビジョニングされたソフトウェア製品を集中管理できます。これにより組織は一貫性のあるガバナンスとコンプライアンスの要件を満たすことができ、ユーザーは承認済みの必要な AWS のサービスのみをすばやくデプロイできるようになります。
AWS Config では、AWS リソースの設定の評価、監査、評価を行うことができます。AWS Configは、AWS リソース設定を継続的に監視および記録し、必要な設定に対して記録された設定の評価を自動化することができます。
AWS Systems Manager は、AWS でご利用のインフラストラクチャを可視化し、制御するためのサービスです。Systems Manager OpsCenter は統合ユーザーインターフェイスを提供するため、複数の AWS のサービスの運用データを表示したり、 を通じて運用上の問題を調査して解決したり、AWS リソース全体で運用タスクを自動化したりできます。
Atlassian Jira Service Desk は、最新の IT チーム向けのサービスデスクソフトウェアです。Jira ServiceDesk リクエストタイプを使用すると、開発者とエンドユーザーは、リクエストの承認とワークフローに基づいて IT サービスを注文できます。
Jira Service Desk でサポートされているバージョンとリリースAWS Service Management Connector for Jira Service Desk では、Jira Service Desk Server と Data Centerのバージョンがサポートされています。Jira ソフトウェア (Jira Service Desk) リリースは、メジャーリリース、マイナーリリース、およびポイントリリースの各ストリームで、現在のバージョンおよび 1 つ前のバージョンでサポートされています。
• Jira Server 7.13.17 から 8.13.0• Jira Data Center 7.13.17 から 8.13.0
Jira Service Desk Cloud Connector は Atlassian Marketplace でも入手できます。詳細については、「AWSService Catalog for Jira Service Desk Cloud」を参照してください。
はじめにAWS Service Management Connector for Jira Service Desk をインストールする前に、AWS アカウントと、Jira Service Desk がプリインストールされた Atlassian インスタンスが必要です。AWS アカウントとJira Service Desk ソフトウェアに必要なアクセス許可があることを確認します。
Connector アドオンコードと AWS Config uration ファイルを含む zip ファイルの場合は、 AWS ServiceManagement Connector for JSD-Configuration Files をダウンロードして抽出します。
Note
Jira Products on AWS Reference Deployment Quick Start は、Jira Service Desk データセンターバージョンのインストールに必要なインフラストラクチャの AWS リソースを使用するために利用できます。
105
AWS Service Catalog 管理者ガイドリリースノート
AWS の前提条件開始するには、以下の手順を実行します。
• Connector で AWS Service Catalog を使用するには、AWS ポートフォリオと製品を設定するためのAWS アカウントが必要です。詳細については、「AWS Service Catalog のセットアップ (p. 6)」を参照してください。
• AWS Config の詳細を表示するには、対象のリソースタイプのデータを記録するようにサービス設定を構成する必要があります。チームが使用する主要なリソースタイプに加えて、プロビジョニングされた製品と AWS CloudFormation スタックを含めることをお勧めします。詳細については、「コンソールによる AWS Config の設定」を参照してください。
• コネクタで AWS Systems Manager Automation を使用するための AWS 側のセットアップは必要ありません。AWS では、多数のオートメーションドキュメントが標準で提供されています。使用するオートメーションドキュメントが他にもある場合は、Connector で利用できるようになります。詳細については、「オートメーションドキュメント (プレイブック) の操作」を参照してください。
• Connector OpsCenterで AWS Systems Manager を使用するには、AWS Systems Manager コンソールOpsCenterで を有効にします。詳細については、「 の開始方法」を参照してくださいOpsCenter。また、 Connector を使用して、 に関連付けられたリソースおよびオートメーションドキュメント (ランブック) OpsItem を表示することもできます。 AWS OpsItemsでのリソースの関連付けの詳細については、「関連リソースの使用」を参照してくださいOpsCenter。https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-working-with-OpsItems.html#OpsCenter-working-with-OpsItems-related-resourcesAWS OpsItemsで Automation ドキュメントを に関連付ける方法の詳細については、「Systems Manager OpsCenter オートメーションを使用した問題の修復」を参照してくださいOpsItem。
また、Connector for Jira Service Desk には、以下で説明する the section called “ベースラインアクセス許可” (p. 84) を使用した API アクセスが AWS アカウントごとに必要です。
Jira Service Desk の前提条件AWS Service Management Connector のアドオンをインストールするには、AWS アカウントに加えて、Atlassian インスタンスに Jira Service Desk ソフトウェアがインストールされている必要があります。Jira Service Desk 管理者が AWS Service Management Connector のアドオンをインストールするには、管理者ロールが必要です。
AWS Connector を設定する前に、Jira Service Desk インスタンスを保護するための Atlassian の推奨事項に従っていることを確認してください。詳細については、Preventing Security Attacks を参照してください。
Connector for Jira Service Desk のアドオンは、Atlassian Marketplace でダウンロードできます。
リリースノートAWS Service Management Connector for (旧 AWS Service Management Connector) のバージョン 1.7.0には以下のものが含まれています。Jira Service Desk
AWS Service Catalog 統合機能
• Jira Service Desk管理者が Jira ワークフローエンジンで使用されるデフォルトの Jira ユーザーを割り当てる機能。
• Jira Service Desk管理者が、エンドユーザーが表示できる AWS 製品リクエストフォームコンポーネントを設定できるようにします。
• Jira Service Desk管理者がプロビジョニング済み製品全体で AWS タグを作成できるようにします。
106
AWS Service Catalog 管理者ガイドリリースノート
• エンドユーザーがアベイラビリティーゾーン、イメージ ID、インスタンス ID、 KeyPair 、セキュリティグループ、VPC などの EC2 リソースの AWS 固有のパラメータを表示する機能。
AWS Systems Manager OpsCenter の統合機能
• AWS Systems Manager でオペレーション項目 (OpsItem) が作成または更新されるときに、JiraOpsCenter 問題を作成および更新します。
• OpsItemsで Jira の問題が更新されOpsCenterたときに AWS Systems Manager で更新する機能JiraService Desk。
• Jira 問題からの実行結果を解決OpsItemsおよび表示するために、オートメーションランブックを表示および実行する機能。
また、以前のバージョンの AWS Service Management Connector には、次のようなJira Service Desk機能が含まれています。
AWS Service Catalog
• Jira Service Deskカスタマーポータルビューと Jira Agent ビューでの AWS Service Catalog のポートフォリオと製品のレンダリング。
• Jira Service Desk管理者が AWS Service Catalog のポートフォリオにJira Service Desk承認グループを関連付けてJira Service Deskユーザー製品リクエストの承認をリクエストする機能。
• Jira Service Deskユーザーが を通じて AWS Service Catalog 製品をリクエストする機能Jira ServiceDesk。
• 管理者が、ポートフォリオと製品の予算と実際のコストを表示する機能 (AWS Service Catalog 内で予算を関連付ける必要があります。)
• Jira Service Deskユーザーが製品を更新および終了するための AWS Service Catalog のセルフサービスアクションのサポート。
• CloudFormationStackSetsAWS のサポート。複数のリージョンとアカウント間で AWS Service Catalog製品を起動できます。
• AWS CloudFormation 変更セットのサポート。起動または更新の前にリソース変更をプレビューできます。
AWS Config
• Jira Service Deskリクエストによる、プロビジョニングされた AWS 製品の AWS Config 設定項目の詳細のレンダリング。
• 設定項目の関係をツリー構造で表示する機能。• AWS Config 項目の詳細を Jira の問題に関連付ける機能。
AWS Systems Manager
• Jira Service Deskカスタマーポータルビューおよび Jira Agent ビューでの AWS Systems Manager オートメーションドキュメントのレンダリング。
• Jira Service Desk管理者が AWS Systems Manager のオートメーションを Jira プロジェクトに関連付ける機能。
• Jira Service Deskユーザーが を通じて AWS Systems Manager のオートメーションドキュメントをリクエストして実行する機能Jira Service Desk。
• Connector 固有の AWS Systems Manager オートメーションドキュメントを通じて、実用的な修復提案を提供する Jira 問題 (インシデント) を作成する機能。
• 複数の AWS アカウントのサポート。• AWS GovCloud東部およびGovCloud西部リージョンでの FIPS エンドポイントと使用のサポート。
107
AWS Service Catalog 管理者ガイドベースラインアクセス許可
• Jira Service Desk Server と Data Center バージョンの最新リリースのサポート。
ベースラインアクセス許可このセクションでは、AWS Service Management Connector for AWS に必要なベースライン Jira ServiceDesk ユーザーとアクセス許可を設定する方法について説明します。
ベースラインのアクセス許可に使用できるテンプレートAWS CloudFormation テンプレートを使用して Connector for Jira Service Desk の AWS 設定をセットアップするには、Connector for Connector for Jira Service Desk v1.7.0 (AWS 商用リージョンおよび JiraService Desk Connector for v1.7.0 - AWS Jira Service Desk西部リージョン) の AWS 設定を参照してください。GovCloud
Note
Connector for Jira Service Desk v1.7.0_AWS 設定テンプレートを使用する場合は、「AWSService Catalog の設定」に進みます。
AWS アカウントごとに、Connector for Jira Service Desk には API アクセス用のアクセスキー識別子と1 つのシークレットキーが 2 セット必要です。これらは AWS Identity and Access Management (IAM) のユーザーに対応しています。具体的には、以下を設定する必要があります。
• AWS リソースを Jira Service Desk に同期する IAM ユーザー。• プロビジョニングと実行に必要なロールを引き受けるなど、Jira Service Desk を通じて公開されたリク
エストをプロビジョニングおよび実行するためのエンドユーザー機能を実行できる IAM ユーザー (AWSService Catalog には起動ロールが推奨)。
これらは、同じユーザーでも既存のユーザーでもかまいません。ただし、最小限のアクセス許可を与えるためのベストプラクティスに沿って、Connector の 2 人の新規ユーザーにすることをお勧めします。
これらのユーザーが必要とするアクセス許可の詳細を以下に示します。この設定を簡単に行うための AWSCloudFormation テンプレートも含まれています。ベースラインのアクセス許可により、エンドユーザーは、Amazon Simple Storage Service および Amazon Elastic Compute Cloud の AWS のサービスをプロビジョニングできます。エンドユーザーがベースラインのアクセス許可を超えて AWS のサービスをプロビジョニングできるようにするには、適切なロールに追加の AWS のサービスのアクセス許可を含める必要があります。
Note
AWS CloudFormationテンプレートを使用して Connector for AWS Jira Service Deskの設定をセットアップするには、Connector for AWS Config v1.7.0 の 2 つの JSON 期間 (AWS 商用リージョンJira Service Deskと Connector for v1.7.0 AWS Jira Service Desk西部リージョンGovCloud) を参照してください。
AWS Service Management Connector 同期ユーザーの作成次のセクションでは、AWS Connector 同期ユーザーを作成し、適切な IAM アクセス許可を関連付ける方法について説明します。このタスクを実行するには、新しいユーザーを作成するための IAM アクセス許可が必要です。
AWS Service Management Connector の同期ユーザーを作成するには
1. IAM ポリシーの作成を参照してください。記載されている手順に従って、Jira 管理者が AWS Systems Manager を作成および管理するためのポリシーを作成しま
108
AWS Service Catalog 管理者ガイドベースラインアクセス許可
す。SSMOpsItemActionPolicyOpsItems 次のポリシーをコピーし、[Policy Document] に貼り付けます。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:CreateOpsItem",
"ssm:GetOpsItem",
"ssm:UpdateOpsItem",
"ssm:DescribeOpsItems",
"ssm:CreateOpsItem"
],
"Resource": "*"
}
]
}
2. 「AWS アカウントでの IAM ユーザーの作成」にアクセスします。記載されている手順に従って、同期ユーザー ( ) を作成しますSCSyncUser。Connector のインストール手順に従うには、ユーザーにプログラムおよび AWS マネジメントコンソールへのアクセス権が必要です。Jira Service Desk
同期ユーザー (SCSyncUser) にアクセス許可を設定します。[Attach the following AWSServiceCatalogAdminReadOnlyAccess policies directly (以下のポリシーを直接アタッチする)] を選択し、[]、[]、[]、[]、[] の順に選択しますAmazonSSMReadOnlyAccess。SSMOpsItemActionPolicy
3. また、すべてのリソースに [budgets:ViewBudget (予算: ViewBudget)] を追加するポリシーを追加します (*)。
4. [ユーザーの作成] を確認し、選択します。5. アクセスとシークレットアクセス情報をメモしておきます。ユーザー認証情報が記載されている .csv
ファイルをダウンロードします。
AWS Service Management Connector エンドユーザーの作成以下のセクションでは、AWS Service Management Connector のエンドユーザーを作成し、適切な IAM アクセス許可を関連付ける方法について説明します。このタスクを実行するには、新しいユーザーを作成するための IAM アクセス許可が必要です。
AWS Service Management Connector のエンドユーザーを作成するには
1. 「AWS アカウントでの IAM ユーザーの作成」にアクセスします。記載されている手順に従って、ユーザー ( など) を作成しますSCEndUser。Connector for Jira Service Desk のインストール手順に従うには、ユーザーにプログラムによるアクセスと AWS マネジメントコンソール によるアクセスが必要です。
109
AWS Service Catalog 管理者ガイドベースラインアクセス許可
2. AWS CloudFormationStackSetsを持つ製品の場合は、スタックセットのインラインポリシーを作成する必要があります。AWS CloudFormationStackSetsを使用すると、複数のアカウントおよびリージョンにまたがってデプロイされる製品を作成できます。管理者アカウントを使用して、AWS ServiceCatalog 製品を定義および管理し、指定のリージョンの選択されたターゲットアカウントにスタックをプロビジョニングする基盤としてその製品を使用します。必要なアクセス許可が AWS アカウントで定義されている必要があります。
必要なアクセス許可を設定するには、「スタックセットオペレーションのアクセス権限の付与」を参照してください。記載されている手順に従って、 AWSCloudFormationStackSetAdministrationRoleおよび を作成しますAWSCloudFormationStackSetExecutionRole。
3. スタックセットのインラインポリシーを作成し、1 つのアカウントの複数のリージョンにまたがって製品をプロビジョニングできるようにし、arn 番号文字列をアカウント番号に置き換えます。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Resource": [ "arn:aws:iam::123456789123:role/AWSCloudFormationStackSetExecutionRole" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:PassRole" ], "Resource": "arn:aws:iam::123456789123:role/AWSCloudFormationStackSetAdministrationRole" } ]}
Note
Connector for v1.7.0 – Jira Service Desk AWS 商用リージョンと Connector forJira Service Desk v1.7.0 – AWS GovCloud西部リージョンテンプレートには、AWSCloudFormationStackSetこれらのアクセス許可が含まれています。
4. 次のアクセス許可 (ポリシー) をユーザーに追加しますSCEndUser。
• AWSServiceCatalogEndUserFullAccess – (AWS 管理ポリシー)• StackSet- (インラインポリシー)• AmazonS3ReadOnlyAccess – (AWS 管理ポリシー)• AmazonEC2ReadOnlyAccess – (AWS 管理ポリシー)• AWSConfigUserAccess – (AWS 管理ポリシー)• SSMOpsItemActionPolicy- (インラインポリシー)
Note
AWS Service CatalogAWS CloudFormationがあるStackSets製品の場合、プロビジョニングするサービスの読み取り専用アクセス許可を含める必要があります。たとえば、
110
AWS Service Catalog 管理者ガイドベースラインアクセス許可
Amazon S3バケットをプロビジョニングするには、 AmazonS3ReadOnlyAccess ロールにSCEndUserポリシーを含めます。
5. また、すべてのリソース (*) で次のことを許可するポリシーを追加します。ssm:DescribeAutomationExecutions、ssm:DescribeDocument、および ssm:StartAutomationExecution
6. [ユーザーの作成] を確認し、選択します。7. アクセスとシークレットアクセス情報をメモしておきます。ユーザー認証情報が記載されている .csv
ファイルをダウンロードします。
SCConnectLaunchロールの作成次のセクションでは、SCConnectLaunchロールを作成する方法について説明します。このロールは、ベースラインとなる AWS のサービスへのアクセス許可を AWS Service Catalog の起動の制約に配置するために使用されます。詳細については、AWS Service Catalog の起動制約 (p. 38) を参照してください。
SCConnectLaunchロールを作成するには
1. AWSCloudFormationFullAccessポリシーを作成します。[ポリシーの作成] を選択して、以下を JSONエディタに貼り付けます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:DescribeStackResource", "cloudformation:DescribeStackResources", "cloudformation:GetTemplate", "cloudformation:List*", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStacks", "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStacks", "cloudformation:GetTemplateSummary", "cloudformation:SetStackPolicy", "cloudformation:ValidateTemplate", "cloudformation:UpdateStack", "cloudformation:CreateChangeSet", "cloudformation:DescribeChangeSet", "cloudformation:ExecuteChangeSet", "cloudformation:DeleteChangeSet", "s3:GetObject" ], "Resource": "*" } ]}
2. というポリシーを作成しますServiceCatalogSSMActionsBaseline。 IAM ポリシーの作成の手順に従って、次のテキストを JSON エディタに貼り付けます。
{ "Version": "2012-10-17",
111
AWS Service Catalog 管理者ガイドAWS Service Catalog の設定
"Statement": [ { "Sid": "Stmt1536341175150", "Action": [ "servicecatalog:ListServiceActionsForProvisioningArtifact", "servicecatalog:ExecuteprovisionedProductServiceAction", "ssm:DescribeDocument", "ssm:GetAutomationExecution", "ssm:StartAutomationExecution", "ssm:StopAutomationExecution", "cloudformation:ListStackResources", "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances" ], "Effect": "Allow", "Resource": "*" } ]}
3. SCConnectLaunch ロールを作成し、AWS Service Catalog に信頼関係を割り当てます。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "servicecatalog.amazonaws.com" }, "Action": "sts:AssumeRole" } ]}
4. 関連するポリシーをSCConnectLaunchロールにアタッチします。以下のベースライン IAM ポリシーをアタッチします。
• AmazonEC2FullAccess( AWS 管理ポリシー)• AmazonS3FullAccess( AWS 管理ポリシー)• AWSCloudFormationFullAccess(カスタム管理ポリシー)• ServiceCatalogSSMActionsBaseline(カスタム管理ポリシー)
Note
AWS CloudFormationテンプレートを使用して Connector for AWS Jira Service Deskの設定をセットアップするには、Connector for AWS Config v1.7.0 (AWS 商用リージョンJira Service Desk) とConnector for v1.7.0 (AWS Jira Service Desk GovCloud西部リージョン) の 2 つの JSON 時間を参照してください。
AWS Service Catalog の設定各アカウントにベースラインアクセス許可のある 2 つの IAM ユーザーを作成したので、次のステップはAWS Service Catalog の作成です。このセクションでは、AWS Service Catalog を設定して Amazon S3
112
AWS Service Catalog 管理者ガイドAWS Service Catalog の設定
バケット製品を含むポートフォリオを利用する方法について説明します。予備的な製品のための「ウェブサイトホスティング用に Amazon S3 バケットを作成する」にある Amazon S3 テンプレートを使用します。Amazon S3 テンプレートをコピーしてデバイスに保存します。
AWS Service Catalog を設定するには
1. ステップ 3. 作成 AWS Service Catalog ポートフォリオ (p. 12) のステップに従って、ポートフォリオを作成します。
2. 作成したポートフォリオに Amazon S3 バケット製品を追加するには、AWS Service Catalog コンソールの [新しい製品のアップロード] ページに製品の詳細を入力します。
3. [テンプレートの選択] でデバイスに保存した Amazon S3 バケット AWS CloudFormation テンプレートを選択します。
4. ベースラインアクセス許可でロールを使用して作成した製品に対して [Constraint type (制約タイプ)] SCConnectLaunchを [Launch (起動)] に設定します。追加の起動制約の手順については、「AWSService Catalog の起動制約 (p. 38)」を参照してください。
Note
AWS設定の設計では、各AWS Service Catalog製品に起動またはStackSet制約が必要です。このステップに従わないと、Jira Service Desk Service Catalog 内で「パラメータを取得できません」というメッセージが表示される場合があります。
スタックセットの制約を作成するAWS CloudFormationStackSetsを使用すると、複数のアカウントおよびリージョンにまたがってデプロイされる製品を作成できます。AWS Service Catalog では、スタックセットの制約によって製品のデプロイオプションを設定できます。
AWS Service Catalog 製品にスタックセットの制約を適用するには
1. カタログ管理者として AWS Service Catalog にアクセスします。2. 制約を適用する製品を含むポートフォリオを選択します。3. [Constraints] を展開し、[Add constraints] を選択します。4. [Product] で製品を選択し、[Constraint type] を [Stack Set] に設定します。[Continue] を選択します。5. [Stack set constraint] ページで、説明を入力します。6. 製品を作成するアカウントを選択します。7. 製品をデプロイするリージョンを選択します。製品は、指定した順序でこれらのリージョンにデプロ
イされます。8. ターゲットアカウントを管理するために使用され
るAWSCloudFormationStackSetAdministratorRoleロールを選択します。9. 管理者AWSCloudFormationStackSetExecutionRoleロールが引き受けるロールを選択します。10. [Submit] を選択します。
Connector for Jira Service Desk v1.7.0 – AWS 商用リージョンと Connector for Jira Service Deskv1.7.0 – AWS GovCloud西部リージョンのテンプレートによって、スタックセットの制約に必要なアクセス権限と出力が作成されることに注意してください。スタックセットの出力例:
SCStackSetAdministratorRoleARN arn:aws:iam::123456789123:role/AWSCloudFormationStackSetAdministrationRole SCIAMStackSetExecutionRoleName AWSCloudFormationStackSetExecutionRole SCIAMAdminRoleARN arn:aws:iam::123456789123:role/AWSCloudFormationStackSetAdministrationRole
113
AWS Service Catalog 管理者ガイドJira Service Desk の設定
AWS Service Catalog 製品には、スタックセットまたは起動制約のいずれかを指定できますが、両方を指定することはできません。
Jira Service Desk の設定AWS Service Management Connector for Jira Service Desk は、従来の Jira Service Desk アドオンとしてリリースされました。アドオンは、Jira ソフトウェアやソフトウェアの機能を拡張するJira Service Deskコード変更です。Connector for Jira Service Desk のアドオンは、Atlassian Marketplace でダウンロードできます。
IAM と AWS Service Catalog の設定が完了したら、Jira Service Desk を設定する必要があります。JiraService Desk のインストールタスクには、以下のものが含まれています。
• ウェブブラウザキャッシュのクリア• Jira Service Desk Connector アドオンのインストール• アカウント、スケジュール同期、リクエスト/承認権限を含む AWS Service Management Connector ア
ドオンを設定します。
ウェブブラウザキャッシュのクリア以前にレンダリングされた Jira Service Desk フォームを削除するには、ウェブブラウザのキャッシュをクリアします。
Jira Service Desk Connector アドオンのインストール1. 管理者として Jira インスタンスにログインします。2. 管理メニューを開き、[Add-ons] を選択します。3. [Manage add-ons] 画面で、ページの左側から [Find new apps] または [Find new add-ons] を選択しま
す。4. AWS Service Management Connector for JSD を検索します。検索結果には、Jira インスタンスと互
換性のあるアプリケーションのバージョンが含まれている必要があります。5. [Install] を選択し、アプリケーションをダウンロードしてインストールします。6. [Configuring AWS Accounts and Regions] に進みます。
または、OBR ファイルからコードをダウンロードすることもできます。AWS Service ManagementConnector for Jira Service Desk v1.7.0 OBR。
1. [Manage apps] に移動します。2. [Upload app] を選択し、OBR ファイルをアップロードします。3. [Configuring AWS Accounts and Regions] に進みます。
Connector for J Jira Service Desk version 1.7.0 のアドオンは、上記に示したサポート対象の Jira ソフトウェア (Jira Service Desk) リリースに適用できます。
AWS アカウントとリージョンの設定AWS Service Management Connector がインストールされたら、右上の Jira 管理アイコンを選択し、[Add-ons (アドオン)] を選択して設定します。
114
AWS Service Catalog 管理者ガイドJira Service Desk の設定
1. 左のナビゲーションメニューの AWS Service Catalog セクションで [AWS Accounts] を選択します。2. [Connect new account] を選択します。3. アカウントエイリアスを入力します (Connector で AWS アカウントを識別するために使用されま
す)。4. SC-sync-user の認証情報を入力します。これは、AWS 構成で保存された同期ユーザーのアクセ
スキー ID と認証情報です。SC-sync-user 認証情報は、ポートフォリオおよび製品を取得し、JiraService Desk 経由で利用できるようにするために使用されます。これらのポートフォリオおよび製品へのアクセスを許可するグループを設定できます。
5. SC エンドユーザーの認証情報を入力します。これは、AWS 構成で保存されたエンドユーザーのアクセスキー ID と認証情報です。SC エンドユーザーの認証情報は、Jira ユーザーに代わって製品をプロビジョニングするために使用されます。
6. Jira Service Desk で利用する AWS Service Catalog 製品およびポートフォリオを含む AWS リージョンを追加します。
7. [Test Connectivity] を選択します。8. 接続ステータスが成功したら、[Connect] を選択します。
Note
同期ユーザーとエンドユーザーは、AWS Service Management Connector でのみ使用されるAWS の新しいユーザーにすることをお勧めします。これらのユーザーには、最小限の権限が必要です。AWS Service Management Connector に対する最小限のアクセス許可を持つ AWSCloudFormation テンプレートを利用できます。
Jira 内での AWS Service Catalog ポートフォリオの設定AWS 製品へのアクセスこのセクションでは、Jira 内で AWS Service Catalog ポートフォリオを設定する方法について説明します。
アカウントが設定され、接続が成功したら、[AWS Account] ページを使用して、各リージョンの各ポートフォリオへのアクセスを許可するグループをアカウントごとに管理します。各リージョンの展開や折りたたみ、および各ポートフォリオでのグループの編集や追加を行えます。指定したグループのユーザーのみが製品にアクセスできます。デフォルトでは、アクセス許可を持つグループはありません。
Note
Jira Service Desk エンドユーザーが AWS 製品をリクエストするには、少なくとも 1 つのグループを AWS Service Catalog ポートフォリオに関連付ける必要があります。
製品とポートフォリオをプロビジョニングするには
1. [AWS Accounts] を選択します。2. ポートフォリオを構成する AWS アカウントで [Manage] を選択します。3. [Portfolios] で、アカウントに関連付けられているリージョンを展開します。ポートフォリオは、各
リージョンの下に表示されます。4. [Permission to request] 列で、Jira Service Desk に表示するポートフォリオで [Add groups] を選択し
ます。AWS Service Catalog 製品を表示およびリクエストできるようにするグループを選択します。Note
Jira ユーザーが AWS Service Management Connector for Jira Service Desk を使用すると、グループがアクセスできるポートフォリオで AWS 製品をプロビジョニングし、プロビジョニングされた製品を制御できるため、ユーザーは Jira アカウントのセキュリティを維持することの重要性を認識している必要があります。
5. このポートフォリオの製品が承認を必要としない場合は、[Save] を選択します。
115
AWS Service Catalog 管理者ガイドJira Service Desk の設定
AWS Service Catalog ポートフォリオ内の製品の Jira Service Desk 承認
AWS Service Management Connector for Jira Service Desk を使用すると、管理者はポートフォリオレベルで製品の承認を設定できます。承認権限を含むポートフォリオ内のすべての製品には承認が必要となるため、AWS と Jira の管理者は AWS Service Catalog ポートフォリオ構造に関する共同作業が必要になる場合があります。
承認プロセスを設定するには
1. [AWS Accounts] を選択します。2. ポートフォリオ承認を設定する AWS アカウントで [Manage] を選択します。3. [Permission to approve] 列の製品の承認に必要なポートフォリオで [Add groups] を選択します。4. [Require approval for provisioning] を選択します。5. [Permission to approve] で、[Add group] を選択します。6. [Save] を選択します。
Note
ポートフォリオに [Permissions to request] に関連付けられたグループのみが存在する場合、製品リクエストが送信されると、ポートフォリオ内の製品がただちにプロビジョニングされます。
製品および予算の表示
[Admin -> AWS Accounts -> Manage (管理者 -> AWS アカウント -> 管理)] セクションの他の 2 つのタブでは、ポートフォリオに関する情報を参考として表示できます。[Available Products (利用可能な製品)] タブには、ポートフォリオ内の製品と、それぞれの予算情報が表示されます。[Budgets (予算)] タブには、ポートフォリオに関する全体的な予算情報が表示されます。
Note
注意: AWS Service Catalog のリクエストフォームと自動タグの追加設定は、次のセクション「コネクタ設定の設定」で詳細を説明します。
コネクタの設定の構成 (Jira プロジェクトの有効化およびリクエストタイプ)AWS アカウントの設定に加えて、AWS Service Management Connector には、選択した AWS のサービス、UI 設定 (AWS Service Catalog)、プロジェクトの有効化、AWS Systems Manager の設定が含まれますOpsCenter。
Note
JSD Connector を介した AWS Config および AWS Systems Manager Automation のアカウントごとの設定はありません。
デフォルトで有効なコネクタ機能
特定の AWS のサービスのデフォルトの Connector 機能を設定するには
Connector を新規インストールする場合、デフォルトのプロジェクト設定では、すべての Connector 機能 (AWS Service Catalog、AWS Config、AWS Systems Manager Automation、および AWS SystemsManagerOpsCenter) が有効になります。既存のインストールをアップグレードする場合、セキュリティ上の理由から、新機能は初期状態では有効になりません。
1. 左側のナビゲーションメニューの [AWS Service Management] で、[Connector settings] を選択します。
116
AWS Service Catalog 管理者ガイドJira Service Desk の設定
2. 上部の [Connector features enabled by default (既定で有効になっている Connector 機能)] で、既定の設定を使用するプロジェクトでそれらの機能を使用可能にするかどうかに応じて、各機能を選択します。
3. [Save] を選択します。
UI 設定 (AWS Service Catalog)
AWS Service Catalog 製品ウィジェットコンポーネントを設定して、エンドユーザーが閲覧できるようにします。
AWS 製品をリクエストするエンドユーザーのさまざまなパーソナに対応するため、Connector for JiraService Deskには、AWS 製品ウィジェットのコンポーネントを有効または無効にするアドオンアプリ設定が含まれています。デフォルトでは、すべての AWS 製品コンポーネントが有効になっています。
AWS 製品ビューを変更するには
1. 左側のナビゲーションメニューの [AWS Service Management]、[AWS Connector settings]。2. UI 設定 (Service Catalog) セクションに移動し、次のような AWS 製品コンポーネントの選択を解除し
ます。
1. 製品名を編集することを許可します。(オフにすると、自動生成された名前が使用され、ユーザーはこれを編集できません)。
2. 起動オプションの選択をユーザーに許可します。(オフにしない場合、デフォルトの起動オプションが選択され、起動オプションセクションは非表示になります)。
3. 製品バージョンの選択をユーザーに許可します。(オフにすると、デフォルトの製品バージョンが選択され、製品バージョンセクションが非表示になります)。
4. ユーザーがタグを追加または編集できるようにします。(指定しない場合、タグオプションにデフォルト値が選択され、タグセクションは非表示になります)。
5. プロビジョニング済み製品を作成または更新するプランの作成をユーザーに許可します。(オフにすると、プランセクションは非表示になります)。
3. [Save] を選択します。
Connector に対して有効なプロジェクト
AWS Service Management Connector for Jira Service Deskでは、アドオンを 1 つ以上の Jira プロジェクトに関連付けること、および JSD リクエストタイプに対して必要です。Jira プロジェクトごとに、有効にする Connector 機能を設定できます。
AWS Service Catalog、AWS Config、AWS Systems Manager Automation および AWS SystemsManager の Jira プロジェクトを設定するにはOpsCenter
1. 左側のナビゲーションメニューの [AWS Service Management Connector] で、[Connector setting(Connector 設定)] を選択します。
2. [Projects enabled for Connector (Connector で有効になっているプロジェクト)] で、少なくとも 1 つの Jira プロジェクトを有効にする必要があります。新しい Jira Service Desk プロジェクトを作成するか、既存のプロジェクトを追加できます。関連付けられたプロジェクトへのアクセス許可を持つユーザーのみが Connector にアクセスできます。この更新を適用すると、Connector は AWS ServiceCatalog 製品をそれらのプロジェクトで使用できるために必要な問題タイプとその他の Jira 項目を追加します。いつでもこの画面に戻って、プロジェクトを追加または削除できます。
3. プロジェクトは、どの Connector 機能を有効にするかに関して、デフォルトの設定を使用します。個々のプロジェクトの設定を変更するには、プロジェクト行の [編集] を選択します。プロジェクトでは、デフォルトよりも多くの機能を使用できます。
4. [Save] を選択します。
117
AWS Service Catalog 管理者ガイドJira Service Desk の設定
Note
エンドユーザーが AWS Service Catalog 製品をリクエストできるようにするには、1 つ以上のプロジェクトを有効にし、ユーザーが Jira プロジェクトで問題を作成するための Jira アクセス許可と、製品が含まれた少なくとも 1 つのポートフォリオの AWS アカウントの Jira 設定での Jira アクセス許可を持っている必要があります。
AWS Systems Manager Automation の有効化に関する考慮事項
現在は、ユーザーとグループがどの AWS Systems Manager オートメーションドキュメントへのアクセスを許可される Jira できめ細かなアクセス許可を持つことはできません。プロジェクトで SystemsManager Automation が有効になっている場合、そのプロジェクトで問題を作成するアクセス許可を持つユーザーは、すべてのオートメーションを実行できます。AWS Systems Manager Automation が有効になっているプロジェクトにアクセスできるユーザーを制限することで、アクセスを制限できます。
OpsCenter設定
Connector に対してプロジェクトを有効にすると、AWS Systems Manager OpsCenterは Jira 管理者に、Jira プロジェクトはこの統合に関連付け、完全同期と差分同期の間隔を決定するように要求します。
Connector で有効な Jira プロジェクトと AWS Systems Manager OpsCenter の統合機能を関連付けるには
1. 左側のナビゲーションメニューの [AWS Service Management Connector] で、[Connector setting(Connector 設定)] を選択します。
2. 新しい Jira Service Desk プロジェクトを作成します。[OpsCenter設定] で、少なくとも 1 つの Jira プロジェクトを有効にする必要があります。新しい Jira Service Desk プロジェクトを作成するか、既存のプロジェクトを追加できます。関連付けられたプロジェクトへのアクセス許可を持つユーザーのみが Connector にアクセスできます。この更新が適用されると、Connector は必要な問題タイプを関連するプロジェクトに追加します。いつでもこの画面に戻って、プロジェクトを追加または削除できます。
3. [OpsCenter設定] の [Full Sync Interval] フィールドと [Delta Sync Interval] フィールドで、必要に応じて同期間隔を変更できます。Full Sync と Delta 間隔は、 がJira Service DeskそれぞれOpsItems詳細へのすべての同期または変更OpsCenterを実行する頻度を決定します。この数を増やすと、AWS へのAPI 呼び出し回数が減りますが、OpsItems更新が Connector に反映されるまでに時間がかかります。
4. [Save] を選択します。
Core 運用設定
AWS Service Management Connector for Jira Service Desk の運用設定を構成するには
1. 左側のナビゲーションメニューの [AWS Service Management Connector] で、[Connector setting(Connector 設定)] を選択します。
2. [Core operational settings] の [Synchronization interval] フィールドで、必要に応じて同期間隔を変更できます。この間隔によって、 が AWS とJira Service Desk同期する頻度が決まります。この数を増やすと、AWS への API 呼び出し回数が減りますが、AWS ポートフォリオやオートメーションドキュメントの更新が Connector に反映されるまでに時間がかかります。製品のアクティブなプロビジョニングと継続的なオートメーションの実行に関する情報は、より頻繁に更新されます。
3. [Core operational settings (コアの運用設定)] の [JIRA Administrator (JIRA 管理者)] をフィールドとして実行するには、割り当てられた管理者ユーザーを変更して JIRA 内で自動オペレーションを実行できます。
118
AWS Service Catalog 管理者ガイドJira Service Desk の設定
Connector が Jira 内で多数のアクションを実行することを強調することは重要であり、これらのアクションは Jira ユーザーとして実行する必要があります。デフォルトでは、Connector は最低 ID の Jira管理者ユーザーを選択します。これは多くの環境で動作します。
ただし、初期管理者ユーザーが無効になっているか、別の管理者ユーザーが優先されている場合、誤った戦略である可能性があります。Connector 内でわかりやすくするために、「AWS Connector 管理者」などの新しいユーザーを作成し、それをデフォルトのユーザーとして選択することをお勧めします。
AWS OpsItemsからの同期や AWS プロビジョニング済み製品に対する変更検出のためのコメントの追加など、コネクタによって自動的に実行されるアクションは、このユーザーによって行われたと記録されます。これにより、プロビジョニング済み製品をリクエストする、Jira を手動で作成するなど、エンドユーザーによって実行されるアクションには影響しません。通常どおり、そのアクションはエンドユーザーによって行われたものとして記録されます。OpsItem
このユーザーには、グローバル管理者権限、JSD 権限、および各 AWS が有効なプロジェクトに対する管理者権限が必要です。
4. [Save] を選択します。
自動タグの設定 (AWS Service Catalog)
AWS Service Management Connector v1.7.0 を使用すると、Jira 管理者は、アドオンでグローバルに、またはポートフォリオレベルで細かく、AWS Service Catalog のプロビジョニング済み製品にタグ (メタデータ) を追加できます。これらのタグはエンドユーザーには表示されません。
このリリースでは、次の 2 つのタグタイプを使用できます。
• 管理者がキーと値を入力できる汎用タグ。• 管理者がキーと値に次の構文を入力できる AWS Service Catalog のリクエストタイプタグ。
AWS Service Catalog のリクエストタイプタグ
キー 値
プロジェクトコード ${PROJECT_CODE}
プロジェクト名 ${PROJECT_NAME}
プロジェクト名 ${ISSUE_ID}
Username ${USERNAME}
開いたユーザー ${OPENED_BY}
一般的な AWS タグを Jira Service Desk で AWS Service Catalog のプロビジョニング済み製品に追加するには
1. 左のナビゲーションメニューの [AWS Service Management] で、[Automated Tags] を選択します。2. グローバルレベルのタグの場合、キーと値のエントリを入力します。[ポートフォリオ] で、[グローバ
ル (デフォルトで設定)] を選択します。挿入する [+] アイコンを選択します。3. ポートフォリオレベルのタグでは、キーと値のエントリを入力します。[ポートフォリオ] で [ポート
フォリオ] ドロップダウンを選択し、タグを関連付けるポートフォリオを選択します。挿入する [+] アイコンを選択します。
119
AWS Service Catalog 管理者ガイドIT ライフサイクル管理のセットアップとユースケース
スコープ内リクエストタイプを追加するには、Jira Service Desk から派生した AWS ServiceCatalog のプロビジョニング済み製品に AWS タグを追加します
1. 左のナビゲーションメニューの [AWS Service Management] で、[Automated Tags] を選択します。2. グローバルレベルのタグの場合、キーと値のエントリを入力します。[ポートフォリオ] で、[グローバ
ル (デフォルトで設定)] を選択します。挿入する [+] アイコンを選択します。3. ポートフォリオレベルのタグでは、キーと値のエントリを入力します。[ポートフォリオ] で [ポート
フォリオ] ドロップダウンを選択し、タグを関連付けるポートフォリオを選択します。挿入する [+] アイコンを選択します。
製品がプロビジョニングされると、AWS コンソールで、これらのタグがリソースに関連付けられていることを確認できます。
プロジェクトのリクエストタイプグループの設定
ユーザが Jira Service Desk で AWS リクエストタイプにアクセスできるようにするには、そのリクエストタイプがグループ内に存在する必要があります。コネクタの設定の構成 (Jira プロジェクトの有効化およびリクエストタイプ) (p. 116) で説明されているとおり、Jira プロジェクトを有効にすると、AWS 製品のリクエストタイプを利用できるようになりますが、リクエストタイプが [Request Type Group] に追加されるまで Jira Service Desk ユーザーには表示されません。
リクエストタイプを設定するには
1. AWS Service Management Connector for Jira Service Desk で [Connector settings (Connector 設定)]ページにアクセスします。
2. [Projects] セクションで、[add the AWS request type] を選択します。3. 右上隅にある [Add existing request type] を選択します。4. 利用可能なリクエストタイプで [Request AWS product] を選択します。5. [Request AWS product request type (AWS 製品のリクエストリクエストタイプ)] の [Edit Groups (グ
ループの編集)] を選択します。6. [Edit groups] フォームで [General] を選択し、[Save] を選択します。
Note
カスタムの [Request AWS Product] リクエストタイプが Connector for Jira Service Desk 用に作成されたため、[Request AWS Product] リクエストタイプを編集する必要はありません。リクエストタイプを既存のグループに追加できます。グループがない場合は、新しいグループを作成し、そのグループにリクエストタイプを追加します。
IT ライフサイクル管理のセットアップとユースケースAWS Service Management Connector for Jira Service Deskを使用すると、エンドユーザーは Atlassian のを通じて AWS リソースをネイティブにプロビジョニング、管理、運用Jira Service Deskできます。JiraService DeskIT ライフサイクル管理のシナリオを有効にするには、以下を設定する必要があります。
• AWS Config にリンクされたリソース• 問題に対して推奨される AWS Systems Manager の修正• サンプルユースケース: IT ライフサイクル管理用の Jira 問題の自動作成、非準拠のパブリック S3 バ
ケットの修正
120
AWS Service Catalog 管理者ガイドIT ライフサイクル管理のセットアップとユースケース
AWS Config および Jira 問題に対して推奨される AWS SystemsManager の修正Connector には、あらゆる問題に対して使用および表示できる 2 つのフィールドがあります。
• AWS Config にリンクされたリソース: このフィールドを使用すると、AWS Config にエントリがあるすべてのリソースが Jira の問題に AWS Config 情報を表示できます。情報が展開でき、リレーションの情報も表示できます。複数の AWS リソースを 1 つの問題にリンクできます。
• AWS Systems Manager Automation の推奨される修正: このフィールドでは、問題に対して SSM オートメーションドキュメントを記録できます。これらは、問題を修正するための推奨方法として表示されます。Jira ユーザーが問題を確認すると、推奨される修正内容が表示され、クリックして適用できます。1つの問題に複数の修正案を添付できます。
この 2 つのフィールドは個別に使用できますが、強力に連携して機能します。AWS リソースまたはリソースセットでインシデントが検出された場合、両方を設定することで、Jira ユーザーは Config 情報を参照して問題を確認し、理解を深め、一般的な問題を解決する修正を適用することができます。その後、AWS Config で問題が修正されたことを確認します。
既存の問題に AWS フィールドを追加するには
1. 1 つまたは複数のプロジェクトが Connector に対して有効になっている必要があります。これは、Connector セットアップガイドの他の箇所で説明されているように、[Admin] -> [Manage Add-Ons] の [Connector Settings] で行われます。
2. [管理者]、[Projects (プロジェクト)] の順に選択し、これらのフィールドを使用するプロジェクトを開きます。
3. 左側のメニューで、使用する問題の種類を選択します。4. 右上の「フィールド」を選択して表示します (まだ選択されていない場合)。その後、画面で有効に
なっているフィールドのリストが表示されます。5. 追加のフィールドを入力できるテキストボックスがある場所までスクロールします。「AWS」と入力
し、使用する AWS フィールドを選択します。6. [追加] を選択して適用します。7. 他のフィールドを使用する場合は、前の手順を繰り返します。8. これらのフィールドを使用する問題の種類ごとに、これらの手順を繰り返します。問題の種類によっ
ては画面を共有する場合があるため、一部でフィールドが既に追加されている場合があります。
また、使用している 1 つまたは複数のフィールドのフィールド ID を書き留めておくことも重要です。これは、[ Admin -> Issues -> Custom fields (管理者 -> 問題 -> カスタムフィールド)] に移動して、該当するそれぞれのフィールドで [Configure (設定)] を選択することで行えます。
開いた URL を調べて、数値フィールド ID を確認します。5 桁の数字にする必要があります。または、(上記の手順に従って) フィールドを追加したプロジェクトの問題の場合、 /rest/api/2/issue/PRJ-1/editmeta の http://localhost:2990/jira/rest/api/2/issue/PRJ-1/editmetaREST API にフィールドに関する情報が含まれ、エントリ が含まれている必要があります。ここで、customfield_ままままま: { ..., name: "AWS Config Linked Resources", ... } は数値フィールド ID ままままま です。
プロジェクトおよび問題の種類でこれらのフィールドが有効になったら、Jira REST API を使用して、これらのフィールドの値を使用して問題を作成または更新します。これは、 CloudWatch や Jenkins などのツール、または Systems Manager Automation ドキュメント (次のセクションで提供) から使用できます。AppDynamics問題を更新するための REST APIエンドポイントは /rest/api/2/issue/issue-keyです。値を設定するために渡す一般的なスキーマは次のとおりです。
121
AWS Service Catalog 管理者ガイドIT ライフサイクル管理のセットアップとユースケース
{ "update": { "customfield_field-ID": [ { "set": "value" } ] } }
以下の例を参照するか、REST API の詳細については、JIRA 開発者向けドキュメントを参照してください。JIRA REST を使用して問題を更新しますAPIs。
AWS Config にリンクされたリソース[AWS Config Linked Resources (AWS Config にリンクされたリソース)] フィールドは、リンクされたリソースに対応するオブジェクト (マップ) のリストの JSON 文字列表現に設定する必要があり、それぞれに次のキーを設定します。
• resourceId: のリソースの IDAWS Config• resourceType: のリソースのタイプAWS Config• accountName: このリソースへのアクセスに使用する Jira で設定した AWS アカウントの名前/エイリア
ス• region: このリソースに関する情報を取得するために AWS Config にアクセスする必要があるリージョン
たとえば、次の値は、Jira で MyAccount1 として識別される AWS アカウントに対して Jira で指定されたアカウントとエンドユーザーの認証情報を使用して、eu-central-1 の S3 バケット my-bucket に関する情報を表示します。
[ { "resourceId": "my-bucket", "resourceType": "AWS::S3::Bucket", "accountName": "MyAccount1", "region": "eu-central-1" } ]
AWS Systems Manager Automation で推奨される修正AWS Systems Manager Automation の推奨される修正フィールドは、改善を提案するオートメーションドキュメントに対応するオブジェクト (マップ) のリストの JSON 文字列表現に設定する必要があり、それぞれに次のキーを設定します。
• documentName: Systems Manager Automation ドキュメントの名前• description: Jira に表示する修正の説明。これは AWS のドキュメントの説明とは異なる場合があり、こ
れが設定されている問題に対する適切な修正方法である理由を説明します• accountName: このリソースへのアクセスに使用する Jira で設定した AWS アカウントの名前/エイリア
ス• region: このリソースに関する情報を取得するために AWS Config にアクセスする必要があるリージョン
たとえば、次の値は、Jira で MyAccount1 として識別される AWS アカウントに対して Jira で指定されたアカウントとエンドユーザーの認証情報を使用して、Jira で表示する適切な説明を含む AWS-DisableS3BucketPublicReadWrite オートメーションドキュメントを eu-central-1 に適用することを提案します。
[ { "documentName": "AWS-DisableS3BucketPublicReadWrite", "description": "This will make the bucket private, resolving the issue.",
122
AWS Service Catalog 管理者ガイドIT ライフサイクル管理のセットアップとユースケース
"accountName": "MyAccount1", "region": "eu-central-1" } ]
スクリプト作成フィールドの作成
例として、curl を使用する次の bash スクリプトは、上記のリソースを問題にリンクし、推奨される修正をアタッチします。以下で使用される値は、Jira がログイン `admin:admin` で `localhost:2990/jira` にあり、問題は `PRJ-1`、フィールドは 10011 (IDsリンクされたリソース) および 10010 (推奨される修正)AWS Configであることを前提としています。これらは、環境に合わせて変更する必要があります。
1. これらを環境と問題に応じて設定します。
JIRA_BASE_URL=http://localhost:2990/jira
JIRA_USER_PASS=admin:admin
ISSUE_KEY=PRJ-12. フィールド ID を設定し、リンクする AWS Config リソースの JSON レコードを編集する
CUSTOM_FIELD_ID=customfield_10011cat > value.json EOF [ { "resourceId": "my-bucket", "resourceType": "AWS::S3::Bucket", "accountName": "MyAccount1", "region": "eu-central-1" } ]EOF
3. JSON をエスケープするヘルパー関数を定義する
json_escape () { printf '%s' "$1" | python -c \ 'import json,sys; print(json.dumps(sys.stdin.read()))'}
4. REST 呼び出しを行い、AWS Config にリンクされたリソースフィールドを設定する
curl -v -D- -X PUT -H "Content-Type: application/json" \ --data '{ "update": { "'${CUSTOM_FIELD_ID}'": [ {"set": '"$( json_escape "$(cat value.json)")"' } ] } }' \ -u admin:admin ${JIRA_BASE_URL}/rest/api/2/issue/${ISSUE_KEY}
5. フィールド ID を設定し、推奨される修正の JSON レコードを編集してアタッチする
CUSTOM_FIELD_ID=customfield_10010cat > value.json EOF [ { "documentName": "AWS-DisableS3BucketPublicReadWrite", "description": "This will make the bucket private, resolving the issue.", "accountName": "MyAccount1", "region": "eu-central-1" } ]
123
AWS Service Catalog 管理者ガイドIT ライフサイクル管理のセットアップとユースケース
EOF
6. REST 呼び出しを行い、[AWS Systems Manager Automation Suggested Remediations (AWS SystemsManager Automation で推奨される修正)] フィールドを設定します。
curl -v -D- -X PUT -H "Content-Type: application/json" \ --data '{ "update": { "'${CUSTOM_FIELD_ID}'": [ {"set": '"$( json_escape "$(cat value.json)")"' } ] } }' \ -u ${JIRA_USER_PASS} ${JIRA_BASE_URL}/rest/api/2/issue/${ISSUE_KEY}
その後、この問題はバケットの AWS Config とそれを非公開にするための推奨される修正を表示します。
AWS Systems Manager からの提案とリンクされた AWS リソースに関する問題の作成Systems Manager Automation ドキュメントが提供されています。このドキュメントにより、リンクされた AWS リソースと最大 3 つの推奨修正ドキュメントが設定されたフィールドを使用して、Jira 問題を自動的に作成できます。このオートメーションドキュメントをインストールするには、次の 2 つのファイルが含まれている JSD Connector Create Remediation Issue Automation and IT Lifecycle Demo.zip をダウンロードして抽出します。
• JSDConnector-CreateRemediationIssue.ssmdoc.yaml• JSDConnector-function.zip
以下のステップに従ってください。
1. ファイル `JSDConnector-function.zip` をバケットにアップロードします。以下のコマンドがこれを実行します (`${BUCKET}` を適切なバケットに置き換えます)。
aws s3 cp JSDConnector-function.zip s3://${BUCKET}/function.zip
2. JSDConnector前のステップのバケット名を ${BUCKET} として使用して、ファイル -CreateRemediationIssue.ssmdoc.yaml と添付ファイル JSDConnectorKey=SourceUrl,Values=s3://${BUCKET}/ から取得した内容を使用して、Systems Manager Automation ドキュメント (-CreateRemediationIssue) を作成します。以下のコマンドがこれを実行します (${BUCKET} を置き換えます)。
aws ssm create-document --name "JSDConnector-CreateRemediationIssue" --content "file://JSDConnector-CreateRemediationIssue.ssmdoc.yaml" --document-type "Automation" --document-format "YAML" --attachments "Key=SourceUrl,Values=s3://${BUCKET}/"
インストールしたら、他の Systems Manager オートメーションドキュメントと同じように使用し、パラメータを入力して実行します。Jira に接続するには、前述のパラメータと同じパラメータが多く必要になることに注意してください。
124
AWS Service Catalog 管理者ガイドIT ライフサイクル管理のセットアップとユースケース
その後、AWS Config 情報と推奨される修正が記載された問題が Jira に表示されます。
サンプルユースケース: IT ライフサイクル管理の問題の自動作成- 非準拠のパブリック S3 バケットの修正問題に対してフィールドが有効になり、Systems Manager Automation ドキュメントが作成されると、AWS の一般的な問題カテゴリの Jira 問題を自動的に作成するルールを設定できます。また、Jira エージェントとエンドユーザーが簡単に問題を確認して修正できるように、推奨する修正を含めることができます。
このデモでは、AWS の Config Ruleを作成してパブリック S3 バケットを検出し、Jira エージェントまたはエンドユーザーがパブリックアクセスを Jira から直接無効にできるようにします。
Systems Manager パラメータストアで、前提条件、オートメーションおよび lambda が実行するロール、および Secure String として使用する Jira パスワードを設定する必要があります。
パラメータストアに Jira パスワードを安全に保存するには
1. AWS コンソールを開き、[Systems Manager -> Parameter Store (Systems Manager -> パラメータストア)] に移動します。
2. [Create parameter] を選択します。3. 名前を jira_password に設定します。4. タイプを SecureString に設定します。5. 問題の作成に使用する Jira ユーザーのパスワードとして値を設定します。6. 保存するには、[Create parameter (パラメータの作成)] を選択します。
AWS CloudFormationテンプレートは、ロールと config ルールの設定に役立ちます。JSDConnector-CreateRemediationIssue-MakePublicBucketsPrivateConfigRule.cfn.yaml
テンプレートをインストールして、以下のパラメータを設定します。
• JiraURL: Jira のベース URL。REST API にアクセスした後に `/rest/...` が追加されます。• JiraUsername: Jira へのログインに使用するユーザー名 (`jira_password` で指定されたパスワードを使
用)• SSMParameterName: `jira_password` (Jira パスワードを含むパラメータ)• ProjectKey: プロジェクトのキー (問題の `-` より前のトークン)。たとえば `PRJ`• IssueTypeName: これは、Jira のプロジェクトの問題の種類の名前と正確に一致する必要があります。• JiraAwsAccountName: Jira の Connector で設定されている AWS アカウントの名前• JiraAwsAccountRegion: この違反リソースが見つかったリージョン (例: `us-east-1`)• JiraAwsResourceFieldId: Jira の AWS Config [ Linked Resources ( にリンクされたリソース)] フィールド
のフィールド ID を入力します (例: `customfield_10011`)• JiraRemediationsFieldId: Jira の [推奨されるAWS Systems ManagerAutomation 修正] フィールドの
フィールド ID を入力します (例: `customfield_10010`)。
Config ルールは、指定された期間内に自動的に実行されます。動作をすぐに確認するには:
1. パブリック Amazon S3 バケットを作成します。2. AWS Config で Config ルールを開き、[Re-evaluate (再評価)] を選択します。ルールとオートメーショ
ンの実行にはしばらく時間がかかることがありますが、違反しているバケットAWS Configの情報と、修復としてDisableS3BucketPublicReadWriteオートメーションドキュメントを示す新しい問題が数分以内に Jira に表示されます。
125
AWS Service Catalog 管理者ガイド構成の検証
構成の検証これで、AWS Service Management Connector for Jira Service Desk インストール手順を検証する準備ができました。
AWS Service CatalogAWS Service Catalog 製品を注文するには
1. Jira Service Desk カスタマーポータルにエンドユーザーとしてログインします。2. Jira Service Desk カスタマーポータルで、[Request AWS product] を選択します。3. 概要の詳細を入力します。4. [AWS product request detail] メニューを開き、プロビジョニングする製品を選択します。5. 製品の参照名、パラメータ、タグを含む製品リクエストの詳細を入力します。6. [Create] を選択して Jira Service Desk リクエストを送信し、AWS Service Catalog 製品をプロビジョ
ニングします。7. リクエストが処理されると、リクエストが作成されたことを示すメッセージが表示されます。製品の
プロビジョニングの準備ができたら、製品の起動がエンドユーザーに通知されます。
プロビジョニング済み製品を表示するには
1. Jira Service Desk カスタマーポータルで、右上隅にある [Requests] に移動します。2. Jira Service Desk カスタマーポータルビューで [My Requests] を選択します。3. リクエストした AWS 製品を選択します。4. 製品リクエスト、製品イベント、アクティビティのステータスを含む AWS 製品の詳細が表示されま
す。5. コネクタ機能が使用可能な場合は、AWS Config 情報が表示されます。設定項目または関係を展開し
て詳細情報を表示できます。関連リソースは、関係セクションの下で展開し続けることでロードできます。
6. 製品が [Available] ステータスになると、エンドユーザーは、Request update、Requesttermination、Request self-service actions などのプロビジョニング後の操作アクションをリクエストできます。これらのアクションによって、リクエスト内の追加の製品イベントとアクティビティがレンダリングされます。製品が終了すると、リクエストは解決済みの状態で終了します。
AWS Systems Manager Automationオートメーションドキュメントを実行するには
1. Jira Service Desk カスタマーポータルにエンドユーザーとしてログインします。2. Jira Service Desk カスタマーポータルで、[Request AWS automation (AWS オートメーションをリク
エストする)] を選択します。3. 概要の詳細を入力します。4. [AWS automation request detail (AWS オートメーションリクエストの詳細)] メニューを開き、実行す
るオートメーションドキュメントを選択します。5. オートメーションリクエストの詳細、パラメータ、タグを入力します。6. [作成] を選択して Jira Service Desk リクエストを送信し、AWS Systems Manager Automation ドキュ
メントを実行します。7. リクエストが処理されると、リクエストが作成されたことを示すメッセージが表示されます。オート
メーションが実行されると、エンドユーザーに進行状況が通知されます。
126
AWS Service Catalog 管理者ガイド構成の検証
オートメーション実行を表示するには
1. Jira Service Desk カスタマーポータルで、右上隅にある [Requests] に移動します。2. Jira Service Desk カスタマーポータルビューで [My Requests] を選択します。3. リクエストした AWS オートメーションの実行を選択します。AWS オートメーションの実行の詳細が
表示されます。これには、実行のステータス、リクエストの詳細、ステップが含まれます。
AWS Systems ManagerOpsCenterAWS Systems Manager から Jira Service Desk を表示するにはOpsItems
1. エンドユーザーとして Jira Agent ビューにログインします。2. Jira Agent ビューで、Jira Service DeskOpsCenter3. [Open Issues (未解決の問題)] を選択し、表示する AWS OpsItemから を選択します。
Jira Service Desk OpsItems で AWS Systems Manager を作成するには
1. エンドユーザーとして Jira Agent ビューにログインします。2. [Jira Service DeskJira Agent] ビューで、[Create] を選択します。3. [Create Issue (問題の作成)] フィールドに、次の詳細を入力します。
• プロジェクト: 自動入力• 問題のタイプ: 複数の問題タイプがある場合は AWS を選択するOpsItem• 概要: 入力概要の詳細• 説明: 入力の説明• 優先度: 適切な [優先度] (デフォルト値は [低]) を選択します。• 重大度: 適切な重要度を選択します (AWS で必須OpsItem)。• カテゴリ: 適切なカテゴリを選択します (AWS で必須OpsItem)• リージョン: 適切な AWS リージョンを選択します (AWS で必須OpsItem)
4. [作成] を選択します。
Note
OpsItemから新しく作成された Jira Service Deskは、AWS と との次の同期OpsItemで、 のJira Service Desk AWS アカウントビューに表示されます。
Jira Service Desk OpsItems で AWS Systems Manager を更新するには
1. エンドユーザーとして Jira Agent ビューにログインします。2. [Jira Service DeskJira Agent] ビューで、 に関連付けられた Jira プロジェクトを選択します
OpsCenter。3. [Open Issues (未解決の問題)] を選択し、更新する AWS OpsItemから を選択します。4. [Edit Issue (問題の編集)] を選択します。5. [Summary (概要)]、[Description (説明)]、[Priority (優先度)]、[Severity (重大度)]、[Category (カテゴリ)]
など、利用可能なフィールドを更新します。問題の解決時に、この問題の [OpsItemResolved (解決済み)] ボタンも選択できます。
Note
からのOpsItemフィールドの更新Jira Service Deskは、AWS と 間の次の同期OpsItemでAWS アカウントビューに表示されますJira Service Desk。
127
AWS Service Catalog 管理者ガイドJira のその他の管理者機能
Jira Service Desk OpsItemsを通じて AWS Systems Manager で AWS 関連リソースを表示するには
1. エンドユーザーとして Jira Agent ビューにログインします。2. [Jira Service Deskエージェント] ビューで、 に関連付けられた Jira プロジェクトを選択します
OpsCenter。3. [Open Issues (未解決の問題)] を選択し、AWS OpsItemから を選択します。OpsItem4. OpsItem選択した の [AWS related resource (AWS 関連リソース)] セクションに移動します。このセク
ションでは、関連するリソースの詳細が表示されます。
Jira Service Desk OpsItemsを通じて AWS Systems Manager でランブックを実行するには
1. エンドユーザーとして Jira Agent ビューにログインします。2. Jira Agent ビューで、 に関連付けられた Jira プロジェクトを選択しますJira Service
Desk。OpsCenter3. [Open Issues (未解決の問題)] を選択し、 を選びますOpsItem。4. AWS Runbooks OpsItemのセクションに移動します。関連付けられたランブックOpsItemを含む に
は、星の形記号によって強調表示された利用可能なオートメーションドキュメントのリストが表示されます。
• 目的のランブックの実行を選択します。[Runbook の実行OpsItem] が画面に表示されます。• ランブックに関連付けられたワークフローパラメータの詳細を入力します。注意: ランブックは、正
しいパラメータ入力がないと実行されません。• 該当する場合は、メタデータタグの詳細を入力します。• [Create] (作成) を選択します。Execute AWS Systems Manager Automation Request の問題が生成
され、実行ステータスが表示されます。
OpsItems関連付けられたランブックがないランブックは、引き続き自動化されたドキュメントを実行できます。
ランブックに関連付けられていない自動ドキュメントを実行するには
1. OpsItemで、[Show All Runbooks] (すべてのランブックを表示) を選択します。AWS ランブックのリストが表示されます。
2. 使用可能なランブックのリストを絞り込むには、最初に一覧表示されているランブックの上にある検索バーに詳細を入力します。
3. 目的のランブックの実行を選択します。[Runbook の実行OpsItem] が画面に表示されます。4. ランブックに関連付けられたワークフローパラメータの詳細を入力します。注意: ランブックは、正し
いパラメータ入力がないと実行されません。5. 該当する場合は、メタデータタグの詳細を入力します。6. [作成] を選択します。Execute AWS Systems Manager Automation Request の問題が生成され、実行
ステータスが表示されます。
Jira のその他の管理者機能次のセクションでは、Jira で使用できる承認とアクセス制御について説明します。
128
AWS Service Catalog 管理者ガイドJira のその他の管理者機能
Approvals承認エージェントは、製品リクエストを承認または却下するオプションを含む画面にアクセスできます。拒否する場合、エージェントはリクエストを拒否する理由を説明するコメントを追加できます。リクエスタは、Waiting for Approval、Scheduled、Launching、Available などのリクエストのステータスを確認できます。
承認者グループのメンバーに対する変更は、既存の問題で特定された承認者には影響しませんが、承認が許可されるかどうかには影響します。承認者ユーザーは、問題の作成時に問題に割り当てられ、これらのユーザーのみにリクエストを承認するオプションが付与されます。承認者ユーザーは、承認が行われる際にもグループのメンバーである必要があります。そうしないと、承認は却下されます。
AWS Service Catalog と同様に、終了を含むすべてのプロビジョニング後のアクションは、プロビジョニングを承認されたユーザーまたはグループに対して事前承認されます。
アクセスコントロールこのガイドで前述したとおり、アクセスコントロールはポートフォリオに設定できます。これらのアクセスコントロールは、プロジェクトごとの有効化に加えて行われます。ユーザーがポートフォリオ内の製品をプロビジョニングするには、AWS Connector 対応のプロジェクトにアクセスでき、ポートフォリオに対して有効なグループに属している必要があります。
129
AWS Service Catalog 管理者ガイド
ドキュメント履歴次の表は、AWS Service Catalog ドキュメントへの重要な追加項目をまとめたものです。
機能 説明 リリース日
Connector for の最新バージョンServiceNow
Connector for ServiceNow の更新については、「」を参照してくださいService Management Connector forServiceNow (p. 82)。
2020 年 9 月 24 日
AWS のサービスクォータ
AWS Service Catalog で AWS のサービスクォータを使用する方法については、「AWS Service Catalog のデフォルトのサービスクォータ (p. 4)」を参照してください。
2020 年 3 月 24 日
入門ライブラリ AWS Service Catalog が提供する Well-Architected 製品テンプレートについては、「入門ライブラリ (p. 17)」を参照してください。
2020 年 3 月 10 日
バージョンガイダンス
製品バージョンガイダンスについては、「バージョンガイダンス (p. 38)」を参照してください。
2019 年 12 月 17 日
Connector for JiraService Desk
Connector for Jira Service Desk の使用を開始するには、「AWS ServiceManagement Connector for Jira ServiceDesk (p. 104)」を参照してください。
2019 年 11 月 21 日
Connector for の新しいバージョンServiceNow
Connector for ServiceNow の更新については、「」を参照してくださいService Management Connector forServiceNow (p. 82)。
2019 年 11 月 18 日
セキュリティに関する新しい章
AWS Service Catalog のセキュリティについては、「AWS Service Catalog でのセキュリティ (p. 19)」を参照してください。
2019 年 10 月 31 日
プロビジョニング済み製品の所有者の変更
プロビジョニング済み製品の所有者を変更する方法については、「プロビジョニング済み製品所有者の変更 (p. 68)」を参照してください。
2019 年 10 月 31 日
新しいリソースの更新の制約
プロビジョニング済み製品でタグを更新するために RESOURCE_UPDATE の制約を使用する方法の詳細については、「AWS Service Catalog タグの更新の制約 (p. 41)」を参照してください。
2019 年 4 月 17 日
Connector forServiceNow
Connector for ServiceNow の使用を開始するには、「Service ManagementConnector for ServiceNow (p. 82)」を参照してください。
2019 年 3 月 19 日
130
AWS Service Catalog 管理者ガイド
機能 説明 リリース日
のサポートAWSCloudFormationStackSets
の使用を開始するには、「」を参照してくださいAWSCloudFormation。StackSetsAWSCloudFormation StackSets の使用 (p. 64)
2018 年 11 月 14 日
セルフサービスアクション
セルフサービスアクションの使用を開始するには、「AWS Service Catalog のサービスアクション (p. 51)」を参照してください。
2018 年 10 月 17 日
CloudWatch のメトリクス
CloudWatchメトリクスの詳細については、「」を参照してくださいAWSService Catalog CloudWatch のメトリクス (p. 79)。
2018 年 9 月 26 日
TagOptions のサポート
タグを管理するには、「AWS ServiceCatalog TagOption ライブラリ (p. 74)」を参照してください。
2017 年 28 月 6 日
ポートフォリオのインポート
他の AWS アカウントから共有されたポートフォリオをインポートするには、「ポートフォリオのインポート (p. 63)」を参照してください。
2016 年 2 月 16 日
アクセス権限情報の更新
エンドユーザーコンソールビューへのアクセスを許可するには、「エンドユーザーのコンソールアクセス (p. 23)」を参照してください。
2016 年 2 月 16 日
初回リリース これは AWS Service CatalogAdministrator Guide の最初のリリースです。
2015 年 7 月 9 日
131
AWS Service Catalog 管理者ガイド
「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」
cxxxii