AWS Service Catalog
管理者ガイド
AWS Service Catalog 管理者ガイド
AWS Service Catalog: 管理者ガイド
Copyright © 2016 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.
Abstract
AWS Service Catalog では、AWS での使用が承認された IT サービスのカタログを作成および管理できま
す。この IT サービスには、仮想マシンイメージ、サーバー、ソフトウェア、データベースから包括的な
多層アプリケーションアーキテクチャまで、あらゆるものが含まれます。
Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any manner
that is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks not
owned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored by
Amazon.
AWS Service Catalog 管理者ガイド
Table of Contents
AWS Service Catalog とは? ............................................................................................................ 1
概念 .................................................................................................................................... 2
AWS Service Catalog ユーザー ........................................................................................ 2
ポートフォリオ ............................................................................................................. 2
製品 ............................................................................................................................ 2
バージョニング ............................................................................................................. 3
アクセス許可 ................................................................................................................ 3
制約 ............................................................................................................................ 3
スタック ...................................................................................................................... 3
セットアップ ................................................................................................................................ 4
Amazon Web Services へのサインアップ .................................................................................. 4
管理者およびエンドユーザー用の IAM アクセス権限の取得 ......................................................... 5
AWS CloudFormation テンプレートの取得 (オプション) .............................................................. 5
ご利用開始にあたって ................................................................................................................... 6
ステップ 1: 管理者として IAM アクセス権限を取得する .............................................................. 7
ステップ 2: エンドユーザーに IAM アクセス権限を付与する ........................................................ 8
ステップ 3: AWS CloudFormation テンプレートに慣れる ............................................................ 9
ステップ 4: キーペアを作成する ............................................................................................ 12
ステップ 5: ポートフォリオを作成する ................................................................................... 13
ステップ 6: 製品を作成する .................................................................................................. 14
ステップ 7: テンプレート制約を追加する ................................................................................ 15
ステップ 8: 起動制約を追加する ............................................................................................ 16
ステップ 9: ポートフォリオへのアクセス権限のエンドユーザーへの付与 ..................................... 17
ステップ 10: エンドユーザーのエクスペリエンスをテストする ................................................... 18
カタログの作成と管理 .................................................................................................................. 20
デフォルトのサービス制限 .................................................................................................... 20
ポートフォリオの管理 .......................................................................................................... 21
ポートフォリオページの使用 ......................................................................................... 21
ポートフォリオ詳細ページの使用 .................................................................................. 21
ポートフォリオの作成と削除 ......................................................................................... 22
製品の追加 ................................................................................................................. 22
制約の追加 ................................................................................................................. 24
ポートフォリオへのタグ付け ......................................................................................... 25
ユーザーへのアクセス権限の付与 .................................................................................. 25
製品の管理 ......................................................................................................................... 26
製品ページの表示 ........................................................................................................ 26
製品の作成 ................................................................................................................. 26
ポートフォリオへの製品の追加 ..................................................................................... 27
製品の更新 ................................................................................................................. 27
製品の削除 ................................................................................................................. 28
ポートフォリオへの AWS Marketplace 製品の追加 ................................................................... 28
制約の適用 ......................................................................................................................... 33
起動制約の適用 ........................................................................................................... 33
テンプレート制約の適用 ............................................................................................... 35
タグ .................................................................................................................................. 44
タグの使用 ................................................................................................................. 45
アクセス許可 ...................................................................................................................... 45
AWS 管理ポリシー ...................................................................................................... 45
エンドユーザーのコンソールアクセス ............................................................................ 46
エンドユーザー向け製品アクセス .................................................................................. 47
ポートフォリオの共有 .......................................................................................................... 47
共有ポートフォリオとインポートされたポートフォリオの関係の概要 ................................. 48
ポートフォリオの共有 .................................................................................................. 49
ポートフォリオのインポート ......................................................................................... 50
エンドユーザーコンソールの使用 .................................................................................................. 51
iii
AWS Service Catalog 管理者ガイド
ダッシュボードの使用 ..........................................................................................................
製品リストの使用 ................................................................................................................
スタックリストの使用 ..........................................................................................................
利用可能な製品の表示 ..........................................................................................................
製品バージョンの選択 ..................................................................................................
起動オプション ...........................................................................................................
タグ ..........................................................................................................................
サポートの詳細 ...........................................................................................................
製品の起動 .........................................................................................................................
スタック情報の表示 .............................................................................................................
スタックのステータスの表示 .........................................................................................
出力の表示 .................................................................................................................
イベントを表示する .....................................................................................................
パラメータの入力 ........................................................................................................
タグの表示 .................................................................................................................
サポート詳細の表示 .....................................................................................................
スタックの更新 ...................................................................................................................
スタックの削除 ...................................................................................................................
ドキュメント履歴 ........................................................................................................................
iv
51
52
52
53
53
53
53
53
54
54
55
55
55
55
56
56
56
56
58
AWS Service Catalog 管理者ガイド
AWS Service Catalog とは?
Abstract
AWS Service Catalog を使用して、AWS クラウドで実行され、マーケットプレイスのようなインターフェイスで
ユーザーに提供する基幹業務アプリケーションのコレクションを構築します。
AWS Service Catalog では、AWS での使用が承認された IT サービスのカタログを作成および管理でき
ます。この IT サービスには、仮想マシンイメージ、サーバー、ソフトウェア、データベースから包括
的な多層アプリケーションアーキテクチャまで、あらゆるものが含まれます。組織は、AWS Service
Catalog を使用して、一般的にデプロイされた IT サービスを集中管理でき、一貫性のあるガバナンス
を実現し、コンプライアンス要件を満たすと同時に、ユーザーは必要な承認済みの IT サービスのみを
すばやくデプロイできます。AWS Service Catalog には次の利点があります。
• セルフサービスの検出と起動
ユーザーは、アクセスできるサービスまたはアプリケーションのリストを参照し、使用するサービス
またはアプリケーションを見つけ、すべて自分で起動します。システム管理者は、製品を起動できる
場所、使用できるインスタンスのタイプ、およびその他の多くの設定オプションを制限できます。
• 詳細なアクセス制御と設定
管理者は、カタログからサービスとアプリケーションのポートフォリオを組み立て、特定のグループ
のユーザーに適用するルール (ユーザーが起動するリソースに割り当てることができるタグなど) を
追加し、AWS Identity and Access Management (IAM) ユーザーとグループを通じてポートフォリオ
へのアクセス権限を付与します。
• 拡張性とバージョン管理
管理者は、任意の数のポートフォリオにアプリケーションまたはサービスを追加し、別のコピーを作
成することなく、それを制限できます。アプリケーションを新しいバージョンに更新すると、それを
参照するすべてのポートフォリオで、アプリケーションのすべてのインスタンスに対して更新が伝播
されます。
その他の主なサービスについては、AWS Service Catalog の詳細ページを参照してください。
1
AWS Service Catalog 管理者ガイド
概念
概念
Abstract
基本的な概念を学習して、AWS Service Catalog の使用を開始します。
AWS Service Catalog の基本コンポーネントについて理解すると、このサービスを最大限に活用するこ
とができます。
トピック
• AWS Service Catalog ユーザー (p. 2)
• ポートフォリオ (p. 2)
• 製品 (p. 2)
• バージョニング (p. 3)
• アクセス許可 (p. 3)
• 制約 (p. 3)
• スタック (p. 3)
AWS Service Catalog ユーザー
AWS Service Catalog ユーザーは、持っているアクセス権限のレベルに応じて、次のいずれかのタイプ
である可能性があります。
• カタログ管理者 (管理者) – 製品 (アプリケーションおよびサービス) のカタログを管理し、ポートフォ
リオに整理してエンドユーザーにアクセス権限を付与します。カタログ管理者は、AWS CloudFormation
テンプレートを準備し、制約を設定し、製品に割り当てられた IAM ロールを管理して、高度なリソー
ス管理のための起動ロールを提供します。
• エンドユーザー – IT 部門またはマネージャーから AWS 認証情報を受け取り、AWS マネジメントコ
ンソールを使用して、アクセス権限を付与されている製品を起動します。エンドユーザーは、使用す
る製品で必要なすべてのリソースを起動および管理するアクセス権限を付与されている場合や、サー
ビス機能へのアクセス権限のみを付与されている場合があります。
ポートフォリオ
ポートフォリオとは、製品の集合で、設定情報も組み込まれています。ポートフォリオは、特定の製品
を使用できるユーザー、そのユーザーに許可される製品の使用方法の管理に役立ちます。AWS Service
Catalog では、組織のユーザータイプごとにカスタマイズしたポートフォリオを作成し、適切なポート
フォリオへのアクセス権を選択的に付与できます。製品の新しいバージョンをポートフォリオに追加す
ると、そのバージョンは、現在のすべてのユーザーに対して自動的に利用可能になります。また、自分
のポートフォリオを他の AWS アカウントと共有して、そのアカウントの管理者がそのポートフォリオ
に制約を加えて配布できるようにすることができます。ポートフォリオ、アクセス権限、共有、制約を
使用することで、組織のニーズに合わせて適切に設定された製品をユーザーが起動するよう制御できま
す。
製品
製品とは、AWS でのデプロイに利用できるようにする IT サービスのことです。製品は、EC2 インス
タンス、ストレージボリューム、データベース、モニタリング設定、ネットワーキングコンポーネン
ト、パッケージ化された AWS Marketplace 製品など、1 つ以上の AWS リソースで構成できます。製
品には、AWS Linux を実行する 1 つのコンピューティングインスタンス、独自の環境で実行される完
全に構成された多層ウェブアプリケーション、その中間に位置するものを使用できます。AWS
2
AWS Service Catalog 管理者ガイド
バージョニング
CloudFormation テンプレートをインポートして製品を作成します。このテンプレートでは、製品に必
要な AWS リソース、リソース間の関係、エンドユーザーが製品を起動したときにセキュリティグルー
プの設定、キーペアの作成、その他のカスタマイズを行うために組み込むことができるパラメータを定
義します。
バージョニング
AWS Service Catalog では、カタログで複数のバージョンの製品を管理できます。これにより、ソフト
ウェアの更新または設定の変更に基づいて新しいバージョンのテンプレートと関連するリソースを追加
できます。新しいバージョンの製品を作成すると、その製品にアクセスできるすべてのユーザーに更新
が自動的に配信されるので、ユーザーは使用する製品のバージョンを選択できます。ユーザーは、製品
の実行中のインスタンスを新しいバージョンにすばやく簡単に更新できます。
アクセス許可
ポートフォリオへのアクセス権をユーザーに付与すると、ユーザーはポートフォリオを閲覧して、それ
に含まれる製品を起動できます。AWS Identity and Access Management (IAM) アクセス権限を適用し
て、カタログを表示および変更できるユーザーを制御します。IAM アクセス権限は IAM のユーザー、
グループ、およびロールに割り当てることができます。ユーザーが IAM ロールが割り当てられている
製品を起動すると、AWS Service Catalog では、そのロールで、AWS CloudFormation を使用して製品
のクラウドリソースを起動します。IAM ロールを各製品に割り当てると、承認されていない操作を実行
できるアクセス権限がユーザーに割り当てられないようにすることができます。また、ユーザーは、カ
タログを使用してリソースをプロビジョニングできます。
制約
制約によって、特定の AWS リソースを製品に対してデプロイできる方法を制限します。制約を使用し
て、製品に制限を適用し、ガバナンスまたはコスト管理を実現できます。制約にはテンプレートと起動
の 2 つのタイプがあります。テンプレート制約では、製品を起動したときにユーザーが使用できる設定
パラメータ（EC2 インスタンスタイプ、IP 範囲など）を制限します。テンプレート制約では、汎用
AWS CloudFormation テンプレートを製品に再利用して、製品単位またはポートフォリオ単位でテンプ
レートに制限を適用できます。起動制約では、ポートフォリオ内の製品に対してロールを指定できま
す。このロールは、起動時にリソースをプロビジョニングするときに使用されるので、ユーザーがカタ
ログから製品をプロビジョニングする機能に影響を与えずに、ユーザーのアクセス許可を制限できま
す。
スタック
AWS CloudFormation スタックにより、製品インスタンスを単一のユニットとしてプロビジョニング、
タグ付け、更新、および終了できるので、製品のライフサイクルを管理しやすくなります。AWS
CloudFormation スタックには、AWS CloudFormation テンプレートおよびそのリソースの関連コレク
ションが含まれます。エンドユーザーが製品を起動すると、AWS Service Catalog によってプロビジョ
ニングされる製品のインスタンスは、製品の実行に必要なリソースのスタックになります。
3
AWS Service Catalog 管理者ガイド
Amazon Web Services へのサインアップ
セットアップ
Abstract
必要なアカウントを作成し、AWS Service Catalog を使用するための適切な認証情報をダウンロードして、チュー
トリアルを実行します。
このガイドのチュートリアルを実行するには、アカウントをセットアップし、セキュリティ認証情報を
取得する必要があります。このトピックでは、セットアッププロセス全体を手順を追って説明します。
トピック
• Amazon Web Services へのサインアップ (p. 4)
• 管理者およびエンドユーザー用の IAM アクセス権限の取得 (p. 5)
• AWS CloudFormation テンプレートの取得 (オプション) (p. 5)
Amazon Web Services へのサインアップ
Amazon Web Services (AWS) を使用するには、AWS アカウントにサインアップする必要があります。
AWS にサインアップしてアカウントを作成するには
1.
http://aws.amazon.com/ を開き、[AWS アカウントの作成] を選択します。
2.
オンラインの手順に従います。
サインアップ手順の一環として、通話呼び出しを受け取り、電話のキーパッドを用いて PIN を入
力することが求められます。
AWS のサインアップ処理が完了すると、ユーザーに確認メールが送信されます。ユーザーはいつでも
http://aws.amazon.com/ で [My Account]、[AWS Management Console] の順に選択することで、現在の
アカウントアクティビティを表示し、アカウントを管理することができます。
4
AWS Service Catalog 管理者ガイド
管理者およびエンドユーザー用の IAM アクセス権限の取得
管理者およびエンドユーザー用の IAM アクセス権
限の取得
カタログ管理者とエンドユーザーは、AWS Service Catalog を使用するためにさまざまな IAM アクセ
ス権限を必要とします。カタログ管理者には、AWS Service Catalog 管理者コンソールにアクセスし、
製品を作成して、製品を管理するための IAM アクセス権限が必要です。エンドユーザーが製品を使用
できるようにするには、AWS Service Catalog エンドユーザーコンソールへのアクセス、製品の起動、
および起動された製品のスタックとしての管理を許可するアクセス権限をエンドユーザーに付与する必
要があります。
AWS では、AWS Service Catalog 用の AWS 管理ポリシーにより、これらのアクセス権限の多くが提
供されます。AWS はこのようなポリシーを維持し、AWS Identity and Access Management (IAM) サー
ビスで提供します。これらのポリシーは、IAM ユーザー、グループ、または自分やエンドユーザーが使
用するロールにアタッチして使用できます。これらのポリシーの詳細については、「アクセス許
可 (p. 45)」を参照してください。エンドユーザーにアクセス権限を付与する手順については、『入門
ガイド』の「ステップ 2: AWS Service Catalog エンドユーザーに IAM アクセス権限を付与する (p. 8)」
を参照してください。
AWS CloudFormation テンプレートの取得 (オプ
ション)
『入門ガイド』のチュートリアルで使用するために、サンプルの AWS CloudFormation テンプレート
が用意されています。このガイドでは AWS CloudFormation の基本的ないくつかの事項を説明します
が、複雑なアプリケーションのテンプレートを作成する必要がある場合は、「AWS CloudFormation
ユーザーガイド」を参照してください。
5
AWS Service Catalog 管理者ガイド
ご利用開始にあたって
Abstract
AWS Service Catalog 管理の基本について、チュートリアルで説明します。
このチュートリアルでは、カタログ管理者として実行するタスクの多くについて説明します。AWS
Identity and Access Management (IAM) アクセス権限を更新してカタログ管理の要件を満たし、エンド
ユーザー用の IAM ユーザーを作成します。次に、AWS CloudFormation テンプレートに基づいて製品
を作成します。これにより、製品で使用される AWS リソースが定義されます。Linux Desktop 製品は、
Amazon Linux 上で動作するクラウド開発環境です。ポートフォリオに製品を追加し、エンドユーザー
に配信します。最後に、エンドユーザーとして AWS にログインして製品をテストします。
Note
AWS Service Catalog で作成した製品とポートフォリオは、それらを作成するリージョンで使
用する必要があります。このチュートリアルを開始するときに、コンソールが設定されている
リージョンを確認し、同じリージョンの設定を全体で維持します。詳細については、『AWS
マネジメントコンソール入門ガイド』の「リージョンの選択」を参照してください。
トピック
• ステップ 1: AWS Service Catalog 管理者の IAM アクセス権限を取得する (p. 7)
• ステップ 2: AWS Service Catalog エンドユーザーに IAM アクセス権限を付与する (p. 8)
• ステップ 3: AWS CloudFormation テンプレートに慣れる (p. 9)
• ステップ 4: キーペアを作成する (p. 12)
• ステップ 5: AWS Service Catalog のポートフォリオを作成する (p. 13)
• ステップ 6: AWS Service Catalog 製品を作成する (p. 14)
• ステップ 7: テンプレート制約を追加してインスタンスサイズを制限する (p. 15)
• ステップ 8: IAM ロールを割り当てる起動制約を追加する (p. 16)
• ステップ 9: ポートフォリオへのアクセス権限のエンドユーザーへの付与 (p. 17)
• ステップ 10: エンドユーザーのエクスペリエンスをテストする (p. 18)
6
AWS Service Catalog 管理者ガイド
ステップ 1: 管理者として IAM アクセス権限を取得する
ステップ 1: AWS Service Catalog 管理者の IAM ア
クセス権限を取得する
Abstract
IAM アクセス権限を更新してカタログ管理の要件を満たします。
カタログ管理者には、AWS Service Catalog 管理者コンソールへのアクセスと、以下のようなタスクを
許可する IAM アクセス権限が必要です。
• ポートフォリオの作成と管理
• 製品の作成と管理
• 製品を起動するときにエンドユーザーが使用可能なオプションを管理するためのテンプレート制約の
追加
• エンドユーザーが製品を起動するときに AWS Service Catalog が引き受ける IAM ロールを定義する
起動制約の追加
• 製品へのエンドユーザーアクセス権の付与
チュートリアルを完了するには、ユーザー、または IAM アクセス権限を管理する管理者は、IAM ユー
ザー、グループ、またはロールに AWS 管理ポリシー ServiceCatalogAdminFullAccess をアタッ
チする必要があります。次に、Amazon EC2 と IAM を使用してタスクの実行を許可する補足のポリシー
を追加する必要があります。これは、このチュートリアルを完了するために必要です。
カタログ管理者として IAM アクセス権限を取得するには
1.
2.
AWS マネジメントコンソール にサインインし、IAM コンソール（https://console.aws.amazon.com/
iam/）を開きます。
ナビゲーションペインで [Users] を選択します。カタログ管理者として使用したい IAM ユーザーを
すでに作成している場合は、そのユーザーを選択します。それ以外の場合は、以下の作業を行いま
す。
a.
b.
c.
3.
4.
5.
6.
7.
8.
[Create New Users] を選択します。
[Enter User Names] で、「ServiceCatalogAdmin」と入力します。続いて、[Create] を選択
します。[Show User Security Credentials] を選択してユーザー認証情報を表示するか、[Download
Credentials] を選択して認証情報をダウンロードできます。ただし、いずれのアクションもこ
のチュートリアルには必要ありません。
[Close] を選択します。認証情報をダウンロードしていない場合、コンソールには無視できる
警告が表示されます。[Close] をもう一度選択して [Users] ページに戻ります。次に、名前をク
リックして [ServiceCatalogAdmin] を選択します。
ユーザーの詳細ページで、[Security Credentials] タブを選択します。
[Sign-In Credentials] セクションで、[Manage Password] を選択します。目的のパスワードを選択
し、[Apply] を選択します。パスワードを表示するには、[Show User Security Credentials] を選択
します。安全な場所にパスワードを保存して、[Close] を選択します。
ユーザーの詳細ページで、[Permissions] タブを選択します。
[Managed Policies] セクションで、[Attach Policy] を選択します。
[Attach Policy] ページで、[ServiceCatalogAdminFullAccess] のチェックボックスをオンにし、[Attach
Policy] を選択します。
ユーザーの詳細ページで、開いていない場合は [Permissions] タブを選択します。
9. [Inline Policies] セクションを展開し、[click here] を選択します。
10. [Custom Policy] を選択し、[Select] を選択します。
7
AWS Service Catalog 管理者ガイド
ステップ 2: エンドユーザーに IAM アクセス権限を付与す
る
11. [Policy Name] に「ServiceCatalogAdmin-SupplementalPermissions」と入力します。
12. 次のポリシー例をコピーし、[Policy Document] エディターに貼り付けます。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateKeyPair",
"iam:AddRoleToInstanceProfile",
"iam:AddUserToGroup",
"iam:AttachGroupPolicy",
"iam:CreateAccessKey",
"iam:CreateGroup",
"iam:CreateInstanceProfile",
"iam:CreateLoginProfile",
"iam:CreateRole",
"iam:CreateUser",
"iam:Get*",
"iam:List*",
"iam:PutRolePolicy",
"iam:UpdateAssumeRolePolicy"
],
"Resource": [
"*"
]
}
]
}
必要に応じて、組織のセキュリティ要件を満たすようにポリシーを変更します。
13. [Apply Policy] を選択します。
14. 前のステップで作成したユーザー名とパスワードを使用して、カタログ管理者としてサインインし
ます。アカウント固有の URL にアクセスしてサインインできます。この URL を表示するには、
IAM コンソールのナビゲーションペインで [Dashboard] を選択します。URL の形式を次に示しま
す。
https://AccountID.signin.aws.amazon.com/console
後で使用するために、サインイン URL を書き留めておきます。
この URL をカスタマイズし、指定したエイリアスでアカウント ID を置き換えることができます。
詳細については、「IAM ユーザーガイド」を参照してください。
ステップ 2: AWS Service Catalog エンドユーザー
に IAM アクセス権限を付与する
Abstract
製品を起動する AWS Service Catalog エンドユーザーに IAM アクセス権限を付与します。
エンドユーザーが AWS Service Catalog を使用できるようにする前に、AWS Service Catalog エンド
ユーザーコンソールへのアクセス権を付与する必要があります。アクセス権を付与するには、IAM ユー
8
AWS Service Catalog 管理者ガイド
ステップ 3: AWS CloudFormation テンプレートに慣れる
ザー、グループ、またはエンドユーザーが使用するロールに AWS 管理ポリシー
ServiceCatalogEndUserAccess をアタッチします。
このポリシーにより、エンドユーザーはエンドユーザーコンソールにアクセスできますが、製品を起動
したり、スタックを管理したりすることはできません。後で製品に起動ロールをアタッチするときに、
それらのタスクのアクセス権限を付与します。AWS Service Catalog の AWS 管理ポリシーの詳細につ
いては、「アクセス許可 (p. 45)」を参照してください。
エンドユーザーに IAM アクセス権限を付与するには
1.
2.
AWS マネジメントコンソール にサインインし、IAM コンソール（https://console.aws.amazon.com/
iam/）を開きます。
ナビゲーションペインで [Users] を選択し、[Create New Users] を選択します。
3.
[Enter User Names] に「Engineer」と入力し、[Create] を選択します。
4.
[Close] を 2 回選択して [Users] ページに戻ります。次に、その名前をクリックして [Engineer] を
選択します。
すでに選択されていない場合は、[Security Credentials ] を選択します。
5.
6.
7.
8.
9.
[Sign-In Credentials] セクションで、[Manage Password] を選択します。目的のパスワードオプショ
ンを選択し、[Apply] を選択します。パスワードを表示するには、[Show User Security Credentials]
を選択します。安全な場所にパスワードを保存して、[Close] を選択します。
ナビゲーションペインで、[Groups]、[Create New Group] の順に選択します。
[Group Name] に「Engineers」と入力し、[Next Step] を選択します。
ServiceCatalogEndUserAccess ポリシーのチェックボックスをオンにし、[Next Step] を選択
します。
10. [Review] ページで、[Create Group] を選択します。
11. 名前をクリックして [Engineers] を選択することでグループを開き、[Add Users to Group] を選択
します。
12. [Engineer] チェックボックスをオンにし、[Add Users] を選択します。
ステップ 3: AWS CloudFormation テンプレートに
慣れる
Abstract
AWS Service Catalog チュートリアルで使用するサンプル AWS CloudFormation テンプレートをダウンロードしま
す。
ポートフォリオおよび製品をプロビジョニングし、設定するには、JSON 形式のテキストファイルであ
る AWS CloudFormation テンプレートを使用します。これらのテンプレートは、プロビジョニングす
るリソースについて記述します。AWS CloudFormation エディターまたはその他のテキストエディター
を使用して、テンプレートを作成し保存できます。このチュートリアルでは、単純なテンプレートで作
業を開始できるため、development-environment というテンプレートを用意しました。このテンプレー
トでは、SSH アクセス用に設定された 1 つの Linux インスタンスを起動します。
このチュートリアルの development-environment サンプルテンプレートは、https://
awsdocs.s3.amazonaws.com/servicecatalog/development-environment.template にあります。
提供されるテンプレートのテキストは次のとおりです。
{
"AWSTemplateFormatVersion" : "2010-09-09",
9
AWS Service Catalog 管理者ガイド
ステップ 3: AWS CloudFormation テンプレートに慣れる
"Description" : "AWS Service Catalog sample template. Creates an Amazon EC2
instance
running the Amazon Linux AMI.The AMI is chosen based on the
region
in which the stack is run. This example creates an EC2 se
curity
group for the instance to give you SSH access. **WARNING**
This
template creates an Amazon EC2 instance. You will be billed
for the
AWS resources used if you create a stack from this tem
plate.",
"Parameters" : {
"KeyName": {
"Description" : "Name of an existing EC2 key pair for SSH access to the
EC2 instance.",
"Type": "AWS::EC2::KeyPair::KeyName"
},
"InstanceType" : {
"Description" : "EC2 instance type.",
"Type" : "String",
"Default" : "t2.micro",
"AllowedValues" : [ "t2.micro", "t2.small", "t2.medium", "m3.medium",
"m3.large",
"m3.xlarge", "m3.2xlarge" ]
},
"SSHLocation" : {
"Description" : "The IP address range that can SSH to the EC2 instance.",
"Type": "String",
"MinLength": "9",
"MaxLength": "18",
"Default": "0.0.0.0/0",
"AllowedPattern":
"(\\d{1,3})\\.(\\d{1,3})\\.(\\d{1,3})\\.(\\d{1,3})/(\\d{1,2})",
"ConstraintDescription": "Must be a valid IP CIDR range of the form
x.x.x.x/x."
}
},
"Metadata" : {
"AWS::CloudFormation::Interface" : {
"ParameterGroups" : [{
"Label" : {"default": "Instance configuration"},
"Parameters" : ["InstanceType"]
},{
"Label" : {"default": "Security configuration"},
"Parameters" : ["KeyName", "SSHLocation"]
}],
"ParameterLabels" : {
"InstanceType": {"default": "Server size:"},
"KeyName": {"default": "Key pair:"},
"SSHLocation": {"default": "CIDR range:"}
}
10
AWS Service Catalog 管理者ガイド
ステップ 3: AWS CloudFormation テンプレートに慣れる
}
},
"Mappings" : {
"AWSRegionArch2AMI" : {
"us-east-1"
: { "HVM64"
"us-west-2"
: { "HVM64"
"us-west-1"
: { "HVM64"
"eu-west-1"
: { "HVM64"
"ap-southeast-1" : { "HVM64"
"ap-northeast-1" : { "HVM64"
"ap-southeast-2" : { "HVM64"
"sa-east-1"
: { "HVM64"
"cn-north-1"
: { "HVM64"
"eu-central-1"
: { "HVM64"
}
:
:
:
:
:
:
:
:
:
:
"ami-08842d60"
"ami-8786c6b7"
"ami-cfa8a18a"
"ami-748e2903"
"ami-d6e1c584"
"ami-35072834"
"ami-fd4724c7"
"ami-956cc688"
"ami-ac57c595"
"ami-b43503a9"
},
},
},
},
},
},
},
},
},
}
},
"Resources" : {
"EC2Instance" : {
"Type" : "AWS::EC2::Instance",
"Properties" : {
"InstanceType" : { "Ref" : "InstanceType" },
"SecurityGroups" : [ { "Ref" : "InstanceSecurityGroup" } ],
"KeyName" : { "Ref" : "KeyName" },
"ImageId" : { "Fn::FindInMap" : [ "AWSRegionArch2AMI", { "Ref" :
"AWS::Region" }, "HVM64" ] }
}
},
"InstanceSecurityGroup" : {
"Type" : "AWS::EC2::SecurityGroup",
"Properties" : {
"GroupDescription" : "Enable SSH access via port 22",
"SecurityGroupIngress" : [ {
"IpProtocol" : "tcp",
"FromPort" : "22",
"ToPort" : "22",
"CidrIp" : { "Ref" : "SSHLocation"}
} ]
}
}
},
"Outputs" : {
"PublicDNSName" : {
"Description" : "Public DNS name of the new EC2 instance",
"Value" : { "Fn::GetAtt" : [ "EC2Instance", "PublicDnsName" ] }
},
"PublicIPAddress" : {
"Description" : "Public IP address of the new EC2 instance",
"Value" : { "Fn::GetAtt" : [ "EC2Instance", "PublicIp" ] }
}
}
}
11
AWS Service Catalog 管理者ガイド
ステップ 4: キーペアを作成する
テンプレートでは、製品の起動時に作成されるリソースを宣言します。これは 7 つのセクションで構成
されます。
• [AWSTemplateFormatVersion] – このテンプレートの作成に使用される AWS テンプレート形式のバー
ジョン。
• [Description] – テンプレートの説明。
• [Parameters] – 製品を起動するためにユーザーが指定する必要がある 3 つのパラメータ。各パラメー
ターについて、テンプレートには、入力する値が一致する必要がある説明と制約が含まれます。
KeyName パラメーターでは、エンドユーザーが AWS Service Catalog を使用して製品を起動すると
きに指定する必要がある、Amazon Elastic Compute Cloud (Amazon EC2) キーペア名を指定するこ
とができます。次のステップでキーペアを作成します。
• [Metadata] – テンプレートの詳細を定義するオプションのセクション。このテンプレートの [metadata]
セクションには、エンドユーザーコンソールがパラメーターを表示する方法を定義する
AWS::CloudFormation::Interface キーが含まれています。ParameterGroups プロパティは、
パラメーターのグループ化の方法と、それらのグループの見出しを定義します。ParameterLabels
プロパティはフレンドリなパラメーター名を定義します。このテンプレートに基づいた製品を起動す
るパラメーターをユーザーが指定すると、エンドユーザーコンソールには、見出し Instance
configuration に Server size: というラベルのパラメーターが表示され、見出し Security
configuration に Key pair: および CIDR range: というラベルのパラメーターが表示されま
す。
パラメーターグループとラベルの定義の詳細については、『AWS CloudFormation ユーザーガイド』
の「AWS::CloudFormation::Interface」を参照してください。
• [Mappings] – リージョンのリストと、各リージョンに対応する Amazon マシンイメージ (AMI)。AWS
Service Catalog は、マッピングを使用して、ユーザーが AWS マネジメントコンソールで選択する
リージョンに基づいて、使用する AMI を決定します。
• [Resources] – Amazon Linux を実行している EC2 インスタンス、およびインスタンスへの SSH アク
セスを許可するセキュリティグループ。EC2 インスタンスリソースの [Properties] セクションは、
ユーザーが入力する情報を使用して、SSH アクセスのインスタンスタイプとキー名を設定します。
AWS CloudFormation は、現在のリージョンを使用して、前に定義されたマッピングから AMI ID を
選択し、それにセキュリティグループを割り当てます。セキュリティグループは、ユーザーが指定す
る CIDR IP アドレス範囲からポート 22 でインバウンドアクセスを許可するように設定されます。
• [Outputs] – 製品の起動が完了したときにユーザーに知らせるテキスト。提供されたテンプレートは、
起動されたインスタンスのパブリック DNS 名を取得し、それをユーザーに表示します。ユーザーが
SSH を使用してインスタンスに接続するためには、DNS 名が必要です。
ステップ 4: キーペアを作成する
Abstract
エンドユーザーがこのチュートリアル用の製品を起動できるように、Amazon EC2 キーペアを作成します。
エンドユーザーが、このチュートリアル用のサンプルテンプレートに基づいた製品を起動できるように
するには、Amazon EC2 キーペアを作成する必要があります。キーペアは、データを暗号化するため
に使用されるパブリックキーと、データを復号化するために使用されるプライベートキーの組み合わせ
です。キーペアの詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイド の「Amazon
EC2 Key Pairs」を参照してください。
このチュートリアル用の AWS CloudFormation テンプレート development-environment.template
には、KeyName パラメーターが含まれます。
12
AWS Service Catalog 管理者ガイド
ステップ 5: ポートフォリオを作成する
. . .
"Parameters" : {
"KeyName": {
"Description" : "Name of an existing EC2 key pair for SSH access to the
EC2 instance.",
"Type": "AWS::EC2::KeyPair::KeyName"
},
. . .
エンドユーザーは、テンプレートに基づいた製品を起動するために AWS Service Catalog を使用する
ときに、キーペアの名前を指定する必要があります。
使用したいキーペアがすでにアカウントにある場合は、「ステップ 5: AWS Service Catalog のポート
フォリオを作成する (p. 13)」に進むことができます。それ以外の場合は、以下の手順を完了します。
キーペアを作成するには
1.
2.
3.
4.
5.
AWS マネジメントコンソールにサインインをしたあと、https://console.aws.amazon.com/ec2/ に
ある Amazon EC2 コンソールを開きます。
ナビゲーションペインの [Network & Security] で、[Key Pairs] を選択します。
[Key Pairs] ページで、[Create Key Pair] を選択します。
[Key pair name] に、覚えやすい名前を入力し、[Create] を選択します。
コンソールでプライベートキーファイルの保存を求められたら、安全な場所に保存します。
Important
これは、プライベートキーを保存する唯一のチャンスです。インスタンスと対応するプライ
ベートキーの起動時には、毎回インスタンスに接続するたびに、キーペアの名前を入力する必
要があります。
エンドユーザーは、AWS Service Catalog を使用して製品を起動するときに、キーペアの名前
を必要とします。
ステップ 5: AWS Service Catalog のポートフォリ
オを作成する
Abstract
AWS Service Catalog のポートフォリオを作成して製品を整理し、エンドユーザーに配信します。
製品をユーザーに提供するには、最初に製品のポートフォリオを作成します。
ポートフォリオを作成するには
1.
AWS マネジメントコンソール にサインインし、AWS Service Catalog 管理者コンソール（https://
console.aws.amazon.com/catalog/）を開きます。
2.
AWS Service Catalog 管理者コンソールを初めて使用する場合は、[Get started] を選択してポート
フォリオを設定するウィザードを開始します。それ以外の場合は、[ポートフォリオの作成] を選択
します。
以下の値を入力します。
3.
• [Portfolio name] – 13
AWS Service Catalog 管理者ガイド
ステップ 6: 製品を作成する
• [Description] – 1 • [Owner] – IT ([email protected])
4.
5.
[Create] を選択しますAWS Service Catalog はポートフォリオを作成し、ポートフォリオの詳細
ページを表示します。このページには、ポートフォリオに関する情報が表示され、製品を追加する
ことができます。
タグ セクションを展開します。[Key] に「Group」と入力し、[Value] に「 」と入力しま
す。次に、[Add tag] を選択します。
ステップ 6: AWS Service Catalog 製品を作成する
Abstract
新しい製品を作成し、AWS Service Catalog ポートフォリオに追加します。
ポートフォリオを作成すると、製品を追加する準備が整います。このチュートリアルでは、Amazon
Linux 上で実行するクラウド開発環境である、Linux Desktop という製品を作成します。前のステップ
を完了すると、ポートフォリオの詳細ページがすでに表示されています。ページを離れて、そのページ
に戻る必要がある場合は、AWS マネジメントコンソールから [Service Catalog] を選択し、[エンジニア
リングツール] を選択します。
製品を作成するには
1.
ポートフォリオの詳細ページで、[新しい製品のアップロード] を選択し、以下のように入力しま
す。
• [Product name] – Linux • [Short Description] – • [Description] – AWS Linux • [Provided by] – IT
• [Vendor] – (空白)
2.
次 を選択します。
[Enter support details] ページに、以下のように入力します。
• [Email contact] – [email protected]
• [Support link] – https://wiki.example.com/IT/support
• [Support description] – IT 3.
次 を選択します。
[Version details] ページに以下のように入力します。
• [Select template] – [Specify an Amazon S3 template URL] を選択し、次の URL を入力します。
https://awsdocs.s3.amazonaws.com/servicecatalog/development-environment.template
• [Version title] – v1.0
• [Description] – Base Version
4.
次 を選択します。
[Review] ページで、指定した情報を確認します。
14
AWS Service Catalog 管理者ガイド
ステップ 7: テンプレート制約を追加する
5.
[確認およびアップロード] を選択して製品を作成し、エンジニアリングツール ポートフォリオに追
加します。
ステップ 7: テンプレート制約を追加してインスタ
ンスサイズを制限する
Abstract
製品の使用方法を制限するために、AWS Service Catalog ポートフォリオにテンプレート制約を追加します。
制約により、ポートフォリオレベルでの製品の制御が強化されます。制約では、製品の起動コンテキス
トを制御 (起動制約) したり、AWS CloudFormation テンプレートにルールを追加 (テンプレート制約)
したりできます。
これで、起動時にラージインスタンスタイプをユーザーが選択できないようにするテンプレート制約を
Linux デスクトップ 製品に追加できます。development-environment テンプレートにより、ユーザーは
6 つのインスタンスタイプから選択できます。この制約では、有効なインスタンスタイプを 2 つの最小
タイプ (t2.micro および t2.small) に制限します。これらのインスタンスタイプの詳細については、『Linux
インスタンス用 Amazon EC2 ユーザーガイド』の「T2 インスタンス」を参照してください。
前のステップを完了すると、ポートフォリオの詳細ページがすでに表示されています。ページを離れ
て、そのページに戻る必要がある場合は、AWS マネジメントコンソールから [Service Catalog] を選択
し、[エンジニアリングツール] を選択します。
テンプレート制約を Linux デスクトップ 製品を追加するには
1.
2.
3.
4.
[portfolio details] ページで、[制約] セクションを展開し、[制約の追加] を選択します。
[製品とタイプの選択] ウィンドウで、[製品] の [Linux Desktop] を選択します。次に、[制約タイプ]
で [Template] を選択します。
続行 を選択します。
[Description] に、「Small instance sizes」と入力します。
5.
[Template constraint] テキストボックスに以下を貼り付けます。
{
"Rules": {
"Rule1": {
"Assertions": [
{
"Assert" : {"Fn::Contains": [["t2.micro", "t2.small"], {"Ref":
"InstanceType"}]},
"AssertDescription": "Instance type should be t2.micro or t2.small"
}
]
}
}
}
6.
送信 を選択します。
15
AWS Service Catalog 管理者ガイド
ステップ 8: 起動制約を追加する
ステップ 8: IAM ロールを割り当てる起動制約を追
加する
Abstract
エンドユーザーが製品を起動する場合に AWS Service Catalog が引き受けることができる IAM ロールを指定する
起動制約を定義します。
起動制約は、エンドユーザーが製品を起動するときに AWS Service Catalog が引き受ける IAM ロール
を指定します。このステップでは、製品の AWS CloudFormation テンプレートの一部である AWS リ
ソースを AWS Service Catalog が使用できるよう、Linux Desktop 製品に起動制約を追加します。この
起動制約により、エンドユーザーは製品を起動し、起動後にそれをスタックとして管理できるようにな
ります。
起動制約がない場合、エンドユーザーが Linux Desktop 製品を使用するには、事前に追加の IAM アク
セス権限をエンドユーザーに付与する必要があります。Engineers グループに適用した
ServiceCatalogEndUserAccess ポリシーにより、AWS Service Catalog エンドユーザーコンソール
にアクセスするために必要な最小の IAM アクセス権限のみが付与されます。起動制約を使用すること
で、エンドユーザーの IAM アクセス権限を最小に抑えることができます。これは IAM のベストプラク
ティスです。このベストプラクティスの詳細については、『IAM ユーザーガイド』の「最小権限を付与
する」を参照してください。
IAM ロールを作成するには
1.
2.
3.
4.
5.
6.
AWS マネジメントコンソールにサインインして、https://console.aws.amazon.com/iam/ で IAM コ
ンソールを開きます。
ナビゲーションペインで [Roles] を選択し、続いて [Create New Role] を選択します。
[Role Name] で、「linuxDesktopLaunchRole」と入力します。その後、[Next Step] を選択しま
す。
[AWS Service Catalog] の横の [AWS Service Roles] で、[Select] を選択します。
[Attach Policy] ページで、[Next Step] を選択します。
[Review] ページで、ロールの情報を確認し、[Create Role] を選択します。
ポリシーを新しいロールにアタッチするには
1.
2.
3.
[Roles] ページで、[linuxDesktopLaunchRole] を選択します。
[role details] ページで、[Permissions] タブを選択し、[Inline Policies] セクションを展開して、[click
here] を選択します。
[Custom Policy] を選択し、[Select] を選択します。
4.
[Policy Name] に、「linuxDesktopPolicy」と入力します。
以下のポリシーをコピーして、[Policy Document] エディターに貼り付けます。
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"catalog-user:*",
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStackEvents",
16
AWS Service Catalog 管理者ガイド
ステップ 9: ポートフォリオへのアクセス権限のエンドユー
ザーへの付与
"cloudformation:DescribeStacks",
"cloudformation:GetTemplateSummary",
"cloudformation:SetStackPolicy",
"cloudformation:ValidateTemplate",
"cloudformation:UpdateStack",
"s3:GetObject",
"ec2:*"
],
"Resource":"*"
}
]
}
5.
[Apply Policy] を選択します。
起動制約として製品にロールを割り当てるには
1.
2.
3.
4.
5.
AWS Service Catalog コンソール (https://console.aws.amazon.com/catalog/) に移動します。
[Engineering Tools] ポートフォリオを選択します。
[portfolio details] ページで、[制約] セクションを展開し、[制約の追加] を選択します。
[製品とタイプの選択] ウィンドウで、[製品] の [Linux Desktop] を選択し、[制約タイプ] の [Launch]
を選択します。次に、[続行] を選択します。
[起動の制約] ページの [IAM role] で、[linuxDesktopLaunchRole] を選択し、[送信] を選択します。
ステップ 9: ポートフォリオへのアクセス権限のエ
ンドユーザーへの付与
Abstract
AWS Service Catalog ポートフォリオへのアクセス権限をユーザーに付与し、製品スタックを起動できるようにし
ます。
これでポートフォリオを作成し、製品を追加したので、エンドユーザーにアクセス権限を付与すること
ができます。
前のステップを完了すると、ポートフォリオの詳細ページがすでに表示されています。ページを離れ
て、そのページに戻る必要がある場合は、AWS マネジメントコンソールから [Service Catalog] を選択
し、[エンジニアリングツール] を選択します。
ポートフォリオへのアクセス権限を提供するには
1.
[portfolio details] ページで、[ユーザー、グループ、およびロール] セクションを展開し、[ユーザー、
グループ、またはロールの追加] を選択します。
2.
3.
すでに開いていない場合は、[グループ] タブを選択し、[Engineers] を選択します。
アクセス権の追加 を選択します。
17
AWS Service Catalog 管理者ガイド
ステップ 10: エンドユーザーのエクスペリエンスをテスト
する
ステップ 10: エンドユーザーのエクスペリエンス
をテストする
Abstract
エンドユーザーのアカウントでログインし、製品を起動することにより、AWS Service Catalog ポートフォリオを
テストします。
Engineer エンドユーザーが正常にエンドユーザーコンソールにアクセスし、製品を起動できることを
確認するには、AWS にエンドユーザーとしてサインインしてこれらのタスクを実行します。
Engineer エンドユーザーがエンドユーザーコンソールにアクセスできることを確認するには
1.
アカウント固有のユーザーサインインページにアクセスして、Engineer IAM ユーザーとして AWS
にサインインします。アカウントサインインの URL は、IAM コンソールのダッシュボードに表示
されます。URL の形式を次に示します。
https://AccountID.signin.aws.amazon.com/console
Tip
Engineer ユーザーとしてサインインするときは、現在のセッションからサインアウトしま
す。現在のセッションをアクティブに維持する場合は、プライベートブラウジングウィン
ドウで Engineer ユーザーとしてサインインできます。
2.
3.
AWS マネジメントコンソールのメニューで、Engineering Tools ポートフォリオを作成した
リージョンを選択します。たとえば、[米国東部 (バージニア北部)] リージョンでポートフォリオを
作成した場合は、そのリージョンを選択します。
https://console.aws.amazon.com/servicecatalog/ で AWS Service Catalog エンドユーザーコンソー
ルを開きます。
製品とスタックのリストが表示されます。
• [Products] – ユーザーが使用できる製品。
• [Stacks] – ユーザーが起動したスタック。
Engineer エンドユーザーが Linux Desktop 製品を起動できることを確認するには
1.
エンドユーザーコンソールの [製品] セクションで、[Linux デスクトップ] を選択します。
2.
3.
このページには、製品名、説明、サポート詳細を含めて、エンドユーザーに表示される製品情報が
表示されます。
[製品の起動] を選択して、製品を設定するウィザードを開始します。
[Product version] ページで、[Name] に「Linux-Desktop」と入力します。
4.
5.
6.
[Version] テーブルで、[v1.0] を選択します。
次 を選択します。
[Parameters] ページで、以下のように入力します。
• [Server size] – [t2.micro] を選択します。
• [Key pair] – 「ステップ 4: キーペアを作成する (p. 12)」で作成したキーペアを選択します。
18
AWS Service Catalog 管理者ガイド
ステップ 10: エンドユーザーのエクスペリエンスをテスト
する
• [CIDR range] – インスタンスへの接続元となる IP アドレスの有効な CIDR 範囲を入力します。
これは、任意の IP アドレスからのアクセスを許可するデフォルト値 (0.0.0.0/0) とするか、自分
の IP アドレスにのみアクセスを制限する IP アドレスに /32 を追加したもの、またはその中間
とすることができます。
次 を選択します。
7.
8.
[タグ] ページで [次] を選択します。
[Review] ページで、入力した情報を確認し、[作成する] を選択してスタックを起動します。コン
ソールには Linux Desktop のスタックのスタック詳細ページが表示されます。このページで、ス
テータスには、AWS Service Catalog による製品の起動中に [Launching] と表示されます。これに
は数分かかります。最新のステータスを表示するには、ブラウザを更新してください。製品が起動
されると、ステータスに [Available] と表示されます。
19
AWS Service Catalog 管理者ガイド
デフォルトのサービス制限
カタログの作成と管理
Abstract
AWS マネジメントコンソールでポートフォリオ、製品、アクセス権限、および制約を管理します。
AWS Service Catalog には、管理者コンソールからポートフォリオ、製品、および制約を管理するため
のインターフェイスがあります。
Note
このセクションのタスクを実行するには、AWS Service Catalog の管理者権限が必要です。詳
細については、「アクセス許可 (p. 45)」を参照してください。
AWS Service Catalog 管理者コンソールにアクセスするには、AWS マネジメントコンソールにログイ
ンし、https://console.aws.amazon.com/catalog/ に移動します。管理者コンソールに初めてアクセスす
ると、ポートフォリオの作成が要求されます。最初のポートフォリオを作成する手順に従い、[ポート
フォリオ] ページに進みます。
トピック
• デフォルトのサービス制限 (p. 20)
• ポートフォリオの管理 (p. 21)
• 製品の管理 (p. 26)
• ポートフォリオへの AWS Marketplace 製品の追加 (p. 28)
• 制約の適用 (p. 33)
• タグ (p. 44)
• アクセス許可 (p. 45)
• ポートフォリオの共有 (p. 47)
デフォルトのサービス制限
デフォルトでは、AWS により、作成できる製品とポートフォリオ、製品に適用できる制約の数、およ
びポートフォリオに適用できるタグの数が制限されます。次の表に、各 AWS Service Catalog リソー
スの制限を示します。
20
AWS Service Catalog 管理者ガイド
ポートフォリオの管理
デフォルトの制限
リソース
制限
ポートフォリオ
アカウントあたり 25
製品
アカウントあたり 25
製品バージョン
製品あたり 10
制約
ポートフォリオの製品あたり 25
タグ
製品あたり 3、ポートフォリオあたり 3、スタッ
クあたり 10
スタック
アカウントあたり 25 (AWS CloudFormation の制
限)
アカウントの制限を引き上げる方法を含む制限の詳細については、『AWS 全般のリファレンス』の
「AWS サービスの制限」を参照してください。
ポートフォリオの管理
Abstract
AWS Service Catalog のポートフォリオを作成し、それらに製品を追加して、制約、タグ、およびアクセス権限を
AWS マネジメントコンソールで設定します。
ポートフォリオの作成、表示、および更新は、AWS Service Catalog 管理者コンソールの [ポートフォ
リオ] ページで行います。
ポートフォリオページの使用
[ポートフォリオ] ページには、現在のリージョンで作成したポートフォリオのリストが表示されます。
このページを使用して、新しいポートフォリオの作成、ポートフォリオの詳細の表示、またはアカウン
トからのポートフォリオの削除を行います。
[ポートフォリオ] ページを表示するには
•
AWS マネジメントコンソールにサインインし、AWS Service Catalog (https://
console.aws.amazon.com/catalog/portfolios) に移動します。
AWS Service Catalog の使用中に、いつでも [ポートフォリオ] ページに戻ることができます。そのため
には、ナビゲーションバーの [サービスカタログ] を選択し、[ポートフォリオ] を選択します。
ポートフォリオ詳細ページの使用
AWS Service Catalog 管理者コンソールで、[Portfolio details] ページには、ポートフォリオのすべての
設定が表示されます。このページを使用してポートフォリオの製品を管理し、製品へのアクセス権を
ユーザーに付与して、タグと制約を適用します。
[Portfolio details] ページを表示するには
1.
AWS マネジメントコンソールにサインインし、AWS Service Catalog (https://
console.aws.amazon.com/catalog/) に移動します。
21
AWS Service Catalog 管理者ガイド
ポートフォリオの作成と削除
2.
管理するポートフォリオを選択します。
ポートフォリオの作成と削除
Abstract
AWS マネジメントコンソールでポートフォリオを作成し、削除します。
[ポートフォリオ] ページを使用して、ポートフォリオを作成し、削除します。ポートフォリオを削除す
ると、アカウントから削除されます。ポートフォリオを削除する前に、それに含まれるすべての製品、
制約、およびユーザーを削除する必要があります。
新しいポートフォリオを作成するには:
1.
2.
[ポートフォリオ] ページに移動します。
ポートフォリオの作成 を選択します。
3.
4.
[ポートフォリオの作成] ページで、要求された情報を入力します。
作成 を選択します。AWS Service Catalog によってポートフォリオが作成され、ポートフォリオ
の詳細が表示されます。
ポートフォリオを削除するには
1.
2.
3.
4.
[ポートフォリオ] ページに移動します。
対応するラジオボタン、またはポートフォリオのタイトルを除くリストの任意の部分をクリックし
て、ポートフォリオを選択します。
ポートフォリオの削除 を選択します。
続行 を選択します。
製品の追加
Abstract
AWS Service Catalog ポートフォリオに製品を追加します。
ポートフォリオに製品を追加するには、新しい製品を作成するか、カタログからポートフォリオに既存
の製品を追加します。
Note
AWS Service Catalog 製品を作成する際にアップロードする AWS CloudFormation テンプレー
トは、AWS アカウントで cf-templates- で始まる Amazon Simple Storage Service (Amazon
S3) バケットに保存されます。これらのファイルが使用されていないことが確実でない限り、
ファイルを削除しないでください。
新しい製品の追加
新しい製品は [portfolio details] ページから直接追加します。このページから製品を作成すると、AWS
Service Catalog により、現在選択されているポートフォリオに追加されます。他のポートフォリオに
製品を追加することもできます。
22
AWS Service Catalog 管理者ガイド
製品の追加
新しい製品を追加するには
1.
[ポートフォリオ] ページに移動し、製品を追加するポートフォリオの名前を選択します。
2.
[portfolio details] ページで、[製品] セクションを展開し、[新しい製品のアップロード] を選択しま
す。
[Enter product details] に、以下のように入力します。
3.
• [Product name] – 製品の名前。
• [Short description] - 短い説明。この説明は、検索結果でユーザーが正しい製品を選択できるよう
に表示されます。
• [Description] – 詳細な説明。この説明は、製品リストでユーザーが正しい製品を選択できるよう
に表示されます。
• [Provided by] – IT 部門または管理者の名前または E メールアドレス。
• [Vendor] (オプション) – アプリケーションの発行元の名前。このフィールドでは、ユーザーが製
品リストをソートして、必要な製品を簡単に見つけられるようにします。
4.
次 を選択します。
[Enter support details] に、以下のように入力します。
• [Email contact] (オプション) – 製品の問題を報告するための E メールアドレス。
• Support link] (オプション) – ユーザーがサポート情報またはファイルチケットを見つけることが
できるサイトの URL。URL は http://、または https:// で始まる必要があります。
• [Support description] (オプション) – ユーザーが [Email contact] および [Support link] を使用する
方法の説明。
5.
次 を選択します。
[Version details] ページに、以下のように入力します。
• [Select template] – ローカルドライブからの AWS CloudFormation テンプレート、または Amazon
S3 に保存されたテンプレートを指す URL。Amazon S3 の URL を指定する場合、https:// で
始まる必要があります。テンプレートファイルの拡張子は、.template である必要があります。
• [Version title] – 製品バージョンの名前 (たとえば、"v1"、"v2beta" など)。スペースは使用できま
せん。
• [Description] (オプション) – このバージョンと前のバージョンとの違いを含む、製品バージョン
の説明。
6.
次 を選択します。
[Review] ページで、情報が正しいことを確認し、[確認およびアップロード] を選択します。数秒
後、製品がポートフォリオに表示されます。製品を表示するには、ブラウザの更新が必要になる場
合があります。
既存の製品の追加
[ポートフォリオ] リスト、ポートフォリオの詳細ページ、または [製品] ページの 3 つの場所から、既存
の製品をポートフォリオに追加できます。
既存の製品をポートフォリオに追加するには
1.
[ポートフォリオ] ページに移動します。
2.
3.
ポートフォリオを選択し、[製品の追加] を選択します。
製品を選択し、[ポートフォリオへの製品の追加] を選択します。
23
AWS Service Catalog 管理者ガイド
制約の追加
ポートフォリオからの製品の削除
ユーザーが製品を使用しないようにする場合は、ポートフォリオからその製品を削除します。製品は、
[製品] ページからカタログでまだ使用でき、他のポートフォリオに追加できます。ポートフォリオから
複数の製品を一度に削除できます。
ポートフォリオから製品を削除するには
1.
2.
3.
[ポートフォリオ] ページに移動し、製品を含むポートフォリオを選択します。ポートフォリオの詳
細ページが開きます。
[製品] セクションを展開します。
1 つ以上の製品を選択し、[製品の削除] を選択します。
4.
続行 を選択します。
制約の追加
Abstract
AWS Service Catalog ポートフォリオの製品に制約を追加し、ポートフォリオのユーザーに適用されるルールで基
本製品を拡張します。
ユーザーが製品を使用できる方法を制御するには、制約を追加します。AWS Service Catalog でサポー
トされる制約のタイプを、「制約の適用 (p. 33)」セクションに示します。
製品に制約を追加するのは、ポートフォリオに配置された後です。
製品に制約を追加するには
1.
2.
3.
4.
[ポートフォリオ] ページに移動し、ポートフォリオを選択します。ポートフォリオの詳細ページが
開きます。
[制約] セクションを展開し、[制約の追加] を選択します。
[製品] で、制約を適用する製品を選択します。
[制約タイプ] で、以下のいずれかのオプションを選択します。
• [Launch] – 製品を起動して管理するために AWS Service Catalog が使用する IAM ロール。
• [Template] – 1 つ以上のルールを含む JSON ドキュメント。ルールは、製品で使用される AWS
CloudFormation テンプレートに追加されます。
5.
クリック 続行.
制約を編集するには
1.
[ポートフォリオ] ページに移動し、ポートフォリオを選択します。ポートフォリオの詳細ページが
開きます。
2.
3.
[制約] セクションを展開し、編集する制約を選択します。
制約の編集 を選択します。
4.
必要に応じて制約を編集し、[送信] を選択します。
制約のタイプとその使用の詳細については、「制約の適用 (p. 33)」を参照してください。
24
AWS Service Catalog 管理者ガイド
ポートフォリオへのタグ付け
ポートフォリオへのタグ付け
Abstract
AWS Service Catalog ポートフォリオにタグを追加して、製品が起動されたときにリソースの作成を追跡します。
ポートフォリオにタグを割り当て、そのポートフォリオから起動された製品を追跡することができま
す。ポートフォリオにタグを追加すると、タグはそのポートフォリオから起動されるすべてのサービス
に適用されます。タグは、製品の起動時に作成されるすべてのリソースに適用されます。ポートフォリ
オには最大 3 つのタグを割り当てることができます。
ポートフォリオにタグを追加するには
1.
2.
[ポートフォリオ] ページに移動し、ポートフォリオを選択します。
ポートフォリオの詳細ページで、[タグ] セクションを展開します。
3.
4.
タグのキーと値を入力します。
タグの追加 を選択します。
タグを削除するには、キーの横にあるチェックボックスをオンにし、[タグの削除] を選択します。削除
されたタグは、起動時に新しいスタックには適用されませんが、すでに起動されたリソースには残って
います。
ユーザーへのアクセス権限の付与
Abstract
AWS Service Catalog ポートフォリオへのアクセス権限をユーザーに付与し、含まれている製品を起動できるよう
にします。
IAM ユーザー、グループ、およびロールを使用して、ポートフォリオへのアクセス権限をユーザーに付
与します。多くのユーザーにポートフォリオのアクセス権限を付与する最善の方法は、ユーザーを IAM
グループに配置し、そのグループへのアクセス権限を付与することです。それにより、グループから
ユーザーを簡単に追加および削除して、ポートフォリオアクセスを管理することができます。詳細につ
いては、『IAM の使用』ガイドの「IAM ユーザーとグループ」を参照してください。
ポートフォリオへのアクセスに加え、IAM ユーザーには、AWS Service Catalog エンドユーザーコン
ソールへのアクセス権限も必要です。IAM でアクセス権限を適用することにより、コンソールへのアク
セス権限を付与します。詳細については、「アクセス許可 (p. 45)」を参照してください。
ユーザーまたはグループにポートフォリオのアクセス権限を付与するには
1.
ポートフォリオの詳細ページで、[ユーザー、グループ、およびロール] セクションを展開し、[ユー
ザー、グループ、またはロールの追加] を選択します。
2.
[グループ]、[ユーザー]、または [ロール] タブを選択して、グループ、ユーザー、またはロールを
それぞれ追加します。
1 つ以上のユーザー、グループ、またはロールを選択し、[アクセス権の追加] を選択して現在の
ポートフォリオへのアクセス権限を付与します。
3.
Tip
グループ、ユーザー、およびロールの組み合わせにアクセス権限を付与するには、選択を
維持したままタブを切り替えることができます。
25
AWS Service Catalog 管理者ガイド
製品の管理
ポートフォリオへのアクセス権限を削除するには
1.
ポートフォリオ詳細ページで、ユーザーまたはグループのチェックボックスをオンにします。
2.
ユーザー、グループ、またはロールの削除 を選択します。
製品の管理
Abstract
管理者コンソールで AWS Service Catalog 製品を作成、更新、削除します。
メタデータで AWS CloudFormation テンプレートをパッケージ化して製品を作成し、更新されたテン
プレートに基づいて新しいバージョンを作成して製品を更新し、製品をまとめてポートフォリオにグ
ループ化してユーザーに配信します。
新しいバージョンの製品は、ポートフォリオを通じて製品にアクセスできるすべてのユーザーに伝播さ
れます。更新を配信すると、エンドユーザーは数回のクリック操作で既存のスタックを更新できます。
製品ページの表示
AWS Service Catalog 管理者コンソールの [製品] ページから製品を管理します。
[製品] ページを表示するには
1.
2.
3.
AWS マネジメントコンソールにサインインし、https://console.aws.amazon.com/catalog/ に移動し
ます。
ナビゲーションバーで [サービスカタログ] を選択します。
製品 を選択します。
製品の作成
Abstract
AWS マネジメントコンソールで新しい AWS Service Catalog 製品を作成します。
新しい AWS Service Catalog 製品を作成するには
1.
[製品] ページに移動します。
2.
3.
新しい製品のアップロード を選択します。
[Enter product details] に、以下のように入力します。
• [Product name] – 製品の名前。
• [Short description] - 短い説明。この説明は、検索結果でユーザーが正しい製品を選択できるよう
に表示されます。
• [Description] – 詳細な説明。この説明は、製品リストでユーザーが正しい製品を選択できるよう
に表示されます。
• [Provided by] – IT 部門または管理者の名前。
• [Vendor] (オプション) – アプリケーションの発行元の名前。このフィールドでは、ユーザーが製
品リストをソートして、必要な製品を簡単に見つけられるようにします。
次 を選択します。
26
AWS Service Catalog 管理者ガイド
ポートフォリオへの製品の追加
4.
[Enter support details] に、以下のように入力します。
• [Email contact] (オプション) – 製品の問題を報告するための E メールアドレス。
• Support link] (オプション) – ユーザーがサポート情報またはファイルチケットを見つけることが
できるサイトの URL。URL は http://、または https:// で始まる必要があります。
• [Support description] (オプション) – ユーザーが [Email contact] および [Support link] を使用する
方法の説明。
5.
次 を選択します。
[Version details] に、以下のように入力します。
• [Select template] – ローカルドライブからの AWS CloudFormation テンプレート、または Amazon
S3 に保存されたテンプレートを指す URL。Amazon S3 の URL を指定する場合、https:// で
始まる必要があります。テンプレートファイルの拡張子は、.template である必要があります。
• [Version title] – 製品バージョンの名前 (たとえば、"v1"、"v2beta" など)。スペースは使用できま
せん。
• [Description] (オプション) – このバージョンと前のバージョンとの違いを含む、製品バージョン
の説明。
6.
7.
次 を選択します。
[Review] ページで、情報が正しいことを確認し、[確認およびアップロード] を選択します。数秒
後、製品が [製品] ページに表示されます。製品を表示するには、ブラウザの更新が必要になる場合
があります。
ポートフォリオへの製品の追加
Abstract
AWS Service Catalog 製品をポートフォリオに追加し、ユーザーに配信します。
任意の数のポートフォリオに製品を追加できます。製品が更新されたときに、製品を含むすべてのポー
トフォリオが自動的に新しいバージョンを受け取ります。
カタログからポートフォリオに製品を追加するには
1.
2.
[製品] ページに移動します。
製品を選択し、[アクション]、[ポートフォリオへの製品の追加] の順に選択します。
3.
ポートフォリオを選択し、[ポートフォリオへの製品の追加] を選択します。
製品の更新
Abstract
基盤となるテンプレートを更新するときに、AWS Service Catalog 製品の新しいバージョンを作成します。
製品の AWS CloudFormation テンプレートを更新する必要がある場合は、製品の新しいバージョンを
作成します。新しい製品バージョンは、製品を含むポートフォリオにアクセスできるすべてのユーザー
が自動的に使用できるようになります。
製品の以前のバージョンのスタックを現在実行しているユーザーは、エンドユーザーコンソールを使用
してスタックを更新できます。製品の新しいバージョンが利用できる場合、ユーザーは スタックの更
新 コマンドを [スタックリスト] または [スタックの詳細] ページで使用できます。
27
AWS Service Catalog 管理者ガイド
製品の削除
Note
製品の新しいバージョンを作成する前に、AWS CloudFormation で製品の更新プログラムをテ
ストし、動作を確認します。
新しい製品バージョンを作成するには
1.
[製品] ページに移動します。
2.
3.
製品名を選択します。
[product details] ページで、[バージョン] セクションを展開し、[新しいバージョンの作成] を選択し
ます。
[Version details] に、以下のように入力します。
4.
• [Select template] – ローカルドライブからの AWS CloudFormation テンプレート、または Amazon
S3 に保存されたテンプレートを指す URL。Amazon S3 の URL を指定する場合、https:// で
始まる必要があります。テンプレートファイルの拡張子は、.template である必要があります。
• [Version title] – 製品バージョンの名前 (たとえば、"v1"、"v2beta" など)。スペースは使用できま
せん。
• [Description] (オプション) – このバージョンと前のバージョンとの違いを含む、製品バージョン
の説明。
保存 を選択します。
製品の削除
Abstract
AWS Service Catalog 製品をアカウントから削除します。
アカウントから製品を完全に削除するには、カタログから削除します。製品を削除すると、製品のすべ
てのバージョンが、その製品を含む各ポートフォリオから削除されます。削除された製品を復元するこ
とはできません。
カタログから製品を削除するには
1.
2.
3.
[製品] ページに移動します。
製品を選択し、[アクション]、[製品の削除] の順に選択します。
削除する製品を選択したことを確認してから、[続行] を選択します。
ポートフォリオへの AWS Marketplace 製品の追加
Abstract
AWS Marketplace 製品をポートフォリオに追加し、それらの製品を AWS Service Catalog のエンドユーザーが使
用するようにします。
AWS Marketplace 製品をポートフォリオに追加し、それらの製品を AWS Service Catalog のエンドユー
ザーが使用するようにできます。
AWS Marketplace は、さまざまなソフトウェアやサービスを見つけ、サブスクライブし、すぐに使用
を開始できるオンラインストアです。AWS Marketplace の製品のタイプには、データベース、アプリ
ケーションサーバー、テストツール、モニタリングツール、コンテンツ管理ツール、ビジネスインテリ
28
AWS Service Catalog 管理者ガイド
ポートフォリオへの AWS Marketplace 製品の追加
ジェンスソフトウェアなどがあります。AWS Marketplace は http://aws.amazon.com/marketplace で利
用できます。
AWS Marketplace 製品を AWS Service Catalog のエンドユーザーに配信するには、AWS CloudFormation
テンプレートで製品を定義し、ポートフォリオにテンプレートを追加します。ポートフォリオにアクセ
スできるエンドユーザーは、エンドユーザーコンソールから製品を起動できます。
AWS Marketplace 製品にサブスクライブするには、次のステップを完了し、その製品を AWS
CloudFormation テンプレートで定義して、AWS Service Catalog ポートフォリオにテンプレートを追
加します。
AWS Marketplace 製品をサブスクライブするには
1.
2.
AWS Marketplace (http://aws.amazon.com/marketplace) に移動します。
製品を参照するか、AWS Service Catalog ポートフォリオに追加する製品を検索します。製品を選
択して、製品の詳細ページを表示します。
3.
受理ページを表示するには、[続行] を選択し、[Manual Launch] タブを選択します。
4.
受理ページの情報には、サポートされる Amazon Elastic Compute Cloud (Amazon EC2) インスタ
ンスタイプ、サポートされる AWS リージョン、および製品が各 AWS リージョン用に使用する
Amazon マシンイメージ (AMI) ID が含まれます。この情報を使用して、後のステップで AWS
CloudFormation テンプレートをカスタマイズします。
製品をサブスクライブするには、[Accept Terms] を選択します。
製品をサブスクライブしたら、[Your Software] を選択し、製品を選択することにより、いつでも
AWS Marketplace の製品受理ページで情報にアクセスできます。
AWS CloudFormation テンプレートで AWS Marketplace 製品を定義するには
次のステップを完了するには、開始点として AWS CloudFormation サンプルテンプレートの 1 つを使
用し、テンプレートをカスタマイズして、AWS Marketplace 製品を表すようにします。サンプルテン
プレートにアクセスするには、『AWS CloudFormation ユーザーガイド』の「サンプルテンプレート」
を参照してください。
1.
2.
3.
4.
5.
『AWS CloudFormation ユーザーガイド』の「サンプルテンプレート」ページで、製品を使用する
リージョンを選択します。リージョンは AWS Marketplace 製品でサポートされている必要があり
ます。サポートされているリージョンは、AWS Marketplace の製品受理のページで表示できます。
リージョンに適したサービスサンプルテンプレートのリストを表示するには、[サービス] リンクを
選択します。
開始点として、ニーズに適している任意のサンプルを使用できます。この手順のステップでは、
[Amazon EC2 instance in a security group] テンプレートを使用します。サンプルテンプレートを
表示するには、[View] を選択し、テンプレートのコピーをローカルに保存して、編集できるように
します。ローカルファイルには、.template 拡張子が必要です。
テキストエディターでテンプレートを開きます。
テンプレートの上部の説明をカスタマイズします。ダッシュボードの外観は以下の例のようになっ
ています。
"Description": "Launches a LAMP stack from AWS Marketplace",
6.
InstanceType パラメータをカスタマイズし、製品でサポートされる EC2 インスタンスタイプの
みを含むようにします。サポートされていない EC2 インスタンスタイプがテンプレートに含まれ
る場合、製品はエンドユーザーに対して起動しません。
a.
AWS Marketplace の製品受理のページで、サポートされる EC2 インスタンスタイプを次の例
のように [Pricing Details] セクションで表示します。
29
AWS Service Catalog 管理者ガイド
ポートフォリオへの AWS Marketplace 製品の追加
b.
テンプレートで、デフォルトのインスタンスタイプを、サポートされている任意の EC2 イン
スタンスタイプに変更します。
c.
AllowedValues リストを編集し、製品でサポートされている EC2 インスタンスタイプのみ
を含むようにします。
d.
エンドユーザーが AllowedValues リストから製品を起動するときに、使用しないようにす
る EC2 インスタンスタイプを削除します。
InstanceType パラメータの編集を終了した例を次に示します。
30
AWS Service Catalog 管理者ガイド
ポートフォリオへの AWS Marketplace 製品の追加
"InstanceType" : {
"Description" : "EC2 instance type",
"Type" : "String",
"Default" : "m1.small",
"AllowedValues" : [ "t1.micro", "m1.small", "m1.medium", "m1.large",
"m1.xlarge", "m2.xlarge", "m2.2xlarge", "m2.4xlarge", "c1.medium",
"c1.xlarge", "c3.large", "c3.large", "c3.xlarge", "c3.xlarge", "c3.4xlarge",
"c3.8xlarge" ],
"ConstraintDescription" : "Must be a valid EC2 instance type."
},
7.
テンプレートの Mappings セクションで、サポートされる EC2 インスタンスタイプとアーキテク
チャのみが含まれるように、AWSInstanceType2Arch マッピングを編集します。
a.
InstanceType パラメータの AllowedValues リストに含まれていないすべての EC2 インス
タンスタイプを削除して、マッピングのリストを編集します。
b.
各 EC2 インスタンスタイプの Arch の値を編集し、製品でサポートされるアーキテクチャー
タイプとなるようにします。有効な値は、PV64、HVM64、HVMG2 です。製品でサポートされ
るアーキテクチャの詳細については、「AWS Marketplace」のサポート製品詳細ページを参照
してください。EC2 インスタンスファミリーでサポートされるアーキテクチャについては、
「Amazon Linux AMI インスタンスタイプのマトリックス」を参照してください。
AWSInstanceType2Arch マッピングの編集が完了した例を次に示します。
"AWSInstanceType2Arch" : {
"t1.micro"
: { "Arch"
"m1.small"
: { "Arch"
"m1.medium"
: { "Arch"
"m1.large"
: { "Arch"
"m1.xlarge"
: { "Arch"
"m2.xlarge"
: { "Arch"
"m2.2xlarge" : { "Arch"
"m2.4xlarge" : { "Arch"
"c1.medium"
: { "Arch"
"c1.xlarge"
: { "Arch"
"c3.large"
: { "Arch"
"c3.xlarge"
: { "Arch"
"c3.2xlarge" : { "Arch"
"c3.4xlarge" : { "Arch"
"c3.8xlarge" : { "Arch"
}
:
:
:
:
:
:
:
:
:
:
:
:
:
:
:
"PV64"
"PV64"
"PV64"
"PV64"
"PV64"
"PV64"
"PV64"
"PV64"
"PV64"
"PV64"
"PV64"
"PV64"
"PV64"
"PV64"
"PV64"
},
},
},
},
},
},
},
},
},
},
},
},
},
},
}
,
8.
テンプレートの Mappings セクションで、AWSRegionArch2AMI マッピングを編集し、各 AWS
リージョンを、製品の対応するアーキテクチャと AMI ID に関連付けます。
a.
AWS Marketplace の製品受理のページで、次の例のように、製品が AWS の各リージョンで使
用する AMI ID を表示します。
31
AWS Service Catalog 管理者ガイド
ポートフォリオへの AWS Marketplace 製品の追加
b.
c.
テンプレートで、サポートしないすべてのリージョンのマッピングを削除します。
各リージョンのマッピングを編集し、サポートされないアーキテクチャ (PV64、HVM64、また
は HVMG2) と、関連する AMI ID を削除します。
d.
残りの各リージョンとアーキテクチャのマッピングで、AWS Marketplace の製品詳細ページ
から、対応する AMI ID を指定します。
AWSRegionArch2AMI マッピングの編集が完了したコード例を次に示します。
"AWSRegionArch2AMI" : {
"us-east-1"
: {"PV64" : "ami-nnnnnnnn"},
"us-west-2"
: {"PV64" : "ami-nnnnnnnn"},
"us-west-1"
: {"PV64" : "ami-nnnnnnnn"},
"eu-west-1"
: {"PV64" : "ami-nnnnnnnn"},
"eu-central-1"
: {"PV64" : "ami-nnnnnnnn"},
"ap-northeast-1"
: {"PV64" : "ami-nnnnnnnn"},
"ap-southeast-1"
: {"PV64" : "ami-nnnnnnnn"},
"ap-southeast-2"
: {"PV64" : "ami-nnnnnnnn"},
"sa-east-1"
: {"PV64" : "ami-nnnnnnnn"}
}
これで、テンプレートを使用して製品を AWS Service Catalog ポートフォリオに追加できます。
追加の変更が必要な場合は、テンプレートの詳細について「AWS CloudFormation テンプレートの
使用」を参照してください。
AWS Marketplace 製品を AWS Service Catalog ポートフォリオに追加するには
1.
2.
3.
4.
5.
6.
7.
AWS マネジメントコンソールにサインインし、https://console.aws.amazon.com/catalog/ にある
AWS Service Catalog 管理コンソールに移動します。
[ポートフォリオ] ページで、AWS Marketplace 製品を追加するポートフォリオを選択します。
ポートフォリオの詳細ページで、[新しい製品のアップロード] を選択します。
リクエストされた製品とサポートの詳細を入力します。
[Version details] ページで、[Upload a template file]、[Browse]、テンプレートファイルの順に選択
します。
バージョンタイトルと説明を入力します。
次 を選択します。
32
AWS Service Catalog 管理者ガイド
制約の適用
8.
[Review] ページで、概要が正確であることを確認し、[確認およびアップロード] を選択します。製
品がポートフォリオに追加されます。これで、ポートフォリオにアクセスするエンドユーザーが製
品を使用できるようになりました。
制約の適用
Abstract
制約を AWS Service Catalog 製品に適用して、特定のポートフォリオから製品を起動するときの、製品の起動方法
と適用するルールを制御します。
エンドユーザーが特定のポートフォリオから製品を起動するときの、製品の起動方法と適用するルール
を制御するには、制約を適用します。[portfolio details] ページから製品に制約を適用します。
テンプレート制約は、制約を適用した製品のポートフォリオのみに適用されます。他のポートフォリオ
に製品を追加しても、同じ制約は適用されません。
Note
制約は、作成するとすぐに有効になります。制約は、制約を作成するときにすでに起動されて
いない製品のすべてのバージョンに適用されます。ユーザーに公開する前に制約をテストする
には、同じ製品を含むテストポートフォリオを作成し、そのポートフォリオで制約をテストし
ます。
トピック
• 起動制約の適用 (p. 33)
• テンプレート制約の適用 (p. 35)
起動制約の適用
Abstract
エンドユーザーが製品を起動するときに AWS Service Catalog が引き受ける IAM ロールを指定する起動制約を適
用します。
起動制約は、エンドユーザーが製品を起動するときに AWS Service Catalog が引き受ける AWS Identity
and Access Management (IAM) ロールを指定します。IAM ロールは、IAM ユーザーや AWS サービス
が、AWS サービスを使用するために一時的に引き受けることができるアクセス権限のコレクションで
す。
起動制約がない場合、エンドユーザーは各自の IAM 認証情報を使用して製品を起動し、管理する必要
があります。そのためには、AWS CloudFormation、製品で使用される AWS サービス、および AWS
Service Catalog のアクセス権限が必要です。起動ロールを使用することにより、エンドユーザーのア
クセス権限を代わりに必要最小限に制限できます。エンドユーザーのアクセス権限の管理の詳細につい
ては、「アクセス許可 (p. 45)」を参照してください。
Note
IAMIAM ロールを作成して割り当てるには、iam:CreateRole、iam:PutRolePolicy、
iam:PassRole、iam:Get*、および iam:List* の管理者権限が必要です。
33
AWS Service Catalog 管理者ガイド
起動制約の適用
起動ロールの設定
起動制約として製品に割り当てる IAM ロールには、次の AWS サービスを使用するアクセス権限が必
要です。
• AWS CloudFormation.
• 製品用に AWS CloudFormation テンプレートに含まれているサービス。
• Amazon Simple Storage Service (Amazon S3)。AWS Service Catalog には、Amazon S3 の AWS
CloudFormation テンプレートへの読み取りアクセスが必要です。
IAM ロールには、AWS Service Catalog との信頼関係も必要です。これにより、AWS Service Catalog
は IAM ロールを引き受けることができ、AWS Service Catalog との信頼関係も必要になります。この
信頼関係は、以下のステップでロールタイプとして [AWS Service Catalog] を選択して割り当てます。
信頼関係により、AWS Service Catalog は起動プロセス中にロールを引き受けてリソースを作成するこ
とができます。
起動ロールを作成するには
1.
2.
3.
4.
5.
6.
7.
AWS マネジメントコンソールにサインインして、https://console.aws.amazon.com/iam/ で IAM コ
ンソールを開きます。
[Roles] を選択します。
[Create New Role] を選択します。
ロール名を入力し、[Next Step] を選択します。
[AWS Service Catalog] の横の [AWS Service Roles] で、[Select] を選択します。
[Attach Policy] ページで、[Next Step] を選択します。
ロールを作成するには、[Create Role] を選択します。
ポリシーを新しいロールにアタッチするには
1.
2.
3.
4.
作成したロールを選択して、[role details] ページを表示します。
[Permissions] タブを選択して、[Inline Policies] セクションを展開します。次に、[click here] を選
択します。
[Custom Policy] を選択し、[Select] を選択します。
ポリシーの名前を入力し、[Policy Document] エディターに次のように貼り付けます。
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"catalog-user:*",
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStackEvents",
"cloudformation:DescribeStacks",
"cloudformation:GetTemplateSummary",
"cloudformation:SetStackPolicy",
"cloudformation:ValidateTemplate",
"cloudformation:UpdateStack",
"s3:GetObject"
],
"Resource":"*"
34
AWS Service Catalog 管理者ガイド
テンプレート制約の適用
}
]
}
5.
製品で使用する追加のサービスごとに、ポリシーに行を追加します。たとえば、Amazon Relational
Database Service (Amazon RDS) のアクセス権限を追加するには、"Action" リストの最後の行の
末尾にカンマを入力し、次の行を追加します。
"rds:*"
6.
[Apply Policy] を選択します。
起動制約の適用
次に、起動制約として製品にロールを割り当てます。これにより、エンドユーザーが製品を起動した際
にロールを引き受けるよう AWS Service Catalog に指示します。
製品にロールに割り当てるには
1.
2.
3.
4.
5.
AWS Service Catalog コンソール (https://console.aws.amazon.com/catalog/) に移動します。
製品を含むポートフォリオを選択します。
[制約] セクションを展開し、[制約の追加] を選択します。
製品を選択し、[制約タイプ] を [Launch] に設定します。続行 を選択します。
[IAM role] で、起動ロールを選択して Enter キーを押し、[Submit] を選択します。
起動制約が適用されていることの確認
AWS Service Catalog がロールを使用して製品を起動すること、および AWS Service Catalog エンド
ユーザーコンソールから製品を起動して製品スタックが正常に作成されることを確認します。
製品を起動するには
1.
AWS Service Catalog 管理者コンソールのメニューで、[サービスカタログ]、[エンドユーザー] を
選択します。
2.
3.
製品を選択して、[製品の詳細] ページを開きます。[起動オプション] テーブルで、ロールの Amazon
リソースネーム (ARN) が表示されることを確認します。
製品の起動 を選択します。
4.
5.
起動手順を続行して必要な情報を入力します。
製品が正常に起動することを確認します。
テンプレート制約の適用
Abstract
AWS Service Catalog 製品にテンプレート制約を追加し、ユーザーがその製品を起動するときに使用可能なオプ
ションを制限できます。
ユーザーが製品を起動するときに使用可能なオプションを制限するには、テンプレート制約を適用しま
す。テンプレート制約を適用し、エンドユーザーが組織のコンプライアンス要件に違反することなく製
品を使用できるようにします。製品へのテンプレート制約の適用は、AWS Service Catalog ポートフォ
35
AWS Service Catalog 管理者ガイド
テンプレート制約の適用
リオで行います。テンプレート制約を定義するには、ポートフォリオに 1 つ以上の製品が含まれている
必要があります。
テンプレート制約は 1 つ以上のルールで構成されます。これらのルールでは、製品の基盤となる AWS
CloudFormation テンプレートで定義されているパラメータで許可される値の範囲を絞り込みます。AWS
CloudFormation テンプレートのパラメータでは、スタックを作成するときにユーザーが指定できる値
のセットを定義します。たとえば、パラメータで、EC2 インスタンスを含むスタックを起動するとき
にユーザーが選択できるさまざまなインスタンスタイプ (t1.micro、m1.large など) を定義します。
テンプレートのパラメータ値のセットが、ポートフォリオの対象者に対して広範囲すぎる場合、製品を
起動するときにユーザーが選択できる値を制限するようテンプレート制約を定義できます。たとえば、
テンプレートパラメータに、スモールインスタンスタイプ (t2.micro や t2.small など) のみを使用する
ユーザーにとって大きすぎる EC2 インスタンスタイプが含まれている場合は、エンドユーザーが選択
できるインスタンスタイプを制限するテンプレート制約を追加できます。AWS CloudFormation テンプ
レートパラメータの詳細については、『AWS CloudFormation ユーザーガイド』の「パラメータ」を参
照してください。
テンプレート制約はポートフォリオ内にバインドされます。1 つのポートフォリオで製品にテンプレー
ト制約を適用し、別のポートフォリオに製品を含める場合、制約は 2 番目のポートフォリオの製品には
適用されません。
すでにユーザーと共有されている製品にテンプレート制約を適用する場合、制約はすべてのスタックの
起動と、製品のすべてのバージョンに対してすぐに有効になります。
ルールエディターを使用するか、AWS Service Catalog 管理者コンソールで JSON テキストとしてルー
ルを書き込むことで、テンプレート制約ルールを定義します。構文と例を含むルールの詳細について
は、「テンプレート制約のルール (p. 37)」を参照してください。
製品にテンプレート制約を適用するには
1.
2.
3.
4.
5.
AWS マネジメントコンソール にサインインし、AWS Service Catalog 管理者コンソール（https://
console.aws.amazon.com/catalog/）を開きます。
[ポートフォリオ] ページで、テンプレート制約を適用する製品を含むポートフォリオを選択しま
す。
[制約] セクションを展開し、[制約の追加] を選択します。
[製品とタイプの選択] ウィンドウの [製品] で、テンプレート制約を定義する製品を選択します。次
に、[制約タイプ] で [Template] を選択します。続行 を選択します。
[テンプレート制約ビルダー] ページで、JSON エディターまたはルールビルダーのインターフェイ
スを使用して制約ルールを編集します。
• ルールの JSON コードを編集するには、[制約テキストエディター] タブを選択します。このタブ
には、使用を開始するためにいくつかの例が含まれています。
ルールビルダーのインターフェイスを使用してルールを作成するには、[ルールビルダー] タブを
選択します。このタブで、製品向けにテンプレートで指定される任意のパラメータを選択し、そ
のパラメータで許可される値を指定できます。パラメータの種類に応じて、チェックリストで項
目を選択する、数を指定する、またはカンマ区切りリストで値のセットを指定することで、許可
される値を指定します。
ルールの作成を終了したら、[ルールを追加する] をクリックします。[ルールビルダー] タブの
テーブルにルールが表示されます。JSON 出力を確認して編集するには、[制約テキストエディ
ター] タブを選択します。
6.
制約のルールの編集を終了したら、[送信] を選択します。制約を表示するには、ポートフォリオの
詳細ページに移動し、[制約] セクションを展開します。
36
AWS Service Catalog 管理者ガイド
テンプレート制約の適用
テンプレート制約のルール
Abstract
AWS Service Catalog ポートフォリオのテンプレート制約ルールは、いつエンドユーザーがテンプレートを使用で
きるかと、エンドユーザーがパラメーターに指定できる値を示します。
AWS Service Catalog ポートフォリオでテンプレート制約を定義する Rules では、ユーザーがテンプ
レートをいつ使用できるかと、使用を試みている製品を作成するために使用される AWS CloudFormation
テンプレートで宣言されるパラメータ用に指定できる値を示します。ルールは、エンドユーザーが意図
せずに不適切な値を指定することを防ぐために役立ちます。たとえば、エンドユーザーが、特定の VPC
で有効なサブネットを指定したかどうかや、テスト環境用に m1.small インスタンスタイプを使用し
たかどうかを確認するルールを追加できます。AWS CloudFormation は、ルールを使用して、製品のリ
ソースを作成する前にパラメータ値を確認します。
各ルールは、ルール条件 (オプション) とアサーション (必須) の 2 つのプロパティで構成されます。ルー
ル条件では、ルールがいつ有効になるかを決定します。アサーションでは、特定のパラメータにユー
ザーが指定できる値を示します。ルール条件を定義しない場合、ルールのアサーションが常に有効にな
ります。ルール条件とアサーションを定義するには、ルール固有の組み込み関数を使用します。これ
は、テンプレートの Rules セクションでのみ使用できる関数です。関数をネストすることができます
が、ルール条件またはアサーションの最終結果は、true または false である必要があります。
例として、Parameters セクションで VPC とサブネットパラメータを宣言したとします。特定のサブ
ネットが特定の VPC 内にあることを検証するルールを作成できます。したがって、ユーザーが VPC
を指定するときに、AWS CloudFormation はアサーションを評価して、サブネットのパラメータ値がそ
の VPC にあるかどうか確認してから、スタックを作成または更新します。パラメータ値が無効の場合、
AWS CloudFormation はスタックの作成または更新にすぐに失敗します。ユーザーが VPC を指定しな
い場合、AWS CloudFormation はサブネットのパラメータ値を確認しません。
構文
テンプレートの Rules セクションは、キーの名前 Rules とそれに続く単一のコロンで構成されます。
ルールの宣言全体を中括弧で囲みます。複数のルールを宣言する場合は、カンマで区切ります。ルール
ごとに、引用符で囲んだ論理名、単一のコロン、およびルール条件とアサーションを囲む中括弧から成
る形式で宣言します。
ルールには RuleCondition プロパティを含めることができ、Assertions プロパティを含める必要
があります。ルールごとに、1 つのルール条件のみを定義できます。Assertions プロパティ内に 1 つ
以上のアサーションを定義できます。次の擬似テンプレートに示すように、ルール固有の組み込み関数
を使用してルール条件とアサーションを定義します。
"Rules" : {
"Rule01" : {
"RuleCondition" : { Rule-specific intrinsic function },
"Assertions" : [
{
"Assert" : { Rule-specific intrinsic function },
"AssertDescription" : "Information about this assert"
},
{
"Assert" : { Rule-specific intrinsic function },
"AssertDescription" : "Information about this assert"
}
]
},
"Rule02" : {
"Assertions" : [
37
AWS Service Catalog 管理者ガイド
テンプレート制約の適用
{
"Assert" : { Rule-specific intrinsic function },
"AssertDescription" : "Information about this assert"
}
]
}
}
擬似テンプレートには、Rule01 および Rule02 という 2 つのルールを含む Rules セクションが表示
されます。Rule01 には、ルール条件と 2 つのアサーションが含まれます。ルール条件の関数が true
に評価される場合、各アサーションの両方の関数が評価および適用されます。ルール条件が false の場
合、ルールは有効になりません。Rule02 にはルール条件がないため、常に有効になります。つまり、
1 つのアサーションが常に評価および適用されます。
次のルール固有の組み込み関数を使用して、ルール条件とアサーションを定義できます。
• Fn::And
• Fn::Contains
• Fn::EachMemberEquals
• Fn::EachMemberIn
• Fn::Equals
• Fn::If
• Fn::Not
• Fn::Or
• Fn::RefAll
• Fn::ValueOf
• Fn::ValueOfAll
例
パラメータ値の条件付きの確認
次の 2 つのルールでは、InstanceType パラメータの値を確認します。Environment パラメータの値
(test または prod) に応じて、ユーザーは InstanceType パラメータに対して m1.small または
m1.large を指定する必要があります。InstanceType および Environment パラメータは、同じテ
ンプレートの Parameters セクションで宣言する必要があります。
"Rules" : {
"testInstanceType" : {
"RuleCondition" : {"Fn::Equals":[{"Ref":"Environment"}, "test"]},
"Assertions" : [
{
"Assert" : { "Fn::Contains" : [ ["m1.small"], {"Ref" : "InstanceType"}
] },
"AssertDescription" : "For the test environment, the instance type must
be m1.small"
}
]
},
"prodInstanceType" : {
"RuleCondition" : {"Fn::Equals":[{"Ref":"Environment"}, "prod"]},
"Assertions" : [
{
38
AWS Service Catalog 管理者ガイド
テンプレート制約の適用
"Assert" :
{ "Fn::Contains" : [ ["m1.large"], {"Ref" : "InstanceType"}
] },
"AssertDescription" : "For the prod environment, the instance type must
be m1.large"
}
]
}
}
ルール関数
Abstract
スタックの作成または更新時にパラメータ値を検証するルールを定義する組み込み関数を使用します。
ルールの条件またはアサーションで、Fn::Equals、Fn::Not、Fn::RefAll などの組み込み関数を使
用できます。条件プロパティにより、AWS CloudFormation によってアサーションが適用されるかどう
かが決まります。条件が true に評価され、AWS CloudFormation がアサーションを評価して、スタッ
クの作成または更新時にパラメータ値が有効かどうか確認します。パラメータ値が無効になっている場
合、AWS CloudFormation はスタックを作成または更新しません。条件が false に評価される場合、
AWS CloudFormation はパラメータ値を確認せず、スタック操作に進みます。
トピック
• Fn::And (p. 39)
• Fn::Contains (p. 40)
• Fn::EachMemberEquals (p. 40)
• Fn::EachMemberIn (p. 41)
• Fn::Equals (p. 41)
• Fn::Not (p. 42)
• Fn::Or (p. 42)
• Fn::RefAll (p. 42)
• Fn::ValueOf (p. 43)
• Fn::ValueOfAll (p. 43)
• サポートされている関数 (p. 44)
• サポートされている属性 (p. 44)
Fn::And
指定されたすべての条件が true に評価された場合は true を返します。条件のいずれかが false に
評価された場合は false を返します。Fn::And は AND 演算子として機能します。含めることができ
る条件の最小数は 2 で、最大数は 10 です。
宣言
"Fn::And": [{condition}, {...}]
パラメータ
condition
true または false に評価されるルール固有の組み込み関数。
39
AWS Service Catalog 管理者ガイド
テンプレート制約の適用
例
次の例では、参照されるセキュリティグループの名前が sg-mysggroup と等しい場合、および
InstanceType パラメータ値が m1.large または m1.small の場合に、true と評価されます。
"Fn::And" : [
{"Fn::Equals" : ["sg-mysggroup", {"Ref" : "ASecurityGroup"}]},
{"Fn::Contains" : [["m1.large", "m1.small"], {"Ref" : "InstanceType"}]}
]
Fn::Contains
指定された文字列が文字列のリストの少なくとも 1 つの値と一致する場合に、true を返します。
宣言
"Fn::Contains" : [[list_of_strings], string]
パラメータ
list_of_strings
"A", "B", "C" のような文字列のリスト。
文字列
文字列のリストに対して比較する、"A" などの文字列。
例
次の関数は、InstanceType パラメータ値がリスト (m1.large または m1.small) に含まれる場合に、
true と評価されます。
"Fn::Contains" : [
["m1.large", "m1.small"], {"Ref" : "InstanceType"}
]
Fn::EachMemberEquals
指定された文字列が文字列のリストのすべての値と一致した場合に、true を返します。
宣言
"Fn::EachMemberEquals" : [[list_of_strings], string]
パラメータ
list_of_strings
"A", "B", "C" のような文字列のリスト。
文字列
文字列のリストに対して比較する、"A" などの文字列。
例
次の関数が true を返すのは、Department タグ (AWS::EC2::VPC::Id タイプのすべてのパラメータ)
の値が IT の場合です。
40
AWS Service Catalog 管理者ガイド
テンプレート制約の適用
"Fn::EachMemberEquals" : [
{"Fn::ValueOfAll" : ["AWS::EC2::VPC::Id", "Tags.Department"]}, "IT"
]
Fn::EachMemberIn
文字列のリストの各メンバーが、文字列の 2 番目のリストの少なくとも 1 つの値に一致する場合に、
true を返します。
宣言
"Fn::EachMemberIn" : [[strings_to_check], strings_to_match]
パラメータ
strings_to_check
"A", "B", "C" のような文字列のリスト。AWS CloudFormation は、strings_to_check パラ
メータの各メンバーが strings_to_match パラメータにあるかどうか確認します。
strings_to_match
"A", "B", "C" のような文字列のリスト。strings_to_match パラメータの各メンバーは、
strings_to_check パラメータのメンバーに対して比較されます。
例
次の関数は、有効な Virtual Private Cloud (VPC) にあるサブネットをユーザーが指定するかどうかを確
認します。VPC は、ユーザーがスタックを使用しているアカウントおよびリージョンに存在する必要
があります。関数は、AWS::EC2::Subnet::Id タイプのすべてのパラメータに適用されます。
"Fn::EachMemberIn" : [
{"Fn::ValueOfAll" : ["AWS::EC2::Subnet::Id", "VpcId"]}, {"Fn::RefAll" :
"AWS::EC2::VPC::Id"}
]
Fn::Equals
2 つの値を比較し、同じかどうかを判断します。2 つの値が同じ場合は true を返し、同じでない場合
は false を返します。
宣言
"Fn::Equals" : ["value_1", "value_2"]
パラメータ
value
別の値と比較する任意のタイプの値。
例
次の例では、EnvironmentType パラメータの値が prod と等しい場合に true に評価されます。
"Fn::Equals" : [{"Ref" : "EnvironmentType"}, "prod"]
41
AWS Service Catalog 管理者ガイド
テンプレート制約の適用
Fn::Not
false に評価される条件に対しては、true を返します。true に評価される条件に対しては、false
を返します。Fn::Not は NOT 演算子として機能します。
宣言
"Fn::Not": [{condition}]
パラメータ
condition
true または false に評価されるルール固有の組み込み関数。
例
次の例では、EnvironmentType パラメータの値が prod と等しくない場合に true に評価されます。
"Fn::Not" : [{"Fn::Equals" : [{"Ref" : "EnvironmentType"}, "prod"]}]
Fn::Or
指定されたいずれかの条件が true に評価された場合は true を返します。すべての条件が false に
評価された場合は false を返します。Fn::Or は OR 演算子として機能します。含めることができる
条件の最小数は 2 で、最大数は 10 です。
宣言
"Fn::Or": [{condition}, {...}]
パラメータ
condition
true または false に評価されるルール固有の組み込み関数。
例
次の例では、参照されるセキュリティグループの名前が sg-mysggroup と等しい場合、または
InstanceType パラメータ値が m1.large または m1.small の場合に、true と評価されます。
"Fn::Or" : [
{"Fn::Equals" : ["sg-mysggroup", {"Ref" : "ASecurityGroup"}]},
{"Fn::Contains" : [["m1.large", "m1.small"], {"Ref" : "InstanceType"}]}
]
Fn::RefAll
指定したパラメータ型のすべての値を返します。
宣言
"Fn::RefAll" : "parameter_type"
42
AWS Service Catalog 管理者ガイド
テンプレート制約の適用
パラメータ
parameter_type
AWS::EC2::SecurityGroup::Id や AWS::EC2::VPC::Id などの AWS 固有のパラメータ型。詳細につ
いては、『AWS CloudFormation ユーザーガイド』の「パラメータ」を参照してください。
例
次の関数は、スタックを作成または更新中のリージョンと AWS アカウントのすべての VPC ID のリス
トを返します。
"Fn::RefAll" : "AWS::EC2::VPC::Id"
Fn::ValueOf
特定のパラメータおよび属性の値の属性値またはリストを返します。
宣言
"Fn::ValueOf" : [ "parameter_logical_id", "attribute" ]
パラメータ
属性
値の取得元となる属性の名前。属性の詳細については、「サポートされている属性 (p. 44)」を参
照してください。
parameter_logical_id
属性値を取得する対象のパラメータの名前。パラメータは、テンプレートの [Parameters] セク
ションで宣言する必要があります。
例
次の例では、ElbVpc パラメータで指定された VPC の Department タグの値を返します:
"Fn::ValueOf" : ["ElbVpc", "Tags.Department"]
パラメータに複数の値を指定する場合、Fn::ValueOf 関数はリストを返すことができます。たとえば、
複数のサブネットを指定して、各メンバーが特定のサブネットのアベイラビリティーゾーンであるアベ
イラビリティゾーンのリストを取得できます。
"Fn::ValueOf" : ["ListOfElbSubnets", "AvailabilityZone"]
Fn::ValueOfAll
特定のパラメータ型および属性のすべての属性値のリストを返します。
宣言
"Fn::ValueOfAll" : ["parameter_type", "attribute"]
43
AWS Service Catalog 管理者ガイド
タグ
パラメータ
属性
値の取得元となる属性の名前。属性の詳細については、「サポートされている属性 (p. 44)」を参
照してください。
parameter_type
AWS::EC2::SecurityGroup::Id や AWS::EC2::VPC::Id などの AWS 固有のパラメータ型。詳細につ
いては、『AWS CloudFormation ユーザーガイド』の「パラメータ」を参照してください。
例
次の例では、Fn::ValueOfAll 関数は値のリストを返します。各メンバーは、そのタグを持つ VPC の
Department タグ値です。
"Fn::ValueOfAll" : ["AWS::EC2::VPC::Id", "Tags.Department"]
サポートされている関数
Fn::ValueOf および Fn::ValueOfAll 関数内で他の関数を使用することはできません。ただし、他
のすべてのルール固有の組み込み関数内では、以下の関数を使用できます。
• Ref
• その他のルール固有の組み込み関数
サポートされている属性
次の一覧に、特定のリソースおよびパラメータ型に対して取得できる属性値を示します。
AWS::EC2::VPC::Id パラメータ型または VPC ID
• DefaultNetworkAcl
• DefaultSecurityGroup
• タグ. AWS::EC2::Subnet::Id パラメータ型またはサブネット ID
• AvailabilityZone
• タグ. • VpcId
AWS::EC2::SecurityGroup::Id パラメータ型またはセキュリティグループ ID
• タグ. タグ
Abstract
ポートフォリオと製品にタグを追加し、製品の起動時に作成されるリソースを追跡します。
タグとは、AWS リソースを識別および整理するためのメタデータとして使用される単語やフレーズの
ことです。各リソースは最大 10 個のタグを持つことができ、各タグはキーと値で構成されます。タグ
付けの詳細については、「タグとは」 (『AWS 請求とコスト管理ユーザーガイド』) を参照してくださ
い。
44
AWS Service Catalog 管理者ガイド
タグの使用
ポートフォリオに 3 つのタグを追加し、製品に 3 つのタグを追加できます。製品を起動するときに、
そのタグとそのポートフォリオのタグが組み合わされて、スタックに自動的に適用されます。ポート
フォリオについては、ポートフォリオの配信先のグループに対して、[CostCenter] または [GroupName]
タグを追加できます。製品については、製品に関する情報を指定するために、[ProductOwner]、
[LicenseType]、または [OperatingSystem] タグを追加できます。
エンドユーザーは、スタックを起動するときに、製品またはポートフォリオから継承されたものとは別
に、スタックにタグを追加できます。ユーザーが特定のタグを追加できるようにする場合は、製品の説
明にそれらを指定します。たとえば、ユーザーがスタックに [Name] タグを入力したり、ユーザー名を
値として [User] タグを入力したりできるようにします。
タグは製品の起動時にスタックリソースに割り当てられ、スタックの更新時またはスタックのライフサ
イクル中に変更することはできません。
Note
AWS CloudFormation は、作成時に各クラウドリソースに 3 つのタグ (stack name、stack
ID、logical ID) も追加します。これらのタグは、タグ制限に対してカウントされません。
タグの使用
追加するタグは Amazon Elastic Compute Cloud (Amazon EC2) コンソールに列として表示され、検索
バーのフィルタのリストに自動的に追加されます。タグを基準にソートして、探しているリソースを見
つけることができます。
また、AWS マネジメントコンソール Tag Editor を使用して、タグをまとめて管理することもできま
す。詳細については、「Tag Editor の使用」を参照してください。
Tip
起動時に、Name キーとともにタグを追加して、スタックリソースに名前を付けます。デフォ
ルトでは、[Name] 列が Amazon EC2 コンソールに表示されます。
アクセス許可
Abstract
管理ポリシーを適用して、製品を作成するアクセス権限を AWS Service Catalog 管理者に付与し、それらの製品に
アクセスするアクセス権限をエンドユーザーに付与します。
AWS Identity and Access Management (IAM) を通じて AWS 管理ポリシーを適用することにより、管
理者とエンドユーザーが AWS Service Catalog および AWS リソースに対して持つアクセスのレベルを
制御します。これらのポリシーは、AWS によって作成および管理されます。また、製品の作成および
管理のために AWS Service Catalog 管理者が必要とするアクセス権限を与えるように事前に設定され、
製品を起動し、スタックを管理するためにエンドユーザーが必要とする最初のアクセス権限を提供しま
す。アクセスを制御するには、IAM ユーザー、グループ、および AWS Service Catalog で使用するロー
ルに、これらのポリシーをアタッチします。IAM に精通していない場合は、アクセス権限の付与の詳細
について、『IAM ユーザーガイド』を参照してください。AWS 管理ポリシーの具体的な情報について
は、『IAM ユーザーガイド』の「AWS 管理ポリシー」を参照してください。
AWS 管理ポリシー
IAM では、次の AWS 管理ポリシーが AWS Service Catalog に対して提供されます。
45
AWS Service Catalog 管理者ガイド
エンドユーザーのコンソールアクセス
ユーザー
タイプ
アクセスレベル
AWS 管理ポリシー
必要な追加のアクセス
権限
管理者
管理者コンソールにアクセスでき ServiceCatalogAdminFul- なし
る
lAccess
製品およびポートフォリオを作
成、管理できる
管理者
管理者コンソールにアクセスのみ ServiceCatalogAdmin可能 (製品やポートフォリオを作 ReadOnlyAccess
成または管理することはできな
い)
なし
エンド
ユーザー
エンドユーザーコンソールにアク ServiceCatalogEndUser- 製品の AWS Cloudセスできる
Formation テンプレー
FullAccess
トで AWS リソースを
製品を起動し、スタックを管理で
使用する IAM のアクセ
きる
ス権限
エンド
ユーザー
エンドユーザーコンソールにアク ServiceCatalogEndUser- 製品の AWS Cloudセスのみ可能 (製品を起動した
Formation テンプレー
Access
り、スタックを管理することはで
トで AWS リソースを
きない)
使用する IAM のアクセ
ス権限
製品を起動し、スタッ
クを管理する IAM のア
クセス権限
エンドユーザーのコンソールアクセス
ServiceCatalogEndUserFullAccess および ServiceCatalogEndUserAccess ポリシーにより、
AWS Service Catalog エンドユーザーコンソールへのアクセス権が付与されます。これらのいずれかの
ポリシーを持っているユーザーが AWS マネジメントコンソールで [Service Catalog] を選択すると、エ
ンドユーザーコンソールが表示されます。
ただし、ユーザーに以下の IAM アクセス権限を付与する場合 (これらは AWS Service Catalog 管理者用
です)、代わりに管理者コンソールが表示されます。
• catalog-admin:ListPortfolios
• catalog-admin:SearchListings
エンドユーザーが管理者コンソールにアクセスできるようにする場合を除き、これらのアクセス権限を
エンドユーザーに付与しないでください。
これらのアクセス権限を持っているユーザーは、以下の方法でエンドユーザーコンソールにアクセスで
きます。
• 管理者コンソールで、[Service Catalog] メニューを選択し、[End user] を選択する。
• エンドユーザーコンソールの直接的な URL を使用する。https://console.aws.amazon.com/servicecatalog
46
AWS Service Catalog 管理者ガイド
エンドユーザー向け製品アクセス
エンドユーザー向け製品アクセス
エンドユーザーが、アクセス権限を付与する製品を使用できるようにするには、製品の AWS
CloudFormation テンプレートで、基盤となる各 AWS リソースを使用できるようにする追加の IAM ア
クセス権限を提供する必要があります。たとえば、製品テンプレートに Amazon Relational Database
Service (Amazon RDS) が含まれる場合、製品を起動する Amazon RDS アクセス権限をユーザーに付
与する必要があります。
ServiceCatalogEndUserAccess ポリシーを適用すると、ユーザーはエンドユーザーコンソールにア
クセスできますが、製品を起動し、スタックを管理するために必要なアクセス権限は与えられません。
IAM でエンドユーザーに直接これらのアクセス権限を付与できますが、エンドユーザーが AWS リソー
スに対して持つアクセス権限を制限する場合は、ポリシーを起動ロールにアタッチします。次に、AWS
Service Catalog を使用して、製品の起動制約に起動ロールを適用します。起動ロールの適用の手順と
起動ロールのサンプルについては、「起動制約の適用 (p. 33)」を参照してください。
ポートフォリオの共有
Abstract
AWS Service Catalog 製品を、AWS アカウントに属していないユーザー (他の組織のユーザー、または組織内の他
の AWS アカウントに属しているユーザーなど) が利用できるようにするには、ポートフォリオを AWS アカウント
と共有します。
AWS Service Catalog 製品を、AWS アカウントに属していないユーザー (他の組織のユーザー、または
組織内の他の AWS アカウントに属しているユーザーなど) が利用できるようにするには、ポートフォ
リオを AWS アカウントと共有します。
ポートフォリオを共有するときに、他の AWS アカウントの AWS Service Catalog 管理者が、管理者の
アカウントにポートフォリオをインポートし、そのアカウントのエンドユーザーに製品を配信できるよ
うにします。このインポートされたポートフォリオは独立コピーではありません。インポートされた
ポートフォリオの製品と制約は、共有した元のポートフォリオである共有ポートフォリオに対して行う
変更と同期が維持されます。ポートフォリオを共有する管理者である受取人管理者は、製品または制約
を変更することはできませんが、エンドユーザーに対して AWS Identity and Access Management (IAM)
アクセス権限を追加し、タグを追加することができます。詳細については、「ユーザーへのアクセス権
限の付与 (p. 25)」および「ポートフォリオへのタグ付け (p. 25)」を参照してください。
受取人管理者は、次の方法で、自身の AWS アカウントに属しているエンドユーザーに製品を配信でき
ます。
• IAM ユーザー、グループ、ロールを、インポートされたポートフォリオに追加する
• インポートされたポートフォリオからローカルポートフォリオに製品を追加することにより、受取人
管理者が作成し、自身の AWS アカウントに属する別のポートフォリオが作成されます。次に、受取
人管理者は、ローカルポートフォリオに IAM ユーザー、グループ、およびロールを追加します。共
有ポートフォリオで製品に適用した制約は、ローカルポートフォリオにも存在します。受取人管理者
は、ローカルポートフォリオに制限を追加することができますが、インポートされた制約を削除する
ことはできません。
共有ポートフォリオに製品または制約を追加または削除すると、変更はポートフォリオのすべてのイン
ポートされたインスタンスに伝搬されます。たとえば、共有ポートフォリオから製品を削除する場合、
その製品はインポートされたポートフォリオからも削除されます。また、製品が追加されたすべての
ローカルポートフォリオからも削除されます。削除する前にエンドユーザーが製品を起動した場合、エ
ンドユーザーのスタックは実行し続けますが、それ以降の起動では使用できなくなります。
共有ポートフォリオで製品に起動制約を適用する場合、製品のすべてのインポートされたインスタンス
に伝搬されます。この起動制約を上書きするには、受取人管理者はローカルポートフォリオに製品を追
47
AWS Service Catalog 管理者ガイド
共有ポートフォリオとインポートされたポートフォリオの
関係の概要
加し、別の起動制約を適用します。有効な起動制約により、製品の起動ロールが設定されます。起動
ロールは、エンドユーザーが製品を起動するときに、AWS リソース (EC2 インスタンスや RDS データ
ベースなど) をプロビジョニングするために AWS Service Catalog が使用する IAM ロールです。この起
動ロールは、起動ロールを所有しているのとは別の AWS アカウントにエンドユーザーが属している場
合でも使用されます。起動制約と起動ロールの詳細については、「起動制約の適用 (p. 33)」を参照し
てください。起動ロールを所有する AWS アカウントが、AWS リソースをプロビジョニングし、この
アカウントにより、これらのリソースの使用料金が発生します。詳細については、「AWS Service
Catalog の料金」を参照してください。
共有ポートフォリオとインポートされたポートフォ
リオの関係の概要
次の表に、インポートされたポートフォリオと共有ポートフォリオの関係、およびポートフォリオをイ
ンポートする管理者が、そのポートフォリオとポートフォリオ内の製品で実行できることと、実行でき
ないことの概要を示します。
共有ポートフォリオの要 インポートされたポート 受取人管理者が実行でき 受取人管理者が実行でき
素
フォリオとの関係
る操作
ない操作
製品と製品バージョン
継承されます。
インポートされた製品を
ポートフォリオに追加す
ポートフォリオ作成者が る。製品は、共有ポート
共有ポートフォリオに製 フォリオとの同期を維持
品を追加または削除する します。
と、変更はインポートさ
れたポートフォリオに伝
播されます。
インポートされたポート
フォリオに製品をアップ
ロード、追加、または削
除する。
制約の起動
継承されます。
インポートされたポート
フォリオとの間で、起動
制約を追加または削除す
る。
ローカルポートフォリオ
で、管理者は別の起動制
ポートフォリオ作成者が 約を製品に適用して、イ
共有製品に起動制約を追 ンポートされた起動制約
加または削除すると、変 を上書きできます。
更は製品のすべてのイン
ポートされたインスタン
スに伝播されます。
受取人管理者がインポー
トされた製品をローカル
ポートフォリオに追加す
ると、その製品に適用さ
れた、インポートされた
起動制約が、ローカル
ポートフォリオにも存在
します。
48
AWS Service Catalog 管理者ガイド
ポートフォリオの共有
共有ポートフォリオの要 インポートされたポート 受取人管理者が実行でき 受取人管理者が実行でき
素
フォリオとの関係
る操作
ない操作
テンプレートの制約
継承されます。
ローカルポートフォリオ インポートされたテンプ
で、管理者は、インポー レートの制約を削除す
ポートフォリオ作成者が トされた制約に加えて有 る。
テンプレートの制約を共 効になるテンプレートの
有製品に追加または削除 制約を追加できます。
すると、変更は製品のす
べてインポートされたイ
ンスタンスに伝搬されま
す。
受取人管理者がインポー
トされた製品をローカル
ポートフォリオに追加す
ると、製品に適用され
た、インポートされたテ
ンプレートの制約がロー
カルポートフォリオに
よって継承されます。
IAM ユーザー、グルー
プ、ロール
継承されません。
管理者の AWS アカウン 該当しません。
トに属する IAM ユー
ザー、グループ、および
ロールを追加する。
タグ
継承されません。
タグを追加する。
該当しません。
ポートフォリオの共有
Abstract
別の AWS アカウントの AWS Service Catalog 管理者が、その AWS アカウントで AWS Service Catalog ポート
フォリオを共有することで、製品をエンドユーザーに配信できるようにします。
別の AWS アカウントの AWS Service Catalog 管理者が製品をエンドユーザーに配信できるようにする
には、その管理者の AWS アカウントで AWS Service Catalog ポートフォリオを共有します。
これらのステップを完了するには、対象の AWS アカウントの AWS アカウント ID を取得する必要が
あります。この ID は、対象のアカウントの AWS マネジメントコンソールの [My Account] ページで入
手できます。
ポートフォリオを共有するには
1.
2.
3.
4.
AWS マネジメントコンソール にサインインし、AWS Service Catalog 管理者コンソール（https://
console.aws.amazon.com/catalog/）を開きます。
[ポートフォリオ] ページで、共有するポートフォリオを共有し、[ポートフォリオの共有] を選択し
ます。
[AWS アカウント ID の入力] ウィンドウで、共有する AWS アカウントのアカウント ID を入力し
ます。次に、[共有] を選択します。共有が成功した場合、[ポートフォリオ] ページのメッセージ
で、ポートフォリオが対象のアカウントにリンクされていることを確認できます。また、ポート
フォリオをインポートするために受取人管理者が使用する必要がある URL が提供されます。
対象のアカウントの AWS Service Catalog 管理者に URL を送信します。URL では、共有ポート
フォリオの ARN が自動的に提供されて [ポートフォリオのインポート] ページが開きます。
49
AWS Service Catalog 管理者ガイド
ポートフォリオのインポート
ポートフォリオのインポート
Abstract
別のアカウントから共有される AWS Service Catalog ポートフォリオをインポートし、その製品をアカウントのエ
ンドユーザーに配信できるようします。
別の AWS アカウントの AWS Service Catalog 管理者がポートフォリオを共有した場合、そのポート
フォリオをアカウントにインポートし、その製品をエンドユーザーに配信できるようにします。
ポートフォリオをインポートするには、管理者からポートフォリオをインポートするための URL を取
得するか、共有されたポートフォリオの Amazon リソースネーム (ARN) を取得する必要があります。
ARN は、管理者のアカウントで共有されたポートフォリオの詳細ページに表示されます。
インポート URL を受け取った場合
•
URL にアクセスし、[ポートフォリオのインポート] ページで [インポート] を選択します。[ポート
フォリオ] ページが表示され、ポートフォリオが [Imported Portfolios] テーブルに表示されます。
ポートフォリオ ARN を受け取った場合
1.
2.
3.
4.
AWS マネジメントコンソール にサインインし、AWS Service Catalog 管理者コンソール（https://
console.aws.amazon.com/catalog/）を開きます。
[ポートフォリオ] ページで [ポートフォリオのインポート] を選択します。
[ポートフォリオのインポート] ページで、テキストボックスにポートフォリオの ARN を入力しま
す。
インポート を選択します。[ポートフォリオ] ページが表示され、ポートフォリオが [Imported
Portfolios] テーブルに表示されます。
50
AWS Service Catalog 管理者ガイド
ダッシュボードの使用
エンドユーザーコンソールの使用
Abstract
AWS Service Catalog エンドユーザーコンソールからスタックを起動して管理します。
AWS Service Catalog エンドユーザーコンソールを使用して、ジョブを実行するために必要な製品を起
動および停止します。また、エンドユーザーコンソールを使用して、それらの製品の実行に必要なコン
ピューティングリソース (まとめてスタックと呼ばれます) を管理します。エンドユーザーコンソール
のホームページはダッシュボードであり、https://console.aws.amazon.com/servicecatalog/ にありま
す。
Note
AWS Service Catalog エンドユーザーコンソールへのアクセスを試みているときにエラーメッ
セージが表示された場合は、管理者に連絡して、AWS Service Catalog サービスの使用に必要
なアクセス権限と、1 つ以上の製品へのアクセス権限の両方がアカウントにあることを確認し
てください。
トピック
• ダッシュボードの使用 (p. 51)
• 製品リストの使用 (p. 52)
• スタックリストの使用 (p. 52)
• 利用可能な製品の表示 (p. 53)
• 製品の起動 (p. 54)
• スタック情報の表示 (p. 54)
• スタックの更新 (p. 56)
• スタックの削除 (p. 56)
ダッシュボードの使用
Abstract
AWS Service Catalog ダッシュボードを使用して、製品とスタックのリストを表示します。
51
AWS Service Catalog 管理者ガイド
製品リストの使用
AWS Service Catalog ダッシュボードには、製品リストおよびスタックのリストが表示されます。ダッ
シュボードから、製品の起動、および作成したスタックの表示、更新、または削除が可能です。
AWS Service Catalog ダッシュボードを表示するには
•
https://console.aws.amazon.com/servicecatalog/ で IAM にサインインし、AWS マネジメントコン
ソール エンドユーザーコンソールを開きます。
AWS Service Catalog を使用中に、いつでもダッシュボードに戻ることができます。そのためには、
ページの上部にあるリンクを選択するか、[サービスカタログ] メニューから [ダッシュボード] を選択し
ます。
ダッシュボードには、最大 5 つの製品と 5 つのスタックが表示されます。[製品リスト] および [スタッ
クリスト] ページでは、製品とスタックの完全なリストを表示できます。そのためには、[サービスカタ
ログ] メニューからそれらを選択します。
製品リストの使用
Abstract
[Products] リストを表示して、管理者が利用可能にしたリソースを確認します。
[製品リスト] には、管理者がユーザーに対して利用できるようにしたアプリケーション、ツール、およ
びクラウドリソースが表示されます。[製品リスト] を使用して、これらの製品のインスタンスを起動
し、作成する各スタックを管理できます。
製品リストを表示するには
1.
2.
https://console.aws.amazon.com/servicecatalog/ で IAM にサインインし、AWS マネジメントコン
ソール エンドユーザーコンソールを開きます。
すべての製品の表示 を選択します。
[製品リスト] にはいつでも戻ることができます。そのためには、ナビゲーションバーの [サービスカタ
ログ] を選択し、[製品リスト] を選択します。
スタックリストの使用
Abstract
[Stack list] ページを表示して、作成したスタックを確認します。
[スタックリスト] ページには、製品を起動することにより作成したすべてのスタックが表示されます。
デフォルトでは、[スタックリスト] には、各スタックの名前、作成日時、現在のステータス、および該
当する場合はステータスメッセージが表示されます。また、列の選択を使用して、スタック ARN
(Amazon リソースネーム) と最終更新日時を表示することもできます。[スタックリスト] を使用して、
名前でのスタックの検索、新しいバージョンへのスタックの更新、またはスタックの削除を行うことが
できます。
[スタックリスト] ページを表示するには
1.
https://console.aws.amazon.com/servicecatalog/ で IAM にサインインし、AWS マネジメントコン
ソール エンドユーザーコンソールを開きます。
2.
すべてのスタックの表示 を選択します。
52
AWS Service Catalog 管理者ガイド
利用可能な製品の表示
AWS Service Catalog の使用中に、いつでも [スタックリスト] に戻ることができます。そのためには、
ナビゲーションバーの [サービスカタログ] を選択し、[スタックリスト] を選択します。
表示される列を変更するには
1.
[列の編集] ボタン ([スタックリスト] ページの右上にある歯車のアイコン) を選択します。
2.
3.
使用できる任意の列を選択して、それを表示または非表示にします。
保存 を選択します。
利用可能な製品の表示
Abstract
料金情報については、[製品の詳細] ページを参照してください。
[製品の詳細] ページには、製品の説明、製品バージョンの詳細、およびサポート情報を含む、製品に関
する情報が表示されます。
製品に関する詳細情報を表示するには
1.
2.
「製品リスト」に移動します。
製品名を選択します。
製品バージョンの選択
製品の複数のバージョンを利用できる場合は、バージョンの説明を読んで、使用するバージョンを決定
することができます。通常は、製品の最新バージョンを使用してください。
起動オプション
製品の起動のオプションには、製品の ID、その配信に使用されるポートフォリオ、および起動中に適
用される制約またはタグが含まれます。
• [Launch as] - 製品を起動するために AWS Service Catalog によって引き受けられたロールの ARN。
このフィールドが空白の場合、製品はユーザーのアクセス権限で起動されます。
• [Rules] - 起動中に製品に適用されたテンプレート制約の名前。
• [Tags] – ポートフォリオまたは製品から継承されたタグの名前と値。
タグ
タグは、追跡と分析のためにスタックに割り当てられたメタデータです。製品を起動するときに入力す
るタグに加えて、スタックには、AWS Service Catalog 管理者によって製品またはポートフォリオに適
用されたタグがある場合があります。
サポートの詳細
サポートの詳細には、E メールアドレス、URL、またはその両方を含めることができます。サポートの
詳細は、管理者によって製品の作成時に提供されます。この情報を、製品のヘルプで役立てることがで
きます。
53
AWS Service Catalog 管理者ガイド
製品の起動
製品の起動
Abstract
AWS Service Catalog 製品スタックを AWS マネジメントコンソールで起動します。
AWS Service Catalog ダッシュボードまたは製品リストに表示される任意の製品を起動できます。製品
を起動すると、製品のインスタンスが AWS スタックに作成されます。AWS のスタックは、1 つのユ
ニットとして管理する 1 つ以上のクラウドリソース (コンピューティングインスタンス、データベー
ス、ネットワーキングコンポーネントなど) です。
製品を起動するには
1.
2.
3.
4.
5.
6.
AWS Service Catalog ダッシュボードまたは製品リストで製品を選択し、[製品の起動] を選択しま
す。
[Product Version] ページで、スタック名を入力します。スタック名は文字で始まり、文字、数字、
ハイフンのみを使用できます。
起動する製品のバージョンを選択し、[次] を選択します。
[Parameters] ページで、製品に必要な各パラメーターの値を入力し、[次] を選択します。製品にパ
ラメータがない場合、AWS Service Catalog ではこのステップは省略されます。
[Tags] ページで、製品スタックで使用するタグを追加し、[次] を選択します。タグはキーと値を持
つことができ、スタックのリソースを識別するのに役立ちます。
スタックは、製品およびポートフォリオからそれぞれ最大 3 つのタグを継承し、最大 10 個のタグ
を持つことができます。追加のタグが AWS CloudFormation によって一部のリソースに追加され
ますが、これらは制限に適用されず、このページに表示されません。
[Review] ページで、入力した値を確認し、[作成する] を選択します。
[作成する] を選択すると、[スタックの詳細] ページにリダイレクトされます。リソースの作成とパラ
メータの検証時にステータスメッセージの更新を表示するには、[Refresh] を選択します。
起動中に問題が発生した場合、ステータスは [Failed] に変更されます。問題を識別するには、スタック
名を選択して、[スタックの詳細] ページを表示します。
製品が正常に起動すると、ステータスは [Available] に変わります。起動によって生成された出力を表
示するには、クリックして [スタックの詳細] ページに進みます。
スタック情報の表示
Abstract
[スタックの詳細] ページに進み、AWS Service Catalog でデプロイしたスタックに関する情報を表示します。
各スタックには、スタックに関する情報を表示する [スタックの詳細] ページがあります。[スタックの
詳細] ページは、製品が初めて起動されてからスタックが削除されるまで使用できます。
スタックの詳細情報を表示するには
1.
2.
「ダッシュボード」または「スタックリスト」に移動します。
スタックを選択します。
54
AWS Service Catalog 管理者ガイド
スタックのステータスの表示
スタックのステータスの表示
起動中にユーザーが入力した製品テンプレートとパラメータを使用して AWS Service Catalog が AWS
リソースの作成と設定を試みる際に、起動する各スタックの状態が変わります。すべてが正しく動作し
た場合、スタックは初期のステータスである [Launching] から [Available] に変わります。
スタックのステータスは、[ダッシュボード]、[スタックリスト]、および [スタックの詳細] ページに表
示されます。[Available] というステータスは、製品が正常に起動し、使用準備ができたことを示しま
す。
スタックのクラウドリソースのいずれかが起動できなかった場合、または適用されたすべての制約をパ
ラメーターが製品に渡すことができなかった場合、すべてのリソースが終了し、スタックのステータス
は [Failed] になります。失敗したスタックは復元できませんが、トラブルシューティング用に [スタッ
クリスト] に残ります。
スタックを更新して新しいバージョンまたは別のパラメーターを使用すると、スタックのステータスは
[Updating] になります。更新が成功すると、スタックのステータスは [Available] に変わります。
削除されたスタックのステータスは、リソースの削除中は [Terminating] になります。すべてのリソー
スが終了すると、スタックは AWS Service Catalog から削除され、表示されなくなります。
スタックで実行できる操作は、スタックのステータスによって異なります。たとえば、[Available] のス
タックは更新または削除できますが、[Launching]、[Updating]、または [Terminating] のスタックは更新
または削除できません。[Failed] のスタックは表示と削除のみが可能です。
出力の表示
スタックは、製品を起動すると、出力という情報を提供します。通常、出力には、スタック起動時に生
成される URL、IP アドレス、およびデータベース接続文字列が表示されます。各出力にはキー、値、
および説明が含まれます。
出力で提供される情報の使用方法は、起動する製品のタイプによって異なります。たとえば、製品で
EC2 インスタンスを起動する場合、スタックはインスタンスの IP アドレスを生成することがあり、こ
れを、リモートデスクトップ接続または SSH を使ったインスタンスへの接続に使用できます。
イベントを表示する
AWS CloudFormation は、起動と更新プロセスの各ステップ中に情報を提供します。スタックの状態が
変わると、リソースが作成されます、またはエラーが発生すると、AWS CloudFormation は次の情報と
ともにイベントをログに記録します。
• [Date] – イベントが発生した日時 (現地時間)。
• [Status] – スタックのステータスの表示 (p. 55) とは対照的に、スタックのリソースの状態。
• [Type] – イベントの対象であるリソースのタイプ。リソースタイプの詳細については、『AWS
CloudFormation ユーザーガイド』の「リソースタイプ」を参照してください。
• [Logical ID] – テンプレートに定義されたリソースの名前。
• [Status reason] – スタックのステータスに関する状態の追加の情報 (利用可能な場合)。
• [Physical ID] – イベントを選択したときに表示されるリソースの物理 ID。
パラメータの入力
スタックを起動または更新するときは、パラメータを入力します。スタックを起動または更新するとき
に、正しくないパラメータ値を入力した場合、[CREATE_FAILED] が イベントを表示する (p. 55) セク
ションに表示されます。
55
AWS Service Catalog 管理者ガイド
タグの表示
タグの表示
タグは、起動中にスタックに適用されるメタデータです。[スタックの詳細] ページでは、製品および
ポートフォリオから継承されたタグも表示されます。
サポート詳細の表示
AWS Service Catalog 管理者がこのオプションのセクションでサポート情報を提供している場合、ス
タックで問題が発生した場合にサポートを受けるために使用できる E メールアドレスまたはサイトリ
ンクがあります。追加のサポート情報が含まれている場合もあります。
スタックの更新
Abstract
AWS Service Catalog 製品の新バージョンをデプロイするか、パラメータを変更するには、スタックを更新しま
す。
新しいバージョンの製品を使用するか、更新されたパラメータ値で実行中のスタックを設定する場合
は、スタックを更新します。ただし、タグを変更するためにスタックを更新することはできません。
スタックを更新できるのは、ステータスが [Available] の場合のみです。失敗したスタックや、開始中、
更新中、または終了中のスタックを更新することはできません。スタックのステータスの詳細について
は、「スタックのステータスの表示 (p. 55)」を参照してください。
スタックを更新するには
1.
2.
3.
4.
スタックを選択し、[Update stack] を選択します。
更新するバージョンを選択し、[次] を選択します。
パラメーターを入力し、[次] を選択します。
更新 を選択します。
スタックのステータスが [Updating] に変わります。更新オペレーションの出力を表示するには、[スタッ
クの詳細] ページを開き、[イベント] セクションを展開します。
スタックの削除
Abstract
AWS Service Catalog エンドユーザーコンソールで製品スタックを削除します。
スタックが使用しているすべての AWS リソースを削除するには、スタックを削除します。スタックを
削除すると、すべてのリソースが終了し、スタックリストからスタックが削除されます。必要なくなっ
た場合のみ、スタックを削除します。スタックを削除する前に、後で必要になる可能性があるスタック
またはそのリソースに関する情報を記録しておきます。
スタックを削除する前に、利用可能な状態または失敗した状態であることを確認します。AWS Service
Catalog では、この 2 つの状態のスタックのみを削除できます。スタックのステータスの詳細について
は、「スタックのステータスの表示 (p. 55)」を参照してください。
56
AWS Service Catalog 管理者ガイド
スタックの削除
スタックを削除するには
1.
[ダッシュボード] ページまたは [スタックリスト] ページに移動します。
2.
3.
そのスタックを選択してから [Terminate Stack] を選択します。
削除するスタックを選択したことを確認してから、[Terminate] を選択します。
57
AWS Service Catalog 管理者ガイド
ドキュメント履歴
Abstract
『AWS Service Catalog 管理者ガイド』の改定日、関連リリース、重要な変更を確認することができます。
次の表に、AWS Service Catalog の前回のリリース以後に行われた、ドキュメントの重要な変更を示し
ます。
• ドキュメントの最終更新日: 2016 年 2 月 16 日
機能
説明
リリース日
ポートフォリオを
インポートするた
めのステップ
[ポートフォリオのインポート (p. 50)]
2016 年 2 月 16 日
セクションでは、別の AWS アカウント
から共有されたポートフォリオをイン
ポートする手順を示します。
アクセス権限情報
の更新
[エンドユーザーのコンソールアクセ
2016 年 2 月 16 日
ス (p. 46)] セクションでは、エンドユー
ザーコンソールへのアクセス権の付与
についての考慮事項を示します。
入門ガイドチュー
トリアルの更新
「ご利用開始にあたって (p. 6)」の情
報を更新しました。
インポートされた
起動制約の上書き
に関するドキュメ
ントの更新
ポートフォリオの共有 (p. 47) の情報を 2015 年 7 月 31 日
更新し、インポートされたポートフォ
リオによって起動制約が継承される方
法と、ポートフォリオをインポートす
る管理者がこれらの起動制約を上書き
する方法について説明しました。
58
2016 年 1 月 20 日
AWS Service Catalog 管理者ガイド
機能
説明
リリース日
IAM ポリシーと起
動ロールのサンプ
ルに関するドキュ
メントの更新
アクセス許可 (p. 45) の IAM ポリシーの 2015 年 7 月 22 日
サンプルを、IAM の AWS 管理ポリシー
への参照で置き換えました。これらの
参照は、AWS Service Catalog に対し
て事前設定されています。
起動ロールのサンプルを修正し、「起
動制約の適用 (p. 33)」に信頼ポリシー
のサンプルを追加しました。
新規ガイド
これは『AWS Service Catalog 管理者
ガイド』の最初のリリースです。
59
2015 年 7 月 9 日

AWS-CWI による溶接検査等を実施いたします。

アマゾン ウェブ サービスユーザー向け専用商品の販売

詳細を見る - 株式会社システムサポート

ハンズラボ、AWS 活用のためのクラウドソリューションを本格展開 ～企業

タグバンガーズ 資料（PDF） - AWS Summit Tokyo 2015

もっと詳しく

統合ログ管理・監査パック for AWS

AWS で IBM AS/400 データベースを使う

ライセンスアカデミーの WEB・社内システムを 全面的に AWS 基盤上に

ユーザの行動を動きレベル(立つ・座る・歩く・走るなど)