AWS認定資格 WEB問題集＆徹底解説

会員登録/ログイン

1. サービス概要

AWS Service Catalogは、組織が承認したITサービス（製品）をカタログとして作成・管理し、利用者がセルフサービスでプロビジョニングできるようにするサービスです。管理者は標準化された構成を提供し、利用者はガバナンスに沿った範囲でリソースを展開できます。

CloudFormationテンプレートをベースに「プロダクト」を定義し、IAM権限・リージョン・インスタンスタイプ等を制約しつつ、利用者に安全な自己解決型のリソース展開を提供します。

2. 主な特徴と機能

2.1 プロダクトとポートフォリオ

• プロダクト: CloudFormationテンプレートで定義されたITサービス（例: 標準化されたEC2・VPC・DB構成）。バージョン管理が可能。
• ポートフォリオ: プロダクトの集合。ユーザー/グループ/ロールに対してアクセス権を付与。

2.2 制約（Constraints）

• 起動制約（Launch Constraint）: プロダクト起動時に使用するIAMロールを指定。利用者に過剰な権限を与えずプロビジョニング可能。
• テンプレート制約: インスタンスタイプ等のパラメータ値を制限。
• 通知制約: スタックイベントをSNSで通知。

2.3 セルフサービスプロビジョニング

利用者は承認済みプロダクトを一覧から選んで起動。管理者が許可した範囲でのみリソースを展開できる。

2.4 TagOptionsとガバナンス

TagOptionsライブラリで一貫したタグ付けを強制。コスト配分・コンプライアンスを担保。

3. アーキテクチャおよび技術要素

• CloudFormationベース: プロダクトの実体はCloudFormationテンプレート。プロビジョニングされたリソースはCloudFormationスタックとして管理。
• 起動ロール: 起動制約のIAMロールで実際のリソース作成権限を委譲。
• Organizations連携: ポートフォリオを組織内の複数アカウントに共有して一元配布。
• Service Catalog AppRegistry: アプリケーションのメタデータ・関連リソースを管理。

4. セキュリティと認証・認可

• 最小権限のプロビジョニング: 起動制約のIAMロールにより、利用者本人に権限を与えずに承認済みリソースを展開できる。
• アクセス制御: ポートフォリオへのアクセスをIAMユーザー/グループ/ロールで制御。
• 標準化: 承認済み構成のみを展開させることでセキュリティ・コンプライアンスを担保。

5. 料金形態

• Service Catalog APIコール数に基づく従量課金。
• プロビジョニングされたリソース（EC2・RDS等）の利用料金は別途発生。

6. よくあるアーキテクチャ・設計パターン

• 標準化されたインフラの配布: 承認済みのVPC・EC2・DB構成をプロダクト化して全社に配布。
• セルフサービスIT: 開発チームが管理者の承認なしに承認済みリソースを自己解決で展開。
• マルチアカウント配布: Organizationsでポートフォリオを共有し、全アカウントに統一されたプロダクトを提供。
• 権限委譲: 起動制約で利用者に直接権限を与えずにリソースをプロビジョニング。

7. 設定・デプロイ手順（ハンズオン例）

1. CloudFormationテンプレートを用意してプロダクトを作成。
2. ポートフォリオを作成してプロダクトを追加。
3. 起動制約（IAMロール）・テンプレート制約を設定。
4. ポートフォリオへのアクセス権をユーザー/グループに付与。
5. 利用者がService Catalogから製品を選んでプロビジョニング。

8. 試験で問われやすいポイント