type
status
date
slug
summary
tags
category
icon
password
理論
AWS Control Tower は、複数のAWSアカウントをまとめて管理できるツールです。特に、企業が複数のクラウド環境を一貫して安全に管理するために使われます。
具体的には、以下のことができます:
- 複数アカウントの一元管理: AWSで複数のアカウントを持っている場合、それらを一括で管理するための基本的な設定を自動で行ってくれます。
- セキュリティとコンプライアンスのガイドライン設定: 企業が守るべきセキュリティルールや規則を簡単に設定し、それを全てのアカウントに適用します。これにより、安心して運用できます。
- 管理作業の簡素化: AWSの設定やポリシーを手動で行う必要がなく、全体の管理が簡単になります。
つまり、AWS Control Towerは、複数のAWSアカウントを効率的に、安全に管理できる仕組みを提供するサービスです。
CloudFormation StackSets は、複数のAWSアカウントやリージョンにまたがるインフラを一貫して管理できる機能です。これを使うと、1つのテンプレートで定義したインフラを、複数の場所に同時にデプロイできます。
具体的には、以下のようなことが可能です:
- 複数アカウント/リージョンへのデプロイ: 1つのCloudFormationテンプレートを使って、異なるアカウントやリージョンにリソースを一括でデプロイできます。
- 管理の簡素化: 複数の環境にインフラをデプロイし、同じテンプレートを使って一貫した管理を行うことができます。これにより、管理が統一され、エラーが減ります。
- 更新と変更の一括適用: インフラの変更があった場合、StackSetsを使って、複数のアカウントやリージョンでその変更を自動的に適用できます。
例:
- グローバルに展開しているアプリケーションのインフラを、複数のAWSリージョンに展開する際に、CloudFormation StackSetsを使って一度にデプロイ・管理する。
要するに、CloudFormation StackSets は、複数のAWSアカウントやリージョンにまたがるインフラ管理を効率化するための強力なツールです。
スイッチロールとは、AWSのユーザーが別のロールに一時的に切り替えて、そのロールに割り当てられた権限を利用できる機能です。これにより、必要な作業をする際に、特定の権限を一時的に与えることができ、最小権限の原則を守りつつ、柔軟なアクセス管理が可能になります。
StackSetsの仕組み
管理アカウントからターゲットアカウントに、スタックを作成するためには、 IAMロールが管理アカウントおよびターゲットアカウントに必要になります。
そのIAMロールを準備する方法は、以下の通り、2パターン存在します。
- サービスマネージド型AWS Organizationsの機能を使うパターン※マスターアカウントが管理アカウントになります。 また、この機能を利用するためには、Organizationsの[全ての機能]を有効にする必要があります。
- セルフマネージド型AWSが公開しているテンプレートを使い、手動でIAMロールを作成するパターン※指定したアカウントを管理アカウントにできます。
実践
![[新機能] CloudFormation StackSetsを試してみた | DevelopersIO](https://www.notion.so/image/https%3A%2F%2Fdev.classmethod.jp%2Ffavicon.ico?table=block&id=73d4c127-7e95-46b0-aff1-978df7075f9c&t=73d4c127-7e95-46b0-aff1-978df7075f9c)
![[新機能] CloudFormation StackSetsを試してみた | DevelopersIO](https://www.notion.so/image/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2014%2F05%2FAWS_CloudFormation.png?table=block&id=73d4c127-7e95-46b0-aff1-978df7075f9c&t=73d4c127-7e95-46b0-aff1-978df7075f9c)
一問道場
問題 #84
ある企業は、AWS上にクラウドインフラストラクチャを構築しています。ソリューションアーキテクトは、このインフラストラクチャをコードとして定義する必要があります。現在、インフラストラクチャは1つのAWSリージョンにデプロイされていますが、企業のビジネス拡大計画には、複数のAWSアカウントにわたる複数のリージョンへのデプロイメントが含まれています。
これらの要件を満たすために、ソリューションアーキテクトは何をすべきですか?
A. AWS CloudFormationテンプレートを使用し、IAMポリシーを追加してさまざまなアカウントを制御します。その後、複数のリージョンにテンプレートをデプロイします。
B. AWS Organizationsを使用し、管理アカウントからAWS CloudFormationテンプレートをデプロイします。AWS Control Towerを使用してアカウント間のデプロイメントを管理します。
C. AWS OrganizationsとAWS CloudFormation StackSetsを使用し、必要なIAM権限を持つアカウントからCloudFormationテンプレートをデプロイします。
D. AWS CloudFormationテンプレートでネストされたスタックを使用し、ネストされたスタックを使用してリージョンを変更します。
解説
- A: AWS CloudFormationテンプレートで複数リージョンにデプロイ可能だが、複数アカウントへの展開には手動設定が必要。
- B: AWS OrganizationsとAWS CloudFormationでデプロイ管理可能だが、AWS Control Towerはガバナンス管理用で、インフラ管理には適さない。
- C: 正解。AWS OrganizationsとCloudFormation StackSetsで、複数リージョンおよびアカウントに効率的にデプロイ可能。
- D: ネストされたスタックは同リージョン内での管理に適しており、複数リージョンへの対応には不向き。
正解: C. AWS OrganizationsとCloudFormation StackSets
- 作者:みなみ
- 链接:https://tangly1024.com/資格勉強/16cd7ae8-88e2-80ee-b767-c623660ceb7e
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
.png?table=block&id=021326af-6a29-487e-ac2f-560985ab23b3&t=021326af-6a29-487e-ac2f-560985ab23b3&width=800&cache=v2)
