360-AWS SAP AWS 「理論・実践・一問道場」AWS Service Catalog

type

status

date

slug

summary

理論

AWS Service CatalogとIAMポリシーの違いは、**「誰が何を提供するか」と「誰が何をできるか」**にあります。これをもう少し具体的に分けてみます。

1. AWS Service Catalog

提供: 企業や組織が特定のリソースやサービスを予め定義し、そのリソースをユーザーに提供するために使用します。例えば、事前に承認されたEC2インスタンスやRDSのテンプレートを「カタログ」にして、ユーザーがそれを選んでデプロイできるようにします。

アクセス: ユーザーは「カタログから選べる範囲」内でリソースにアクセスします。それ以上のリソースの作成や変更はできません。

例:

企業が「EC2インスタンス（t3.medium）」というテンプレートをService Catalogに登録したとします。社員はそのテンプレートを選ぶことができますが、異なるインスタンスサイズを選んだり、新しいテンプレートを追加したりはできません。提供されるリソースが限定されるという点が特徴です。

2. IAMポリシー

提供: これは直接的にはリソースの提供ではなく、ユーザーに対する権限を決定します。どのユーザーやグループがどのリソースにアクセスできるか、またはどの操作を実行できるかを決定するものです。

アクセス: ユーザーが特定のリソースにアクセスするためには、適切なIAMポリシーが必要です。アクセス権限が与えられれば、リソースにアクセスできます。

例:

ある開発者に対して「S3バケットへの読み書き権限」をIAMポリシーで付与することができます。このポリシーがないと、その開発者はS3バケットにアクセスすることができません。アクセスできるリソースが制限されるという点が特徴です。

主な違い

AWS Service Catalog: リソースそのものを「提供」する場面で使います。誰がどのリソースを使えるかを制御しますが、リソースの範囲を制限するのが主な役割です。

IAMポリシー: アクセス権限そのものを管理する場面で使います。誰がどのリソースを操作できるか、どのアクションを実行できるかを制御します。

簡単な対比

Service Catalog → 事前に定義したリソースを提供（リソースの「選択」肢を与える）

IAMポリシー → ユーザーがリソースに対してアクセスする権限を設定（どの操作をできるかを管理）

このように、両者は似た目的に見えますが、提供する内容とアクセス権限の制御が異なります。

1. AWS Service Catalogの概要

AWS Service Catalogは、管理者が事前定義したリソースのカタログを作成し、それをユーザーに提供できるサービスです。これにより、企業内で使用するリソースを標準化し、利用者が事前承認されたサービスだけを選択することを促進します。ユーザーは、カタログ内から必要なリソースをデプロイし、設定に従って作業を進めることができます。

主な機能:

リソースの標準化：管理者が承認したテンプレート（AWS CloudFormationスタックなど）を提供し、ユーザーに対してリソースの一貫性を維持します。

アクセス管理：リソースへのアクセス権限をIAM（Identity and Access Management）と連携させて制御します。

ガバナンス強化：コンプライアンスやセキュリティ要件に従ったリソースの利用が保証されます。

2. 最小権限の原則の適用

最小権限の原則（Principle of Least Privilege）とは、ユーザーやシステムが業務を行うために必要最小限のアクセス権を付与するセキュリティの原則です。この原則は、ユーザーが不要な権限を持たないようにすることで、誤った操作やセキュリティのリスクを減らします。

AWS Service Catalogでは、以下の方法で最小権限の原則を実現できます:

IAMロールとの統合：ユーザーやグループに特定のサービスカタログを提供するIAMポリシーを適用し、アクセスできるリソースを制限します。これにより、ユーザーが事前に承認されたリソースのみを利用できるようにします。

サービスの管理：管理者はユーザーがアクセスできるサービスのバージョンや設定を制限し、承認されたリソースのみを利用できるように設定できます。

3. リソースのタグ付け

AWSでは、リソースにタグを付けることで、管理・追跡・コスト分析を効率化できます。タグは、リソースの管理や監視、そしてコスト配分に役立ちます。Service Catalogを利用すると、ユーザーがデプロイしたリソースにタグを付けるように設定できます。

タグ付けの利点:

リソースの管理：特定のプロジェクトや部門、ユーザーに関連付けたタグを利用して、リソースを簡単に追跡できます。

コストの最適化：タグを使用してコストを分割し、特定のプロジェクトや部門に関連するコストを管理できます。

コンプライアンスと監査：タグを利用してリソースの利用状況を監査し、コンプライアンス要件に沿って管理できます。

4. 他のツールとの統合

AWS Service Catalogは、他のAWSサービスと連携してさらに強力なリソース管理を提供します。例えば、AWS CloudFormationと統合することで、スタックベースのデプロイを管理し、インフラのコード化（Infrastructure as Code）を実現できます。また、AWS Configと組み合わせることで、リソースの状態を監視し、準拠性をチェックできます。

5. AWS Service Catalogの利用シーン

大規模な企業でのリソース管理：企業内で多くのAWSリソースを使う場合に、リソースの標準化とアクセス制御を行うために役立ちます。

セキュリティとコンプライアンス管理：セキュリティポリシーに準拠したリソース管理が求められる環境で、承認されたリソースのみを使わせることができます。

コスト管理：部署やプロジェクトごとにリソースを利用し、タグ付けしてコストを追跡しやすくします。

結論

AWS Service Catalogは、最小権限の原則やリソース管理の実現に非常に有効なツールです。特に、企業規模でのリソース標準化やアクセス制御、コスト最適化に役立つため、効率的なガバナンスを実現するために広く利用されています。

実践

略

一問道場

問題 #360

ある金融サービス会社が提供する資産管理製品は、世界中の多くの顧客に利用されています。顧客は製品に対するフィードバックをアンケート形式で提供します。この会社は、これらのアンケートデータを分析するためにAmazon EMRを使った新しい分析ソリューションを構築しています。以下のユーザーが異なる作業を行うために、この分析ソリューションにアクセスする必要があります：

管理者：分析チームの要件に基づいてEMRクラスターを設定します。

データエンジニア：ETLスクリプトを実行してデータを処理、変換、強化します。

データアナリスト：データに対してSQLやHiveクエリを実行します。

ソリューションアーキテクトは、各ユーザーが必要なリソースにのみアクセスできるように最小権限の原則を適用しなければなりません。また、ユーザーが起動できるアプリケーションは承認されているものでなければなりません。さらに、ユーザーが作成したリソースにはタグ付けが必要です。

これらの要件を満たす解決策はどれですか？

A. 各ユーザー用にIAMロールを作成し、それぞれのロールに適切なアクセス権限を付与します。AWS Configルールを使用して、準拠していないリソースを検出し、管理者に通知します。

B. EMRクラスターを起動する際に、Kerberos認証を設定し、クラスター固有のセキュリティオプションを指定します。

C. AWS Service Catalogを使用して、利用可能なEMRのバージョン、クラスター設定、各ユーザーの権限を管理します。

D. AWS CloudFormationでEMRクラスターを起動し、リソースベースのポリシーをクラスターに適用します。AWS Configルールを作成して、準拠していないリソースについて管理者に通知します。

正解

正解はCの「AWS Service Catalogを使用する」です。

解説：

C. AWS Service Catalogを使用する

適切な選択肢です。

AWS Service Catalogは、ユーザーがデプロイできるリソース（ここではAmazon EMRのバージョンやクラスター設定）を事前に定義して管理することができます。これにより、承認されたアプリケーションやリソースのみがユーザーに提供され、適切なアクセス権限を持ったユーザーにリソースを制限できます。