aws-recipe-user こんにちは!Narimasaです!
前回に続きAWS Service Catalogの基本的な設定方法について紹介していきます。
今回はポートフォリオの制約設定から行います。
1. 事前準備
今回、設定の為に下記を準備します。
・IAMユーザー(ServiceCatalogEndUserの権限を持つユーザー)
・IAMロール(EC2に対してAdmin権限を持ち、信頼ポリシーで該当リージョンを設定している必要)
IAMロールの作成手順は下記をご参考下さい。
http://recipe.kc-cloud.jp/archives/6609
また、IAMロールの信頼ポリシーは、作成したIAMロールの画面から「Trust Relationships」を選択し、下画面のように追記を加えることで設定が可能です。
2. Constraintの設定
それではポートフォリオに対する制約を設定します。
「Constraints」の項目より、「Add constraints」をクリックします。
この画面では「Launch(IAMロールによる制約)」と、「Template(パラメータに対する制約)」を設定します。
まずは、「Launch」を設定します。
「Product」と「Constraint type」を指定し、「Continue」をクリックします。
先ほど用意したIAMロールを指定し、「Submit」をクリックします。
続いて、「Template」を設定します。
「Product」と「Constraint type」を指定し、「Continue」をクリックします。
この画面では、パラメータに対する制約の内容を入力します。
サンプルの制約がいくつかあるので、今回はその中から「立てられるインスタンスのサイズをt1.microかm1.smallに限定する」というものを選択します。
制約内容を設定したら「Submit」をクリックします。
3. IAM権限の設定
次にこのポートフォリオを利用するユーザー権限を指定します。
「Users,groups and roles」より、「Add user,group or role」をクリックします。
この画面では、このートフォリオの利用を許可するIAMグループ・IAMユーザー・IAMロールを指定できます。
今回はテスト用に「ServiceCatalogEndUser」の権限のみを持たせたIAMユーザー「ServiceCatalog-user」を作成し、指定します。
指定が終わったら、「Add Access」をクリックします。
今回の設定はここまでとなりますが、他アカウントとポートフォリオを共有できるよう設定する項目もあります。
AWSアカウントIDを登録することで共有が可能です。
それでは、先ほど指定したIAMユーザーに切り替えて操作をしてみます。
4. 確認
先ほどのIAMユーザーでログインし、Service Catalogのページを開きます。
すると、下画面のようにUser Portalが表示されます。
プロダクトを指定し、「Launch Product」をクリックします。
Stack名を入力し、利用するプロダクトのバージョンを指定しましたら、「Next」をクリックします。
この画面は、CloudFormationで構築する時と同様の設定画面となります。
なお、先ほど制約で指定したように、EC2インスタンスのスペックはt1.microかm1.smallのみとなります。
設定の入力が終わったら、「Next」をクリックします。
タグを設定する場合はこの画面で設定ができます。
「Next」をクリックします。
最後に確認画面が表示されますので、問題なければ「Launch」をクリックします。
Portalでは稼働しているCloudFormationの稼働状況を確認できます。
また、稼働後は「Update stack」をクリックすることで新バージョンへの移行も簡単に行うことができます。
いかがでしたでしょうか。
Service Catalogが利用できるようになったことで、CloudFormationを部署内・社内に共有でき、より便利に活用することが可能です。
次回もお楽しみに!!
