type
status
date
slug
summary
tags
category
icon
password
理論
AWS CloudFormation StackSets と AWS Organizations の基本的な理解
1. AWS Organizations
AWS Organizations は、複数のAWSアカウントをまとめて管理するサービスです。これを使うと、アカウントのグループ化、ポリシーの適用、請求の管理などが一元化できます。例えば、セキュリティやコスト管理を全アカウントにわたって統一的に行うことができます。
2. CloudFormation と StackSets
- AWS CloudFormation: AWSのインフラをコードとして管理できるサービスで、テンプレートを使ってAWSリソース(サーバー、データベースなど)を自動で作成・管理できます。
- StackSets: CloudFormationの機能で、複数のアカウントやリージョンに対して同じ設定を自動で適用できる仕組みです。これにより、広範囲にわたってリソースを一度に管理できます。
3. サービス管理型権限とセルフサービス型権限
- サービス管理型権限: AWS Organizationsの管理アカウントが、メンバーアカウントに対してCloudFormationのスタックを一元的にデプロイできる権限です。この方法は、組織全体で統一された管理ができます。
- セルフサービス型権限: メンバーアカウントの管理者が自分でスタックを作成・管理できる権限です。これは、中央管理が必要ない場合に使用されます。
4. 自動デプロイとドリフト検出
- 自動デプロイ: スタックセットを使って、変更を自動で各アカウントに反映させる設定です。手動での操作が不要で、迅速な展開が可能です。
- ドリフト検出: スタックの設定が変更されていないか確認する機能です。リソースが意図しない変更を受けた場合に、これを検出して修正することができます。
5. デプロイオプション
- 組織にデプロイ: StackSetsを使って、AWS Organizations内のすべてのアカウントに同じリソースを一度にデプロイできます。これにより、組織全体で統一されたインフラ管理ができます。
まとめ
AWS CloudFormation StackSets と AWS Organizations を組み合わせることで、複数のAWSアカウントに対して同じリソース構成を一貫してデプロイでき、効率的な運用が可能になります。特に、サービス管理型権限を使うことで、中央管理が可能となり、自動デプロイやドリフト検出を活用することで信頼性の高い管理ができます。
実践
一問道場
質問 #38
ある企業は、AWS Organizationsを使用して複数のAWSアカウントを管理しています。セキュリティの目的で、企業はすべてのOrganizationsメンバーアカウントでサードパーティのアラートシステムと統合できるAmazon Simple Notification Service(Amazon SNS)トピックの作成を要求しています。
ソリューションアーキテクトは、AWS CloudFormationテンプレートを使用してSNSトピックを作成し、CloudFormation StackSetsを使用してCloudFormationスタックのデプロイを自動化しました。Trusted accessはOrganizationsで有効になっています。
ソリューションアーキテクトは、すべてのAWSアカウントにCloudFormation StackSetsをデプロイするために何をすべきでしょうか?
選択肢:
A. Organizationsメンバーアカウントにスタックセットを作成します。
- サービス管理型の権限を使用します。
- デプロイオプションを「組織にデプロイ」に設定します。
- CloudFormation StackSetsのドリフト検出を有効にします。
B. Organizationsメンバーアカウントにスタックを作成します。
- セルフサービス型の権限を使用します。
- デプロイオプションを「組織にデプロイ」に設定します。
- CloudFormation StackSetsの自動デプロイを有効にします。
C. Organizationsの管理アカウントにスタックセットを作成します。
- サービス管理型の権限を使用します。
- デプロイオプションを「組織にデプロイ」に設定します。
- CloudFormation StackSetsの自動デプロイを有効にします。
D. Organizationsの管理アカウントにスタックを作成します。
- サービス管理型の権限を使用します。
- デプロイオプションを「組織にデプロイ」に設定します。
- CloudFormation StackSetsのドリフト検出を有効にします。
解説
この問題は、AWS CloudFormation StackSetsとAWS Organizationsを使って、複数のAWSアカウントにSNSトピックをデプロイする方法に関するものです。適切な手順は、管理アカウントでStackSetを作成し、サービス管理型権限を使用して、組織全体に自動デプロイすることです。
各選択肢の解説
- A: ドリフト検出を使用すると、デプロイ後に設定が変更されていないかチェックできますが、この問題には必須ではありません。
- B: セルフサービス型権限を使用する方法。これはメンバーアカウントに個別管理を任せる方法で、管理が分散するため不適切です。不正解。
- C: 管理アカウントでサービス管理型権限を使い、自動デプロイを有効にする方法。正解です。
- D: ドリフト検出を使う方法。これは必須ではなく、StackSetsを使うべきです。不正解。
正解
Cが最適です。
- 作者:みなみ
- 链接:https://tangly1024.com/資格勉強/166d7ae8-88e2-8089-ae7b-c49274ea5d02
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
.png?table=block&id=021326af-6a29-487e-ac2f-560985ab23b3&t=021326af-6a29-487e-ac2f-560985ab23b3&width=800&cache=v2)
