CloudFormation †

• AWS CloudFormation | アマゾン ウェブ サービス（AWS 日本語）
  • YAML, JSONでテンプレートを書いて、複数リソースを一気にデプロイできる。
  • リソースが既にある場合、上書きされない。CloudFormationのステータスは成功。

• 記事
  • CloudFormationの全てを味わいつくせ！「AWSの全てをコードで管理する方法〜その理想と現実〜」 #cmdevio ｜ Developers.IO
  • [CloudFormation]リソース置換時の挙動をUpdateReplacePolicyで制御する ｜ DevelopersIO
  • CloudFormationでもAtlantisでGitOpsがしたい！ ｜ DevelopersIO
  • [新機能] Transfer for SFTP が CloudFormation で作成可能になりました ｜ DevelopersIO
  • [新機能] CloudFormation での CodeCommit リポジトリ作成時にコードを含めることができるようになりました ｜ DevelopersIO
  • SecurityGroupをCloudFormationで取り扱う時に気をつけたいこと ｜ DevelopersIO
  • (2017年12月時点) 私的 CloudFormation ベストプラクティス - Qiita
  • [AWS]一撃で複数アカウント、全リージョンに設定を展開する！ ｜ Developers.IO

Former2: CloudFormation, Terraform, Troposphere のテンプレートを生成するサービス †

• https://former2.com/

• 記事
  • 知らなかった事を後悔した。CloudFormationのテンプレート生成 Former2 の紹介 #reinvent 2019 ｜ Developers.IO

リソースのインポート †

• 記事
  • 【アップデート】ついに来た！CloudFormationで手動で作成したリソースをStackにインポート可能になりました ｜ Developers.IO
  • CloudFormationがリソースのインポートに対応しました！ ｜ Developers.IO

パスワード/ランダム文字列生成 †

• 記事
  • CloudFormationでパスワードを自動生成してテンプレート内で利用する ｜ DevelopersIO

StackSets: 複数のAWSアカウント、複数リージョンのリソースを一度のオペレーションで操作 †

• AWS CloudFormation StackSets の操作 - AWS CloudFormation
  • AWS CloudFormation StackSets サンプルテンプレート - AWS CloudFormation

• 例
  • 同時アカウントの最大数:1、20アカウントを対象に一つIAM roleを作る場合。約13分かかった。

• 注意点
  • 複数アカウント、複数リージョンで完全に同じリソースを作成。例: IAM role。
  • テンプレートはなるべく固有値を入れずに、パラメータとしてStackSet実行時に与えるようにする。例：AssumeRole時のAccountId
  • パラメータに、アカウント毎やリージョン毎に固有の値を値を入れる方法は不明。例えば、「bucket-account01」「bucket-account02」等。リソースIDは擬似パラメーター参照 - AWS CloudFormationで参照できる。また、組み込み関数で出来る事に限られそう。
  • S3 bucket作成はglobalリソースで重複できないので、 AWS::AccountId, AWS::Region 等の疑似パラメータ参照を使い、任意のバケット名を作る。または、サンプル CloudTrailのように同一バケット内に AWS::AccountId のディレクトリを作って分ける。

    arn:aws:s3:::${TrailBucket}/AWSLogs/${AWS::AccountId}/*

  • デフォルトでは1アカウントで失敗すると、他のアカウントへの適用も失敗する。同時アカウントの最大数, 障害耐性) アクション > StackSetの詳細を編集で確認できる。
  • 手で作ったリソースがある場合、失敗する。手動で削除する必要がある。どうやって手動かCloudFormationが作成したかを判断しているのか？

• 記事
  • [UPDATE] CloudFormation StackSetsでドリフト検出をサポートしました #reinvent ｜ Developers.IO
  • CloudFormation スタックセットで複数のAWS環境構築を一気に行う – サーバーワークスエンジニアブログ
  • [新機能] CloudFormation StackSetsを試してみた ｜ DevelopersIO

CloudFormer: 既存のリソースをCloudFormationへ変換 †

• CloudFormer (ベータ) を使用して既存の AWS リソースから AWS CloudFormation テンプレートを作成する - AWS CloudFormation
  • 2019-08-15現在、ベータ版
  • EC2が1台起動して、出力したいリソースを選択し、CloudFormation templateをダウンロードできるようになる

• 記事
  • 【AWS】既存の本番環境から #CloudFormation のテンプレートを作る方法 - 紙一重の積み重ね

• VPCとcloudtrailだけを選択して出力した例

  {
    "AWSTemplateFormatVersion": "2010-09-09",
    "Resources": {
      "vpc6c2d5a0b": {
        "Type": "AWS::EC2::VPC",
        "Properties": {
          "CidrBlock": "172.31.0.0/16",
          "InstanceTenancy": "default",
          "EnableDnsSupport": "true",
          "EnableDnsHostnames": "true"
        }
      },
      "traildefault": {
        "Type": "AWS::CloudTrail::Trail",
        "Properties": {
          "IncludeGlobalServiceEvents": true,
          "IsLogging": "true",
          "S3BucketName": "cloudtrail-bucket-example"
        }
      },
      "dchpassoc1": {
        "Type": "AWS::EC2::VPCDHCPOptionsAssociation",
        "Properties": {
          "VpcId": {
            "Ref": "vpc****"
          },
          "DhcpOptionsId": "dopt-****"
        }
      }
    },
    "Description": ""
  }

Mappings: key, value変換 †

• Mappings - AWS CloudFormation

• 例： AWS::Region マクロから、特定のAMI-IDを参照している

  AWSTemplateFormatVersion: "2010-09-09"
  Mappings: 
    RegionMap: 
      us-east-1:
        HVM64: ami-0ff8a91507f77f867
        HVMG2: ami-0a584ac55a7631c0c
      us-west-1:
        HVM64: ami-0bdb828fd58c52235
        HVMG2: ami-066ee5fd4a9ef77f1
  ...
  Resources: 
    myEC2Instance: 
      Type: "AWS::EC2::Instance"
      Properties: 
        ImageId: !FindInMap [RegionMap, !Ref "AWS::Region", HVM64]

ベストプラクティス †

• AWS CloudFormation のベストプラクティス - AWS CloudFormation

• yamlで書く
• awscliで検証する
• 環境依存の値は
• AWS::AccountId, AWS::Region 等の 擬似パラメーター参照 - AWS CloudFormation を使う

• 記事
  • (2017年12月時点) 私的 CloudFormation ベストプラクティス - Qiita

Drift: CloudFormation以外で行った操作の検出 †

• CloudFormation > スタックを選択 > ドリフトの検出

• 記事
  • AWS CloudFormationで手動で行った変更が検出可能になりました！！！ ｜ DevelopersIO

テンプレート検証エラーの解決 †

• AWS CloudFormation テンプレートの検証エラーまたは形式エラーを解決する

• awscliを使った検証。あくまで構文のチェックで、実行時にエラーが出る事もある。

  aws cloudformation validate-template --template-body file://cloudformation/example.yml --profile example

• 「map keys must be strings; received numeric [10] instead」文字列が必要

  - Version: 2012-10-17
  + Version: "2012-10-17"

• 「Requires capabilities : [CAPABILITY_NAMED_IAM]」IAMリソースを使う場合、"CAPABILITY_NAMED_IAM" , "CAPABILITY_IAM" が必要
  • AWS Identity and Access Management によるアクセスの制御 - AWS CloudFormation

    cloudformation_stack_set:
    ...
      capabilities:
      - "CAPABILITY_IAM"
      - "CAPABILITY_NAMED_IAM"

コスト見積 †

Stack毎に見積が出せる。

• AWS CloudFormation スタックのコスト見積もり - AWS CloudFormation

エディタ †

yamlとjsonが使える。

• VScode用
  • CloudFormation support for Visual Studio CodeでCFnテンプレート記述を楽にする - Qiita

• 記事
  • Linterを使ってCloudFormationの間違いに爆速で気づく ｜ DevelopersIO