Memo/AmazonWebServices/CloudFormation

CloudFormation

CloudFormation †

AWS CloudFormation | アマゾンウェブサービス（AWS 日本語）
- YAML, JSONでテンプレートを書いて、複数リソースを一気にデプロイできる。
- リソースが既にある場合、上書きされない。CloudFormationのステータスは成功。

記事

↑

StackSets: 複数のAWSアカウント、複数リージョンのリソースを一度のオペレーションで操作 †

AWS CloudFormation StackSets の操作 - AWS CloudFormation
- AWS CloudFormation StackSets サンプルテンプレート - AWS CloudFormation

例
- 同時アカウントの最大数:1、20アカウントを対象に一つIAM roleを作る場合。約13分かかった。

注意点
- 複数アカウント、複数リージョンで完全に同じリソースを作成。例: IAM role。
- テンプレートはなるべく固有値を入れずに、パラメータとしてStackSet実行時に与えるようにする。例：AssumeRole時のAccountId
- パラメータに、アカウント毎やリージョン毎に固有の値を値を入れる方法は不明。例えば、「bucket-account01」「bucket-account02」等。リソースIDは擬似パラメーター参照 - AWS CloudFormationで参照できる。また、組み込み関数で出来る事に限られそう。
- S3 bucket作成はglobalリソースで重複できないので、 AWS::AccountId, AWS::Region 等の疑似パラメータ参照を使い、任意のバケット名を作る。または、サンプル CloudTrailのように同一バケット内に AWS::AccountId のディレクトリを作って分ける。
```
arn:aws:s3:::${TrailBucket}/AWSLogs/${AWS::AccountId}/*
```
- デフォルトでは1アカウントで失敗すると、他のアカウントへの適用も失敗する。同時アカウントの最大数, 障害耐性) アクション > StackSetの詳細を編集で確認できる。
- 手で作ったリソースがある場合、失敗する。手動で削除する必要がある。どうやって手動かCloudFormationが作成したかを判断しているのか？

記事
- CloudFormation スタックセットで複数のAWS環境構築を一気に行う – サーバーワークスエンジニアブログ
- [新機能] CloudFormation StackSetsを試してみた｜ DevelopersIO

↑

CloudFormer: 既存のリソースをCloudFormationへ変換 †

CloudFormer (ベータ) を使用して既存の AWS リソースから AWS CloudFormation テンプレートを作成する - AWS CloudFormation
- 2019-08-15現在、ベータ版
- EC2が1台起動して、出力したいリソースを選択し、CloudFormation templateをダウンロードできるようになる

記事
- 【AWS】既存の本番環境から #CloudFormation のテンプレートを作る方法 - 紙一重の積み重ね

VPCとcloudtrailだけを選択して出力した例

{
  "AWSTemplateFormatVersion": "2010-09-09",
  "Resources": {
    "vpc6c2d5a0b": {
      "Type": "AWS::EC2::VPC",
      "Properties": {
        "CidrBlock": "172.31.0.0/16",
        "InstanceTenancy": "default",
        "EnableDnsSupport": "true",
        "EnableDnsHostnames": "true"
      }
    },
    "traildefault": {
      "Type": "AWS::CloudTrail::Trail",
      "Properties": {
        "IncludeGlobalServiceEvents": true,
        "IsLogging": "true",
        "S3BucketName": "cloudtrail-bucket-example"
      }
    },
    "dchpassoc1": {
      "Type": "AWS::EC2::VPCDHCPOptionsAssociation",
      "Properties": {
        "VpcId": {
          "Ref": "vpc****"
        },
        "DhcpOptionsId": "dopt-****"
      }
    }
  },
  "Description": ""
}

↑

Mappings: key, value変換 †

Mappings - AWS CloudFormation

例： AWS::Region マクロから、特定のAMI-IDを参照している

AWSTemplateFormatVersion: "2010-09-09"
Mappings: 
  RegionMap: 
    us-east-1:
      HVM64: ami-0ff8a91507f77f867
      HVMG2: ami-0a584ac55a7631c0c
    us-west-1:
      HVM64: ami-0bdb828fd58c52235
      HVMG2: ami-066ee5fd4a9ef77f1
...
Resources: 
  myEC2Instance: 
    Type: "AWS::EC2::Instance"
    Properties: 
      ImageId: !FindInMap [RegionMap, !Ref "AWS::Region", HVM64]

↑

ベストプラクティス †

AWS CloudFormation のベストプラクティス - AWS CloudFormation

yamlで書く
awscliで検証する
環境依存の値は
AWS::AccountId, AWS::Region 等の擬似パラメーター参照 - AWS CloudFormation を使う

記事
- (2017年12月時点) 私的 CloudFormation ベストプラクティス - Qiita

↑

Drift: CloudFormation以外で行った操作の検出 †

CloudFormation > スタックを選択 > ドリフトの検出

記事
- AWS CloudFormationで手動で行った変更が検出可能になりました！！！｜ DevelopersIO

↑

テンプレート検証エラーの解決 †

AWS CloudFormation テンプレートの検証エラーまたは形式エラーを解決する

awscliを使った検証。あくまで構文のチェックで、実行時にエラーが出る事もある。
```
aws cloudformation validate-template --template-body file://cloudformation/example.yml --profile example
```

「map keys must be strings; received numeric [10] instead」文字列が必要
```
- Version: 2012-10-17
+ Version: "2012-10-17"
```

「Requires capabilities : [CAPABILITY_NAMED_IAM]」IAMリソースを使う場合、"CAPABILITY_NAMED_IAM" , "CAPABILITY_IAM" が必要
- AWS Identity and Access Management によるアクセスの制御 - AWS CloudFormation
```
cloudformation_stack_set:
...
  capabilities:
  - "CAPABILITY_IAM"
  - "CAPABILITY_NAMED_IAM"
```

↑