ライフサイクルと所有権によるスタックの整理

• スタックの規模が大きくなった場合は、共通のライフサイクルと所有権を持つリソースでグループ化
• 各層のスタックは類似したライフサイクルと所有権を持つ AWS リソースで分ける
  • 例えばウェブサイトチームまたはデータベースチームで分ける

スタックの規模は大きいのでグループ化しています。インフラチームしか触らないので所有権は有無でしか管理していません。

IAM を使用したアクセス制御

• CloudFormationだけでなく各スタックのリソースに対するアクセス権限が必要

まぁ、当然ですね。

すべてのリソースタイプのクォータを確認する

• AWS アカウントのリージョンごとに起動できる AWS CloudFormation スタックは 200 のみ。制限を増やすこともできる

しばらくは200あれば問題なさそうです。

テンプレートを再利用して複数の環境にスタックを複製する

• テンプレートを再利用してインフラストラクチャを複数の環境に複製できる
  • 例えば開発、テスト、本番の環境を作成
• テンプレートを再利用可能にするために、パラメータ、マッピング、および条件セクションを用意してスタックの作成時にカスタマイズできるようにしておく

これらの作業は必須ですね。環境の差異を吸収できないと複雑化してしまうので。

ネストされたスタックを使用して共通テンプレートパターンを再利用する

• 各テンプレートで同じコンポーネントを利用したいときは、ネストされたスタックを使用
  • 例えばほとんどのスタックに使用しているロードバランサー設定など

今はVPC系、SG系、Instance系、Route53系でスタックをネストしています。
大元のテンプレートから各スタックを呼び出す構成にして、テンプレートのグループ化を目的として使用しています。

共通テンプレートが出てきたら、外だしするのはありですね。

テンプレートに認証情報を埋め込まない

• 機密情報はテンプレートに埋め込まず、入力パラメータを使用してスタックの作成や更新のたびに渡す
• 埋め込む場合は、NoEcho プロパティを使用してパラメータ値を難読化する

パスワードなどは今はchef実行時に作成しているので出番はなさそう。そこらへんもCloudFormationで実施するようになったら意識する必要がありそう。

AWS 固有のパラメータタイプの使用

• 固有のパラメータが使える

パラメータの制約の使用

• 文字数制限とかができる

AWS::CloudFormation::Init を使用して Amazon EC2 インスタンスにソフトウェアアプリケーションをデプロイする

• cfn-init でデプロイする

デプロイするのにchefを使ってるので、chefを叩くのがいいのだろうか。
初回だけじゃなく、定期的なデプロイも必要なのでちょっと考える必要がありそう。

テンプレートを使用する前に検証する

• 依存関係の循環などの構文エラーや意味的エラーを検証するコマンドがある

AWS CloudFormation ですべてのスタックリソースを管理する

• 設定やAMIなどのスタック内のリソースを更新

更新はやったことがないけど便利そう。アプリの定期デプロイはここではなさそう。

スタックポリシーを使用する

• スタックポリシーを使用することで、意図しない更新でリソースが中断されたり置き換えられるのを防ぐ

更新がどういう挙動をするのかわからないので何とも言えないけど、DataBaseとかは更新がかからないように保護しつつスタックを更新したほうが良いのだろうか。

AWS CloudTrail を使用して AWS CloudFormation 呼び出しを記録する

• API呼び出しのログを記録

コードの確認とリビジョン管理を使用してテンプレートを管理する

• リソースの変更を確認し正確な履歴を保持するには、コードの確認とリビジョン管理を使用する必要あり

これはAWS側でリビジョン管理の仕組みがあるわけではないのかな。githubなどのバージョン管理ソフトを使って管理する必要がありそう。