一つのリージョンに対するCloudFormationテンプレートのデプロイ

[注意] クラスメソッドメンバーズのCloudTrailの初期設定が、リージョンごとではなく、全リージョン対応Trailを一つのリージョン（東京）に作る方針に変更されました。

ひとつのリージョンにデプロイを行う場合は本ドキュメントを参照してください。

従来通り全リージョンにデプロイを行う場合は、こちらをご覧ください。

CloudFormationテンプレートによるデプロイのサマリです。

1. サービスロールの作成
2. サービスロールのポリシー設定
3. CloudFormationスタックの作成
4. サブスクライブの確認

前提条件

前提条件については以下の通りです。

• 「CIS 2.1 全リージョンでCloudTrailが有効であること」に対応していること
• 「CIS 2.4 CloudTrailログがCloudWatch Logsに配信設定されていること」に対応していること

チェック項目についてはこちらをご確認ください。

サービスロールの作成

CloudFormationテンプレートのデプロイを実行するためのIAMロールを作成します。

一旦、設定するポリシーなしでIAMロールを作成してください。

サービスロールのポリシー設定

作成したサービスロールに設定するポリシーを作成します。

こちらの「サービスロールのポリシー設定」で示されているポリシードキュメントを設定してポリシーを作成します。

作成したポリシーは、先に作成しておいたサービスロールにアタッチします。

CloudFormationスタックの作成

AWSマネジメントコンソールよりCloudFormationスタックを作成します。

まずは、AWSマネジメントコンソールでデプロイしたいリージョンに切り替えてください。

1. CloudFormationマネジメントコンソールより「スタックの作成」をクリックします。

2. 「テンプレートをAmazon S3にアップロード」を選択、CloudFormationテンプレートをアップロードし、「次へ」をクリックします。

3. 項目の入力値は下記の通りです。

スタックセット名: 任意のスタックセット名
(Require) Log group name of CloudTrail: CloudTrailの配信設定をしたCloudWatch Logsロググループ名
(Require) Email Address: アラーム通知先メールアドレス(必須)
(Optional) Email Address: アラーム通知先メールアドレス(任意)
(Optional) Email Address: アラーム通知先メールアドレス(任意)

4. 「タグ」にはCloudFormationスタックで作成されるAWSリソースを判別しやすいようにNameタグを設定します。

5. 「アクセス権限」では「サービスロールの作成」で作成したロールを選択します。

ロールを選択しない場合は、マネジメントコンソールにログインしているユーザーのもつ権限でデプロイが実行されます。

6. 「AWS CloudFormation によって IAM リソースが作成される場合があることを承認します。」にチェックを入れ、「作成」をクリックします。

Amazon SNSからのサブスクライブ確認

リージョンごとのAmazon SNSからサブスクライブ確認のメールを受信するので「Confirm subscription」のリンクをクリックします。