マニフェストを使用して追加の取得機能を有効にする - AWS AppConfig

マニフェストを使用して追加の取得機能を有効にする

AWS AppConfig エージェントには、アプリケーションの設定を取得するのに役立つ以下の追加機能があります。

エージェントマニフェストについて

これらの AWS AppConfig エージェント機能を有効にするには、マニフェストを作成します。マニフェストは、エージェントが実行できるアクションを制御するために提供する設定データのセットです。マニフェストは JSON で記述されます。これには、AWS AppConfig を使用してデプロイしたさまざまな設定に対応する最上位キーのセットが含まれています。

マニフェストには複数の設定を含めることができます。さらに、マニフェスト内の各設定は、指定された設定に使用する 1 つ以上のエージェント機能を識別できます。マニフェストのコンテンツは、次の形式を使用します。

{ "application_name:environment_name:configuration_name": { "agent_feature_to_enable_1": { "feature-setting-key": "feature-setting-value" }, "agent_feature_to_enable_2": { "feature-setting-key": "feature-setting-value" } } }

以下は、2 つの設定を持つマニフェストの JSON の例です。最初の設定 (MyApp) では、AWS AppConfig エージェント機能は使用されません。2 番目の設定 (My2ndApp) では、ディスクへの書き込み設定コピーマルチアカウント取得機能を使用します。

{ "MyApp:Test:MyAllowListConfiguration": {}, "My2ndApp:Beta:MyEnableMobilePaymentsFeatureFlagConfiguration": { "credentials": { "roleArn": "arn:us-west-1:iam::123456789012:role/MyTestRole", "roleExternalId": "00b148e2-4ea4-46a1-ab0f-c422b54d0aac", "roleSessionName": "AwsAppConfigAgent", "credentialsDuration": "2h" }, "writeTo": { "path": "/tmp/aws-appconfig/my-2nd-app/beta/my-enable-payments-feature-flag-configuration.json" } } }
エージェントマニフェストを提供する方法

マニフェストは、AWS AppConfig エージェントが読み取れる場所にファイルとして保存できます。または、マニフェストを AWS AppConfig 設定として保存し、エージェントにそのマニフェストを指定することもできます。エージェントマニフェストを指定するには、MANIFEST 環境変数を次のいずれかの値で設定する必要があります。

マニフェストの場所 環境変数の値 ユースケース

ファイル

file:/path/to/agent-manifest.json

マニフェストが頻繁に変更されない場合は、この方法を使用します。

AWS AppConfig の設定

application-name:environment-name:configuration-name

動的な更新には、この方法を使用します。AWS AppConfig に設定として保存されているマニフェストは、他の AWS AppConfig 設定を保存するのと同じ方法で更新およびデプロイできます。

環境変数

マニフェストコンテンツ (JSON)

マニフェストが頻繁に変更されない場合は、この方法を使用します。この方法は、ファイルを公開するよりも環境変数を設定する方が簡単なコンテナ環境に役立ちます。

AWS AppConfig エージェントに変数を設定する方法の詳細については、ユースケースの関連トピックを参照してください。

複数のアカウントから設定を取得するように AWS AppConfig エージェントを設定する

AWS AppConfig エージェントマニフェストに認証情報の上書きを入力することで、複数の AWS アカウントから設定を取得するように AWS AppConfig エージェントを設定できます。認証情報のオーバーライドには、AWS Identity and Access Management (IAM) ロールの Amazon リソースネーム (ARN)、ロール ID、セッション名、およびエージェントがロールを引き受ける期間が含まれます。

これらの詳細は、マニフェストの [認証情報] セクションに入力します。[認証情報] セクションでは、次の形式を使用します。

{ "application_name:environment_name:configuration_name": { "credentials": { "roleArn": "arn:partition:iam::account_ID:role/roleName", "roleExternalId": "string", "roleSessionName": "string", "credentialsDuration": "time_in_hours" } } }

以下がその例です。

{ "My2ndApp:Beta:MyEnableMobilePaymentsFeatureFlagConfiguration": { "credentials": { "roleArn": "arn:us-west-1:iam::123456789012:role/MyTestRole", "roleExternalId": "00b148e2-4ea4-46a1-ab0f-c422b54d0aac", "roleSessionName": "AWSAppConfigAgent", "credentialsDuration": "2h" } } }

設定を取得する前に、エージェントはマニフェストから設定の認証情報の詳細を読み取り、その設定に指定された IAM ロールを引き受けます。1 つのマニフェストで、異なる設定に対して異なる認証情報オーバーライドのセットを指定できます。次の図は、AWS AppConfig エージェントがアカウント A (取得アカウント) で実行している間、アカウント B と C (ベンダーアカウント) に指定された個別のロールを引き受け、GetLatestConfiguration オペレーションを呼び出して、それらのアカウントで実行されている AWS AppConfig から設定データを取得する方法を示しています。

AWS AppConfig エージェントが個別の AWS アカウント間で IAM ロールを使用する方法。

ベンダーアカウントから設定データを取得するアクセス許可を設定する

取得アカウントで実行されている AWS AppConfig エージェントには、ベンダーアカウントから設定データを取得するアクセス許可が必要です。各ベンダーアカウントに AWS Identity and Access Management (IAM) ロールを作成して、エージェントに許可を付与します。AWS AppConfigエージェント (取得アカウント) は、ベンダーアカウントからデータを取得するためにこのロールを引き受けます。このセクションの手順を実行して、IAM アクセス許可ポリシーと IAM ロールを作成し、マニフェストにエージェントオーバーライドを追加します。

開始する前に

IAM でアクセス許可ポリシーとロールを作成する前に、以下の情報を収集します。

  • 各 AWS アカウントの ID。取得アカウントは、設定データのために他のアカウントを呼び出すアカウントです。ベンダーアカウントは、設定データを取得アカウントに供給するアカウントです。

  • 取得アカウントで AWS AppConfig が使用する IAM ロールの名前。AWS AppConfig がデフォルトで使用するロールのリストを次に示します。

    • Amazon Elastic Compute Cloud (Amazon EC2) の場合、AWS AppConfig はインスタンスロールを使用します。

    • AWS Lambda の場合、AWS AppConfig は Lambda 実行ロールを使用します。

    • Amazon Elastic Container Service (Amazon ECS) および Amazon Elastic Kubernetes Service (Amazon EKS) の場合、AWS AppConfig はコンテナロールを使用します。

    ROLE_ARN 環境変数を指定して、AWS AppConfig エージェントが別の IAM ロールを使用するように設定した場合は、その名前を書き留めます。

アクセス許可ポリシーを作成する

IAM コンソールを使用してアクセス許可ポリシーを作成するには、次の手順に従います。取得アカウントの設定データを提供する各 AWS アカウントで手順を完了します。

IAM ポリシーを作成するには
  1. ベンダーアカウントで AWS Management Console にサインインします。

  2. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  3. ナビゲーションペインで ポリシーを選択してから ポリシーの作成を選択します。

  4. [JSON] オプションを選択します。

  5. [ポリシーエディタ] を選択し、デフォルトの JSON を次の JSON ポリシーに置き換えます。各サンプルリソースプレースホルダーをベンダーアカウントの詳細で更新します。

    { "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "appconfig:StartConfigurationSession", "appconfig:GetLatestConfiguration" ], "Resource": "arn:partition:appconfig:region:vendor_account_ID:application/vendor_application_ID/environment/vendor_environment_ID/configuration/vendor_configuration_ID" } ] }

    例を示します。

    { "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "appconfig:StartConfigurationSession", "appconfig:GetLatestConfiguration" ], "Resource": "arn:aws:appconfig:us-east-2:111122223333:application/abc123/environment/def456/configuration/hij789" } ] }
  6. [Next] を選択します。

  7. [ポリシー名] フィールドに名前を入力します。

  8. (オプション) [タグを追加] では、1 つ以上のタグキーと値のペアを追加して、このポリシーのアクセスを整理、追跡、または制御できます。

  9. [Create policy] を選択します。システムによってポリシーページに戻ります。

  10. 取得アカウントの設定データを格納する各 AWS アカウントでこの手順を繰り返します。

IAM ロールの作成

IAM コンソールを使用して IAM ロールを作成するには、次の手順に従います。取得アカウントの設定データを提供する各 AWS アカウントで手順を完了します。

IAM ロールを作成するには
  1. ベンダーアカウントで AWS Management Console にサインインします。

  2. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  3. ナビゲーションペインで [ロール] を選択し、[ポリシーを作成] を選択します。

  4. 信頼できるエンティティタイプ で、AWS アカウント を選択します。

  5. [AWS アカウント] セクションで、[別の AWS アカウント] を選択します。

  6. [アカウント ID] フィールドに、取得アカウント ID を入力します。

  7. (オプション) このロールを引き受ける場合のセキュリティのベストプラクティスとして、[外部 ID が必要] を選択し、文字列を入力します。

  8. [Next] を選択します。

  9. [許可を追加] ページで [検索] フィールドを使用し、前の手順で作成したポリシーを見つけます。名前の横にあるチェックボックスを選択します。

  10. [Next] を選択します。

  11. [Role name] (ロール名) に名前を入力します。

  12. (オプション) [説明] に説明を入力します。

  13. [ステップ 1: 信頼されたエンティティを選択] で、[編集] を選択します。デフォルトの JSON 信頼ポリシーを次のポリシーに置き換えます。各サンプルリソースプレースホルダーを、取得アカウントの情報で更新します。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::retrieval_account_ID:role/appconfig_role_in_retrieval_account" }, "Action": "sts:AssumeRole" } ] }
  14. (オプション) [Tags] (タグ)で、タグとキーの値のペアを 1 つまたは複数追加して、このロールのアクセスを整理、追跡、または制御します。

  15. [ロールの作成] を選択します。ロールページが再度表示されます。

  16. 作成したロールを検索します。これを選択します。[ARN] セクションで、ARN をコピーします。次の手順でこの情報を指定します。

マニフェストに認証情報オーバーライドを追加する

ベンダーアカウントに IAM ロールを作成したら、取得アカウントのマニフェストを更新します。具体的には、ベンダーアカウントから設定データを取得するための認証情報ブロックと IAM ロール ARN を追加します。JSON 形式は次のとおりです。

{ "vendor_application_name:vendor_environment_name:vendor_configuration_name": { "credentials": { "roleArn": "arn:partition:iam::vendor_account_ID:role/name_of_role_created_in_vendor_account", "roleExternalId": "string", "roleSessionName": "string", "credentialsDuration": "time_in_hours" } } }

以下がその例です。

{ "My2ndApp:Beta:MyEnableMobilePaymentsFeatureFlagConfiguration": { "credentials": { "roleArn": "arn:us-west-1:iam::123456789012:role/MyTestRole", "roleExternalId": "00b148e2-4ea4-46a1-ab0f-c422b54d0aac", "roleSessionName": "AwsAppConfigAgent", "credentialsDuration": "2h" } } }
マルチアカウント取得が機能していることを確認します

AWS AppConfig エージェントのログを確認することで、エージェントが複数のアカウントから設定データを取得できることを検証できます。「YourApplicationName:YourEnvironmentName:YourConfigurationName」の取得された初期データの INFO レベルのログは、取得が成功したことを示す最適な指標です。取得に失敗した場合、失敗の理由を示す ERROR レベルのログが表示されます。ベンダーアカウントからの正常な取得の例を次に示します。

[appconfig agent] 2023/11/13 11:33:27 INFO AppConfig Agent 2.0.x [appconfig agent] 2023/11/13 11:33:28 INFO serving on localhost:2772 [appconfig agent] 2023/11/13 11:33:28 INFO retrieved initial data for 'MyTestApplication:MyTestEnvironment:MyDenyListConfiguration' in XX.Xms

ディスクに設定のコピーを書き込むように AWS AppConfig エージェントを設定する

AWS AppConfig エージェントを設定して、設定のコピーをディスクにプレーンテキストで自動的に保存できます。この機能を使用すると、ディスクから設定データを読み取るアプリケーションを使用しているお客様は、AWS AppConfig と統合できます。

この機能は、設定バックアップ機能として使用するようには設計されていません。AWS AppConfigエージェントは、ディスクにコピーされた設定ファイルから読み取りません。設定をディスクにバックアップする場合は、「Amazon EC2 で AWS AppConfig エージェントを使用する」または「Amazon ECS および Amazon EKS で AWS AppConfig を使用する」の「BACKUP_DIRECTORY」および「PRELOAD_BACKUP 環境変数」を参照してください。

警告

この機能に関する次の重要事項に留意してください。

  • ディスクに保存されている設定はプレーンテキストで保存され、人間が読み取ることができます。機密データを含む設定では、この機能を有効にしないでください。

  • この機能はローカルディスクに書き込みます。ファイルシステムのアクセス許可には、最小特権の原則を使用します。詳細については、「最小特権アクセスの実装」を参照してください。

ディスクへの設定コピーの書き込みを有効にするには
  1. マニフェストを編集します。

  2. AWS AppConfig でディスクに書き込む設定を選択し、writeTo 要素を追加します。以下がその例です。

    { "application_name:environment_name:configuration_name": { "writeTo": { "path": "path_to_configuration_file" } } }

    以下がその例です。

    { "MyTestApp:MyTestEnvironment:MyNewConfiguration": { "writeTo": { "path": "/tmp/aws-appconfig/mobile-app/beta/enable-mobile-payments" } } }
  3. 変更を保存します。configuration.json ファイルは、新しい設定データがデプロイされるたびに更新されます。

ディスクへの設定コピーの書き込みが機能していることを検証する

AWS AppConfig エージェントのログを確認することで、設定のコピーがディスクに書き込まれていることを確認できます。「INFO wrote configuration 'application:environment:configuration' to file_path」というフレーズを含む INFO ログエントリは、AWS AppConfig エージェントが設定コピーをディスクに書き込んだことを示します。

以下がその例です。

[appconfig agent] 2023/11/13 11:33:27 INFO AppConfig Agent 2.0.x [appconfig agent] 2023/11/13 11:33:28 INFO serving on localhost:2772 [appconfig agent] 2023/11/13 11:33:28 INFO retrieved initial data for 'MobileApp:Beta:EnableMobilePayments' in XX.Xms [appconfig agent] 2023/11/13 17:05:49 INFO wrote configuration 'MobileApp:Beta:EnableMobilePayments' to /tmp/configs/your-app/your-env/your-config.json