AWSCLI - CayTech Lab

CloudFormationでALB + EC2(Tomcat) + RDS 3層構成を自動構築する手順【27リソース一括デプロイ / コンソール版との比較付き】

caymezon — Mon, 13 Apr 2026 00:09:05 +0000

はじめに

「コンソールで40〜50分かかったALB + EC2(Tomcat) + RDS環境をコードで再現したい」——それを実現するのが AWS CloudFormation です。

この記事では、template.yaml 1ファイルにVPC・サブネット・セキュリティグループ・IAMロール・SSM Parameter Store・RDS・ALB・ターゲットグループ・EC2（約27リソース）を定義し、コマンド1本で3層構成を一括構築するハンズオンを紹介します。コンソール版（AWSコンソール版ハンズオン）と全く同じ構成をCloudFormationで自動化します。

ローカル環境（VSCode）
  ├── template.yaml（約27リソースを定義）
  └── AWS CLI コマンド
        ↓ スタック作成（コマンド1本）
AWS環境
  └── VPC（10.0.0.0/16）
        ├── パブリックサブネット1（10.0.1.0/24 / AZ-a）← ALB + EC2
        ├── パブリックサブネット2（10.0.2.0/24 / AZ-c）← ALB（2AZ必須）
        ├── プライベートサブネット1（10.0.3.0/24 / AZ-a）← RDS配置
        ├── プライベートサブネット2（10.0.4.0/24 / AZ-c）← DBサブネットグループ用
        ├── ALB SG → EC2 SG → RDS SG（3段階のSG-to-SG制御）
        ├── SSM Parameter Store: /my/alb/db-password
        ├── RDS MySQL 8.0（db.t3.micro）
        ├── ALB（HTTP:80 → ターゲットグループ → EC2:8080）
        └── EC2（t2.micro / Tomcat / UserDataで自動セットアップ）

このハンズオンで体験できること：

ALB・ターゲットグループ・リスナーを template.yaml で一括定義する方法
TomcatVersion パラメータでTomcatのバージョンを切り替える設計
ALBの2AZ要件をCloudFormationでどう表現するか
delete-stack 1本でALB・RDS・IAMなど27リソースを自動削除

このハンズオンの特徴：

コンソール版では40〜50分・13ステップかかった作業が、コマンド1本（RDS待ち15〜20分込み）で完了
delete-stack 1本でALBのリスナー含む全リソースの依存関係を自動解決して削除

この記事は AWSコンソール版ハンズオンの比較記事です。
コンソール版でALB・ターゲットグループ・ヘルスチェックを視覚的に学んだ後に読むと理解が深まります。

リンク

-->

CloudFormation vs コンソール：どれだけ違うか

比較項目	CloudFormation	コンソール（手動）
VPC + サブネット4つ + IGW + ルートテーブル	template.yaml に定義済み	約20〜30分・複数画面
SG 3つ（ALB/EC2/RDS）の作成	template.yaml に定義済み	3画面で個別設定
ALB + TG + Listener の作成	template.yaml に定義済み	3つの画面で設定
Tomcat UserDataの貼り付け	template.yaml に組み込み済み	手動コピペ
全体のデプロイ	コマンド1本（RDS待ち15〜20分）	約40〜50分
削除	`delete-stack` 1本（自動解決）	13ステップ手動
再現性	高い（何度でも同じ構成を再現可能）	低い（手順漏れのリスク大）
バージョン管理	Gitで管理可能	不可

キーワード解説

用語	意味
CloudFormation	AWSが提供するIaC（Infrastructure as Code）サービス
スタック	CloudFormationが管理するリソースのまとまり。今回は約27リソースを1スタックで管理
AWS::ElasticLoadBalancingV2::LoadBalancer	ALB本体を定義するリソース型
AWS::ElasticLoadBalancingV2::TargetGroup	ターゲットグループを定義するリソース型
AWS::ElasticLoadBalancingV2::Listener	ALBのリスナー（受付ルール）を定義するリソース型
DeletionPolicy: Delete	スタック削除時にRDSも確実に削除する設定
CAPABILITY_NAMED_IAM	名前付きIAMリソースを含むスタックの作成に必要なフラグ

前提条件

ツール	確認コマンド
AWS CLI v2	`aws --version`

AWS認証確認:

aws sts get-caller-identity

構築されるリソース（約27個）

カテゴリ	リソース	論理ID
ネットワーク	VPC	`VPC`
ネットワーク	インターネットゲートウェイ	`InternetGateway` + `IGWAttachment`
ネットワーク	パブリックサブネット × 2	`PublicSubnet1` + `PublicSubnet2`
ネットワーク	プライベートサブネット × 2	`PrivateSubnet1` + `PrivateSubnet2`
ネットワーク	パブリックルートテーブル	`PublicRouteTable` + `PublicRoute` + `PublicSubnet1RTA` + `PublicSubnet2RTA`
ネットワーク	プライベートルートテーブル	`PrivateRouteTable` + `PrivateSubnet1RTA` + `PrivateSubnet2RTA`
ネットワーク	S3 VPC Gateway Endpoint	`S3VPCEndpoint`
セキュリティ	ALBセキュリティグループ	`ALBSecurityGroup`
セキュリティ	EC2セキュリティグループ	`EC2SecurityGroup`
セキュリティ	RDSセキュリティグループ	`RDSSecurityGroup`
IAM	EC2ロール + インスタンスプロファイル	`EC2Role` + `EC2InstanceProfile`
パラメータ	SSM Parameter Store	`DBPasswordParam`
データベース	RDS DBサブネットグループ	`DBSubnetGroup`
データベース	RDS MySQLインスタンス	`RDSInstance`
ロードバランサー	ターゲットグループ	`TargetGroup`
ロードバランサー	ALB本体	`ALB`
ロードバランサー	リスナー	`ALBListener`
コンピュート	EC2インスタンス	`EC2Instance`

template.yaml（完全版）

このファイルをそのまま使ってハンズオンを実施できます。C:\my-aws\aws-learning-projects\alb-ec2-rds\template.yaml として保存してください。

AWSTemplateFormatVersion: '2010-09-09'
Description: 'ALB + EC2(Tomcat) + RDS 3-tier architecture hands-on (Phase 2-2)'

Parameters:
  EmployeeId:
    Type: String
    Default: '123456'
    Description: Employee ID used as a prefix for resource names

  KeyName:
    Type: String
    Default: 'my-alb-key'
    Description: Name of an existing EC2 KeyPair

  MyIP:
    Type: String
    Default: '203.0.113.1/32'    # [IMPORTANT] Replace with your own IP (check: curl https://checkip.amazonaws.com)
    Description: Your IP address to allow SSH access (CIDR format)

  DBPassword:
    Type: String
    Default: 'Handson1234!'
    NoEcho: true
    Description: Master password for RDS MySQL (also stored in SSM Parameter Store)

  TomcatVersion:
    Type: String
    Default: '10.1.28'
    Description: Apache Tomcat version (check latest at https://archive.apache.org/dist/tomcat/tomcat-10/)

Resources:

  # VPC and Network
  # ============================================================

  VPC:
    Type: AWS::EC2::VPC
    Properties:
      CidrBlock: 10.0.0.0/16
      EnableDnsSupport: true
      EnableDnsHostnames: true
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-vpc'
        - Key: Cost
          Value: !Ref EmployeeId

  InternetGateway:
    Type: AWS::EC2::InternetGateway
    Properties:
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-igw'
        - Key: Cost
          Value: !Ref EmployeeId

  IGWAttachment:
    Type: AWS::EC2::VPCGatewayAttachment
    Properties:
      VpcId: !Ref VPC
      InternetGatewayId: !Ref InternetGateway

  # Public Subnet 1 (AZ-a): ALB + EC2 Tomcat
  PublicSubnet1:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VPC
      CidrBlock: 10.0.1.0/24
      AvailabilityZone: !Select [0, !GetAZs '']
      MapPublicIpOnLaunch: true
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-public-subnet-1'
        - Key: Cost
          Value: !Ref EmployeeId

  # Public Subnet 2 (AZ-b): ALB requires subnets in at least 2 AZs
  PublicSubnet2:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VPC
      CidrBlock: 10.0.2.0/24
      AvailabilityZone: !Select [1, !GetAZs '']
      MapPublicIpOnLaunch: true
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-public-subnet-2'
        - Key: Cost
          Value: !Ref EmployeeId

  # Private Subnet 1 (AZ-a): RDS instance is placed here
  PrivateSubnet1:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VPC
      CidrBlock: 10.0.3.0/24
      AvailabilityZone: !Select [0, !GetAZs '']
      MapPublicIpOnLaunch: false
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-private-subnet-1'
        - Key: Cost
          Value: !Ref EmployeeId

  # Private Subnet 2 (AZ-b): required for RDS Subnet Group (minimum 2 AZs)
  PrivateSubnet2:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VPC
      CidrBlock: 10.0.4.0/24
      AvailabilityZone: !Select [1, !GetAZs '']
      MapPublicIpOnLaunch: false
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-private-subnet-2'
        - Key: Cost
          Value: !Ref EmployeeId

  PublicRouteTable:
    Type: AWS::EC2::RouteTable
    Properties:
      VpcId: !Ref VPC
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-public-rt'
        - Key: Cost
          Value: !Ref EmployeeId

  PublicRoute:
    Type: AWS::EC2::Route
    DependsOn: IGWAttachment
    Properties:
      RouteTableId: !Ref PublicRouteTable
      DestinationCidrBlock: 0.0.0.0/0
      GatewayId: !Ref InternetGateway

  PublicSubnet1RouteTableAssociation:
    Type: AWS::EC2::SubnetRouteTableAssociation
    Properties:
      SubnetId: !Ref PublicSubnet1
      RouteTableId: !Ref PublicRouteTable

  PublicSubnet2RouteTableAssociation:
    Type: AWS::EC2::SubnetRouteTableAssociation
    Properties:
      SubnetId: !Ref PublicSubnet2
      RouteTableId: !Ref PublicRouteTable

  PrivateRouteTable:
    Type: AWS::EC2::RouteTable
    Properties:
      VpcId: !Ref VPC
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-private-rt'
        - Key: Cost
          Value: !Ref EmployeeId

  PrivateSubnet1RouteTableAssociation:
    Type: AWS::EC2::SubnetRouteTableAssociation
    Properties:
      SubnetId: !Ref PrivateSubnet1
      RouteTableId: !Ref PrivateRouteTable

  PrivateSubnet2RouteTableAssociation:
    Type: AWS::EC2::SubnetRouteTableAssociation
    Properties:
      SubnetId: !Ref PrivateSubnet2
      RouteTableId: !Ref PrivateRouteTable

  # S3 VPC Gateway Endpoint: free, allows EC2 to reach S3 for dnf package downloads
  S3VPCEndpoint:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      VpcId: !Ref VPC
      ServiceName: !Sub 'com.amazonaws.${AWS::Region}.s3'
      VpcEndpointType: Gateway
      RouteTableIds:
        - !Ref PublicRouteTable
        - !Ref PrivateRouteTable

  # ============================================================
  # IAM
  # ============================================================

  EC2Role:
    Type: AWS::IAM::Role
    Properties:
      RoleName: !Sub 'n${EmployeeId}-alb-ec2-role'
      AssumeRolePolicyDocument:
        Version: '2012-10-17'
        Statement:
          - Effect: Allow
            Principal:
              Service: ec2.amazonaws.com
            Action: 'sts:AssumeRole'
      ManagedPolicyArns:
        - arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
        - arn:aws:iam::aws:policy/AmazonSSMReadOnlyAccess
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-ec2-role'
        - Key: Cost
          Value: !Ref EmployeeId

  EC2InstanceProfile:
    Type: AWS::IAM::InstanceProfile
    Properties:
      InstanceProfileName: !Sub 'n${EmployeeId}-alb-ec2-profile'
      Roles:
        - !Ref EC2Role

  # ============================================================
  # Security Groups
  # ============================================================

  # ALB Security Group: accept HTTP:80 from the internet
  ALBSecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: !Sub 'n${EmployeeId} ALB SG - HTTP:80 from internet'
      VpcId: !Ref VPC
      SecurityGroupIngress:
        - IpProtocol: tcp
          FromPort: 80
          ToPort: 80
          CidrIp: 0.0.0.0/0
          Description: HTTP from internet
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-sg'
        - Key: Cost
          Value: !Ref EmployeeId

  # EC2 Security Group: Tomcat:8080 from ALB SG only, SSH from MyIP
  EC2SecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: !Sub 'n${EmployeeId} EC2 Tomcat SG'
      VpcId: !Ref VPC
      SecurityGroupIngress:
        - IpProtocol: tcp
          FromPort: 8080
          ToPort: 8080
          SourceSecurityGroupId: !GetAtt ALBSecurityGroup.GroupId
          Description: Tomcat from ALB SG only (SG-to-SG control)
        - IpProtocol: tcp
          FromPort: 22
          ToPort: 22
          CidrIp: !Ref MyIP
          Description: SSH from my IP
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-ec2-sg'
        - Key: Cost
          Value: !Ref EmployeeId

  # RDS Security Group: MySQL:3306 from EC2 SG only
  RDSSecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: !Sub 'n${EmployeeId} RDS MySQL SG (EC2-to-RDS only)'
      VpcId: !Ref VPC
      SecurityGroupIngress:
        - IpProtocol: tcp
          FromPort: 3306
          ToPort: 3306
          SourceSecurityGroupId: !GetAtt EC2SecurityGroup.GroupId
          Description: MySQL from EC2 SG only (SG-to-SG control)
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-rds-sg'
        - Key: Cost
          Value: !Ref EmployeeId

  # ============================================================
  # SSM Parameter Store
  # NOTE: CloudFormation can only create String type, not SecureString.
  # ============================================================
  DBPasswordParam:
    Type: AWS::SSM::Parameter
    Properties:
      Name: !Sub '/n${EmployeeId}/alb/db-password'
      Type: String
      Value: !Ref DBPassword
      Description: !Sub 'RDS MySQL master password for n${EmployeeId} ALB hands-on'
      Tags:
        Cost: !Ref EmployeeId

  # ============================================================
  # RDS
  # ============================================================

  DBSubnetGroup:
    Type: AWS::RDS::DBSubnetGroup
    Properties:
      DBSubnetGroupDescription: !Sub 'n${EmployeeId} RDS subnet group (private subnets in 2 AZs)'
      SubnetIds:
        - !Ref PrivateSubnet1
        - !Ref PrivateSubnet2
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-rds-subnet-group'
        - Key: Cost
          Value: !Ref EmployeeId

  RDSInstance:
    Type: AWS::RDS::DBInstance
    DeletionPolicy: Delete
    Properties:
      DBInstanceIdentifier: !Sub 'n${EmployeeId}-alb-rds-mysql'
      DBInstanceClass: db.t3.micro
      Engine: mysql
      EngineVersion: '8.0'
      MasterUsername: admin
      MasterUserPassword: !Ref DBPassword
      AllocatedStorage: '20'
      StorageType: gp2
      DBName: sampledb
      DBSubnetGroupName: !Ref DBSubnetGroup
      VPCSecurityGroups:
        - !GetAtt RDSSecurityGroup.GroupId
      MultiAZ: false
      PubliclyAccessible: false
      BackupRetentionPeriod: 0
      DeleteAutomatedBackups: true
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-rds-mysql'
        - Key: Cost
          Value: !Ref EmployeeId

  # ============================================================
  # ALB (Application Load Balancer)
  # ============================================================

  # Target Group: routes traffic to EC2 Tomcat on port 8080
  TargetGroup:
    Type: AWS::ElasticLoadBalancingV2::TargetGroup
    Properties:
      Name: !Sub 'n${EmployeeId}-alb-tg'
      Protocol: HTTP
      Port: 8080
      VpcId: !Ref VPC
      TargetType: instance
      HealthCheckProtocol: HTTP
      HealthCheckPort: '8080'
      HealthCheckPath: /
      HealthyThresholdCount: 2
      UnhealthyThresholdCount: 3
      HealthCheckIntervalSeconds: 30
      HealthCheckTimeoutSeconds: 5
      Targets:
        - Id: !Ref EC2Instance
          Port: 8080
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-tg'
        - Key: Cost
          Value: !Ref EmployeeId

  # ALB: internet-facing, spans 2 public subnets
  ALB:
    Type: AWS::ElasticLoadBalancingV2::LoadBalancer
    Properties:
      Name: !Sub 'n${EmployeeId}-alb-alb'
      Type: application
      Scheme: internet-facing
      IpAddressType: ipv4
      Subnets:
        - !Ref PublicSubnet1
        - !Ref PublicSubnet2
      SecurityGroups:
        - !GetAtt ALBSecurityGroup.GroupId
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-alb'
        - Key: Cost
          Value: !Ref EmployeeId

  # Listener: HTTP:80 -> forward to TargetGroup
  ALBListener:
    Type: AWS::ElasticLoadBalancingV2::Listener
    Properties:
      LoadBalancerArn: !Ref ALB
      Protocol: HTTP
      Port: 80
      DefaultActions:
        - Type: forward
          TargetGroupArn: !Ref TargetGroup

  # ============================================================
  # EC2 (AP Server with Tomcat)
  # ============================================================

  EC2Instance:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: '{{resolve:ssm:/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-default-x86_64}}'
      InstanceType: t2.micro
      KeyName: !Ref KeyName
      SubnetId: !Ref PublicSubnet1
      SecurityGroupIds:
        - !GetAtt EC2SecurityGroup.GroupId
      IamInstanceProfile: !Ref EC2InstanceProfile
      UserData:
        Fn::Base64: !Sub |
          #!/bin/bash
          set -xe
          exec > >(tee /var/log/user-data.log) 2>&1

          dnf update -y
          dnf install -y java-17-amazon-corretto wget

          # Install Tomcat
          # Check latest version at: https://archive.apache.org/dist/tomcat/tomcat-10/
          TOMCAT_VERSION="${TomcatVersion}"
          cd /opt
          wget -q https://archive.apache.org/dist/tomcat/tomcat-10/v${!TOMCAT_VERSION}/bin/apache-tomcat-${!TOMCAT_VERSION}.tar.gz
          tar xzf apache-tomcat-${!TOMCAT_VERSION}.tar.gz
          mv apache-tomcat-${!TOMCAT_VERSION} tomcat
          chmod +x /opt/tomcat/bin/*.sh

          # Deploy simple web application to ROOT context
          cat > /opt/tomcat/webapps/ROOT/index.html << 'HTMLEOF'
          
          
          
          AP Server - Phase 2-2 ALB + Tomcat + RDS
          This server is load balanced by ALB and connects to RDS MySQL in the private subnet.
          
          
          HTMLEOF

          # Start Tomcat
          /opt/tomcat/bin/startup.sh
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-ap-instance'
        - Key: Cost
          Value: !Ref EmployeeId

Outputs:
  ALBEndpoint:
    Description: ALB DNS name - access via browser
    Value: !Sub 'http://${ALB.DNSName}'

  EC2PublicIP:
    Description: EC2 Tomcat server public IP (for SSH)
    Value: !GetAtt EC2Instance.PublicIp

  RDSEndpoint:
    Description: RDS MySQL endpoint hostname
    Value: !GetAtt RDSInstance.Endpoint.Address

  DBPasswordParamName:
    Description: SSM Parameter Store path for RDS password
    Value: !Ref DBPasswordParam

  SSHCommand:
    Description: SSH command to EC2 AP server
    Value: !Sub 'ssh -i C:\Users\username\.ssh\${KeyName}.pem ec2-user@${EC2Instance.PublicIp}'

  MySQLConnectCommand:
    Description: MySQL connect command (run FROM the EC2 AP server)
    Value: !Sub 'mysql -h ${RDSInstance.Endpoint.Address} -u admin -pHandson1234! sampledb'

作業順序

⓪ 自分のIPアドレスを確認する
      ↓
① キーペアを作成する（コンソールで実施）
      ↓
② プロジェクトフォルダに移動する
      ↓
③ スタックを作成する（aws cloudformation create-stack）
      ↓
④ 作成完了・Outputsを確認する（RDSは15〜20分かかる）
      ↓
⑤ 動作確認（ALBアクセス・SSH・RDS接続）
      ↓
⑥ スタックを削除する（aws cloudformation delete-stack）

【重要】⓪ 自分のIPアドレスを確認する

curl https://checkip.amazonaws.com

控えておく情報: 自分のIPアドレス（例: 203.0.113.1）

① キーペアの作成（コンソールで実施）

CloudFormationではキーペアのダウンロードができないため、コンソールで先に作成します。

AWSコンソール → EC2 → キーペア → 「キーペアを作成」

設定項目	値
名前	`my-alb-key`
キーペアのタイプ	RSA
プライベートキーファイル形式	.pem

ダウンロードされた my-alb-key.pem を保存します。

C:\Users\ユーザー名\.ssh\my-alb-key.pem

② プロジェクトフォルダに移動する

VSCodeのターミナル（CMD）を開き、プロジェクトフォルダに移動します。

cd C:\my-aws\aws-learning-projects\alb-ec2-rds

template.yaml があることを確認します。

dir template.yaml

③ スタックの作成

以下のコマンドを実行します。203.0.113.1 は⓪で確認した自分のIPアドレスに置き換えます。

aws cloudformation create-stack ^
  --stack-name my-alb-stack ^
  --template-body file://template.yaml ^
  --region ap-northeast-1 ^
  --capabilities CAPABILITY_NAMED_IAM ^
  --parameters ^
    ParameterKey=EmployeeId,ParameterValue=123456 ^
    ParameterKey=KeyName,ParameterValue=my-alb-key ^
    ParameterKey=MyIP,ParameterValue=203.0.113.1/32 ^
    ParameterKey=DBPassword,ParameterValue=Handson1234!

TomcatVersion パラメータについて: デフォルト値は 10.1.28。変更する場合は ParameterKey=TomcatVersion,ParameterValue=10.1.xx を追加します。利用可能なバージョンは https://archive.apache.org/dist/tomcat/tomcat-10/ で確認します。

CAPABILITY_NAMED_IAM について: EC2Role のように名前を指定したIAMリソースを作成する場合に必要なフラグです。

成功すると以下のような StackId が表示されます。

{
    "StackId": "arn:aws:cloudformation:ap-northeast-1:123456789012:stack/my-alb-stack/xxxxx"
}

④ 作成完了・Outputsの確認

注意: RDSの作成には約15〜20分かかります。CREATE_IN_PROGRESS が続く間は正常です。

作成状況の確認

aws cloudformation describe-stacks ^
  --stack-name my-alb-stack ^
  --query "Stacks[0].StackStatus" ^
  --output text

ステータス	意味
`CREATE_IN_PROGRESS`	作成中（待つ）
`CREATE_COMPLETE`	作成完了
`CREATE_FAILED`	作成失敗（後述のトラブルシューティングを参照）
`ROLLBACK_COMPLETE`	失敗してロールバック完了

Outputs（接続情報）の確認

CREATE_COMPLETE になったら以下を実行します。

aws cloudformation describe-stacks ^
  --stack-name my-alb-stack ^
  --query "Stacks[0].Outputs" ^
  --output table

+----------------------+------------------------------------------------------------------+
|  OutputKey           |  OutputValue                                                     |
+----------------------+------------------------------------------------------------------+
|  ALBEndpoint         |  http://my-alb-alb-1234567890.ap-northeast-1.elb.amazonaws.com  |
|  EC2PublicIP         |  x.x.x.x                                                        |
|  RDSEndpoint         |  my-alb-rds-mysql.xxxxx.ap-northeast-1.rds.amazonaws.com        |
|  DBPasswordParamName |  /my/alb/db-password                                             |
|  SSHCommand          |  ssh -i C:\Users\...\.ssh\my-alb-key.pem ec2-user@x.x.x.x       |
+----------------------+------------------------------------------------------------------+

控えておく情報: ALBEndpoint、EC2PublicIP、RDSEndpoint

⑤ 動作確認

ALBのヘルスチェック確認

EC2 → ターゲットグループ → my-alb-tg → 「ターゲット」タブ

EC2のステータスが 「healthy」 になるまで待ちます（EC2起動後5〜10分）。

Tomcatの起動はEC2が「実行中」になってからさらに数分かかります。initial や unhealthy が続く場合はしばらく待ちます。

ALB経由でWebアクセス確認

Outputsに表示された ALBEndpoint をブラウザで開きます。

http://（ALBEndpointのDNS名）

「AP Server - Phase 2-2 ALB + Tomcat + RDS」と表示されれば正常です。

EC2にSSH接続する

Outputsの SSHCommand を実行します（パスは実際のパスに修正します）。

ssh -i C:\Users\ユーザー名\.ssh\my-alb-key.pem ec2-user@（EC2PublicIP）

Parameter StoreからDBパスワードを取得する

EC2に接続した状態で実行します。

aws ssm get-parameter \
  --name "/my/alb/db-password" \
  --query "Parameter.Value" \
  --output text \
  --region ap-northeast-1

Handson1234! が表示されれば成功です。

--with-decryption が不要な理由: CloudFormationで作成したパラメータは Type: String（平文）のため、フラグなしでそのまま値が返ります。コンソールで SecureString として作成した場合は --with-decryption が必要です（コンソール版参照）。

RDSへのMySQL接続テスト

# RDSエンドポイントをOutputsの値に置き換える
RDS_ENDPOINT="my-alb-rds-mysql.xxxxxxxxxxxxxxxx.ap-northeast-1.rds.amazonaws.com"

# Parameter StoreからDBパスワードを取得して接続（String型のため--with-decryption不要）
DB_PASSWORD=$(aws ssm get-parameter \
  --name "/my/alb/db-password" \
  --query "Parameter.Value" \
  --output text \
  --region ap-northeast-1)

mysql -h $RDS_ENDPOINT -u admin -p"$DB_PASSWORD" sampledb

接続成功後、SQL操作を確認します。

-- テーブル作成
CREATE TABLE items (
  id INT AUTO_INCREMENT PRIMARY KEY,
  name VARCHAR(100),
  created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);

-- データ挿入
INSERT INTO items (name) VALUES ('Apple'), ('Banana');

-- データ確認
SELECT * FROM items;

-- 後片付け
DROP TABLE items;

EXIT;

EC2からSSH接続を切断します。

exit

⑥ スタックの削除

課金を止めるために、ハンズオン完了後は必ず削除します。

aws cloudformation delete-stack ^
  --stack-name my-alb-stack ^
  --region ap-northeast-1

注意: RDS削除には約10〜15分かかります。コマンド実行後もしばらく待つ必要があります。

削除状況の確認

aws cloudformation describe-stacks ^
  --stack-name my-alb-stack ^
  --query "Stacks[0].StackStatus" ^
  --output text

ステータス	意味
`DELETE_IN_PROGRESS`	削除中（待つ）
`DELETE_FAILED`	削除失敗（トラブルシューティングを参照）

削除完了の確認（以下のエラーが表示されれば削除完了）:

aws cloudformation describe-stacks ^
  --stack-name my-alb-stack ^
  --region ap-northeast-1

An error occurred (ValidationError) when calling the DescribeStacks operation:
Stack with id my-alb-stack does not exist

キーペアの手動削除

キーペアはCloudFormationで管理していないため手動で削除します。

EC2 → キーペア → my-alb-key を選択 → 「アクション」→「削除」

コンソール版との比較

作業	コンソール（手動）	CloudFormation
VPC + サブネット4つ + IGW + ルートテーブル	約20〜30分	template.yaml に定義済み
SG 3つ（ALB/EC2/RDS）の作成	3画面で個別設定	template.yaml に定義済み
ALB + TG + Listener の作成	3つの画面で設定	template.yaml に定義済み
Tomcat UserDataの貼り付け	手動コピペ	template.yaml に組み込み済み
全体のデプロイ	約40〜50分	コマンド1本（RDS待ち15〜20分）
削除	13ステップ手動	`delete-stack` 1本

トラブルシューティング

症状	原因	対処
`CREATE_FAILED` → ROLLBACKになる	パラメータ不正・リソース上限など	コンソールのCloudFormationイベントタブでエラー詳細を確認
ALBに繋がらない	EC2のTomcatがまだ起動中	TGのヘルスチェックがHealthyになるまで待つ（5〜10分）
ALBに繋がるが502エラー	Tomcat起動失敗	SSH接続して `sudo cat /var/log/user-data.log` 確認
`ERROR 2003`: MySQL接続できない	RDS SGのソース設定ミス	RDS SGのインバウンドルールを確認
Tomcatバージョンエラー	指定バージョンがアーカイブに存在しない	https://archive.apache.org/dist/tomcat/tomcat-10/ で確認して `TomcatVersion` パラメータを更新
`DELETE_FAILED`	リソースの依存関係が残っている	コンソールからALBを手動削除してから `delete-stack` を再実行
スタック作成後しばらく `CREATE_IN_PROGRESS` が続く	RDSの作成に時間がかかっている	正常。約15〜20分待つ

失敗時の詳細確認コマンド

aws cloudformation describe-stack-events ^
  --stack-name my-alb-stack ^
  --query "StackEvents[?ResourceStatus=='CREATE_FAILED'].[ResourceType,ResourceStatusReason]" ^
  --output table

まとめ

ステップ	内容
①	キーペアをコンソールで作成
②③	`alb-ec2-rds/` フォルダに移動し `create-stack` を実行
④	`CREATE_COMPLETE` になったらOutputsでALBエンドポイント・EC2IP・RDSエンドポイントを確認
⑤	ヘルスチェックがHealthyになったらALB → EC2 → RDS MySQL への接続テスト
⑥	`delete-stack` 1本で27リソースを一括削除

CloudFormation版の最大のメリットは再現性と削除の簡単さです。コンソールでは40〜50分・13ステップかかった作業が、コマンド1本（待ち時間込みで約20分）で完了します。

コンソール操作でALB・ターゲットグループ・ヘルスチェックを視覚的に確認したい場合は、AWSコンソール版ハンズオンを参照してください。

The post CloudFormationでALB + EC2(Tomcat) + RDS 3層構成を自動構築する手順【27リソース一括デプロイ / コンソール版との比較付き】 first appeared on CayTech Lab.

CloudFormationでRDS MySQL + EC2接続環境を自動構築する手順【22リソース一括デプロイ / コンソール版との比較付き】

caymezon — Sat, 11 Apr 2026 23:47:49 +0000

はじめに

「コンソールで40〜50分かかったRDS + EC2環境をコードで再現したい」——それを実現するのが AWS CloudFormation です。

この記事では、template.yaml 1ファイルにVPC・サブネット・セキュリティグループ・IAMロール・SSM Parameter Store・RDS MySQL・EC2（22リソース）を定義し、コマンド1本でRDS + EC2接続環境を一括構築するハンズオンを紹介します。コンソール版（AWSコンソール版ハンズオン）と全く同じ構成を、CloudFormationで自動化します。

ローカル環境（VSCode）
  ├── template.yaml（22リソースを定義）
  └── AWS CLI コマンド
        ↓ スタック作成（コマンド1本）
AWS環境
  └── VPC（10.0.0.0/16）
        ├── パブリックサブネット（10.0.1.0/24 / AZ-a）
        │     └── EC2（Apache + mariadb client / パブリックIP あり）
        │           └── IAMロール → SSM Parameter Store
        │
        ├── DBサブネットグループ
        │     ├── プライベートサブネット1（10.0.2.0/24 / AZ-a）← RDS配置
        │     └── プライベートサブネット2（10.0.3.0/24 / AZ-c）← 2AZ要件
        │
        └── SSM Parameter Store: /my/rds/db-password

このハンズオンで体験できること：

VPC・サブネット3つ・IGW・ルートテーブル・SG・IAM・SSM・RDS・EC2を template.yaml 1ファイルで定義する方法
DBPassword パラメータを NoEcho: true でマスクしてセキュアに渡す方法
DeletionPolicy: Delete + BackupRetentionPeriod: 0 でスタック削除時にRDSを確実に削除する設定
CloudFormation が SecureString を作れない理由と代替手段

このハンズオンの特徴：

コンソール版では40〜50分かかった作業が、コマンド1本（RDS待ち15〜20分含む）で完了
delete-stack 1本でRDS・VPC・IAMなど22リソースの依存関係を自動解決して削除

この記事は AWSコンソール版ハンズオンの比較記事です。
コンソール版でRDS・DBサブネットグループ・Parameter Storeを視覚的に学んだ後に読むと理解が深まります。

リンク

-->

CloudFormation vs コンソール：どれだけ違うか

比較項目	CloudFormation	コンソール（手動）
VPC + サブネット3つ + IGW + ルートテーブル	template.yaml に定義済み	約15〜20分・複数画面
IAMロール作成	template.yaml に定義済み	別画面で作成
SSM Parameter Store作成	template.yaml に定義済み	別画面で作成
RDS DBサブネットグループ	template.yaml に定義済み	別画面で作成
RDS作成（設定項目20以上）	`--parameters DBPassword=...` を渡すだけ	画面でポチポチ
全体のデプロイ	コマンド1本（RDS待ち15〜20分）	40〜50分
削除（依存関係あり）	`delete-stack` 1本（自動解決）	11ステップ・手動管理
再現性	高い（同じ構成を何度でも再現可能）	低い（手順漏れのリスク大）
バージョン管理	Gitで管理可能	不可

キーワード解説

用語	意味
CloudFormation	AWSが提供するIaC（Infrastructure as Code）サービス。YAMLやJSONでリソースを定義し、一括作成・削除できる
スタック	CloudFormationが管理するリソースのまとまり。今回は22リソースを1スタックで管理
DeletionPolicy	スタック削除時のリソースの扱いを指定するプロパティ。`Delete`/`Retain`/`Snapshot`（RDSのみ）の3種類
NoEcho	CloudFormationパラメータの設定。`true` にするとコンソール上でパスワードが `****` にマスクされる
SecureString	Parameter StoreでKMS暗号化して保管するタイプ。CloudFormationでは作成不可
CAPABILITY_NAMED_IAM	IAMリソースを含むスタックの作成・更新時に必要なフラグ

前提条件

ツール	確認コマンド
AWS CLI v2	`aws --version`

AWS認証確認:

aws sts get-caller-identity

構築されるリソース（22個）

カテゴリ	リソース	論理ID
ネットワーク	VPC	`VPC`
ネットワーク	インターネットゲートウェイ	`InternetGateway` + `IGWAttachment`
ネットワーク	パブリックサブネット	`PublicSubnet`
ネットワーク	プライベートサブネット1（RDS配置）	`PrivateSubnet1`
ネットワーク	プライベートサブネット2（2AZ要件）	`PrivateSubnet2`
ネットワーク	パブリックルートテーブル	`PublicRouteTable` + `PublicRoute` + `PublicSubnetRTA`
ネットワーク	プライベートルートテーブル	`PrivateRouteTable` + `PrivateSubnet1RTA` + `PrivateSubnet2RTA`
ネットワーク	S3 VPC Gateway Endpoint	`S3VPCEndpoint`
セキュリティ	EC2セキュリティグループ	`EC2SecurityGroup`
セキュリティ	RDSセキュリティグループ	`RDSSecurityGroup`
IAM	EC2ロール + インスタンスプロファイル	`EC2Role` + `EC2InstanceProfile`
パラメータ	SSM Parameter Store	`DBPasswordParam`
データベース	RDS DBサブネットグループ	`DBSubnetGroup`
データベース	RDS MySQLインスタンス	`RDSInstance`
コンピュート	EC2インスタンス	`EC2Instance`

template.yaml（完全版）

このファイルをそのまま使ってハンズオンを実施できます。C:\my-aws\aws-learning-projects\rds-mysql-ec2\template.yaml として保存してください。

AWSTemplateFormatVersion: '2010-09-09'
Description: 'RDS MySQL + EC2 connection hands-on with SSM Parameter Store password management'

Parameters:
  EmployeeId:
    Type: String
    Default: '123456'
    Description: Employee ID used as a prefix for resource names

  KeyName:
    Type: String
    Default: 'my-rds-mysql-key'
    Description: Name of an existing EC2 KeyPair

  MyIP:
    Type: String
    Default: '123.456.78.901/32'    # [IMPORTANT] Replace with your own IP (check: curl https://checkip.amazonaws.com)
    Description: Your IP address to allow SSH and HTTP access (CIDR format e.g. 123.456.78.901/32)

  DBPassword:
    Type: String
    Default: 'Handson1234!'
    NoEcho: true
    Description: Master password for RDS MySQL (also stored in SSM Parameter Store)

Resources:

  # VPC and Network
  # ============================================================

  # VPC: isolated network for this hands-on
  VPC:
    Type: AWS::EC2::VPC
    Properties:
      CidrBlock: 10.0.0.0/16
      EnableDnsSupport: true
      EnableDnsHostnames: true
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-rds-vpc'
        - Key: Cost
          Value: !Ref EmployeeId

  # Internet Gateway: connects public subnet to the internet
  InternetGateway:
    Type: AWS::EC2::InternetGateway
    Properties:
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-rds-igw'
        - Key: Cost
          Value: !Ref EmployeeId

  # Attach Internet Gateway to VPC
  IGWAttachment:
    Type: AWS::EC2::VPCGatewayAttachment
    Properties:
      VpcId: !Ref VPC
      InternetGatewayId: !Ref InternetGateway

  # Public Subnet (AZ-a): EC2 AP server is placed here
  PublicSubnet:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VPC
      CidrBlock: 10.0.1.0/24
      AvailabilityZone: !Select [0, !GetAZs '']
      MapPublicIpOnLaunch: true
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-public-subnet'
        - Key: Cost
          Value: !Ref EmployeeId

  # Private Subnet 1 (AZ-a): RDS instance is placed here
  PrivateSubnet1:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VPC
      CidrBlock: 10.0.2.0/24
      AvailabilityZone: !Select [0, !GetAZs '']
      MapPublicIpOnLaunch: false
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-private-subnet-1'
        - Key: Cost
          Value: !Ref EmployeeId

  # Private Subnet 2 (AZ-b): required for RDS Subnet Group (minimum 2 AZs)
  # RDS Subnet Group must span at least 2 AZs even for single-AZ deployments
  PrivateSubnet2:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VPC
      CidrBlock: 10.0.3.0/24
      AvailabilityZone: !Select [1, !GetAZs '']
      MapPublicIpOnLaunch: false
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-private-subnet-2'
        - Key: Cost
          Value: !Ref EmployeeId

  # Public Route Table: routes internet traffic via Internet Gateway
  PublicRouteTable:
    Type: AWS::EC2::RouteTable
    Properties:
      VpcId: !Ref VPC
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-public-rt'
        - Key: Cost
          Value: !Ref EmployeeId

  # Default route for public subnet: 0.0.0.0/0 -> Internet Gateway
  PublicRoute:
    Type: AWS::EC2::Route
    DependsOn: IGWAttachment
    Properties:
      RouteTableId: !Ref PublicRouteTable
      DestinationCidrBlock: 0.0.0.0/0
      GatewayId: !Ref InternetGateway

  PublicSubnetRouteTableAssociation:
    Type: AWS::EC2::SubnetRouteTableAssociation
    Properties:
      SubnetId: !Ref PublicSubnet
      RouteTableId: !Ref PublicRouteTable

  # Private Route Table: no internet route (intra-VPC traffic only)
  PrivateRouteTable:
    Type: AWS::EC2::RouteTable
    Properties:
      VpcId: !Ref VPC
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-private-rt'
        - Key: Cost
          Value: !Ref EmployeeId

  PrivateSubnet1RouteTableAssociation:
    Type: AWS::EC2::SubnetRouteTableAssociation
    Properties:
      SubnetId: !Ref PrivateSubnet1
      RouteTableId: !Ref PrivateRouteTable

  PrivateSubnet2RouteTableAssociation:
    Type: AWS::EC2::SubnetRouteTableAssociation
    Properties:
      SubnetId: !Ref PrivateSubnet2
      RouteTableId: !Ref PrivateRouteTable

  # S3 VPC Gateway Endpoint: free, allows EC2 in public subnet to reach S3 for dnf package downloads
  S3VPCEndpoint:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      VpcId: !Ref VPC
      ServiceName: !Sub 'com.amazonaws.${AWS::Region}.s3'
      VpcEndpointType: Gateway
      RouteTableIds:
        - !Ref PublicRouteTable
        - !Ref PrivateRouteTable

  # ============================================================
  # IAM
  # ============================================================

  # IAM Role: EC2 can use Session Manager and read SSM Parameter Store
  EC2Role:
    Type: AWS::IAM::Role
    Properties:
      RoleName: !Sub 'n${EmployeeId}-rds-ec2-role'
      AssumeRolePolicyDocument:
        Version: '2012-10-17'
        Statement:
          - Effect: Allow
            Principal:
              Service: ec2.amazonaws.com
            Action: 'sts:AssumeRole'
      ManagedPolicyArns:
        - arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
        - arn:aws:iam::aws:policy/AmazonSSMReadOnlyAccess
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-rds-ec2-role'
        - Key: Cost
          Value: !Ref EmployeeId

  EC2InstanceProfile:
    Type: AWS::IAM::InstanceProfile
    Properties:
      InstanceProfileName: !Sub 'n${EmployeeId}-rds-ec2-profile'
      Roles:
        - !Ref EC2Role

  # ============================================================
  # Security Groups
  # ============================================================

  # EC2 Security Group: SSH and HTTP access from MyIP
  EC2SecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: !Sub 'n${EmployeeId} EC2 AP server SG'
      VpcId: !Ref VPC
      SecurityGroupIngress:
        - IpProtocol: tcp
          FromPort: 22
          ToPort: 22
          CidrIp: !Ref MyIP
          Description: SSH from my IP
        - IpProtocol: tcp
          FromPort: 80
          ToPort: 80
          CidrIp: !Ref MyIP
          Description: HTTP from my IP
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-rds-ec2-sg'
        - Key: Cost
          Value: !Ref EmployeeId

  # RDS Security Group: MySQL(3306) from EC2 SG only - not open to the internet
  RDSSecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: !Sub 'n${EmployeeId} RDS MySQL SG (EC2-to-RDS only)'
      VpcId: !Ref VPC
      SecurityGroupIngress:
        - IpProtocol: tcp
          FromPort: 3306
          ToPort: 3306
          SourceSecurityGroupId: !GetAtt EC2SecurityGroup.GroupId
          Description: MySQL from EC2 SG only (SG-to-SG control)
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-rds-sg'
        - Key: Cost
          Value: !Ref EmployeeId

  # ============================================================
  # SSM Parameter Store (password management)
  # NOTE: CloudFormation can only create String type, not SecureString.
  # In production, create a SecureString manually and reference it with
  # {{resolve:ssm-secure:/path/to/param}}
  # ============================================================
  DBPasswordParam:
    Type: AWS::SSM::Parameter
    Properties:
      Name: !Sub '/n${EmployeeId}/rds/db-password'
      Type: String
      Value: !Ref DBPassword
      Description: !Sub 'RDS MySQL master password for n${EmployeeId} hands-on'
      Tags:
        Cost: !Ref EmployeeId

  # ============================================================
  # RDS
  # ============================================================

  # DB Subnet Group: registers which subnets RDS can use
  # Requires subnets in at least 2 different Availability Zones
  DBSubnetGroup:
    Type: AWS::RDS::DBSubnetGroup
    Properties:
      DBSubnetGroupDescription: !Sub 'n${EmployeeId} RDS subnet group (private subnets in 2 AZs)'
      SubnetIds:
        - !Ref PrivateSubnet1
        - !Ref PrivateSubnet2
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-rds-subnet-group'
        - Key: Cost
          Value: !Ref EmployeeId

  # RDS MySQL Instance (single-AZ, db.t3.micro - free tier eligible)
  RDSInstance:
    Type: AWS::RDS::DBInstance
    DeletionPolicy: Delete
    Properties:
      DBInstanceIdentifier: !Sub 'n${EmployeeId}-rds-mysql'
      DBInstanceClass: db.t3.micro
      Engine: mysql
      EngineVersion: '8.0'
      MasterUsername: admin
      MasterUserPassword: !Ref DBPassword
      AllocatedStorage: '20'
      StorageType: gp2
      DBName: sampledb
      DBSubnetGroupName: !Ref DBSubnetGroup
      VPCSecurityGroups:
        - !GetAtt RDSSecurityGroup.GroupId
      MultiAZ: false
      PubliclyAccessible: false
      BackupRetentionPeriod: 0
      DeleteAutomatedBackups: true
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-rds-mysql'
        - Key: Cost
          Value: !Ref EmployeeId

  # ============================================================
  # EC2 (AP Server)
  # ============================================================

  # AP Server: Apache + MySQL client in public subnet
  EC2Instance:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: '{{resolve:ssm:/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-default-x86_64}}'
      InstanceType: t2.micro
      KeyName: !Ref KeyName
      SubnetId: !Ref PublicSubnet
      SecurityGroupIds:
        - !GetAtt EC2SecurityGroup.GroupId
      IamInstanceProfile: !Ref EC2InstanceProfile
      UserData:
        Fn::Base64: |
          #!/bin/bash
          dnf update -y
          dnf install -y httpd mariadb105
          systemctl start httpd
          systemctl enable httpd
          echo "AP Server - RDS MySQL Hands-on" > /var/www/html/index.html
          echo "This server connects to RDS MySQL in the private subnet." >> /var/www/html/index.html
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-rds-ap-instance'
        - Key: Cost
          Value: !Ref EmployeeId

Outputs:
  EC2PublicIP:
    Description: EC2 AP server public IP
    Value: !GetAtt EC2Instance.PublicIp

  WebsiteURL:
    Description: EC2 AP server website URL
    Value: !Sub 'http://${EC2Instance.PublicIp}'

  RDSEndpoint:
    Description: RDS MySQL endpoint hostname (use this from EC2 to connect)
    Value: !GetAtt RDSInstance.Endpoint.Address

  DBPasswordParamName:
    Description: SSM Parameter Store path for RDS password
    Value: !Ref DBPasswordParam

  SSHCommand:
    Description: SSH command to EC2 AP server
    Value: !Sub 'ssh -i C:\Users\username\.ssh\${KeyName}.pem ec2-user@${EC2Instance.PublicIp}'

  MySQLConnectCommand:
    Description: MySQL connect command (run this FROM the EC2 AP server)
    Value: !Sub 'mysql -h ${RDSInstance.Endpoint.Address} -u admin -pHandson1234! sampledb'

template.yaml の設計ポイント（RDS固有）:

DeletionPolicy の3種類:

設定	意味
`Delete`（今回）	スタック削除時にRDSも削除する
`Retain`	スタック削除時にRDSを残す
`Snapshot`（RDSのみ）	スタック削除時にスナップショットを作成してから削除

なぜ DeletionPolicy: Delete を明示するか: RDSはデフォルトでスナップショット作成を要求される場合があります。明示的に Delete を指定することで確実にスキップできます。また BackupRetentionPeriod: 0 で自動バックアップを無効にし、削除をよりスムーズにしています。

CloudFormationが SecureString を作れない理由:

AWS::SSM::Parameter は String と StringList のみサポートしています。SecureString は KMS の複雑な依存関係があるためサポート外です。本番環境では事前に SecureString を作成し {{resolve:ssm-secure:/path}} で参照する方法が推奨されます。

作業順序

⓪ 自分のIPアドレスを確認する
      ↓
① キーペアを作成する（コンソールで実施）
      ↓
② プロジェクトフォルダに移動する
      ↓
③ スタックを作成する（aws cloudformation create-stack）
      ↓
④ 作成完了・Outputsを確認する（RDSは15〜20分かかる）
      ↓
⑤ 動作確認（Web・SSH・RDS接続）
      ↓
⑥ スタックを削除する（aws cloudformation delete-stack）

【重要】⓪ 自分のIPアドレスを確認する

curl https://checkip.amazonaws.com

控えておく情報: 自分のIPアドレス（例: 203.0.113.1）

① キーペアの作成（コンソールで実施）

CloudFormationではキーペアのダウンロードができないため、コンソールで先に作成します。

AWSコンソール → EC2 → キーペア → 「キーペアを作成」

設定項目	値
名前	`my-rds-mysql-key`
キーペアのタイプ	RSA
プライベートキーファイル形式	.pem

ダウンロードされた my-rds-mysql-key.pem を保存します。

C:\Users\ユーザー名\.ssh\my-rds-mysql-key.pem

② プロジェクトフォルダに移動する

VSCodeのターミナル（CMD）を開き、プロジェクトフォルダに移動します。

cd C:\my-aws\aws-learning-projects\rds-mysql-ec2

template.yaml があることを確認します。

dir template.yaml

③ スタックの作成

以下のコマンドを実行します。203.0.113.1 は⓪で確認した自分のIPアドレスに置き換えます。

aws cloudformation create-stack ^
  --stack-name my-rds-mysql-stack ^
  --template-body file://template.yaml ^
  --region ap-northeast-1 ^
  --capabilities CAPABILITY_NAMED_IAM ^
  --parameters ^
    ParameterKey=EmployeeId,ParameterValue=123456 ^
    ParameterKey=KeyName,ParameterValue=my-rds-mysql-key ^
    ParameterKey=MyIP,ParameterValue=203.0.113.1/32 ^
    ParameterKey=DBPassword,ParameterValue=Handson1234!

DBPassword パラメータについて: NoEcho: true が設定されているため、コンソール上では **** とマスクされます。

CAPABILITY_NAMED_IAM について: EC2Role のように名前を指定したIAMリソースを作成する場合に必要なフラグです。

成功すると以下のような StackId が表示されます。

{
    "StackId": "arn:aws:cloudformation:ap-northeast-1:123456789012:stack/my-rds-mysql-stack/xxxxx"
}

④ 作成完了・Outputsの確認

注意: RDSの作成には約15〜20分かかります。CREATE_IN_PROGRESS が続く間は正常です。

作成状況の確認

aws cloudformation describe-stacks ^
  --stack-name my-rds-mysql-stack ^
  --query "Stacks[0].StackStatus" ^
  --output text

ステータス	意味
`CREATE_IN_PROGRESS`	作成中（待つ）
`CREATE_COMPLETE`	作成完了
`CREATE_FAILED`	作成失敗（後述のトラブルシューティングを参照）
`ROLLBACK_COMPLETE`	失敗してロールバック完了

Outputs（接続情報）の確認

CREATE_COMPLETE になったら以下を実行します。

aws cloudformation describe-stacks ^
  --stack-name my-rds-mysql-stack ^
  --query "Stacks[0].Outputs" ^
  --output table

+---------------------+--------------------------------------------------------------------+
|  OutputKey          |  OutputValue                                                       |
+---------------------+--------------------------------------------------------------------+
|  EC2PublicIP        |  x.x.x.x                                                          |
|  WebsiteURL         |  http://x.x.x.x                                                   |
|  RDSEndpoint        |  my-rds-mysql.xxxxx.ap-northeast-1.rds.amazonaws.com         |
|  DBPasswordParamName|  /my/rds/db-password                                         |
|  SSHCommand         |  ssh -i C:\Users\...\.ssh\...pem ec2-user@x.x.x.x                 |
|  MySQLConnectCommand|  mysql -h my-rds-mysql.xxxxx...rds.amazonaws.com -u admin ... |
+---------------------+--------------------------------------------------------------------+

控えておく情報: EC2PublicIP、RDSEndpoint

⑤ 動作確認

Webブラウザで確認

Outputsに表示された WebsiteURL をブラウザで開きます。

「AP Server - RDS MySQL Hands-on」と表示されればEC2は正常です。

EC2にSSH接続する

Outputsの SSHCommand を実行します（パスは実際のパスに修正します）。

ssh -i C:\Users\ユーザー名\.ssh\my-rds-mysql-key.pem ec2-user@（EC2PublicIP）

Parameter StoreからDBパスワードを取得する

EC2に接続した状態で実行します。

aws ssm get-parameter \
  --name "/my/rds/db-password" \
  --query "Parameter.Value" \
  --output text \
  --region ap-northeast-1

Handson1234! が表示されれば成功です。

--with-decryption が不要な理由: CloudFormationで作成したパラメータは Type: String（平文）のため、フラグなしでそのまま値が返ります。コンソールで SecureString として作成した場合は --with-decryption が必要です（コンソール版参照）。

RDSへのMySQL接続テスト

# RDSエンドポイントをOutputsの値に置き換える
RDS_ENDPOINT="my-rds-mysql.xxxxxxxxxxxxxxxx.ap-northeast-1.rds.amazonaws.com"

# Parameter StoreからDBパスワードを取得して接続（String型のため--with-decryption不要）
DB_PASSWORD=$(aws ssm get-parameter \
  --name "/my/rds/db-password" \
  --query "Parameter.Value" \
  --output text \
  --region ap-northeast-1)

mysql -h $RDS_ENDPOINT -u admin -p"$DB_PASSWORD" sampledb

または Outputsに表示された MySQLConnectCommand を直接実行してもかまいません。

接続成功後、SQL操作を確認します。

-- テーブル作成
CREATE TABLE users (
  id INT AUTO_INCREMENT PRIMARY KEY,
  name VARCHAR(50),
  created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);

-- データ挿入
INSERT INTO users (name) VALUES ('Alice'), ('Bob');

-- データ確認
SELECT * FROM users;

-- 後片付け
DROP TABLE users;

EXIT;

EC2からSSH接続を切断します。

exit

⑥ スタックの削除

課金を止めるために、ハンズオン完了後は必ず削除します。

aws cloudformation delete-stack ^
  --stack-name my-rds-mysql-stack ^
  --region ap-northeast-1

注意: RDS削除には約10〜15分かかります。コマンド実行後もしばらく待つ必要があります。

削除状況の確認

aws cloudformation describe-stacks ^
  --stack-name my-rds-mysql-stack ^
  --query "Stacks[0].StackStatus" ^
  --output text

ステータス	意味
`DELETE_IN_PROGRESS`	削除中（待つ）
`DELETE_FAILED`	削除失敗（トラブルシューティングを参照）

削除完了の確認（以下のエラーが表示されれば削除完了）:

aws cloudformation describe-stacks ^
  --stack-name my-rds-mysql-stack ^
  --region ap-northeast-1

An error occurred (ValidationError) when calling the DescribeStacks operation:
Stack with id my-rds-mysql-stack does not exist

このメッセージが表示されれば削除完了です。

キーペアの手動削除

キーペアはCloudFormationで管理していないため手動で削除します。

EC2 → キーペア → my-rds-mysql-key を選択 → 「アクション」→「削除」

コンソール版との比較

作業	コンソール（手動）	CloudFormation
VPC + サブネット3つ + IGW + ルートテーブル	約15〜20分	template.yaml に定義済み
IAMロール作成	別画面で作成	template.yaml に定義済み
RDS DBサブネットグループ作成	別画面で作成	template.yaml に定義済み
RDS作成（設定項目20以上）	画面でポチポチ	`--parameters DBPassword=...` を渡すだけ
全体のデプロイ	約40〜50分	コマンド1本（RDS待ち15〜20分）
削除	11ステップ（RDS削除待ちあり）	`delete-stack` 1本

トラブルシューティング

症状	原因	対処
`CREATE_FAILED` → DBInstance失敗	指定AZに db.t3.micro が作成できない	コンソールで利用可能なAZを確認する
`stackName failed to satisfy regular expression pattern`	スタック名が数字始まり	`my-rds-mysql-stack` のように英字で始める
`Unable to load paramfile, text contents could not be decoded`	template.yaml に日本語が含まれている	template.yaml のコメントは英語のみで記述する（Windows環境の既知の問題）
`ERROR 2003: Can't connect to MySQL server`	RDSがまだ起動中またはSGの設定ミス	RDSのステータスが「利用可能」になっているか確認。RDS SGのソースがEC2 SGのIDになっているか確認
`ERROR 1045: Access denied for user`	パスワードが誤り	`--parameters DBPassword=...` の値を確認
`AccessDeniedException` on `ssm get-parameter`	IAMロールに `AmazonSSMReadOnlyAccess` がない	`EC2Role` に `AmazonSSMReadOnlyAccess` がアタッチされているか確認
`DELETE_FAILED`	スナップショット作成が失敗した	コンソールからRDSを手動削除（スナップショットなしで）してから `delete-stack` を再実行
スタック作成後しばらく `CREATE_IN_PROGRESS` が続く	RDSの作成に時間がかかっている	正常。約15〜20分待つ

失敗時の詳細確認コマンド

aws cloudformation describe-stack-events ^
  --stack-name my-rds-mysql-stack ^
  --query "StackEvents[?ResourceStatus=='CREATE_FAILED'].[ResourceType,ResourceStatusReason]" ^
  --output table

まとめ

ステップ	内容
①	キーペアをコンソールで作成
②③	`rds-mysql-ec2/` フォルダに移動し `create-stack` を実行
④	`CREATE_COMPLETE` になったらOutputsでEC2IP・RDSエンドポイントを確認
⑤	EC2 → Parameter Store → RDS MySQL への接続テスト
⑥	`delete-stack` 1本で22リソースを一括削除

CloudFormation版の最大のメリットは再現性と削除の簡単さです。コンソールでは40〜50分・11ステップかかった作業が、コマンド1本（待ち時間込みで約20分）で完了します。

コンソール操作でRDS・DBサブネットグループ・Parameter Storeを視覚的に確認したい場合は、AWSコンソール版ハンズオンを参照してください。

The post CloudFormationでRDS MySQL + EC2接続環境を自動構築する手順【22リソース一括デプロイ / コンソール版との比較付き】 first appeared on CayTech Lab.

CloudFormationでAP+DB 2層構成（VPC設計）を自動デプロイする手順【踏み台SSH / コンソール版との比較付き】

caymezon — Sat, 04 Apr 2026 07:33:58 +0000

はじめに
CloudFormation vs コンソール：どれだけ違うか
キーワード解説
前提条件
template.yaml の全文
作業順序
⓪ 自分のIPアドレスを確認する
① キーペアの作成（コンソールで実施）
② プロジェクトフォルダに移動する
③ スタックの作成
④ 作成完了・Outputsの確認
1. 作成状況の確認
2. Outputs の確認
⑤ 動作確認
⑥ スタックの削除
コンソール版との比較
トラブルシューティング
まとめ
1. CloudFormationのメリットを実感できたポイント
コンソール版と比較してみる
関連記事

はじめに

「コンソールで20ステップかかったVPC設計をコードで再現したい」——それを実現するのが AWS CloudFormation です。

この記事では、template.yaml 1ファイルにVPC・サブネット・ルートテーブル・セキュリティグループ・EC2（2台）を定義し、コマンド1本でAP+DB 2層構成を一括構築するハンズオンを紹介します。コンソール版（AWSコンソール版ハンズオン）と全く同じ構成を、CloudFormationで自動化します。

ローカル環境（VSCode）
  └── template.yaml + AWS CLI
        ↓ スタック作成（コマンド1本）
AWS環境
  └── VPC（10.0.0.0/16）
        ├── インターネットゲートウェイ
        │
        ├── [パブリックサブネット 10.0.1.0/24]
        │     ├── パブリックルートテーブル（0.0.0.0/0 → IGW）
        │     └── APサーバEC2（Apache / パブリックIP あり）
        │
        └── [プライベートサブネット 10.0.2.0/24]
              ├── プライベートルートテーブル（VPC内のみ）
              ├── S3 VPC Gateway Endpoint（dnf用・無料）
              └── DBサーバEC2（MariaDB / パブリックIP なし）

このハンズオンで体験できること：

VPC・サブネット・IGW・ルートテーブルを template.yaml 1ファイルで定義する方法
S3 VPC Gateway Endpoint の DependsOn による起動順序制御
SubnetId でEC2の配置サブネットを明示する方法
aws cloudformation create-stack コマンド1本での17リソース一括デプロイ
delete-stack による複雑な依存関係を持つVPCリソースの一括削除

このハンズオンの特徴：

コンソール版では20ステップ以上・30〜40分かかった作業が、コマンド1本（8〜12分）で完了
delete-stack 1本でVPC・サブネット・IGW・RTの依存関係を自動解決して削除

リンク

-->

CloudFormation vs コンソール：どれだけ違うか

比較項目	CloudFormation	コンソール（手動）
VPC・IGW・サブネット・RTの設定	template.yaml に定義済み	6画面・20ステップ以上
S3 VPC Endpoint作成	template.yaml に定義済み	画面でポチポチ
EC2×2台の起動	コマンド1本（並列作成）	2回インスタンス起動操作
全体のデプロイ	コマンド1本（8〜12分）	20ステップ以上（30〜40分）
削除（依存関係あり）	`delete-stack` 1本（自動解決）	8ステップ・手動管理
再現性	高い（同じ構成を何度でも再現可能）	低い（手順漏れのリスク大）
バージョン管理	Gitで管理可能	不可

キーワード解説

用語	意味
CloudFormation	AWSが提供するIaC（Infrastructure as Code）サービス
スタック	CloudFormationが管理するリソースのまとまり。今回は17リソースを1スタックで管理
`DependsOn`	CloudFormationでリソースの作成順序を明示するプロパティ
`SubnetId`	EC2インスタンスを特定のサブネットに配置するプロパティ
S3 VPC Gateway Endpoint	プライベートサブネットからS3にアクセスするための無料エンドポイント
`!Select [0, !GetAZs '']`	リージョン内の最初のAZを自動取得するCloudFormation関数

前提条件

ツール	確認コマンド	最低バージョン目安
AWS CLI v2	`aws --version`	2.x
Git	`git --version`	2.x
VSCode	-	-

AWS認証確認:

aws sts get-caller-identity

template.yaml の全文

以下が今回使用する template.yaml の全文です（17リソース）。プロジェクトフォルダ（ec2-2tier-web/）直下に配置します。

⚠️ コピー前に確認: Default: '123.456.78.901/32' の箇所はダミーIPです。このまま使うとスタック作成は成功しますが、SSHもWebもアクセスできません。--parameters でIPを上書きするか（推奨）、Defaultを自分のIPに書き換えてから使ってください。

AWSTemplateFormatVersion: '2010-09-09'
Description: 'EC2 2-tier Architecture (AP + DB) with VPC public/private subnet separation (Phase 1-4)'

Parameters:
  KeyName:
    Type: String
    Default: 'my-ec2-2tier-key'
    Description: Name of an existing EC2 KeyPair

  MyIP:
    Type: String
    Default: '123.456.78.901/32'
    Description: Your IP address to allow SSH and HTTP access (CIDR format e.g. 203.0.113.1/32)

Resources:

  # VPC and Network
  # ============================================================

  # VPC: isolated network space for this hands-on
  VPC:
    Type: AWS::EC2::VPC
    Properties:
      CidrBlock: 10.0.0.0/16
      EnableDnsSupport: true
      EnableDnsHostnames: true
      Tags:
        - Key: Name
          Value: 'my-vpc'

  # Internet Gateway: connects the VPC to the internet
  InternetGateway:
    Type: AWS::EC2::InternetGateway
    Properties:
      Tags:
        - Key: Name
          Value: 'my-igw'

  # Attach Internet Gateway to VPC
  IGWAttachment:
    Type: AWS::EC2::VPCGatewayAttachment
    Properties:
      VpcId: !Ref VPC
      InternetGatewayId: !Ref InternetGateway

  # Public Subnet: AP server goes here (internet accessible)
  PublicSubnet:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VPC
      CidrBlock: 10.0.1.0/24
      AvailabilityZone: !Select [0, !GetAZs '']
      MapPublicIpOnLaunch: true
      Tags:
        - Key: Name
          Value: 'my-public-subnet'

  # Private Subnet: DB server goes here (no direct internet access)
  PrivateSubnet:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VPC
      CidrBlock: 10.0.2.0/24
      AvailabilityZone: !Select [0, !GetAZs '']
      MapPublicIpOnLaunch: false
      Tags:
        - Key: Name
          Value: 'my-private-subnet'

  # Public Route Table: routes internet traffic via Internet Gateway
  PublicRouteTable:
    Type: AWS::EC2::RouteTable
    Properties:
      VpcId: !Ref VPC
      Tags:
        - Key: Name
          Value: 'my-public-rt'

  # Default route for public subnet: all traffic -> Internet Gateway
  PublicRoute:
    Type: AWS::EC2::Route
    DependsOn: IGWAttachment
    Properties:
      RouteTableId: !Ref PublicRouteTable
      DestinationCidrBlock: 0.0.0.0/0
      GatewayId: !Ref InternetGateway

  # Associate public subnet with public route table
  PublicSubnetRouteTableAssociation:
    Type: AWS::EC2::SubnetRouteTableAssociation
    Properties:
      SubnetId: !Ref PublicSubnet
      RouteTableId: !Ref PublicRouteTable

  # Private Route Table: no internet route (local traffic only)
  PrivateRouteTable:
    Type: AWS::EC2::RouteTable
    Properties:
      VpcId: !Ref VPC
      Tags:
        - Key: Name
          Value: 'my-private-rt'

  # Associate private subnet with private route table
  PrivateSubnetRouteTableAssociation:
    Type: AWS::EC2::SubnetRouteTableAssociation
    Properties:
      SubnetId: !Ref PrivateSubnet
      RouteTableId: !Ref PrivateRouteTable

  # S3 VPC Gateway Endpoint: allows private subnet to reach S3 (for dnf package downloads)
  # Gateway endpoints are FREE - no hourly charge
  S3VPCEndpoint:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      VpcId: !Ref VPC
      ServiceName: !Sub 'com.amazonaws.${AWS::Region}.s3'
      VpcEndpointType: Gateway
      RouteTableIds:
        - !Ref PrivateRouteTable

  # ============================================================
  # IAM
  # ============================================================

  # IAM Role: allows EC2 to use Session Manager
  EC2Role:
    Type: AWS::IAM::Role
    Properties:
      RoleName: 'my-ec2-2tier-role'
      AssumeRolePolicyDocument:
        Version: '2012-10-17'
        Statement:
          - Effect: Allow
            Principal:
              Service: ec2.amazonaws.com
            Action: 'sts:AssumeRole'
      ManagedPolicyArns:
        - arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
      Tags:
        - Key: Name
          Value: 'my-ec2-2tier-role'

  EC2InstanceProfile:
    Type: AWS::IAM::InstanceProfile
    Properties:
      InstanceProfileName: 'my-ec2-2tier-profile'
      Roles:
        - !Ref EC2Role

  # ============================================================
  # Security Groups
  # ============================================================

  # AP Server Security Group: SSH and HTTP from MyIP
  APSecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: 'my AP server SG (public subnet)'
      VpcId: !Ref VPC
      SecurityGroupIngress:
        - IpProtocol: tcp
          FromPort: 22
          ToPort: 22
          CidrIp: !Ref MyIP
          Description: SSH from my IP
        - IpProtocol: tcp
          FromPort: 80
          ToPort: 80
          CidrIp: !Ref MyIP
          Description: HTTP from my IP
      Tags:
        - Key: Name
          Value: 'my-ap-sg'

  # DB Server Security Group: MySQL from AP SG only, SSH from AP SG (via bastion)
  DBSecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: 'my DB server SG (private subnet)'
      VpcId: !Ref VPC
      SecurityGroupIngress:
        - IpProtocol: tcp
          FromPort: 22
          ToPort: 22
          SourceSecurityGroupId: !GetAtt APSecurityGroup.GroupId
          Description: SSH from AP server only (bastion access)
        - IpProtocol: tcp
          FromPort: 3306
          ToPort: 3306
          SourceSecurityGroupId: !GetAtt APSecurityGroup.GroupId
          Description: MySQL from AP server only (SG-to-SG control)
      Tags:
        - Key: Name
          Value: 'my-db-sg'

  # ============================================================
  # EC2 Instances
  # ============================================================

  # AP Server: Apache in public subnet
  APInstance:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: '{{resolve:ssm:/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-default-x86_64}}'
      InstanceType: t2.micro
      KeyName: !Ref KeyName
      SubnetId: !Ref PublicSubnet
      SecurityGroupIds:
        - !GetAtt APSecurityGroup.GroupId
      IamInstanceProfile: !Ref EC2InstanceProfile
      UserData:
        Fn::Base64: |
          #!/bin/bash
          dnf update -y
          dnf install -y httpd
          systemctl start httpd
          systemctl enable httpd
          cat > /var/www/html/index.html << 'HTMLEOF'
          
          
          AP Server - Phase 1-4
          
          AP Server (Public Subnet)
          This AP server is in the PUBLIC subnet and can reach the DB server in the PRIVATE subnet.
          
          
          HTMLEOF
      Tags:
        - Key: Name
          Value: 'my-ap-instance'

  # DB Server: MariaDB in private subnet (no public IP)
  DBInstance:
    Type: AWS::EC2::Instance
    DependsOn:
      - S3VPCEndpoint
      - PrivateSubnetRouteTableAssociation
    Properties:
      ImageId: '{{resolve:ssm:/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-default-x86_64}}'
      InstanceType: t2.micro
      KeyName: !Ref KeyName
      SubnetId: !Ref PrivateSubnet
      SecurityGroupIds:
        - !GetAtt DBSecurityGroup.GroupId
      IamInstanceProfile: !Ref EC2InstanceProfile
      UserData:
        Fn::Base64: |
          #!/bin/bash
          dnf update -y
          dnf install -y mariadb105-server mariadb105
          systemctl start mariadb
          systemctl enable mariadb
          sudo mysql -u root << 'SQLEOF'
          SET PASSWORD FOR root@localhost = PASSWORD('Admin1234!');
          CREATE USER IF NOT EXISTS 'handson'@'%' IDENTIFIED BY 'Handson1234!';
          GRANT ALL PRIVILEGES ON *.* TO 'handson'@'%' WITH GRANT OPTION;
          CREATE DATABASE IF NOT EXISTS sampledb DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
          FLUSH PRIVILEGES;
          SQLEOF
      Tags:
        - Key: Name
          Value: 'my-db-instance'

Outputs:
  VPCId:
    Description: VPC ID
    Value: !Ref VPC

  APPublicIP:
    Description: AP server public IP (open in browser or SSH)
    Value: !GetAtt APInstance.PublicIp

  DBPrivateIP:
    Description: DB server private IP (connect via AP server bastion)
    Value: !GetAtt DBInstance.PrivateIp

  WebsiteURL:
    Description: AP server website URL
    Value: !Sub 'http://${APInstance.PublicIp}'

  APSSHCommand:
    Description: SSH command to AP server
    Value: !Sub 'ssh -i C:\Users\username\.ssh\${KeyName}.pem ec2-user@${APInstance.PublicIp}'

  DBSSHCommand:
    Description: SSH command to DB server (run this FROM the AP server)
    Value: !Sub 'ssh -i ~/.ssh/${KeyName}.pem ec2-user@${DBInstance.PrivateIp}'

  MySQLConnectCommand:
    Description: MySQL connect command (run this FROM the AP server)
    Value: !Sub 'mysql -h ${DBInstance.PrivateIp} -u handson -pHandson1234! sampledb'

template.yaml の重要ポイント:

1. VpcId を指定した SecurityGroup

カスタムVPCを使う場合は VpcId を明示します。VpcId を指定することで !GetAtt APSecurityGroup.GroupId が確実にSG IDを返します。

APSecurityGroup:
  Type: AWS::EC2::SecurityGroup
  Properties:
    VpcId: !Ref VPC      # ← カスタムVPCを指定（必須）

DBSecurityGroup:
  SecurityGroupIngress:
    - SourceSecurityGroupId: !GetAtt APSecurityGroup.GroupId  # ← !Refではなく!GetAtt

2. S3 VPC Gateway Endpoint（無料）

プライベートサブネットのEC2は直接インターネットに出られませんが、Amazon Linux 2023のパッケージリポジトリはS3上にあります。S3 VPC Gateway EndpointをプライベートルートテーブルにアタッチするとS3経由で dnf install が動作します。

S3VPCEndpoint:
  Type: AWS::EC2::VPCEndpoint
  Properties:
    VpcEndpointType: Gateway     # Gatewayタイプは無料
    ServiceName: !Sub 'com.amazonaws.${AWS::Region}.s3'
    RouteTableIds:
      - !Ref PrivateRouteTable   # プライベートRTにS3ルートが追加される

3. DBInstance の DependsOn

DBサーバEC2のUserDataが dnf install を実行するとき、S3 VPC Endpointが有効になっている必要があります。

DBInstance:
  DependsOn:
    - S3VPCEndpoint
    - PrivateSubnetRouteTableAssociation

4. SubnetId でサブネットを指定

EC2インスタンスがどのサブネットに配置されるかを明示します。

APInstance:
  SubnetId: !Ref PublicSubnet   # パブリックサブネットに配置

DBInstance:
  SubnetId: !Ref PrivateSubnet  # プライベートサブネットに配置

構築されるリソース一覧（17個）:

#	リソース	論理ID
1	VPC	`VPC`
2	インターネットゲートウェイ	`InternetGateway`
3	IGW-VPCアタッチ	`IGWAttachment`
4	パブリックサブネット	`PublicSubnet`
5	プライベートサブネット	`PrivateSubnet`
6	パブリックルートテーブル	`PublicRouteTable`
7	パブリックルート（→IGW）	`PublicRoute`
8	パブリックRT関連付け	`PublicSubnetRouteTableAssociation`
9	プライベートルートテーブル	`PrivateRouteTable`
10	プライベートRT関連付け	`PrivateSubnetRouteTableAssociation`
11	S3 VPC Gateway Endpoint	`S3VPCEndpoint`
12	IAMロール	`EC2Role`
13	インスタンスプロファイル	`EC2InstanceProfile`
14	APサーバSG	`APSecurityGroup`
15	DBサーバSG	`DBSecurityGroup`
16	APサーバEC2	`APInstance`
17	DBサーバEC2	`DBInstance`

作業順序

⓪ 自分のIPアドレスを確認する
      ↓
① キーペアを作成する（コンソールで実施）
      ↓
② プロジェクトフォルダに移動する
      ↓
③ スタックを作成する（aws cloudformation create-stack）
      ↓
④ 作成完了・Outputsを確認する
      ↓
⑤ 動作確認（Web・踏み台SSH・MySQL接続）
      ↓
⑥ スタックを削除する（aws cloudformation delete-stack）

⓪ 自分のIPアドレスを確認する

curl https://checkip.amazonaws.com

控えておく情報: 自分のIPアドレス（例: 203.0.113.1）

① キーペアの作成（コンソールで実施）

キーペアのみコンソールで作成します。

AWSコンソール → EC2 → キーペア → 「キーペアを作成」

設定項目	値
名前	`my-ec2-2tier-key`
キーペアのタイプ	RSA
プライベートキーファイル形式	.pem

C:\Users\ユーザー名\.ssh\my-ec2-2tier-key.pem

② プロジェクトフォルダに移動する

cd C:\my-aws\aws-learning-projects\ec2-2tier-web

dir template.yaml

③ スタックの作成

203.0.113.1 は⓪で確認した自分のIPアドレスに置き換えてください。

aws cloudformation create-stack ^
  --stack-name my-ec2-2tier-stack ^
  --template-body file://template.yaml ^
  --region ap-northeast-1 ^
  --capabilities CAPABILITY_NAMED_IAM ^
  --parameters ^
    ParameterKey=KeyName,ParameterValue=my-ec2-2tier-key ^
    ParameterKey=MyIP,ParameterValue=203.0.113.1/32

各オプションの説明:

オプション	意味
`--stack-name my-ec2-2tier-stack`	スタック名（英字始まり）
`--template-body file://template.yaml`	使用するテンプレートファイル
`--region ap-northeast-1`	デプロイ先リージョン（東京）
`--capabilities CAPABILITY_NAMED_IAM`	名前付きIAMロール作成の明示的な許可
`--parameters ...`	テンプレートのParametersに渡す値

成功するとStackIdが表示されます。

{
    "StackId": "arn:aws:cloudformation:ap-northeast-1:123456789012:stack/my-ec2-2tier-stack/xxxxx"
}

④ 作成完了・Outputsの確認

スタック作成完了まで約8〜12分かかります（VPCリソース×10個 + EC2×2台 + MariaDBインストールの時間）。

作成状況の確認

aws cloudformation describe-stacks ^
  --stack-name my-ec2-2tier-stack ^
  --query "Stacks[0].StackStatus" ^
  --output text

ステータス	意味
`CREATE_IN_PROGRESS`	作成中（しばらく待つ）
`CREATE_COMPLETE`	作成完了
`CREATE_FAILED`	作成失敗（トラブルシューティングを参照）
`ROLLBACK_COMPLETE`	失敗してロールバック完了

Outputs の確認

aws cloudformation describe-stacks ^
  --stack-name my-ec2-2tier-stack ^
  --query "Stacks[0].Outputs" ^
  --output table

以下のような出力が表示されます。

--------------------------------------------------------------------------------------
|                                  DescribeStacks                                    |
+--------------------+---------------------------------------------------------------+
|  OutputKey         |  OutputValue                                                  |
+--------------------+---------------------------------------------------------------+
|  VPCId             |  vpc-xxxxxxxxxx                                              |
|  APPublicIP        |  x.x.x.x                                                    |
|  DBPrivateIP       |  10.0.2.xxx   ← APサーバからの接続に使用                    |
|  WebsiteURL        |  http://x.x.x.x                                             |
|  APSSHCommand      |  ssh -i ...pem ec2-user@x.x.x.x                            |
|  DBSSHCommand      |  ssh -i ~/.ssh/...pem ec2-user@10.0.2.xxx                  |
|  MySQLConnectCommand| mysql -h 10.0.2.xxx -u handson -pHandson1234! sampledb     |
+--------------------+---------------------------------------------------------------+

控えておく情報:

APPublicIP: APサーバのパブリックIP
DBPrivateIP: DBサーバのプライベートIP（10.0.2.xxx 形式）
APSSHCommand: APサーバへのSSHコマンド
DBSSHCommand: APサーバからDBサーバへのSSHコマンド
MySQLConnectCommand: APサーバから実行するMySQL接続コマンド

⑤ 動作確認

5-1. APサーバのWeb確認

WebsiteURL をブラウザで開きます。AP Server (Public Subnet) が表示されれば成功です。

5-2. APサーバへのSSH接続

APSSHCommand を実行します（パスを実際のパスに修正します）。

ssh -i C:\Users\ユーザー名\.ssh\my-ec2-2tier-key.pem ec2-user@（APPublicIP）

5-3. キーペアをAPサーバにコピーする（踏み台SSH準備）

ローカルPCの別ターミナルで実行します:

scp -i C:\Users\ユーザー名\.ssh\my-ec2-2tier-key.pem ^
  C:\Users\ユーザー名\.ssh\my-ec2-2tier-key.pem ^
  ec2-user@（APPublicIP）:~/.ssh/

APサーバのSSHセッションでパーミッションを設定します。

chmod 400 ~/.ssh/my-ec2-2tier-key.pem

5-4. APサーバ経由でDBサーバにSSH接続（踏み台接続）

APサーバのSSHセッションから実行します:

ssh -i ~/.ssh/my-ec2-2tier-key.pem ec2-user@（DBPrivateIP）

[ec2-user@ip-10-0-2-xxx ~]$ が表示されれば踏み台接続成功です。

# DBサーバ上でMariaDBの状態を確認
sudo systemctl status mariadb

# MariaDBに接続
mysql -u root -pAdmin1234! -e "SHOW DATABASES;"

exit

5-5. APサーバからMySQLに接続（AP→DB通信確認）

APサーバのSSHセッションに戻り、MySQLConnectCommand をそのまま実行します。

# mysqlクライアントをインストール
sudo dnf install -y mariadb105

# OutputsのMySQLConnectCommandをそのまま使う
mysql -h （DBPrivateIP） -u handson -pHandson1234! sampledb

CREATE TABLE IF NOT EXISTS messages (id INT AUTO_INCREMENT PRIMARY KEY, text VARCHAR(100));
INSERT INTO messages (text) VALUES ('Hello from AP server!');
SELECT * FROM messages;
EXIT;

exit

⑥ スタックの削除

課金を止めるために、ハンズオン完了後は必ず削除してください。

CloudFormationはVPC・サブネット・IGW・RT・SG・EC2の依存関係を自動解決して正しい順序で削除します。

aws cloudformation delete-stack ^
  --stack-name my-ec2-2tier-stack ^
  --region ap-northeast-1

削除完了まで約8〜12分かかります。

aws cloudformation describe-stacks ^
  --stack-name my-ec2-2tier-stack ^
  --query "Stacks[0].StackStatus" ^
  --output text

ステータス	意味
`DELETE_IN_PROGRESS`	削除中（しばらく待つ）
`DELETE_FAILED`	削除失敗（トラブルシューティングを参照）

削除完了の確認（以下のエラーが表示されれば削除完了）。

aws cloudformation describe-stacks ^
  --stack-name my-ec2-2tier-stack ^
  --region ap-northeast-1

An error occurred (ValidationError) when calling the DescribeStacks operation:
Stack with id my-ec2-2tier-stack does not exist

キーペアは手動で削除します。

EC2 → キーペア → my-ec2-2tier-key → 「削除」

コンソール版との比較

コンソール版で20ステップ以上かかった作業が、CloudFormationでは template.yaml に定義されています。

CFnの記述	コンソールでやること
`VPC`	VPC → VPCを作成
`InternetGateway` + `IGWAttachment`	IGWを作成 → VPCにアタッチ（2ステップ）
`PublicSubnet` + `PrivateSubnet`	サブネットを2つ作成
`PublicRouteTable` + `PublicRoute` + `PublicSubnetRouteTableAssociation`	パブリックRTを作成・ルート追加・サブネット関連付け（3ステップ）
`PrivateRouteTable` + `PrivateSubnetRouteTableAssociation`	プライベートRTを作成・サブネット関連付け（2ステップ）
`S3VPCEndpoint`	VPCエンドポイントを作成
`APSecurityGroup` + `DBSecurityGroup`	SGを2つ作成（APサーバSG → DBサーバSGの順）
`APInstance` + `DBInstance`	EC2を2回起動（各5〜10分）
`delete-stack`	8ステップの手動削除（依存関係を手動管理）

トラブルシューティング

症状	原因	対処
`CREATE_FAILED` になる	キーペアが存在しない	コンソールでキーペアを確認・作成
`CREATE_FAILED` になる	同名のIAMロールが既に存在する	IAMコンソールでロールを削除してから再実行
`stackName failed to satisfy regular expression`	スタック名が数字始まり	CloudFormationのスタック名は英字で始まる必要がある
`Unable to load paramfile` エラー	template.yaml に日本語が含まれている	template.yaml のコメントは英語のみで記述する
DBサーバのMariaDBが起動していない	S3 VPC EndpointのRouteTableへの反映が遅延	DBサーバに踏み台接続して `sudo dnf install -y mariadb105-server` を手動実行
APサーバからDBにSSH接続できない	DBサーバSGのSSHソースが正しくない	CloudFormationのイベントログで `CREATE_FAILED` を確認
`DELETE_FAILED` になる	VPC内のリソースが残っている	コンソールで `my-vpc` 内の残存リソースを確認して手動削除

まとめ

今回のハンズオンで実現できたこと：

確認項目	内容
VPCリソースのIaC化	VPC・IGW・サブネット・RT 10リソースを `template.yaml` 1ファイルで定義
S3 VPC Endpoint	`DependsOn` でDBサーバEC2の起動前にEndpointが有効になることを保証
一括デプロイ	`create-stack` 1本で17リソースを8〜12分で構築
依存関係の自動解決	`delete-stack` 1本でVPC内のリソースを正しい順序で自動削除
Outputs活用	`DBPrivateIP`・`MySQLConnectCommand` が自動生成されるため手動でコマンドを組み立てる必要なし

CloudFormationのメリットを実感できたポイント

コンソール版では20ステップ以上・30〜40分かかった作業がコマンド1本（8〜12分）で完了
VPC・サブネット・RT・SGの複雑な削除順序をCloudFormationが自動管理
template.yaml をGitで管理することで、ネットワーク設計の変更履歴が残せる

コンソール版と比較してみる

CloudFormationが裏で何をやっているか、同じ構成をAWSコンソールのみで構築する手順をまとめました。VPCリソースの作成・削除順序や依存関係を視覚的に確認できます。

AWSコンソールでVPC設計からAP+DB 2層構成を構築する手順

リンク

-->

The post CloudFormationでAP+DB 2層構成（VPC設計）を自動デプロイする手順【踏み台SSH / コンソール版との比較付き】 first appeared on CayTech Lab.

EC2サーバ構築をIaC化：CloudFormationでEC2 MySQLのDBサーバを自動デプロイする手順【SG参照 / コンソール版との比較付き】

caymezon — Sun, 29 Mar 2026 07:32:34 +0000

はじめに

「コンソールで手動構築したSG参照の構成を、コードで再現したい」——それを実現するのが AWS CloudFormation です。

この記事では、template.yaml 1ファイルにリソース構成を定義し、コマンド1本でEC2 MySQL（MariaDB）環境を一括構築するハンズオンを紹介します。コンソール版（AWSコンソール版ハンズオン）と全く同じ構成を、CloudFormationで自動化します。

ローカル環境（VSCode）
  └── template.yaml + AWS CLI
        ↓ スタック作成（コマンド1本）
AWS環境
  ├── IAMロール（SSM接続用）
  ├── ClientSecurityGroup（クライアントSG）
  │     └── 適用先: クライアントEC2
  ├── DBSecurityGroup（DBサーバSG）
  │     ├── MySQL(3306) ← ClientSecurityGroup を参照  ★SG参照
  │     └── 適用先: DBサーバEC2
  ├── DBサーバEC2（MariaDB）
  └── クライアントEC2（mysqlコマンド）

このハンズオンで体験できること：

SG参照（SG-to-SG）を SourceSecurityGroupId でtemplate.yamlに記述する方法
2台のEC2・2つのSGを template.yaml 1ファイルで一括管理
aws cloudformation create-stack コマンド1本での全リソース一括デプロイ
delete-stack によるSGの依存関係を自動解決した一括削除

このハンズオンの特徴：

コンソール版では順番を意識しながら手動で作成・削除していたSGの依存関係を、CloudFormationが自動管理
2台分のEC2を並列で起動するため、コンソール版より短時間で構築完了

リンク

-->

CloudFormation vs コンソール：どれだけ違うか

比較項目	CloudFormation	コンソール（手動）
SG×2台の作成	template.yamlに定義（順序自動管理）	クライアントSG → DBサーバSGの順で手動作成
EC2×2台の起動	コマンド1本（並列作成）	2回インスタンス起動操作
SG削除（依存関係あり）	`delete-stack` 1本（自動解決）	DBサーバSG → クライアントSGの順で手動管理
全リソースのデプロイ	コマンド1本（5〜8分）	複数画面を行き来（20〜30分）
再現性	高い（同じ構成を何度でも再現可能）	低い（手順ミスのリスク大）
バージョン管理	Gitで管理可能	不可

キーワード解説

用語	意味
CloudFormation	AWSが提供するIaC（Infrastructure as Code）サービス。YAMLテンプレートでリソースをコード化する
スタック	CloudFormationが管理するリソースのまとまり。今回はEC2×2・SG×2・IAMロールを1スタックで管理
SG参照（SG-to-SG）	セキュリティグループのルールで、アクセス元として別のSGを指定する設定
`SourceSecurityGroupId`	CloudFormationでSG参照を設定するプロパティ。`!GetAtt ClientSecurityGroup.GroupId` でSGのIDを取得して指定する
`!GetAtt`	CloudFormation組み込み関数。リソースの属性値を取得する
プライベートIP	VPC内でのみ使用できるIPアドレス。EC2間の通信に使う

前提条件

ツール	確認コマンド	最低バージョン目安
AWS CLI v2	`aws --version`	2.x
Git	`git --version`	2.x
VSCode	-	-

AWS認証確認:

aws sts get-caller-identity

アカウントIDが表示されれば認証設定済みです。

template.yaml の全文

以下が今回使用する template.yaml の全文です。プロジェクトフォルダ（ec2-mysql-db/）直下に配置します。

⚠️ コピー前に確認: Default: '123.456.78.901/32' の箇所はダミーIPです。このまま使うとスタック作成は成功しますが、SSHもMySQLもアクセスできません。--parameters でIPを上書きするか（推奨）、Defaultを自分のIPに書き換えてから使ってください。

AWSTemplateFormatVersion: '2010-09-09'
Description: 'EC2 + MySQL (MariaDB) DB Server Hands-on (Phase 1-3) - SG-to-SG inter-EC2 communication control'

Parameters:
  KeyName:
    Type: String
    Default: 'my-ec2-mysql-key'
    Description: Name of an existing EC2 KeyPair

  MyIP:
    Type: String
    Default: '123.456.78.901/32'
    Description: Your IP address to allow SSH and MySQL access (CIDR format e.g. 203.0.113.1/32)

Resources:
  EC2Role:
    Type: AWS::IAM::Role
    Properties:
      RoleName: 'my-ec2-mysql-role'
      AssumeRolePolicyDocument:
        Version: '2012-10-17'
        Statement:
          - Effect: Allow
            Principal:
              Service: ec2.amazonaws.com
            Action: 'sts:AssumeRole'
      ManagedPolicyArns:
        - arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
      Tags:
        - Key: Name
          Value: 'my-ec2-mysql-role'

  # Instance Profile: wrapper that attaches the IAM role to EC2
  EC2InstanceProfile:
    Type: AWS::IAM::InstanceProfile
    Properties:
      InstanceProfileName: 'my-ec2-mysql-profile'
      Roles:
        - !Ref EC2Role

  # Client Security Group: attached to the AP server (client side)
  # The DB server SG references this SG to allow MySQL access only from this group
  ClientSecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: 'my MySQL client SG (AP server role)'
      SecurityGroupIngress:
        - IpProtocol: tcp
          FromPort: 22
          ToPort: 22
          CidrIp: !Ref MyIP
          Description: SSH from my IP
      Tags:
        - Key: Name
          Value: 'my-ec2-mysql-client-sg'

  # DB Server Security Group: allows MySQL ONLY from the client SG (not from the internet)
  # This is the key concept of SG-to-SG inter-EC2 communication control
  DBSecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: 'my MySQL DB server SG'
      SecurityGroupIngress:
        - IpProtocol: tcp
          FromPort: 22
          ToPort: 22
          CidrIp: !Ref MyIP
          Description: SSH from my IP (admin only)
        - IpProtocol: tcp
          FromPort: 3306
          ToPort: 3306
          SourceSecurityGroupId: !GetAtt ClientSecurityGroup.GroupId
          Description: MySQL from client SG only (EC2-to-EC2 control - NOT open to internet)
        - IpProtocol: tcp
          FromPort: 3306
          ToPort: 3306
          CidrIp: !Ref MyIP
          Description: MySQL from my IP (for initial testing from local)
      Tags:
        - Key: Name
          Value: 'my-ec2-mysql-db-sg'

  # DB Server EC2: MariaDB (MySQL compatible) installed via UserData
  DBInstance:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: '{{resolve:ssm:/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-default-x86_64}}'
      InstanceType: t2.micro
      KeyName: !Ref KeyName
      SecurityGroupIds:
        - !Ref DBSecurityGroup
      IamInstanceProfile: !Ref EC2InstanceProfile
      # UserData: install MariaDB and configure initial users and database
      UserData:
        Fn::Base64: |
          #!/bin/bash
          dnf update -y
          dnf install -y mariadb105-server mariadb105

          systemctl start mariadb
          systemctl enable mariadb

          sudo mysql -u root << 'SQLEOF'
          SET PASSWORD FOR root@localhost = PASSWORD('Admin1234!');
          CREATE USER IF NOT EXISTS 'handson'@'%' IDENTIFIED BY 'Handson1234!';
          GRANT ALL PRIVILEGES ON *.* TO 'handson'@'%' WITH GRANT OPTION;
          CREATE DATABASE IF NOT EXISTS sampledb DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
          FLUSH PRIVILEGES;
          SQLEOF
      Tags:
        - Key: Name
          Value: 'my-ec2-mysql-db-instance'

  # Client EC2: represents the AP server - has mysql client installed to test DB connection
  ClientInstance:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: '{{resolve:ssm:/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-default-x86_64}}'
      InstanceType: t2.micro
      KeyName: !Ref KeyName
      SecurityGroupIds:
        - !Ref ClientSecurityGroup
      IamInstanceProfile: !Ref EC2InstanceProfile
      # UserData: install mysql client only (no server)
      UserData:
        Fn::Base64: |
          #!/bin/bash
          dnf update -y
          dnf install -y mariadb105
      Tags:
        - Key: Name
          Value: 'my-ec2-mysql-client-instance'

Outputs:
  DBInstanceId:
    Description: DB server EC2 Instance ID
    Value: !Ref DBInstance

  DBPublicIP:
    Description: DB server public IP (SSH access for admin)
    Value: !GetAtt DBInstance.PublicIp

  DBPrivateIP:
    Description: DB server private IP (use this to connect from client EC2)
    Value: !GetAtt DBInstance.PrivateIp

  ClientInstanceId:
    Description: Client EC2 Instance ID
    Value: !Ref ClientInstance

  ClientPublicIP:
    Description: Client EC2 public IP (SSH to test DB connection)
    Value: !GetAtt ClientInstance.PublicIp

  DBSSHCommand:
    Description: SSH command to connect to DB server
    Value: !Sub 'ssh -i C:\Users\username\.ssh\${KeyName}.pem ec2-user@${DBInstance.PublicIp}'

  ClientSSHCommand:
    Description: SSH command to connect to client EC2
    Value: !Sub 'ssh -i C:\Users\username\.ssh\${KeyName}.pem ec2-user@${ClientInstance.PublicIp}'

  MySQLConnectCommand:
    Description: MySQL connect command (run this from client EC2)
    Value: !Sub 'mysql -h ${DBInstance.PrivateIp} -u handson -pHandson1234! sampledb'

SG参照の書き方：IPアドレス指定との違い:

SecurityGroupIngress:

  # 通常のIPアドレス指定（前回までのやり方）
  - IpProtocol: tcp
    FromPort: 22
    ToPort: 22
    CidrIp: !Ref MyIP           # ← IPアドレスを指定

  # SG参照（このハンズオンの核心）
  - IpProtocol: tcp
    FromPort: 3306
    ToPort: 3306
    SourceSecurityGroupId: !GetAtt ClientSecurityGroup.GroupId  # ← SGのIDを取得
    Description: MySQL from client SG only (EC2-to-EC2 control)

方法	指定するもの	特徴
`CidrIp`	IPアドレス（`/32` など）	IPが変わると設定変更が必要
`SourceSecurityGroupId`	セキュリティグループID	そのSGに属するEC2全体を対象にできる

!Ref vs !GetAtt ... .GroupId の違い: VpcId を明示していないSGに対して !Ref するとSGの名前が返るため SourceSecurityGroupId（IDを期待）でエラーになります。!GetAtt ClientSecurityGroup.GroupId を使うことで常にSGのID（sg-xxx）を確実に取得できます。

構築されるリソースと論理ID:

リソース	template.yaml上の論理ID
IAMロール	`EC2Role`
インスタンスプロファイル	`EC2InstanceProfile`
クライアントSG	`ClientSecurityGroup`
DBサーバSG	`DBSecurityGroup`
DBサーバEC2	`DBInstance`
クライアントEC2	`ClientInstance`

作業順序

⓪ 自分のIPアドレスを確認する
      ↓
① キーペアを作成する（コンソールで実施）
      ↓
② プロジェクトフォルダに移動する
      ↓
③ スタックを作成する（aws cloudformation create-stack）
      ↓
④ 作成完了・Outputsを確認する
      ↓
⑤ 動作確認（MariaDB・SG参照の確認）
      ↓
⑥ スタックを削除する（aws cloudformation delete-stack）

⓪ 自分のIPアドレスを確認する

curl https://checkip.amazonaws.com

またはルーター管理画面（http://192.168.0.1 など）の「WAN IPアドレス」で確認します。

控えておく情報: 自分のIPアドレス（例: 203.0.113.1）

① キーペアの作成（コンソールで実施）

キーペアのみコンソールで作成します。CloudFormationではキーペアのダウンロードが行えないためです。

AWSコンソール → EC2 → キーペア → 「キーペアを作成」

設定項目	値
名前	`my-ec2-mysql-key`
キーペアのタイプ	RSA
プライベートキーファイル形式	.pem

ダウンロードされた my-ec2-mysql-key.pem を保存します。

C:\Users\ユーザー名\.ssh\my-ec2-mysql-key.pem

② プロジェクトフォルダに移動する

VSCodeのターミナル（CMD）を開き、プロジェクトフォルダに移動します。

cd C:\my-aws\aws-learning-projects\ec2-mysql-db

template.yaml があることを確認します。

dir template.yaml

③ スタックの作成

以下のコマンドを実行します。203.0.113.1 は⓪で確認した自分のIPアドレスに置き換えてください。

aws cloudformation create-stack ^
  --stack-name my-ec2-mysql-stack ^
  --template-body file://template.yaml ^
  --region ap-northeast-1 ^
  --capabilities CAPABILITY_NAMED_IAM ^
  --parameters ^
    ParameterKey=KeyName,ParameterValue=my-ec2-mysql-key ^
    ParameterKey=MyIP,ParameterValue=203.0.113.1/32

各オプションの説明:

オプション	意味
`--stack-name my-ec2-mysql-stack`	スタック名（英字始まり）
`--template-body file://template.yaml`	使用するテンプレートファイル
`--region ap-northeast-1`	デプロイ先リージョン（東京）
`--capabilities CAPABILITY_NAMED_IAM`	名前付きIAMロール作成の明示的な許可
`--parameters ...`	テンプレートのParametersに渡す値

^ について: Windowsのコマンドプロンプトで長いコマンドを複数行に分けるための改行エスケープ文字です。

成功すると以下のようなStackIdが表示されます。

{
    "StackId": "arn:aws:cloudformation:ap-northeast-1:123456789012:stack/my-ec2-mysql-stack/xxxxx"
}

④ 作成完了・Outputsの確認

スタック作成は完了まで約5〜8分かかります（EC2×2台の起動 + MariaDBインストールの時間）。

作成状況の確認

aws cloudformation describe-stacks ^
  --stack-name my-ec2-mysql-stack ^
  --query "Stacks[0].StackStatus" ^
  --output text

ステータス	意味
`CREATE_IN_PROGRESS`	作成中（しばらく待つ）
`CREATE_COMPLETE`	作成完了
`CREATE_FAILED`	作成失敗（トラブルシューティングを参照）
`ROLLBACK_COMPLETE`	失敗してロールバック完了

Outputs（接続情報）の確認

CREATE_COMPLETE になったら以下を実行します。

aws cloudformation describe-stacks ^
  --stack-name my-ec2-mysql-stack ^
  --query "Stacks[0].Outputs" ^
  --output table

以下のような出力が表示されます。

---------------------------------------------------------------------------------------
|                                   DescribeStacks                                    |
+---------------------+---------------------------------------------------------------+
|  OutputKey          |  OutputValue                                                  |
+---------------------+---------------------------------------------------------------+
|  DBInstanceId       |  i-0xxxxxxxxxxxxxxx1                                         |
|  DBPublicIP         |  x.x.x.x                                                     |
|  DBPrivateIP        |  172.31.x.x      ← クライアントEC2からの接続に使用            |
|  ClientInstanceId   |  i-0xxxxxxxxxxxxxxx2                                         |
|  ClientPublicIP     |  y.y.y.y                                                     |
|  DBSSHCommand       |  ssh -i ...pem ec2-user@x.x.x.x                             |
|  ClientSSHCommand   |  ssh -i ...pem ec2-user@y.y.y.y                             |
|  MySQLConnectCommand|  mysql -h 172.31.x.x -u handson -pHandson1234! sampledb     |
+---------------------+---------------------------------------------------------------+

控えておく情報:

DBPrivateIP: DBサーバのプライベートIP（クライアントEC2からの接続に使う）
DBSSHCommand: DBサーバへのSSHコマンド
ClientSSHCommand: クライアントEC2へのSSHコマンド
MySQLConnectCommand: クライアントEC2から実行するMySQL接続コマンド

⑤ 動作確認

5-1. DBサーバの動作確認

Outputsの DBSSHCommand を実行してDBサーバに接続します。

ssh -i C:\Users\ユーザー名\.ssh\my-ec2-mysql-key.pem ec2-user@（DBPublicIP）

# MariaDBのサービス状態を確認（active (running) と表示されれば正常）
sudo systemctl status mariadb

# rootでログイン
sudo mysql -u root

MariaDBのプロンプト（MariaDB [(none)]>）が表示されたら以下を実行します。

-- ユーザー一覧（handsonユーザーが作成済みか確認）
SELECT User, Host FROM mysql.user;

-- データベース一覧（sampledbが存在するか確認）
SHOW DATABASES;

-- テスト用テーブルとデータを作成
USE sampledb;
CREATE TABLE users (
  id INT AUTO_INCREMENT PRIMARY KEY,
  name VARCHAR(50) NOT NULL,
  created_at DATETIME DEFAULT CURRENT_TIMESTAMP
);
INSERT INTO users (name) VALUES ('Alice'), ('Bob'), ('Charlie');
SELECT * FROM users;

EXIT;

exit

5-2. SG参照の確認：クライアントEC2からMySQL接続

Outputsの ClientSSHCommand を実行してクライアントEC2に接続します。

ssh -i C:\Users\ユーザー名\.ssh\my-ec2-mysql-key.pem ec2-user@（ClientPublicIP）

Outputsに表示された MySQLConnectCommand をそのまま実行します。

mysql -h （DBPrivateIP） -u handson -pHandson1234! sampledb

接続成功すると MariaDB [sampledb]> が表示されます。

-- DBサーバで作成したデータが見えることを確認
SELECT * FROM users;

EXIT;

exit

5-3. SG参照の効果を確認する（任意・スキップ可）

前提: ローカルPCに mysql クライアントがインストールされている場合のみ実施します。5-2でクライアントEC2からの接続が成功していれば、このハンズオンの学習目的（SG参照によるEC2間通信制御）は達成済みです。

ローカルPCに mysql コマンドがある場合、ローカルターミナルで以下を実行します。

mysql -h （DBPublicIP） -u handson -pHandson1234! sampledb

本番環境でのベストプラクティス: DBサーバSGからMyIP指定のルールを削除し、SG参照のみにすることで、DBサーバをインターネットから完全に遮断できます。DBサーバにパブリックIPを付与しないことも有効です。

⑥ スタックの削除

課金を止めるために、ハンズオン完了後は必ず削除してください。

CloudFormationはスタック削除で全リソースを一括削除できます。SGの依存関係（DBサーバSG → クライアントSGの削除順序）も自動的に解決されます。

aws cloudformation delete-stack ^
  --stack-name my-ec2-mysql-stack ^
  --region ap-northeast-1

削除の進行状況を確認します（完了まで約5〜8分）。

aws cloudformation describe-stacks ^
  --stack-name my-ec2-mysql-stack ^
  --query "Stacks[0].StackStatus" ^
  --output text

ステータス	意味
`DELETE_IN_PROGRESS`	削除中（しばらく待つ）
`DELETE_FAILED`	削除失敗（トラブルシューティングを参照）

削除完了の確認（以下のエラーが表示されれば削除完了）。

aws cloudformation describe-stacks ^
  --stack-name my-ec2-mysql-stack ^
  --region ap-northeast-1

An error occurred (ValidationError) when calling the DescribeStacks operation:
Stack with id my-ec2-mysql-stack does not exist

このメッセージが表示されれば削除完了です。キーペアはCloudFormationで管理していないため、手動で削除します。

EC2 → キーペア → my-ec2-mysql-key を選択 → 「アクション」→「削除」

ローカルの .pem ファイルも削除します。

コンソール版との比較

コンソール版でSGを手動で依存関係順に作成・削除していた手順が、CloudFormationではすべて自動管理されます。

CFnの記述	コンソールでやること
`ClientSecurityGroup`（クライアントSG定義）	EC2 → SGを作成（SSH:22ルール）
`DBSecurityGroup`（DB SG定義・SG参照）	EC2 → SGを作成（SSH:22 + MySQL:3306のSG参照ルール）
`DBInstance`（DBサーバEC2・UserData）	EC2 → インスタンス起動（UserData貼り付け・DB SGを選択）
`ClientInstance`（クライアントEC2）	EC2 → インスタンス起動（クライアント SGを選択）
`delete-stack`	DBサーバSG → クライアントSG → IAMロール（順番管理が必要）

CloudFormationのSG削除順序の自動管理: コンソール版ではDBサーバSG → クライアントSGの順で手動削除が必要でしたが、CloudFormationはリソース間の依存関係を自動的に解決して正しい順序で削除します。

トラブルシューティング

症状	原因	対処
`CREATE_FAILED` になる	キーペアが存在しない	コンソールでキーペアを作成し、`KeyName` パラメータを確認
`CREATE_FAILED` になる	同名のIAMロールが既に存在する	コンソールでロールを削除してから再実行
`stackName failed to satisfy regular expression pattern`	スタック名が数字始まり	CloudFormationのスタック名は英字で始まる必要がある
`Unable to load paramfile, text contents could not be decoded`	template.yaml に日本語が含まれている	template.yaml のコメントは英語のみで記述する（Windows環境の既知の問題）
クライアントEC2からMySQLに接続できない	MariaDBのセットアップがまだ完了していない	`CREATE_COMPLETE` 後2〜3分待ってから再試行。DBサーバで `sudo systemctl status mariadb` を確認
`ERROR 2003: Can't connect to MySQL server`	パブリックIPを指定している	DBサーバのプライベートIP（`DBPrivateIP`）を指定する
`DELETE_FAILED` になる	手動でリソースを変更したためCFnが管理できない	コンソールで該当リソースを確認して手動削除後、`delete-stack` を再実行

まとめ

今回のハンズオンで実現できたこと：

確認項目	内容
SG参照のIaC化	`SourceSecurityGroupId: !GetAtt ClientSecurityGroup.GroupId` でSG参照をコードで表現
複数リソースの一括管理	EC2×2・SG×2・IAMロールを1ファイルで定義・一括デプロイ
Outputs活用	DBPrivateIP・MySQLConnectCommandを `describe-stacks` で自動取得
依存関係の自動解決	SGの削除順序をCloudFormationが自動管理（コンソール版では手動）

CloudFormationのメリットを実感できたポイント

コンソール版では複数リソースの作成・削除に順番の意識が必要だったが、CloudFormationが自動管理
MySQLConnectCommand がOutputsとして自動生成されるため、手動でコマンドを組み立てる必要がない
template.yaml をGitで管理することで、SG参照を含む複雑な構成の変更履歴が残せる

コンソール版と比較してみる

CloudFormationが裏で何をやっているか、同じ構成をAWSコンソールのみで構築する手順をまとめました。特にSGの依存関係管理とSG参照の設定手順を視覚的に確認できます。

EC2サーバ構築ハンズオン：AWSコンソールでEC2 MySQLのDBサーバを構築する手順

リンク

-->

The post EC2サーバ構築をIaC化：CloudFormationでEC2 MySQLのDBサーバを自動デプロイする手順【SG参照 / コンソール版との比較付き】 first appeared on CayTech Lab.

EC2サーバ構築をIaC化：CloudFormationでEC2 Tomcatを自動デプロイする手順【コンソール版との比較付き】

caymezon — Sun, 29 Mar 2026 04:44:49 +0000

はじめに

「コンソールで手動構築できた構成を、コードで再現したい」——それを実現するのが AWS CloudFormation です。

この記事では、template.yaml 1ファイルにリソース構成を定義し、コマンド1本でEC2 Tomcat環境を一括構築するハンズオンを紹介します。コンソール版（AWSコンソール版ハンズオン）と全く同じ構成を、CloudFormationで自動化します。

ローカル環境（VSCode）
  ├── template.yaml（CloudFormationテンプレート）
  └── AWS CLI コマンド
        ↓ スタック作成（コマンド1本）
AWS環境
  ├── IAMロール（SSM接続用）                       ← template.yamlで定義
  ├── セキュリティグループ（SSH:22・Tomcat:8080）    ← template.yamlで定義
  └── EC2インスタンス（t2.micro / AL2023 + Java17 + Tomcat10）← template.yamlで定義

このハンズオンで体験できること：

template.yaml へのリソース定義（IAMロール・セキュリティグループ・EC2インスタンス）
!Ref / !Sub / !GetAtt を使ったリソース間参照
aws cloudformation create-stack コマンド1本での全リソース一括デプロイ
aws cloudformation delete-stack コマンド1本での全リソース一括削除

このハンズオンの特徴：

コンソール版では20〜30分かかった手動作業が、コマンド1本（約5〜10分）で完了する
delete-stack 1本で依存関係を考慮した順番で全リソースを自動削除できる

リンク

-->

CloudFormation vs コンソール：どれだけ違うか

比較項目	CloudFormation	コンソール（手動）
IAMロール作成	`--parameters` で値を渡すだけ	画面でポチポチ（5クリック以上）
セキュリティグループ作成	同上	画面でポチポチ
EC2起動（UserData含む）	同上	画面でポチポチ
全リソースのデプロイ	コマンド1本（5〜10分）	複数画面を行き来（20〜30分）
リソース削除	`delete-stack` 1本	依存関係順に個別削除（4ステップ）
再現性	高い（同じ構成を何度でも再現可能）	低い（手動ミスのリスクがある）
バージョン管理	Gitで管理可能	不可（過去の設定を記録できない）

キーワード解説

用語	意味
CloudFormation	AWSが提供するIaC（Infrastructure as Code）サービス。YAMLテンプレートでリソースをコード化する
スタック	CloudFormationが管理するリソースのまとまり。作成・削除・更新をまとめて操作できる
`!Ref`	CloudFormation組み込み関数。パラメータの値やリソースのIDを参照する
`!Sub`	CloudFormation組み込み関数。文字列内の `${変数}` を展開する
`!GetAtt`	CloudFormation組み込み関数。リソースの属性値（ARNなど）を取得する
CAPABILITY_NAMED_IAM	名前付きIAMリソースを作成する場合に必要な明示的な許可フラグ
UserData	EC2の初回起動時のみ自動実行されるシェルスクリプト

前提条件

ツール	確認コマンド	最低バージョン目安
AWS CLI v2	`aws --version`	2.x
Git	`git --version`	2.x
VSCode	-	-

AWS認証確認:

aws sts get-caller-identity

アカウントIDが表示されれば認証設定済みです。

template.yaml の全文

以下が今回使用する template.yaml の全文です。プロジェクトフォルダ（ec2-tomcat-web/）直下に配置します。

⚠️ コピー前に確認: Default: '123.456.78.901/32' の箇所はダミーIPです。このまま使うとスタック作成は成功しますが、SSHもブラウザもアクセスできません。--parameters でIPを上書きするか（推奨）、Defaultを自分のIPに書き換えてから使ってください。

AWSTemplateFormatVersion: '2010-09-09'
Description: 'EC2 + Tomcat Application Server Hands-on (Phase 1-2)'

Parameters:
  KeyName:
    Type: String
    Default: 'my-ec2-tomcat-key'
    Description: Name of an existing EC2 KeyPair

  MyIP:
    Type: String
    Default: '123.456.78.901/32'
    Description: Your IP address to allow SSH and Tomcat access (CIDR format e.g. 203.0.113.1/32)

Resources:
  EC2Role:
    Type: AWS::IAM::Role
    Properties:
      RoleName: 'my-ec2-tomcat-role'
      AssumeRolePolicyDocument:
        Version: '2012-10-17'
        Statement:
          - Effect: Allow
            Principal:
              Service: ec2.amazonaws.com
            Action: 'sts:AssumeRole'
      ManagedPolicyArns:
        - arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
      Tags:
        - Key: Name
          Value: 'my-ec2-tomcat-role'

  # Instance Profile: wrapper that attaches the IAM role to EC2
  EC2InstanceProfile:
    Type: AWS::IAM::InstanceProfile
    Properties:
      InstanceProfileName: 'my-ec2-tomcat-profile'
      Roles:
        - !Ref EC2Role

  # Security Group: allow SSH(22) and Tomcat(8080) from MyIP only
  EC2SecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: 'my EC2 Tomcat hands-on SG'
      SecurityGroupIngress:
        - IpProtocol: tcp
          FromPort: 22
          ToPort: 22
          CidrIp: !Ref MyIP
          Description: SSH access from my IP
        - IpProtocol: tcp
          FromPort: 8080
          ToPort: 8080
          CidrIp: !Ref MyIP
          Description: Tomcat HTTP access from my IP
      Tags:
        - Key: Name
          Value: 'my-ec2-tomcat-sg'

  # EC2 Instance: Amazon Linux 2023 + Java 17 + Tomcat 10 (installed via UserData)
  EC2Instance:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: '{{resolve:ssm:/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-default-x86_64}}'
      InstanceType: t2.micro
      KeyName: !Ref KeyName
      SecurityGroupIds:
        - !Ref EC2SecurityGroup
      IamInstanceProfile: !Ref EC2InstanceProfile
      # UserData: shell script executed automatically on first boot
      UserData:
        Fn::Base64: |
          #!/bin/bash
          dnf update -y
          dnf install -y java-17-amazon-corretto

          useradd -m -d /opt/tomcat -U -s /bin/false tomcat

          TOMCAT_VERSION="10.1.25"
          cd /tmp
          wget -q "https://archive.apache.org/dist/tomcat/tomcat-10/v${TOMCAT_VERSION}/bin/apache-tomcat-${TOMCAT_VERSION}.tar.gz" \
            -O apache-tomcat.tar.gz
          tar xzf apache-tomcat.tar.gz
          mv "apache-tomcat-${TOMCAT_VERSION}" /opt/tomcat/latest
          chown -R tomcat:tomcat /opt/tomcat
          chmod -R u+x /opt/tomcat/latest/bin

          cat > /etc/systemd/system/tomcat.service << 'SVCEOF'
          [Unit]
          Description=Apache Tomcat Web Application Container
          After=network.target

          [Service]
          Type=forking
          User=tomcat
          Group=tomcat
          Environment="JAVA_HOME=/usr/lib/jvm/java-17-amazon-corretto"
          Environment="CATALINA_HOME=/opt/tomcat/latest"
          Environment="CATALINA_BASE=/opt/tomcat/latest"
          Environment="CATALINA_PID=/opt/tomcat/latest/temp/tomcat.pid"
          Environment="JAVA_OPTS=-Xms256m -Xmx512m"
          ExecStart=/opt/tomcat/latest/bin/startup.sh
          ExecStop=/opt/tomcat/latest/bin/shutdown.sh
          Restart=on-failure

          [Install]
          WantedBy=multi-user.target
          SVCEOF

          systemctl daemon-reload
          systemctl enable tomcat
          systemctl start tomcat

          cat > /opt/tomcat/latest/webapps/ROOT/index.jsp << 'JSPEOF'
          <%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
          
          
          Tomcat on EC2
          
          Hello from Tomcat on Amazon Linux 2023!
          Java Version: <%= System.getProperty("java.version") %>
          Tomcat Version: <%= application.getServerInfo() %>
          
          
          JSPEOF
          chown tomcat:tomcat /opt/tomcat/latest/webapps/ROOT/index.jsp
      Tags:
        - Key: Name
          Value: 'my-ec2-tomcat-instance'

Outputs:
  InstanceId:
    Description: EC2 Instance ID
    Value: !Ref EC2Instance

  PublicIP:
    Description: Public IP Address
    Value: !GetAtt EC2Instance.PublicIp

  TomcatURL:
    Description: Tomcat URL (open in browser)
    Value: !Sub 'http://${EC2Instance.PublicIp}:8080'

  SSHCommand:
    Description: SSH command (update the .pem path as needed)
    Value: !Sub 'ssh -i C:\Users\username\.ssh\${KeyName}.pem ec2-user@${EC2Instance.PublicIp}'

!Ref と !Sub の使い分け:

関数	意味	例
`!Ref パラメータ名`	パラメータの値を参照する	`!Ref MyIP` → `203.0.113.1/32`
`!Ref リソースID`	リソースのIDを参照する	`!Ref EC2SecurityGroup` → `sg-xxxxx`
`!Sub '文字列'`	文字列内の `${変数}` を展開する	`!Sub 'http://${EC2Instance.PublicIp}:8080'` → `http://x.x.x.x:8080`
`!GetAtt リソース.属性`	リソースの属性値を取得する	`!GetAtt EC2Instance.PublicIp` → IPアドレス

Apache版との主な違い（template.yaml）:

項目	Apache版	Tomcat版（今回）
セキュリティグループ	SSH(22) + HTTP(80)	SSH(22) + TCP(8080)
UserData	httpd のインストール	Java17 + Tomcat10 のインストール
Outputs	WebsiteURL（port 80）	TomcatURL（port 8080）

構築されるリソースと論理ID:

リソース	template.yaml上の論理ID
IAMロール	`EC2Role`
インスタンスプロファイル	`EC2InstanceProfile`
セキュリティグループ	`EC2SecurityGroup`
EC2インスタンス	`EC2Instance`

作業順序

⓪ 自分のIPアドレスを確認する（重要）
      ↓
① キーペアを作成する（コンソールで実施）
      ↓
② プロジェクトフォルダに移動する
      ↓
③ スタックを作成する（aws cloudformation create-stack）
      ↓
④ 作成状況・Outputsを確認する
      ↓
⑤ 動作確認（ブラウザ・SSH）
      ↓
⑥ スタックを削除する（aws cloudformation delete-stack）

【重要】⓪ 自分のIPアドレスを確認する

セキュリティグループで自分のIPのみを許可するために、正確なIPアドレスを事前に確認します。

注意: curl https://checkip.amazonaws.com で表示されるIPと、EC2への実際の接続元IPが一致しない場合があります（ISPやプロキシの経路の違いによる）。

方法A: ルーター管理画面で確認（推奨）

ブラウザで以下のURLにアクセスします
```
http://192.168.0.1  または  http://192.168.1.1
```
「ネットワークマップ」または「インターネット」項目を開く
**「インターネットIPアドレス」または「WAN IPアドレス」**の値を控えます

方法B: コマンドで確認

curl https://checkip.amazonaws.com

控えておく情報: 自分のIPアドレス（例: 203.0.113.1）

① キーペアの作成（コンソールで実施）

キーペアのみコンソールで作成します。CloudFormationではキーペアのダウンロードが行えないためです。

AWSコンソール → EC2 → キーペア → 「キーペアを作成」

設定項目	値
名前	`my-ec2-tomcat-key`
キーペアのタイプ	RSA
プライベートキーファイル形式	.pem

ダウンロードされた my-ec2-tomcat-key.pem を保存します。

C:\Users\ユーザー名\.ssh\my-ec2-tomcat-key.pem

前回のキーペアの流用について: Apacheハンズオンで作成した my-ec2-apache-key を流用する場合、この手順はスキップし、後続コマンドの KeyName の値を my-ec2-apache-key に変更します。

② プロジェクトフォルダに移動する

VSCodeのターミナル（CMD）を開き、プロジェクトフォルダに移動します。

cd C:\my-aws\aws-learning-projects\ec2-tomcat-web

template.yaml があることを確認します。

dir template.yaml

③ スタックの作成

以下のコマンドを実行します。203.0.113.1 は⓪で確認した自分のIPアドレスに置き換えてください。

aws cloudformation create-stack ^
  --stack-name my-ec2-tomcat-stack ^
  --template-body file://template.yaml ^
  --region ap-northeast-1 ^
  --capabilities CAPABILITY_NAMED_IAM ^
  --parameters ^
    ParameterKey=KeyName,ParameterValue=my-ec2-tomcat-key ^
    ParameterKey=MyIP,ParameterValue=203.0.113.1/32

各オプションの説明:

オプション	意味
`--stack-name my-ec2-tomcat-stack`	スタック名（英字始まり）
`--template-body file://template.yaml`	使用するテンプレートファイル
`--region ap-northeast-1`	デプロイ先リージョン（東京）
`--capabilities CAPABILITY_NAMED_IAM`	名前付きIAMロール作成の明示的な許可
`--parameters ...`	テンプレートのParametersに渡す値

^ について: Windowsのコマンドプロンプトで長いコマンドを複数行に分けるための改行エスケープ文字です。1行で書いても動作します。

template.yamlのコメントは英語のみ: 日本語コメントが含まれているとWindows上のAWS CLIがエンコードエラーを起こすため、コメントはすべて英語で記述しています。

成功すると以下のようなStackIdが表示されます。

{
    "StackId": "arn:aws:cloudformation:ap-northeast-1:123456789012:stack/my-ec2-tomcat-stack/xxxxx"
}

④ 作成完了・Outputsの確認

スタック作成は完了まで約3〜5分かかります。ただし、Tomcatのインストール（UserData）はさらに5〜10分かかるため、スタック完了後もすぐにブラウザでアクセスできないことがあります。

作成状況の確認

aws cloudformation describe-stacks ^
  --stack-name my-ec2-tomcat-stack ^
  --query "Stacks[0].StackStatus" ^
  --output text

ステータス	意味
`CREATE_IN_PROGRESS`	作成中（しばらく待つ）
`CREATE_COMPLETE`	作成完了
`CREATE_FAILED`	作成失敗（トラブルシューティングを参照）
`ROLLBACK_COMPLETE`	失敗してロールバック完了（リソースは作成されていない）

Outputs（接続情報）の確認

CREATE_COMPLETE になったら以下を実行します。

aws cloudformation describe-stacks ^
  --stack-name my-ec2-tomcat-stack ^
  --query "Stacks[0].Outputs" ^
  --output table

以下のような出力が表示されます。

------------------------------------------------------------------------------------------
|                                    DescribeStacks                                      |
+----------------+-----------------------------------------------------------------------+
|  OutputKey     |  OutputValue                                                          |
+----------------+-----------------------------------------------------------------------+
|  InstanceId    |  i-0123456789abcdef0                                                 |
|  PublicIP      |  x.x.x.x                                                             |
|  TomcatURL     |  http://x.x.x.x:8080                                                 |
|  SSHCommand    |  ssh -i C:\Users\...\.ssh\my-ec2-tomcat-key.pem ec2-user@x.x.x.x     |
+----------------+-----------------------------------------------------------------------+

控えておく情報: PublicIP と TomcatURL

⑤ 動作確認

ブラウザで確認

Outputsに表示された TomcatURL（http://x.x.x.x:8080）をブラウザで開きます。

Hello from Tomcat on Amazon Linux 2023!
Java Version: 17.x.x
Tomcat Version: Apache Tomcat/10.1.25

が表示されれば成功です。

表示されない場合: UserDataのインストール完了まで5〜10分かかります。スタックが CREATE_COMPLETE になった後も少し待ってからアクセスしてください。

SSHで接続して確認

Outputsに表示された SSHCommand を実行します（パスは実際のパスに修正します）。

ssh -i C:\Users\ユーザー名\.ssh\my-ec2-tomcat-key.pem ec2-user@（PublicIP）

初回接続時の確認には yes を入力します。

# Javaのバージョン確認
java -version

# Tomcatサービスの状態確認（active (running) と表示されれば正常）
sudo systemctl status tomcat

# TomcatのログでERRORがないか確認
sudo tail -50 /opt/tomcat/latest/logs/catalina.out

# UserDataの実行ログ確認（インストール状況を詳細に確認できる）
sudo cat /var/log/cloud-init-output.log

# 8080番ポートのListen確認
sudo ss -tlnp | grep :8080

exit

【接続できない場合】真のIPアドレスを確認する

curl で確認したIPを設定したが接続できない場合、実際の接続元IPが異なる可能性があります。

セキュリティグループIDを取得:

aws cloudformation describe-stack-resources ^
  --stack-name my-ec2-tomcat-stack ^
  --query "StackResources[?ResourceType=='AWS::EC2::SecurityGroup'].PhysicalResourceId" ^
  --output text

SSH全開放（一時的・テスト用）:

aws ec2 authorize-security-group-ingress ^
  --group-id sg-XXXXXXXXX ^
  --protocol tcp ^
  --port 22 ^
  --cidr 0.0.0.0/0 ^
  --region ap-northeast-1

SSH接続して真のIPを確認します。

echo $SSH_CLIENT
# 出力例: 203.0.113.1 17508 22
# 先頭の値が真の接続元IP
exit

確認後、全開放を削除して真のIPで制限し直します。

rem 全開放を削除
aws ec2 revoke-security-group-ingress ^
  --group-id sg-XXXXXXXXX ^
  --protocol tcp ^
  --port 22 ^
  --cidr 0.0.0.0/0 ^
  --region ap-northeast-1

rem 真のIPで再制限
aws ec2 authorize-security-group-ingress ^
  --group-id sg-XXXXXXXXX ^
  --protocol tcp ^
  --port 22 ^
  --cidr 真のIP/32 ^
  --region ap-northeast-1

⑥ スタックの削除

課金を止めるために、ハンズオン完了後は必ず削除してください。

CloudFormationはスタック削除で全リソースを一括削除できます。手動でリソースを1つ1つ削除する必要はありません。

aws cloudformation delete-stack ^
  --stack-name my-ec2-tomcat-stack ^
  --region ap-northeast-1

削除の進行状況を確認します（完了まで約3〜5分）。

aws cloudformation describe-stacks ^
  --stack-name my-ec2-tomcat-stack ^
  --query "Stacks[0].StackStatus" ^
  --output text

ステータス	意味
`DELETE_IN_PROGRESS`	削除中（しばらく待つ）
`DELETE_FAILED`	削除失敗（トラブルシューティングを参照）

削除完了の確認（以下のエラーが表示されれば削除完了）。

aws cloudformation describe-stacks ^
  --stack-name my-ec2-tomcat-stack ^
  --region ap-northeast-1

An error occurred (ValidationError) when calling the DescribeStacks operation:
Stack with id my-ec2-tomcat-stack does not exist

このメッセージが表示されれば削除完了です。キーペアはCloudFormationで管理していないため、手動で削除します。

EC2 → キーペア → my-ec2-tomcat-key を選択 → 「アクション」→「削除」

ローカルの .pem ファイルも削除します。

コンソール版との比較

コンソール版でIAMロール・セキュリティグループ・EC2を手動作成した手順が、CloudFormationではすべて template.yaml に定義されています。

CFnの記述	コンソールでやること
`EC2Role`（IAMロール定義）	IAM → ロールを作成（AmazonSSMManagedInstanceCore付与）
`EC2SecurityGroup`（SGルール定義）	EC2 → セキュリティグループを作成（SSH/TCP8080各ルール追加）
`EC2Instance`（UserData含む）	EC2 → インスタンスを起動（UserData貼り付け・キーペア選択）
`--parameters MyIP=...`	セキュリティグループのインバウンドルールに自分のIPを入力
`delete-stack`	インスタンス終了 → SG削除 → IAMロール削除（順番が重要）

コンソール版で詰まりやすいポイント:
UserDataのTomcatインストールが5〜10分かかるため、コンソール版では「インスタンスが動いているのにアクセスできない」状態が続きます。
CloudFormationでも待ち時間は同じですが、デプロイ自体はコマンド1本で完了します。

トラブルシューティング

症状	原因	対処
`CREATE_FAILED` になる	キーペアが存在しない	コンソールでキーペアを作成し、`--parameters KeyName=...` の値を確認
`CREATE_FAILED` になる	`CAPABILITY_NAMED_IAM` が不足	コマンドに `--capabilities CAPABILITY_NAMED_IAM` が含まれているか確認
`stackName failed to satisfy regular expression pattern`	スタック名が数字始まり	CloudFormationのスタック名は英字で始まる必要がある
`Unable to load paramfile, text contents could not be decoded`	template.yaml に日本語が含まれている	template.yaml のコメントをすべて英語で記述する（Windows環境の既知の問題）
ブラウザで8080に接続できない	UserDataのインストールが未完了	スタック完了後5〜10分待つ。SSHで `sudo cat /var/log/cloud-init-output.log` を確認
Tomcatは起動しているがJSPが動かない	index.jspがTomcat起動後に配置されなかった	`sudo systemctl restart tomcat` でTomcatを再起動する
SSH接続タイムアウト	セキュリティグループのIP設定誤り	SGのインバウンドルールでSSH(22)のIPを確認
`DELETE_FAILED` になる	手動でリソースを変更したためCFnが管理できない	コンソールで該当リソースを確認して手動削除後、`delete-stack` を再実行
`ValidationError: Template format error`	template.yamlのインデントが崩れている	YAMLはインデントが厳格。スペース2つ単位でインデントを確認する

まとめ

今回のハンズオンで実現できたこと：

確認項目	内容
IaCの体験	template.yaml 1ファイルにIAMロール・SG・EC2をコードで定義
一括デプロイ	`create-stack` コマンド1本でコンソール版と同じ構成を5〜10分で構築
Outputs活用	デプロイ後にIPアドレス・TomcatURL・SSHコマンドを `describe-stacks` で自動取得
一括削除	`delete-stack` 1本でリソースの依存関係を自動解決して全削除

CloudFormationのメリットを実感できたポイント

コンソール版では20〜30分かかった作業がコマンド1本（5〜10分）で完了した
delete-stack で依存関係を気にせず全リソースを一括削除できた
template.yaml をGitで管理することで、環境構成の変更履歴が残せる

コンソール版と比較してみる

CloudFormationが裏で何をやっているか、同じ構成をAWSコンソールのみで構築する手順をまとめました。コンソール版ではキーペア・IAMロール・セキュリティグループ・EC2を依存関係順に手動で作成する必要があり、各リソースの役割と繋がりが視覚的に理解できます。

EC2サーバ構築ハンズオン：AWSコンソールでTomcatを構築する手順

リンク

-->

The post EC2サーバ構築をIaC化：CloudFormationでEC2 Tomcatを自動デプロイする手順【コンソール版との比較付き】 first appeared on CayTech Lab.

AWS CloudFormationでEC2 + ApacheウェブサーバーをIaC化しよう【EC2ハンズオン / コンソール版との比較付き】

caymezon — Mon, 23 Mar 2026 08:38:50 +0000

はじめに

「コンソールで手動構築できた構成を、コードで再現したい」——それを実現するのが AWS CloudFormation です。

この記事では、template.yaml 1ファイルにリソース構成を定義し、コマンド1本でEC2 + Apache環境を一括構築するハンズオンを紹介します。コンソール版（AWSコンソール版ハンズオン）と全く同じ構成を、CloudFormationで自動化します。

ローカル環境（VSCode）
  ├── template.yaml（CloudFormationテンプレート）
  └── AWS CLI コマンド
        ↓ スタック作成（コマンド1本）
AWS環境
  ├── IAMロール（SSM接続用）         ← template.yamlで定義
  ├── セキュリティグループ（SSH22・HTTP80）← template.yamlで定義
  └── EC2インスタンス（t2.micro / Amazon Linux 2023 + Apache）← template.yamlで定義

このハンズオンで体験できること：

template.yaml へのリソース定義（IAMロール・セキュリティグループ・EC2インスタンス）
!Ref / !Sub / !GetAtt を使ったリソース間参照
aws cloudformation create-stack コマンド1本での全リソース一括デプロイ
aws cloudformation delete-stack コマンド1本での全リソース一括削除

このハンズオンの特徴：

コンソール版では15〜20分かかった手動作業が、コマンド1本（約5分）で完了する
delete-stack 1本で依存関係を考慮した順番で全リソースを自動削除できる

リンク

-->

CloudFormation vs コンソール：どれだけ違うか

比較項目	CloudFormation	コンソール（手動）
IAMロール作成	`--parameters` で値を渡すだけ	画面でポチポチ（5クリック以上）
セキュリティグループ作成	同上	画面でポチポチ
EC2起動（UserData含む）	同上	画面でポチポチ
全リソースのデプロイ	コマンド1本（3〜5分）	複数画面を行き来（15〜20分）
リソース削除	`delete-stack` 1本	依存関係順に個別削除（4ステップ）
再現性	高い（同じ構成を何度でも再現可能）	低い（手動ミスのリスクがある）
バージョン管理	Gitで管理可能	不可（過去の設定を記録できない）

キーワード解説

用語	意味
CloudFormation	AWSが提供するIaC（Infrastructure as Code）サービス。YAMLテンプレートでリソースをコード化する
スタック	CloudFormationが管理するリソースのまとまり。作成・削除・更新をまとめて操作できる
`!Ref`	CloudFormation組み込み関数。パラメータの値やリソースのIDを参照する
`!Sub`	CloudFormation組み込み関数。文字列内の `${変数}` を展開する
`!GetAtt`	CloudFormation組み込み関数。リソースの属性値（ARNなど）を取得する
CAPABILITY_NAMED_IAM	名前付きIAMリソースを作成する場合に必要な明示的な許可フラグ
UserData	EC2の初回起動時のみ自動実行されるシェルスクリプト

前提条件

ツール	確認コマンド	最低バージョン目安
AWS CLI v2	`aws --version`	2.x
Git	`git --version`	2.x
VSCode	-	-

AWS認証確認:

aws sts get-caller-identity

アカウントIDが表示されれば認証設定済みです。

template.yaml の全文

以下が今回使用する template.yaml の全文です。プロジェクトフォルダ（ec2-apache-web/）直下に配置します。

⚠️ コピー前に確認: Default: '123.456.78.901/32' の箇所はダミーIPです。このまま使うとスタック作成は成功しますが、SSHもWebもアクセスできません。--parameters でIPを上書きするか（推奨）、Defaultを自分のIPに書き換えてから使ってください。

AWSTemplateFormatVersion: '2010-09-09'
Description: 'EC2 + Apache Web Server Hands-on (Phase 1-1)'

Parameters:
  KeyName:
    Type: String
    Default: 'my-ec2-apache-key'
    Description: Name of an existing EC2 KeyPair

  MyIP:
    Type: String
    Default: '123.456.78.901/32'
    Description: Your IP address to allow SSH and HTTP access (CIDR format e.g. 203.0.113.1/32)

Resources:
  EC2Role:
    Type: AWS::IAM::Role
    Properties:
      RoleName: 'my-ec2-apache-role'
      AssumeRolePolicyDocument:
        Version: '2012-10-17'
        Statement:
          - Effect: Allow
            Principal:
              Service: ec2.amazonaws.com
            Action: 'sts:AssumeRole'
      ManagedPolicyArns:
        - arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
      Tags:
        - Key: Name
          Value: 'my-ec2-apache-role'

  # Instance Profile: wrapper that attaches the IAM role to EC2
  EC2InstanceProfile:
    Type: AWS::IAM::InstanceProfile
    Properties:
      InstanceProfileName: 'my-ec2-apache-profile'
      Roles:
        - !Ref EC2Role

  # Security Group: allow SSH(22) and HTTP(80) from MyIP only
  EC2SecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: 'my EC2 Apache hands-on SG'
      SecurityGroupIngress:
        - IpProtocol: tcp
          FromPort: 22
          ToPort: 22
          CidrIp: !Ref MyIP
          Description: SSH access from my IP
        - IpProtocol: tcp
          FromPort: 80
          ToPort: 80
          CidrIp: !Ref MyIP
          Description: HTTP access from my IP
      Tags:
        - Key: Name
          Value: 'my-ec2-apache-sg'

  # EC2 Instance: Amazon Linux 2023 + Apache (installed via UserData)
  EC2Instance:
    Type: AWS::EC2::Instance
    Properties:
      # Automatically fetches the latest Amazon Linux 2023 AMI ID from SSM Parameter Store
      ImageId: '{{resolve:ssm:/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-default-x86_64}}'
      InstanceType: t2.micro
      KeyName: !Ref KeyName
      SecurityGroupIds:
        - !Ref EC2SecurityGroup
      IamInstanceProfile: !Ref EC2InstanceProfile
      # UserData: shell script executed automatically on first boot
      UserData:
        Fn::Base64: |
          #!/bin/bash
          yum update -y
          yum install -y httpd
          systemctl start httpd
          systemctl enable httpd
          echo "Hello from Amazon Linux 2023!" > /var/www/html/index.html
          echo "Instance ID: $(ec2-metadata --instance-id | cut -d ' ' -f 2)" >> /var/www/html/index.html
          echo "Availability Zone: $(ec2-metadata --availability-zone | cut -d ' ' -f 2)" >> /var/www/html/index.html
      Tags:
        - Key: Name
          Value: 'my-ec2-apache-instance'

Outputs:
  InstanceId:
    Description: EC2 Instance ID
    Value: !Ref EC2Instance

  PublicIP:
    Description: Public IP Address
    Value: !GetAtt EC2Instance.PublicIp

  WebsiteURL:
    Description: Website URL (open in browser)
    Value: !Sub 'http://${EC2Instance.PublicIp}'

  SSHCommand:
    Description: SSH command (update the .pem path as needed)
    Value: !Sub 'ssh -i C:\Users\username\.ssh\${KeyName}.pem ec2-user@${EC2Instance.PublicIp}'

!Ref と !Sub の使い分け:

関数	意味	例
`!Ref パラメータ名`	パラメータの値を参照する	`!Ref MyIP` → `203.0.113.1/32`
`!Ref リソースID`	リソースのIDを参照する	`!Ref EC2SecurityGroup` → `sg-xxxxx`
`!Sub '文字列'`	文字列内の `${変数}` を展開する	`!Sub 'http://${EC2Instance.PublicIp}'` → `http://x.x.x.x`
`!GetAtt リソース.属性`	リソースの属性値を取得する	`!GetAtt EC2Instance.PublicIp` → IPアドレス

構築されるリソースと論理ID:

リソース	template.yaml上の論理ID
IAMロール	`EC2Role`
インスタンスプロファイル	`EC2InstanceProfile`
セキュリティグループ	`EC2SecurityGroup`
EC2インスタンス	`EC2Instance`

作業順序

⓪ 自分のIPアドレスを確認する（重要）
      ↓
① キーペアを作成する（コンソールで実施）
      ↓
② プロジェクトフォルダに移動する
      ↓
③ スタックを作成する（aws cloudformation create-stack）
      ↓
④ 作成状況・Outputsを確認する
      ↓
⑤ 動作確認（Web・SSH）
      ↓
⑥ スタックを削除する（aws cloudformation delete-stack）

【重要】⓪ 自分のIPアドレスを確認する

セキュリティグループで自分のIPのみを許可するために、正確なIPアドレスを事前に確認します。

注意: curl https://checkip.amazonaws.com で表示されるIPと、EC2への実際の接続元IPが一致しない場合があります（ISPやプロキシの経路の違いによる）。

方法A: ルーター管理画面で確認（推奨）

ブラウザで以下のURLにアクセスします
```
http://192.168.0.1  または  http://192.168.1.1
```
「ネットワークマップ」または「インターネット」項目を開く
**「インターネットIPアドレス」または「WAN IPアドレス」**の値を控えます

方法B: コマンドで確認

curl https://checkip.amazonaws.com

控えておく情報: 自分のIPアドレス（例: 203.0.113.1）

① キーペアの作成（コンソールで実施）

キーペアのみコンソールで作成します。CloudFormationではキーペアのダウンロードが行えないためです。

AWSコンソール → EC2 → キーペア → 「キーペアを作成」

設定項目	値
名前	`my-ec2-apache-key`
キーペアのタイプ	RSA
プライベートキーファイル形式	.pem

ダウンロードされた my-ec2-apache-key.pem を保存します。

C:\Users\ユーザー名\.ssh\my-ec2-apache-key.pem

② プロジェクトフォルダに移動する

VSCodeのターミナル（CMD）を開き、プロジェクトフォルダに移動します。

cd C:\my-aws\aws-learning-projects\ec2-apache-web

template.yaml があることを確認します。

dir template.yaml

③ スタックの作成

以下のコマンドを実行します。203.0.113.1 は⓪で確認した自分のIPアドレスに置き換えてください。

aws cloudformation create-stack ^
  --stack-name my-ec2-apache-stack ^
  --template-body file://template.yaml ^
  --region ap-northeast-1 ^
  --capabilities CAPABILITY_NAMED_IAM ^
  --parameters ^
    ParameterKey=KeyName,ParameterValue=my-ec2-apache-key ^
    ParameterKey=MyIP,ParameterValue=203.0.113.1/32

各オプションの説明:

オプション	意味
`--stack-name my-ec2-apache-stack`	スタック名（任意の名前）
`--template-body file://template.yaml`	使用するテンプレートファイル
`--region ap-northeast-1`	デプロイ先リージョン（東京）
`--capabilities CAPABILITY_NAMED_IAM`	名前付きIAMロールを作成するための明示的な許可
`--parameters ...`	テンプレートのParametersに渡す値

^ について: Windowsのコマンドプロンプトで長いコマンドを複数行に分けるための改行エスケープ文字です。1行で書いても動作します。

成功すると以下のようなStackIdが表示されます。

{
    "StackId": "arn:aws:cloudformation:ap-northeast-1:123456789012:stack/my-ec2-apache-stack/xxxxx"
}

④ 作成完了・Outputsの確認

スタック作成は完了まで約3〜5分かかります。

作成状況の確認

aws cloudformation describe-stacks ^
  --stack-name my-ec2-apache-stack ^
  --query "Stacks[0].StackStatus" ^
  --output text

ステータス	意味
`CREATE_IN_PROGRESS`	作成中（しばらく待つ）
`CREATE_COMPLETE`	作成完了
`CREATE_FAILED`	作成失敗（トラブルシューティングを参照）
`ROLLBACK_COMPLETE`	失敗してロールバック完了（リソースは作成されていない）

Outputs（接続情報）の確認

CREATE_COMPLETE になったら以下を実行します。

aws cloudformation describe-stacks ^
  --stack-name my-ec2-apache-stack ^
  --query "Stacks[0].Outputs" ^
  --output table

以下のような出力が表示されます。

------------------------------------------------------------------------------------
|                              DescribeStacks                                      |
+----------------+-----------------------------------------------------------------+
|  OutputKey     |  OutputValue                                                    |
+----------------+-----------------------------------------------------------------+
|  InstanceId    |  i-0123456789abcdef0                                           |
|  PublicIP      |  x.x.x.x                                                       |
|  WebsiteURL    |  http://x.x.x.x                                                |
|  SSHCommand    |  ssh -i C:\Users\...\.ssh\my-ec2-apache-key.pem ec2-user@x.x.x.x |
+----------------+-----------------------------------------------------------------+

控えておく情報: PublicIP と WebsiteURL

⑤ 動作確認

Webブラウザで確認

Outputsに表示された WebsiteURL（http://x.x.x.x）をブラウザで開きます。

Hello from Amazon Linux 2023!
Instance ID: i-0123456789abcdef0
Availability Zone: ap-northeast-1a

が表示されれば成功です。

表示されない場合: UserDataのApacheインストールが完了するまで2〜3分かかります。少し待ってからリロードしてください。

SSHで接続して確認

Outputsに表示された SSHCommand のコマンドを実行します（パスは実際のパスに修正します）。

ssh -i C:\Users\ユーザー名\.ssh\my-ec2-apache-key.pem ec2-user@（PublicIP）

初回接続時の確認には yes を入力します。

# Apacheの動作状態を確認（active (running) と表示されれば正常）
sudo systemctl status httpd

# ApacheのHTMLファイルを確認
cat /var/www/html/index.html

# EC2から切断
exit

【接続できない場合】真のIPアドレスを確認する

curl で確認したIPを設定したが接続できない場合、実際の接続元IPが異なる可能性があります。

セキュリティグループIDを取得:

aws cloudformation describe-stack-resources ^
  --stack-name my-ec2-apache-stack ^
  --query "StackResources[?ResourceType=='AWS::EC2::SecurityGroup'].PhysicalResourceId" ^
  --output text

SSH全開放（一時的・テスト用）:

aws ec2 authorize-security-group-ingress ^
  --group-id sg-XXXXXXXXX ^
  --protocol tcp ^
  --port 22 ^
  --cidr 0.0.0.0/0 ^
  --region ap-northeast-1

SSH接続して真のIPを確認します。

echo $SSH_CLIENT
# 出力例: 203.0.113.1 17508 22
# 先頭の値が真の接続元IP
exit

確認後、全開放を削除して真のIPで制限し直します。

rem 全開放を削除
aws ec2 revoke-security-group-ingress ^
  --group-id sg-XXXXXXXXX ^
  --protocol tcp ^
  --port 22 ^
  --cidr 0.0.0.0/0 ^
  --region ap-northeast-1

rem 真のIPで再制限
aws ec2 authorize-security-group-ingress ^
  --group-id sg-XXXXXXXXX ^
  --protocol tcp ^
  --port 22 ^
  --cidr 真のIP/32 ^
  --region ap-northeast-1

⑥ スタックの削除

課金を止めるために、ハンズオン完了後は必ず削除してください。

CloudFormationはスタック削除で全リソースを一括削除できます。手動でリソースを1つ1つ削除する必要はありません。

aws cloudformation delete-stack ^
  --stack-name my-ec2-apache-stack ^
  --region ap-northeast-1

削除の進行状況を確認します（完了まで約3〜5分）。

aws cloudformation describe-stacks ^
  --stack-name my-ec2-apache-stack ^
  --query "Stacks[0].StackStatus" ^
  --output text

ステータス	意味
`DELETE_IN_PROGRESS`	削除中（しばらく待つ）
`DELETE_FAILED`	削除失敗（トラブルシューティングを参照）

削除完了の確認（以下のエラーが表示されれば削除完了）。

aws cloudformation describe-stacks ^
  --stack-name my-ec2-apache-stack ^
  --region ap-northeast-1

An error occurred (ValidationError) when calling the DescribeStacks operation:
Stack with id my-ec2-apache-stack does not exist

このメッセージが表示されれば削除完了です。キーペアはCloudFormationで管理していないため、手動で削除します。

EC2 → キーペア → my-ec2-apache-key を選択 → 「アクション」→「削除」

ローカルの .pem ファイルも削除します。

コンソール版との比較

コンソール版でIAMロール・セキュリティグループ・EC2を手動作成した手順が、CloudFormationではすべて template.yaml に定義されています。

SAM/CFnの記述	コンソールでやること
`EC2Role`（IAMロール定義）	IAM → ロールを作成（AmazonSSMManagedInstanceCore付与）
`EC2SecurityGroup`（SGルール定義）	EC2 → セキュリティグループを作成（SSH/HTTP各ルール追加）
`EC2Instance`（UserData含む）	EC2 → インスタンスを起動（UserData貼り付け・キーペア選択）
`--parameters MyIP=...`	セキュリティグループのインバウンドルールに自分のIPを入力
`delete-stack`	インスタンス終了 → SG削除 → IAMロール削除（順番が重要）

コンソール版で詰まりやすいポイント:
セキュリティグループ削除時に「使用中」エラーが出るのは、EC2インスタンスが「終了済み」になっていないためです。
CloudFormationなら削除順序を自動で解決してくれるので、このエラーは発生しません。

トラブルシューティング

症状	原因	対処
`CREATE_FAILED` になる	キーペアが存在しない	コンソールでキーペアを作成し、`--parameters KeyName=...` の値を確認
`CREATE_FAILED` になる	`CAPABILITY_NAMED_IAM` が不足	コマンドに `--capabilities CAPABILITY_NAMED_IAM` が含まれているか確認
`stackName failed to satisfy regular expression pattern`	スタック名が数字始まり	CloudFormationのスタック名は英字で始まる必要がある
`Unable to load paramfile, text contents could not be decoded`	template.yaml に日本語が含まれている	template.yaml のコメント・説明文をすべて英語で記述する（Windows環境の既知の問題）
SSH接続タイムアウト	セキュリティグループのIP設定誤り	「真のIPアドレスを確認する」手順を実行
Webページが表示されない（起動直後）	ApacheのUserDataが未完了	2〜3分待ってからリロード
`DELETE_FAILED` になる	手動でリソースを変更したためCFnが管理できない	コンソールで該当リソースを確認して手動削除後、`delete-stack` を再実行
`ValidationError: Template format error`	template.yamlのインデントが崩れている	YAMLはインデントが厳格。スペース2つ単位でインデントを確認する

まとめ

今回のハンズオンで実現できたこと：

確認項目	内容
IaCの体験	template.yaml 1ファイルにIAMロール・SG・EC2をコードで定義
一括デプロイ	`create-stack` コマンド1本でコンソール版と同じ構成を5分で構築
Outputs活用	デプロイ後にIPアドレス・SSHコマンドを `describe-stacks` で自動取得
一括削除	`delete-stack` 1本でリソースの依存関係を自動解決して全削除

CloudFormationのメリットを実感できたポイント

コンソール版では15〜20分かかった作業がコマンド1本（5分）で完了した
delete-stack で依存関係を気にせず全リソースを一括削除できた
template.yaml をGitで管理することで、環境構成の変更履歴が残せる

コンソール版と比較してみる

リンク

-->

The post AWS CloudFormationでEC2 + ApacheウェブサーバーをIaC化しよう【EC2ハンズオン / コンソール版との比較付き】 first appeared on CayTech Lab.