はじめに

「EC2サーバでデータベースを動かしたい」「EC2同士の通信をセキュアに制御したい」——そのステップがこのハンズオンです。

この記事では、AWSコンソール（GUI）のみを使って、MySQL互換のDBサーバー（MariaDB）が動作するEC2インスタンスをゼロから手動構築するハンズオンを紹介します。

インターネット
  ↓ SSH(22)              ← 自分のIPのみ
  ↓ MySQL(3306)          ← 自分のIPのみ（初期テスト用）
my-ec2-mysql-db-sg（DBサーバSG）
  ↓ MySQL(3306)          ← my-ec2-mysql-client-sg に属するEC2のみ ★SG参照
EC2インスタンス（DBサーバ）       EC2インスタンス（クライアント）
  └── MariaDB 10.5              └── mysqlコマンド（接続テスト用）
        └── sampledb（DB）             ↑
                           my-ec2-mysql-client-sg（クライアントSG）
                             ↓ SSH(22) ← 自分のIPのみ
                           インターネット

このハンズオンで体験できること：

• セキュリティグループの SG参照（SG-to-SG） による EC2間通信制御
• EC2サーバへの MariaDB（MySQL互換）インストールと初期設定
• 2台のEC2（DBサーバ + クライアント）を使った実際のDB接続確認
• IPアドレス指定 vs SG参照の違いを体感

このハンズオンのポイント：

DBサーバのMySQLポート（3306）を「特定のIPアドレス」ではなく「特定のセキュリティグループに属するEC2」だけに開放します。これが SG参照（SG-to-SG） と呼ばれる設定方法で、IPが変わっても自動的に制御できる、本番環境でも使われるセキュアな設計です。

この記事は CloudFormation版ハンズオン の比較記事です。
コンソール操作でSG参照の仕組みを視覚的に学び、CloudFormationとの違いを比較したい方向けです。

-->

キーワード解説

IPアドレス指定 vs SG参照

今回のハンズオンで学ぶ「SG参照」がなぜ重要かを確認します。

前フェーズとの比較

使用するAWSサービス

注意: EC2を2台同時に稼働させるため、無料枠の消費が2倍になります。ハンズオン後は必ず2台とも削除してください。

構築するリソース

全体の作業順序

依存関係があるため、必ずこの順番で作成します。

⓪ 自分のIPアドレスを確認する（重要）
      ↓
① キーペアを作成する
      ↓
② IAMロールを作成する
      ↓
③ クライアントSGを作成する（先に作成する必要がある）
      ↓
④ DBサーバSGを作成する（③のSGを参照する）
      ↓
⑤ DBサーバEC2を起動する
      ↓
⑥ クライアントEC2を起動する
      ↓
⑦ 動作確認（DBサーバ・クライアント）
      ↓
⑧ リソースを削除する

【重要】⓪ 自分のIPアドレスを確認する

セキュリティグループで自分のIPだけを許可するために、正確なIPアドレスを事前に確認します。

方法A: ルーター管理画面で確認（推奨）

1. ブラウザで以下のURLにアクセスします（ルーターによって異なります）

   http://192.168.0.1  または  http://192.168.1.1

2. 「ネットワークマップ」または「インターネット」項目を開く
3. **「インターネットIPアドレス」または「WAN IPアドレス」**の値を控えます

方法B: コマンドで確認

curl https://checkip.amazonaws.com

控えておく情報: 自分のIPアドレス（例: 203.0.113.1）

① キーペアの作成

DBサーバとクライアントEC2の両方のSSH接続に使います。1つのキーペアを共用します。

AWSコンソール → EC2 → ネットワーク＆セキュリティ → キーペア → 「キーペアを作成」

「キーペアを作成」をクリックすると my-ec2-mysql-key.pem がダウンロードされます。

C:\Users\ユーザー名\.ssh\my-ec2-mysql-key.pem

注意: .pem ファイルは再ダウンロードできません。紛失した場合は新しいキーペアを作成する必要があります。

② IAMロールの作成

AWSコンソール → IAM → ロール → 「ロールを作成」

「ロールを作成」をクリック。

③ クライアントSGの作成

なぜ先に作るか: DBサーバSGの設定でクライアントSGを「参照先」として指定する必要があるため、先に作成しておく必要があります。

AWSコンソール → EC2 → セキュリティグループ → 「セキュリティグループを作成」

インバウンドルール（「ルールを追加」）:

アウトバウンドルールを確認します:

SG作成画面の「アウトバウンドルール」欄に以下のルールが自動設定されていることを確認します。

重要: このアウトバウンドルールがないとEC2がインターネットに出られず、dnf install でパッケージをダウンロードできなくなります。自動設定されていない場合は「ルールを追加」で追加してください。

「セキュリティグループを作成」をクリック。

④ DBサーバSGの作成（SG参照の設定）

AWSコンソール → EC2 → セキュリティグループ → 「セキュリティグループを作成」

インバウンドルール（「ルールを追加」で3ルール追加します）:

ルール1: SSH（管理用）

ルール2: MySQL（クライアントSGからの接続）← このハンズオンの核心

ここがSG参照: ソースとして「IPアドレス」ではなく「セキュリティグループ」を指定しています。my-ec2-mysql-client-sg に属するEC2からのMySQL接続のみを許可し、インターネットからは接続できません。

ルール3: MySQL（自分のIPからの接続）← 初期テスト・確認用

アウトバウンドルールを確認します:

「アウトバウンドルール」欄に「すべてのトラフィック / 0.0.0.0/0」が設定されていることを確認します（クライアントSGと同様）。

「セキュリティグループを作成」をクリック。

⑤ DBサーバEC2の起動

AWSコンソール → EC2 → インスタンス → 「インスタンスを起動」

5-1. 基本設定

5-2. セキュリティグループの設定

「ネットワーク設定」→「既存のセキュリティグループを選択する」→ my-ec2-mysql-db-sg を選択します。

注意: 「セキュリティグループを作成する」ではなく「既存のセキュリティグループを選択する」を選びます。④で作成済みの my-ec2-mysql-db-sg を指定します。

5-3. IAMロールの設定

「高度な詳細」→「IAM インスタンスプロファイル」→ my-ec2-mysql-role を選択します。

5-4. UserDataの設定（MariaDBの自動インストール）

「高度な詳細」の一番下「ユーザーデータ」に以下を貼り付けます。

#!/bin/bash
dnf update -y
dnf install -y mariadb105-server mariadb105

systemctl start mariadb
systemctl enable mariadb

sudo mysql -u root << 'SQLEOF'
SET PASSWORD FOR root@localhost = PASSWORD('Admin1234!');
CREATE USER IF NOT EXISTS 'handson'@'%' IDENTIFIED BY 'Handson1234!';
GRANT ALL PRIVILEGES ON *.* TO 'handson'@'%' WITH GRANT OPTION;
CREATE DATABASE IF NOT EXISTS sampledb DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
FLUSH PRIVILEGES;
SQLEOF

各コマンドの説明:

sudo mysql -u root について: MariaDB インストール直後の root は unix_socket 認証（OSのrootユーザーとして接続）が有効になっています。-p でパスワードを指定すると ERROR 1698 Access denied になるため、初回設定は sudo mysql -u root（パスワードなし）で接続します。

パスワードについて: このハンズオンでは学習用として Admin1234! / Handson1234! を使用しています。本番環境では必ず強力なパスワードに変更してください。

5-5. インスタンスを起動する

「インスタンスを起動」をクリック。起動後2〜3分待ちます。

控えておく情報:

• DBサーバのパブリックIPアドレス
• DBサーバのプライベートIPアドレス（クライアントEC2からの接続に使用）

インスタンス詳細 → 「プライベート IPv4 アドレス」を確認してメモします。

⑥ クライアントEC2の起動

AWSコンソール → EC2 → インスタンス → 「インスタンスを起動」

6-1. 基本設定

6-2. セキュリティグループの設定

「ネットワーク設定」→「既存のセキュリティグループを選択する」→ my-ec2-mysql-client-sg を選択します。

6-3. IAMロールの設定

「高度な詳細」→「IAM インスタンスプロファイル」→ my-ec2-mysql-role を選択します。

6-4. UserDataの設定（mysqlクライアントのインストール）

#!/bin/bash
dnf update -y
dnf install -y mariadb105

mysqlコマンド（クライアントツール）のみをインストールします。DBサーバ機能（mariadb105-server）はインストールしません。

6-5. インスタンスを起動する

「インスタンスを起動」をクリック。起動完了まで約2〜3分待ちます。

控えておく情報: クライアントEC2のパブリックIPアドレス

⑦ 動作確認

7-1. DBサーバの動作確認

DBサーバにSSH接続します。

ssh -i C:\Users\ユーザー名\.ssh\my-ec2-mysql-key.pem ec2-user@（DBサーバのパブリックIP）

接続後に以下を実行します。

sudo systemctl status mariadb

# MariaDBのバージョン確認
mysql --version

# rootでログイン（パスワード: Admin1234!）
mysql -u root -pAdmin1234!

MariaDBのプロンプト（MariaDB [(none)]>）が表示されたら以下を実行します。

-- ユーザー一覧を確認
SELECT User, Host FROM mysql.user;

-- データベース一覧を確認（sampledb が存在することを確認）
SHOW DATABASES;

-- sampledbに接続
USE sampledb;

-- テスト用のテーブルを作成
CREATE TABLE users (
  id INT AUTO_INCREMENT PRIMARY KEY,
  name VARCHAR(50) NOT NULL,
  created_at DATETIME DEFAULT CURRENT_TIMESTAMP
);

-- データを挿入
INSERT INTO users (name) VALUES ('Alice'), ('Bob'), ('Charlie');

-- データを確認
SELECT * FROM users;

-- MariaDBから切断
EXIT;

DBサーバから切断します。

exit

7-2. SG参照の確認：クライアントEC2からMySQL接続

クライアントEC2に接続します。

ssh -i C:\Users\ユーザー名\.ssh\my-ec2-mysql-key.pem ec2-user@（クライアントのパブリックIP）

クライアントEC2からDBサーバのプライベートIPに向けてMySQL接続します。

# DBサーバのプライベートIPに接続（XXX.XXX.XXX.XXX はDBサーバのプライベートIP）
mysql -h XXX.XXX.XXX.XXX -u handson -pHandson1234! sampledb

接続成功すると MariaDB [sampledb]> が表示されます。

-- DBサーバで作成したデータが見えることを確認
SELECT * FROM users;

EXIT;

exit

プライベートIPを使う理由: EC2間の通信は同じVPC内なのでプライベートIPで通信できます。パブリックIPを使うとインターネットを経由してしまい、セキュリティ上も効率上も好ましくありません。

7-3. SG参照の効果を確認する（任意・スキップ可）

前提: ローカルPCに mysql クライアントがインストールされている場合のみ実施します。7-2でクライアントEC2からの接続が成功していれば、このハンズオンの学習目的（SG参照によるEC2間通信制御）は達成済みです。

ローカルPCに mysql コマンドがある場合、ローカルターミナルで以下を実行します。

mysql -h （DBサーバのパブリックIP） -u handson -pHandson1234! sampledb

補足: 今回のSGにはルール3（自分のIPからのMySQL許可）を追加しているため接続できます。ルール3を削除すると、インターネットからの接続は完全に遮断されます。本番環境ではルール3を削除し、クライアントSG参照のみにするのがベストプラクティスです。

⑧ リソースの削除

課金を止めるために、ハンズオン完了後は必ず削除してください。削除する順番が重要です。

1. EC2インスタンスを終了する（2台）

EC2 → インスタンス → my-ec2-mysql-db-instance と my-ec2-mysql-client-instance を両方選択 → 「インスタンスの状態」→「インスタンスを終了」

状態が「終了済み」になるまで待ちます（2〜5分）。

2. セキュリティグループを削除する（2つ）

注意: 先にDBサーバSGを削除します。クライアントSGはDBサーバSGから参照されているため、先にDBサーバSGを削除しないとエラーになります。

① DBサーバSGを先に削除します:

EC2 → セキュリティグループ → my-ec2-mysql-db-sg を選択 → 「アクション」→「セキュリティグループを削除」

② クライアントSGを削除します:

EC2 → セキュリティグループ → my-ec2-mysql-client-sg を選択 → 「アクション」→「セキュリティグループを削除」

3. IAMロールを削除する

IAM → ロール → my-ec2-mysql-role を選択 → 「削除」→ ロール名を入力して確認

4. キーペアを削除する（任意）

EC2 → キーペア → my-ec2-mysql-key を選択 → 「アクション」→「削除」

ローカルの .pem ファイルも手動で削除します。

C:\Users\ユーザー名\.ssh\my-ec2-mysql-key.pem

CloudFormation版との比較

コンソール版を体験したら、次は同じ構成をCloudFormation（コード）で再現してみましょう。特にSGの依存関係管理が自動化される点を体験できます。

コンソール版で実感できたポイント:

• SGを削除する際にDBサーバSG → クライアントSGの順番が必要なことを体験できる
• SG参照の設定でソースにIPではなくSGを指定する操作の意味が視覚的に理解できる
• プライベートIPで通信している様子を直接確認できる

CloudFormation版でも試してみる: EC2サーバ構築をIaC化：CloudFormationでEC2 MySQLのDBサーバを自動デプロイする手順

トラブルシューティング

まとめ

今回のハンズオンで体験できたこと：

SG参照を手動で設定・確認することで、CloudFormationが裏で何を自動化しているかが理解できます。ぜひ次は CloudFormation版 で同じ構成をコードで再現してみてください。

関連記事

-->

The post EC2サーバ構築ハンズオン：AWSコンソールでEC2 MySQLのDBサーバを構築する手順【SG参照 / CloudFormation版との比較付き】 first appeared on CayTech Lab.

はじめに

「コンソールで手動構築したSG参照の構成を、コードで再現したい」——それを実現するのが AWS CloudFormation です。

この記事では、template.yaml 1ファイルにリソース構成を定義し、コマンド1本でEC2 MySQL（MariaDB）環境を一括構築するハンズオンを紹介します。コンソール版（AWSコンソール版ハンズオン）と全く同じ構成を、CloudFormationで自動化します。

ローカル環境（VSCode）
  └── template.yaml + AWS CLI
        ↓ スタック作成（コマンド1本）
AWS環境
  ├── IAMロール（SSM接続用）
  ├── ClientSecurityGroup（クライアントSG）
  │     └── 適用先: クライアントEC2
  ├── DBSecurityGroup（DBサーバSG）
  │     ├── MySQL(3306) ← ClientSecurityGroup を参照  ★SG参照
  │     └── 適用先: DBサーバEC2
  ├── DBサーバEC2（MariaDB）
  └── クライアントEC2（mysqlコマンド）

このハンズオンで体験できること：

• SG参照（SG-to-SG）を SourceSecurityGroupId でtemplate.yamlに記述する方法
• 2台のEC2・2つのSGを template.yaml 1ファイルで一括管理
• aws cloudformation create-stack コマンド1本での全リソース一括デプロイ
• delete-stack によるSGの依存関係を自動解決した一括削除

このハンズオンの特徴：

• コンソール版では順番を意識しながら手動で作成・削除していたSGの依存関係を、CloudFormationが自動管理
• 2台分のEC2を並列で起動するため、コンソール版より短時間で構築完了

-->

CloudFormation vs コンソール：どれだけ違うか

キーワード解説

前提条件

AWS認証確認:

aws sts get-caller-identity

アカウントIDが表示されれば認証設定済みです。

template.yaml の全文

以下が今回使用する template.yaml の全文です。プロジェクトフォルダ（ec2-mysql-db/）直下に配置します。

⚠️ コピー前に確認: Default: '123.456.78.901/32' の箇所はダミーIPです。このまま使うとスタック作成は成功しますが、SSHもMySQLもアクセスできません。--parameters でIPを上書きするか（推奨）、Defaultを自分のIPに書き換えてから使ってください。

AWSTemplateFormatVersion: '2010-09-09'
Description: 'EC2 + MySQL (MariaDB) DB Server Hands-on (Phase 1-3) - SG-to-SG inter-EC2 communication control'

Parameters:
  KeyName:
    Type: String
    Default: 'my-ec2-mysql-key'
    Description: Name of an existing EC2 KeyPair

  MyIP:
    Type: String
    Default: '123.456.78.901/32'
    Description: Your IP address to allow SSH and MySQL access (CIDR format e.g. 203.0.113.1/32)

Resources:
  EC2Role:
    Type: AWS::IAM::Role
    Properties:
      RoleName: 'my-ec2-mysql-role'
      AssumeRolePolicyDocument:
        Version: '2012-10-17'
        Statement:
          - Effect: Allow
            Principal:
              Service: ec2.amazonaws.com
            Action: 'sts:AssumeRole'
      ManagedPolicyArns:
        - arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
      Tags:
        - Key: Name
          Value: 'my-ec2-mysql-role'

  # Instance Profile: wrapper that attaches the IAM role to EC2
  EC2InstanceProfile:
    Type: AWS::IAM::InstanceProfile
    Properties:
      InstanceProfileName: 'my-ec2-mysql-profile'
      Roles:
        - !Ref EC2Role

  # Client Security Group: attached to the AP server (client side)
  # The DB server SG references this SG to allow MySQL access only from this group
  ClientSecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: 'my MySQL client SG (AP server role)'
      SecurityGroupIngress:
        - IpProtocol: tcp
          FromPort: 22
          ToPort: 22
          CidrIp: !Ref MyIP
          Description: SSH from my IP
      Tags:
        - Key: Name
          Value: 'my-ec2-mysql-client-sg'

  # DB Server Security Group: allows MySQL ONLY from the client SG (not from the internet)
  # This is the key concept of SG-to-SG inter-EC2 communication control
  DBSecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: 'my MySQL DB server SG'
      SecurityGroupIngress:
        - IpProtocol: tcp
          FromPort: 22
          ToPort: 22
          CidrIp: !Ref MyIP
          Description: SSH from my IP (admin only)
        - IpProtocol: tcp
          FromPort: 3306
          ToPort: 3306
          SourceSecurityGroupId: !GetAtt ClientSecurityGroup.GroupId
          Description: MySQL from client SG only (EC2-to-EC2 control - NOT open to internet)
        - IpProtocol: tcp
          FromPort: 3306
          ToPort: 3306
          CidrIp: !Ref MyIP
          Description: MySQL from my IP (for initial testing from local)
      Tags:
        - Key: Name
          Value: 'my-ec2-mysql-db-sg'

  # DB Server EC2: MariaDB (MySQL compatible) installed via UserData
  DBInstance:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: '{{resolve:ssm:/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-default-x86_64}}'
      InstanceType: t2.micro
      KeyName: !Ref KeyName
      SecurityGroupIds:
        - !Ref DBSecurityGroup
      IamInstanceProfile: !Ref EC2InstanceProfile
      # UserData: install MariaDB and configure initial users and database
      UserData:
        Fn::Base64: |
          #!/bin/bash
          dnf update -y
          dnf install -y mariadb105-server mariadb105

          systemctl start mariadb
          systemctl enable mariadb

          sudo mysql -u root << 'SQLEOF'
          SET PASSWORD FOR root@localhost = PASSWORD('Admin1234!');
          CREATE USER IF NOT EXISTS 'handson'@'%' IDENTIFIED BY 'Handson1234!';
          GRANT ALL PRIVILEGES ON *.* TO 'handson'@'%' WITH GRANT OPTION;
          CREATE DATABASE IF NOT EXISTS sampledb DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
          FLUSH PRIVILEGES;
          SQLEOF
      Tags:
        - Key: Name
          Value: 'my-ec2-mysql-db-instance'

  # Client EC2: represents the AP server - has mysql client installed to test DB connection
  ClientInstance:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: '{{resolve:ssm:/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-default-x86_64}}'
      InstanceType: t2.micro
      KeyName: !Ref KeyName
      SecurityGroupIds:
        - !Ref ClientSecurityGroup
      IamInstanceProfile: !Ref EC2InstanceProfile
      # UserData: install mysql client only (no server)
      UserData:
        Fn::Base64: |
          #!/bin/bash
          dnf update -y
          dnf install -y mariadb105
      Tags:
        - Key: Name
          Value: 'my-ec2-mysql-client-instance'

Outputs:
  DBInstanceId:
    Description: DB server EC2 Instance ID
    Value: !Ref DBInstance

  DBPublicIP:
    Description: DB server public IP (SSH access for admin)
    Value: !GetAtt DBInstance.PublicIp

  DBPrivateIP:
    Description: DB server private IP (use this to connect from client EC2)
    Value: !GetAtt DBInstance.PrivateIp

  ClientInstanceId:
    Description: Client EC2 Instance ID
    Value: !Ref ClientInstance

  ClientPublicIP:
    Description: Client EC2 public IP (SSH to test DB connection)
    Value: !GetAtt ClientInstance.PublicIp

  DBSSHCommand:
    Description: SSH command to connect to DB server
    Value: !Sub 'ssh -i C:\Users\username\.ssh\${KeyName}.pem ec2-user@${DBInstance.PublicIp}'

  ClientSSHCommand:
    Description: SSH command to connect to client EC2
    Value: !Sub 'ssh -i C:\Users\username\.ssh\${KeyName}.pem ec2-user@${ClientInstance.PublicIp}'

  MySQLConnectCommand:
    Description: MySQL connect command (run this from client EC2)
    Value: !Sub 'mysql -h ${DBInstance.PrivateIp} -u handson -pHandson1234! sampledb'

SG参照の書き方：IPアドレス指定との違い:

SecurityGroupIngress:

  # 通常のIPアドレス指定（前回までのやり方）
  - IpProtocol: tcp
    FromPort: 22
    ToPort: 22
    CidrIp: !Ref MyIP           # ← IPアドレスを指定

  # SG参照（このハンズオンの核心）
  - IpProtocol: tcp
    FromPort: 3306
    ToPort: 3306
    SourceSecurityGroupId: !GetAtt ClientSecurityGroup.GroupId  # ← SGのIDを取得
    Description: MySQL from client SG only (EC2-to-EC2 control)

!Ref vs !GetAtt ... .GroupId の違い: VpcId を明示していないSGに対して !Ref するとSGの名前が返るため SourceSecurityGroupId（IDを期待）でエラーになります。!GetAtt ClientSecurityGroup.GroupId を使うことで常にSGのID（sg-xxx）を確実に取得できます。

構築されるリソースと論理ID:

作業順序

⓪ 自分のIPアドレスを確認する
      ↓
① キーペアを作成する（コンソールで実施）
      ↓
② プロジェクトフォルダに移動する
      ↓
③ スタックを作成する（aws cloudformation create-stack）
      ↓
④ 作成完了・Outputsを確認する
      ↓
⑤ 動作確認（MariaDB・SG参照の確認）
      ↓
⑥ スタックを削除する（aws cloudformation delete-stack）

⓪ 自分のIPアドレスを確認する

curl https://checkip.amazonaws.com

またはルーター管理画面（http://192.168.0.1 など）の「WAN IPアドレス」で確認します。

控えておく情報: 自分のIPアドレス（例: 203.0.113.1）

① キーペアの作成（コンソールで実施）

キーペアのみコンソールで作成します。CloudFormationではキーペアのダウンロードが行えないためです。

AWSコンソール → EC2 → キーペア → 「キーペアを作成」

ダウンロードされた my-ec2-mysql-key.pem を保存します。

C:\Users\ユーザー名\.ssh\my-ec2-mysql-key.pem

② プロジェクトフォルダに移動する

VSCodeのターミナル（CMD）を開き、プロジェクトフォルダに移動します。

cd C:\my-aws\aws-learning-projects\ec2-mysql-db

template.yaml があることを確認します。

dir template.yaml

③ スタックの作成

以下のコマンドを実行します。203.0.113.1 は⓪で確認した自分のIPアドレスに置き換えてください。

aws cloudformation create-stack ^
  --stack-name my-ec2-mysql-stack ^
  --template-body file://template.yaml ^
  --region ap-northeast-1 ^
  --capabilities CAPABILITY_NAMED_IAM ^
  --parameters ^
    ParameterKey=KeyName,ParameterValue=my-ec2-mysql-key ^
    ParameterKey=MyIP,ParameterValue=203.0.113.1/32

各オプションの説明:

^ について: Windowsのコマンドプロンプトで長いコマンドを複数行に分けるための改行エスケープ文字です。

成功すると以下のようなStackIdが表示されます。

{
    "StackId": "arn:aws:cloudformation:ap-northeast-1:123456789012:stack/my-ec2-mysql-stack/xxxxx"
}

④ 作成完了・Outputsの確認

スタック作成は完了まで約5〜8分かかります（EC2×2台の起動 + MariaDBインストールの時間）。

作成状況の確認

aws cloudformation describe-stacks ^
  --stack-name my-ec2-mysql-stack ^
  --query "Stacks[0].StackStatus" ^
  --output text

Outputs（接続情報）の確認

CREATE_COMPLETE になったら以下を実行します。

aws cloudformation describe-stacks ^
  --stack-name my-ec2-mysql-stack ^
  --query "Stacks[0].Outputs" ^
  --output table

以下のような出力が表示されます。

---------------------------------------------------------------------------------------
|                                   DescribeStacks                                    |
+---------------------+---------------------------------------------------------------+
|  OutputKey          |  OutputValue                                                  |
+---------------------+---------------------------------------------------------------+
|  DBInstanceId       |  i-0xxxxxxxxxxxxxxx1                                         |
|  DBPublicIP         |  x.x.x.x                                                     |
|  DBPrivateIP        |  172.31.x.x      ← クライアントEC2からの接続に使用            |
|  ClientInstanceId   |  i-0xxxxxxxxxxxxxxx2                                         |
|  ClientPublicIP     |  y.y.y.y                                                     |
|  DBSSHCommand       |  ssh -i ...pem ec2-user@x.x.x.x                             |
|  ClientSSHCommand   |  ssh -i ...pem ec2-user@y.y.y.y                             |
|  MySQLConnectCommand|  mysql -h 172.31.x.x -u handson -pHandson1234! sampledb     |
+---------------------+---------------------------------------------------------------+

控えておく情報:

• DBPrivateIP: DBサーバのプライベートIP（クライアントEC2からの接続に使う）
• DBSSHCommand: DBサーバへのSSHコマンド
• ClientSSHCommand: クライアントEC2へのSSHコマンド
• MySQLConnectCommand: クライアントEC2から実行するMySQL接続コマンド

⑤ 動作確認

5-1. DBサーバの動作確認

Outputsの DBSSHCommand を実行してDBサーバに接続します。

ssh -i C:\Users\ユーザー名\.ssh\my-ec2-mysql-key.pem ec2-user@（DBPublicIP）

# MariaDBのサービス状態を確認（active (running) と表示されれば正常）
sudo systemctl status mariadb

# rootでログイン
sudo mysql -u root

MariaDBのプロンプト（MariaDB [(none)]>）が表示されたら以下を実行します。

-- ユーザー一覧（handsonユーザーが作成済みか確認）
SELECT User, Host FROM mysql.user;

-- データベース一覧（sampledbが存在するか確認）
SHOW DATABASES;

-- テスト用テーブルとデータを作成
USE sampledb;
CREATE TABLE users (
  id INT AUTO_INCREMENT PRIMARY KEY,
  name VARCHAR(50) NOT NULL,
  created_at DATETIME DEFAULT CURRENT_TIMESTAMP
);
INSERT INTO users (name) VALUES ('Alice'), ('Bob'), ('Charlie');
SELECT * FROM users;

EXIT;

exit

5-2. SG参照の確認：クライアントEC2からMySQL接続

Outputsの ClientSSHCommand を実行してクライアントEC2に接続します。

ssh -i C:\Users\ユーザー名\.ssh\my-ec2-mysql-key.pem ec2-user@（ClientPublicIP）

Outputsに表示された MySQLConnectCommand をそのまま実行します。

mysql -h （DBPrivateIP） -u handson -pHandson1234! sampledb

接続成功すると MariaDB [sampledb]> が表示されます。

-- DBサーバで作成したデータが見えることを確認
SELECT * FROM users;

EXIT;

exit

5-3. SG参照の効果を確認する（任意・スキップ可）

前提: ローカルPCに mysql クライアントがインストールされている場合のみ実施します。5-2でクライアントEC2からの接続が成功していれば、このハンズオンの学習目的（SG参照によるEC2間通信制御）は達成済みです。

ローカルPCに mysql コマンドがある場合、ローカルターミナルで以下を実行します。

mysql -h （DBPublicIP） -u handson -pHandson1234! sampledb

本番環境でのベストプラクティス: DBサーバSGからMyIP指定のルールを削除し、SG参照のみにすることで、DBサーバをインターネットから完全に遮断できます。DBサーバにパブリックIPを付与しないことも有効です。

⑥ スタックの削除

課金を止めるために、ハンズオン完了後は必ず削除してください。

CloudFormationはスタック削除で全リソースを一括削除できます。SGの依存関係（DBサーバSG → クライアントSGの削除順序）も自動的に解決されます。

aws cloudformation delete-stack ^
  --stack-name my-ec2-mysql-stack ^
  --region ap-northeast-1

削除の進行状況を確認します（完了まで約5〜8分）。

aws cloudformation describe-stacks ^
  --stack-name my-ec2-mysql-stack ^
  --query "Stacks[0].StackStatus" ^
  --output text

削除完了の確認（以下のエラーが表示されれば削除完了）。

aws cloudformation describe-stacks ^
  --stack-name my-ec2-mysql-stack ^
  --region ap-northeast-1

An error occurred (ValidationError) when calling the DescribeStacks operation:
Stack with id my-ec2-mysql-stack does not exist

このメッセージが表示されれば削除完了です。キーペアはCloudFormationで管理していないため、手動で削除します。

EC2 → キーペア → my-ec2-mysql-key を選択 → 「アクション」→「削除」

ローカルの .pem ファイルも削除します。

コンソール版との比較

コンソール版でSGを手動で依存関係順に作成・削除していた手順が、CloudFormationではすべて自動管理されます。

CloudFormationのSG削除順序の自動管理: コンソール版ではDBサーバSG → クライアントSGの順で手動削除が必要でしたが、CloudFormationはリソース間の依存関係を自動的に解決して正しい順序で削除します。

トラブルシューティング

まとめ

今回のハンズオンで実現できたこと：

CloudFormationのメリットを実感できたポイント

• コンソール版では複数リソースの作成・削除に順番の意識が必要だったが、CloudFormationが自動管理
• MySQLConnectCommand がOutputsとして自動生成されるため、手動でコマンドを組み立てる必要がない
• template.yaml をGitで管理することで、SG参照を含む複雑な構成の変更履歴が残せる

コンソール版と比較してみる

CloudFormationが裏で何をやっているか、同じ構成をAWSコンソールのみで構築する手順をまとめました。特にSGの依存関係管理とSG参照の設定手順を視覚的に確認できます。

EC2サーバ構築ハンズオン：AWSコンソールでEC2 MySQLのDBサーバを構築する手順

関連記事

-->

The post EC2サーバ構築をIaC化：CloudFormationでEC2 MySQLのDBサーバを自動デプロイする手順【SG参照 / コンソール版との比較付き】 first appeared on CayTech Lab.