はじめに

「EC2サーバ上でJavaアプリを動かしたい」——ApacheでHTMLを返せるようになったら、次はJavaが実行できるAPサーバー（Tomcat）に挑戦しましょう。

この記事では、AWSコンソール（GUI）のみを使って、Tomcat APサーバーが動作するEC2インスタンスをゼロから手動で構築するハンズオンを紹介します。

インターネット
  ↓ TCP 8080（Tomcat HTTP）← ブラウザでアクセス
  ↓ TCP 22（SSH）          ← ターミナルで接続
セキュリティグループ（ファイアウォール）
  ↓ 自分のIPのみ通過させる
EC2インスタンス（t2.micro / Amazon Linux 2023）
  ├── Java 17（Amazon Corretto）← Tomcatの実行基盤
  ├── Tomcat 10.1（APサーバー）← UserDataで自動インストール
  │     └── /opt/tomcat/latest/webapps/ROOT/index.jsp を返す
  └── IAMロール（Session Manager接続用）

このハンズオンで体験できること：

• EC2サーバーへのJava 17（Amazon Corretto）とTomcat 10のインストール
• セキュリティグループによるポートアクセス制御（SSH:22 / Tomcat:8080）
• UserDataを使ったJava + Tomcatの初回起動時自動インストール
• JSPが実行されていることをブラウザで確認（Apacheの静的HTMLとの違い）

このハンズオンの特徴：

• Apache版（Phase 1-1）の次のステップとして、APサーバーとWebサーバーの違いを体験できる
• 手動操作を通じて、各リソースの役割と依存関係を視覚的に理解できる

この記事は CloudFormation版ハンズオン の比較記事です。
コンソール操作でEC2 Tomcatサーバー構築の全体像を学び、CloudFormationとの違いを比較したい方向けです。

-->

キーワード解説

Apache（Webサーバー）と Tomcat（APサーバー）の違い

使用するAWSサービス

注意: 無料枠はAWSアカウント開設から12ヶ月間です。期間終了後はEC2インスタンス稼働時間に課金されます。ハンズオン後は必ずリソースを削除してください。

構築するリソース

全体の作業順序

依存関係があるため、必ずこの順番で作成します。

⓪ 自分のIPアドレスを確認する（重要）
      ↓
① キーペアを作成する
      ↓
② IAMロールを作成する
      ↓
③ EC2インスタンスを起動する
  （セキュリティグループ・UserDataも同時に設定）
      ↓
④ 動作確認（ブラウザ・SSH）
      ↓
⑤ リソースを削除する

【重要】⓪ 自分のIPアドレスを確認する

セキュリティグループで自分のIPだけを許可するために、正確なIPアドレスを事前に確認します。

注意: curl https://checkip.amazonaws.com で表示されるIPと、EC2への実際の接続元IPが一致しない場合があります（ISPやプロキシの経路の違いによる）。最も確実な方法はルーター管理画面での確認です。

方法A: ルーター管理画面で確認（推奨）

1. ブラウザで以下のURLにアクセスします（ルーターによって異なります）

   http://192.168.0.1  または  http://192.168.1.1

2. 「ネットワークマップ」または「インターネット」項目を開く
3. **「インターネットIPアドレス」または「WAN IPアドレス」**の値を控えます

方法B: コマンドで確認

curl https://checkip.amazonaws.com

控えておく情報: 自分のIPアドレス（例: 203.0.113.1）

① キーペアの作成

キーペアはSSHでEC2に接続するための鍵です。EC2起動時に指定する必要があるため、最初に作成します。

AWSコンソール → EC2 → ネットワーク＆セキュリティ → キーペア → 「キーペアを作成」

「キーペアを作成」をクリックすると、自動的に my-ec2-tomcat-key.pem がダウンロードされます。

ダウンロードしたキーペアを保存する

ダウンロードされた my-ec2-tomcat-key.pem を以下の場所に移動します。

C:\Users\ユーザー名\.ssh\my-ec2-tomcat-key.pem

注意: .pem ファイルは再ダウンロードできません。紛失した場合は新しいキーペアを作成する必要があります。

前回のキーペアの流用について: EC2 + Apacheハンズオンで作成した my-ec2-apache-key を流用しても動作します。その場合この手順はスキップします。

② IAMロールの作成

Session Manager（ブラウザからEC2に接続できるAWS機能）を使えるようにするためのIAMロールを作成します。

なぜIAMロールが必要か: EC2がAWSのサービス（Session Manager）を利用するには、そのEC2自身に「このサービスを使う権限」を付与する必要があります。この権限の設定がIAMロールです。

AWSコンソール → IAM → ロール → 「ロールを作成」

ステップ1: エンティティタイプとユースケースの選択

「次へ」をクリック。

ステップ2: 許可ポリシーのアタッチ

検索ボックスに AmazonSSMManagedInstanceCore と入力してチェックを入れます。

「次へ」をクリック。

ステップ3: ロール名の設定

「ロールを作成」をクリック。

③ EC2インスタンスの起動

キーペアとIAMロールを作成したあと、EC2インスタンスを起動します。
セキュリティグループとUserData（Java + Tomcat自動インストール）も同時に設定します。

AWSコンソール → EC2 → インスタンス → 「インスタンスを起動」

3-1. 基本設定

3-2. セキュリティグループの設定

「ネットワーク設定」→「セキュリティグループを作成する」を選択します。

セキュリティグループ名と説明を設定:

「インバウンドセキュリティグループのルールを追加」ボタンで以下の2ルールを追加します。

ルール1: SSH接続の許可

ルール2: Tomcat HTTPアクセスの許可

ポート8080について: TomcatはデフォルトでHTTP 8080番ポートをListenします。Apacheの80番とは異なるため、セキュリティグループでも8080を明示的に開ける必要があります。

/32 とは: 「このIPアドレス1つだけ」という意味のCIDR表記です。0.0.0.0/0 は全世界に開放することになりセキュリティリスクが高いため、必ず自分のIPのみに制限します。

3-3. IAMロールの設定

「高度な詳細」を開く → 「IAM インスタンスプロファイル」→ my-ec2-tomcat-role を選択します。

3-4. UserDataの設定（Java + Tomcatの自動インストール）

「高度な詳細」の一番下にある「ユーザーデータ」に以下を貼り付けます。

#!/bin/bash
dnf update -y
dnf install -y java-17-amazon-corretto

useradd -m -d /opt/tomcat -U -s /bin/false tomcat

TOMCAT_VERSION="10.1.25"
cd /tmp
wget -q "https://archive.apache.org/dist/tomcat/tomcat-10/v${TOMCAT_VERSION}/bin/apache-tomcat-${TOMCAT_VERSION}.tar.gz" \
  -O apache-tomcat.tar.gz
tar xzf apache-tomcat.tar.gz
mv "apache-tomcat-${TOMCAT_VERSION}" /opt/tomcat/latest
chown -R tomcat:tomcat /opt/tomcat
chmod -R u+x /opt/tomcat/latest/bin

cat > /etc/systemd/system/tomcat.service << 'SVCEOF'
[Unit]
Description=Apache Tomcat Web Application Container
After=network.target

[Service]
Type=forking
User=tomcat
Group=tomcat
Environment="JAVA_HOME=/usr/lib/jvm/java-17-amazon-corretto"
Environment="CATALINA_HOME=/opt/tomcat/latest"
Environment="CATALINA_BASE=/opt/tomcat/latest"
Environment="CATALINA_PID=/opt/tomcat/latest/temp/tomcat.pid"
Environment="JAVA_OPTS=-Xms256m -Xmx512m"
ExecStart=/opt/tomcat/latest/bin/startup.sh
ExecStop=/opt/tomcat/latest/bin/shutdown.sh
Restart=on-failure

[Install]
WantedBy=multi-user.target
SVCEOF

systemctl daemon-reload
systemctl enable tomcat
systemctl start tomcat

cat > /opt/tomcat/latest/webapps/ROOT/index.jsp << 'JSPEOF'
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<!DOCTYPE html>
<html>
<head><meta charset="UTF-8"><title>Tomcat on EC2</title></head>
<body>
<h1>Hello from Tomcat on Amazon Linux 2023!</h1>
<p>Java Version: <%= System.getProperty("java.version") %></p>
<p>Tomcat Version: <%= application.getServerInfo() %></p>
</body>
</html>
JSPEOF
chown tomcat:tomcat /opt/tomcat/latest/webapps/ROOT/index.jsp

各コマンドの説明:

Amazon Corretto（コレット）とは: AWSが提供するOpenJDKのディストリビューション。無償・本番利用可能で、Amazon Linux 2023のパッケージリポジトリから直接インストールできます。

JAVA_OPTS=-Xms256m -Xmx512m: Javaの使用メモリを制限する設定です。t2.microは1GBのメモリしかないため、最小256MB・最大512MBに制限して他のプロセスと共存できるようにしています。

UserDataはインスタンスの初回起動時のみ実行されます。Tomcatのダウンロードを含むため、完了まで約5〜10分かかります。

3-5. インスタンスを起動する

「インスタンスを起動」ボタンをクリック。

起動完了まで約2〜3分待ちます。インスタンスの「状態」が「実行中」になったことを確認します。

控えておく情報: インスタンスのパブリックIPアドレス

インスタンス一覧 → 作成したインスタンスをクリック → 「パブリック IPv4 アドレス」を確認してメモします。

④ 動作確認

重要: UserDataでのJava + Tomcatインストールが完了するまで約5〜10分かかります。インスタンスが「実行中」になってもすぐには接続できません。

ブラウザで確認

ブラウザで以下のURLにアクセスします。ポート番号 8080 を忘れずに入力してください。

http://（パブリックIPアドレス）:8080

以下のように表示されれば成功です。

Hello from Tomcat on Amazon Linux 2023!
Java Version: 17.x.x
Tomcat Version: Apache Tomcat/10.1.25

JSPが実行されている証拠: Java Version や Tomcat Version はJavaコード（<%= ... %>）がサーバー側で実行されて表示されています。ApacheのHTMLと違い、TomcatがJavaを動かして動的にページを生成しています。

表示されない場合: UserDataのインストールが完了していない可能性があります。5〜10分待ってからリロードしてください。それでも表示されない場合はSSHで接続してログを確認します。

SSHで接続して確認

ローカルPCのターミナル（VSCode CMD）で実行します。

ssh -i C:\Users\ユーザー名\.ssh\my-ec2-tomcat-key.pem ec2-user@（パブリックIPアドレス）

初回接続時に以下の確認が出ます。yes を入力します。

Are you sure you want to continue connecting (yes/no)? yes

接続できたら以下を実行します。

java -version

# Tomcatサービスの動作状態を確認（active (running) と表示されれば正常）
sudo systemctl status tomcat

# TomcatのメインログでERRORがないか確認
sudo tail -50 /opt/tomcat/latest/logs/catalina.out

# Tomcatが8080番ポートをListenしているか確認
sudo ss -tlnp | grep :8080

# EC2から切断
exit

Tomcatのディレクトリ構成:

UserDataのインストール状況を確認する方法

インスタンスにSSHで接続できた場合、UserDataの実行ログで進捗を確認できます。

# UserDataのログを確認（インストールの進捗・エラーを確認できる）
sudo cat /var/log/cloud-init-output.log

【接続できない場合】IPアドレスが異なる可能性

curl で確認したIPを設定したが接続できない場合、実際の接続元IPが異なる可能性があります。

一時的に全開放して真のIPを確認する方法:

コンソール → EC2 → セキュリティグループ → my-ec2-tomcat-sg → 「インバウンドルールを編集」

SSHのルールを一時的に 0.0.0.0/0 に変更してSSH接続し、以下を実行します。

echo $SSH_CLIENT
# 出力例: 203.0.113.1 17508 22
# 先頭の値が真の接続元IP

このIPをメモしてSSH接続を切断し、セキュリティグループのSSHルールを 真のIP/32 に戻します。

⑤ リソースの削除

課金を止めるために、ハンズオン完了後は必ず削除してください。削除する順番が重要です。

1. EC2インスタンスを終了する

EC2 → インスタンス → my-ec2-tomcat-instance を選択 → 「インスタンスの状態」→「インスタンスを終了」

確認ダイアログで「終了」をクリック。状態が「終了済み」になるまで待ちます（2〜5分）。

「停止」と「終了」の違い: 「停止」は一時停止（EBSストレージ課金は続く）。「終了」は完全削除（課金停止）。学習後は「終了」を選びます。

2. セキュリティグループを削除する

EC2 → セキュリティグループ → my-ec2-tomcat-sg を選択 → 「アクション」→「セキュリティグループを削除」

インスタンス終了が完了している必要があります。「使用中」エラーが出る場合はインスタンスが「終了済み」状態になるまで待ってください。

3. IAMロールを削除する

IAM → ロール → my-ec2-tomcat-role を選択 → 「削除」→ ロール名を入力して確認

4. キーペアを削除する（任意）

他のEC2でも使い回す場合は残してよいです。不要な場合は削除します。

EC2 → キーペア → my-ec2-tomcat-key を選択 → 「アクション」→「削除」→ 確認テキストを入力

ローカルの .pem ファイルも手動で削除します。

C:\Users\ユーザー名\.ssh\my-ec2-tomcat-key.pem

CloudFormation版との比較

コンソール版を体験したら、次は同じ構成をCloudFormation（コード）で再現してみましょう。何が自動化されるのかがよくわかります。

コンソール版で実感できたポイント:

• Java + Tomcatのインストール手順が長く、手動では設定ミスが起きやすいことを実感できる
• ポート8080の開放やTomcatユーザーの作成など、セキュリティ設定の重要性が身につく
• UserDataの完了を待つ間に、コンソール版とCloudFormation版の差が体感できる

CloudFormation版でも試してみる: EC2サーバ構築をIaC化：CloudFormationでEC2 Tomcatを自動デプロイする手順

トラブルシューティング

まとめ

今回のハンズオンで体験できたこと：

手動操作でひとつひとつ作ると、CloudFormationが裏で何を自動化しているかが理解できます。ぜひ次は CloudFormation版 で同じ構成をコードで再現してみてください。

関連記事

-->

The post EC2サーバ構築ハンズオン：AWSコンソールでTomcatを構築する手順【EC2 Tomcat / CloudFormation版との比較付き】 first appeared on CayTech Lab.

はじめに

「コンソールで手動構築できた構成を、コードで再現したい」——それを実現するのが AWS CloudFormation です。

この記事では、template.yaml 1ファイルにリソース構成を定義し、コマンド1本でEC2 Tomcat環境を一括構築するハンズオンを紹介します。コンソール版（AWSコンソール版ハンズオン）と全く同じ構成を、CloudFormationで自動化します。

ローカル環境（VSCode）
  ├── template.yaml（CloudFormationテンプレート）
  └── AWS CLI コマンド
        ↓ スタック作成（コマンド1本）
AWS環境
  ├── IAMロール（SSM接続用）                       ← template.yamlで定義
  ├── セキュリティグループ（SSH:22・Tomcat:8080）    ← template.yamlで定義
  └── EC2インスタンス（t2.micro / AL2023 + Java17 + Tomcat10）← template.yamlで定義

このハンズオンで体験できること：

• template.yaml へのリソース定義（IAMロール・セキュリティグループ・EC2インスタンス）
• !Ref / !Sub / !GetAtt を使ったリソース間参照
• aws cloudformation create-stack コマンド1本での全リソース一括デプロイ
• aws cloudformation delete-stack コマンド1本での全リソース一括削除

このハンズオンの特徴：

• コンソール版では20〜30分かかった手動作業が、コマンド1本（約5〜10分）で完了する
• delete-stack 1本で依存関係を考慮した順番で全リソースを自動削除できる

-->

CloudFormation vs コンソール：どれだけ違うか

キーワード解説

前提条件

AWS認証確認:

aws sts get-caller-identity

アカウントIDが表示されれば認証設定済みです。

template.yaml の全文

以下が今回使用する template.yaml の全文です。プロジェクトフォルダ（ec2-tomcat-web/）直下に配置します。

⚠️ コピー前に確認: Default: '123.456.78.901/32' の箇所はダミーIPです。このまま使うとスタック作成は成功しますが、SSHもブラウザもアクセスできません。--parameters でIPを上書きするか（推奨）、Defaultを自分のIPに書き換えてから使ってください。

AWSTemplateFormatVersion: '2010-09-09'
Description: 'EC2 + Tomcat Application Server Hands-on (Phase 1-2)'

Parameters:
  KeyName:
    Type: String
    Default: 'my-ec2-tomcat-key'
    Description: Name of an existing EC2 KeyPair

  MyIP:
    Type: String
    Default: '123.456.78.901/32'
    Description: Your IP address to allow SSH and Tomcat access (CIDR format e.g. 203.0.113.1/32)

Resources:
  EC2Role:
    Type: AWS::IAM::Role
    Properties:
      RoleName: 'my-ec2-tomcat-role'
      AssumeRolePolicyDocument:
        Version: '2012-10-17'
        Statement:
          - Effect: Allow
            Principal:
              Service: ec2.amazonaws.com
            Action: 'sts:AssumeRole'
      ManagedPolicyArns:
        - arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
      Tags:
        - Key: Name
          Value: 'my-ec2-tomcat-role'

  # Instance Profile: wrapper that attaches the IAM role to EC2
  EC2InstanceProfile:
    Type: AWS::IAM::InstanceProfile
    Properties:
      InstanceProfileName: 'my-ec2-tomcat-profile'
      Roles:
        - !Ref EC2Role

  # Security Group: allow SSH(22) and Tomcat(8080) from MyIP only
  EC2SecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: 'my EC2 Tomcat hands-on SG'
      SecurityGroupIngress:
        - IpProtocol: tcp
          FromPort: 22
          ToPort: 22
          CidrIp: !Ref MyIP
          Description: SSH access from my IP
        - IpProtocol: tcp
          FromPort: 8080
          ToPort: 8080
          CidrIp: !Ref MyIP
          Description: Tomcat HTTP access from my IP
      Tags:
        - Key: Name
          Value: 'my-ec2-tomcat-sg'

  # EC2 Instance: Amazon Linux 2023 + Java 17 + Tomcat 10 (installed via UserData)
  EC2Instance:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: '{{resolve:ssm:/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-default-x86_64}}'
      InstanceType: t2.micro
      KeyName: !Ref KeyName
      SecurityGroupIds:
        - !Ref EC2SecurityGroup
      IamInstanceProfile: !Ref EC2InstanceProfile
      # UserData: shell script executed automatically on first boot
      UserData:
        Fn::Base64: |
          #!/bin/bash
          dnf update -y
          dnf install -y java-17-amazon-corretto

          useradd -m -d /opt/tomcat -U -s /bin/false tomcat

          TOMCAT_VERSION="10.1.25"
          cd /tmp
          wget -q "https://archive.apache.org/dist/tomcat/tomcat-10/v${TOMCAT_VERSION}/bin/apache-tomcat-${TOMCAT_VERSION}.tar.gz" \
            -O apache-tomcat.tar.gz
          tar xzf apache-tomcat.tar.gz
          mv "apache-tomcat-${TOMCAT_VERSION}" /opt/tomcat/latest
          chown -R tomcat:tomcat /opt/tomcat
          chmod -R u+x /opt/tomcat/latest/bin

          cat > /etc/systemd/system/tomcat.service << 'SVCEOF'
          [Unit]
          Description=Apache Tomcat Web Application Container
          After=network.target

          [Service]
          Type=forking
          User=tomcat
          Group=tomcat
          Environment="JAVA_HOME=/usr/lib/jvm/java-17-amazon-corretto"
          Environment="CATALINA_HOME=/opt/tomcat/latest"
          Environment="CATALINA_BASE=/opt/tomcat/latest"
          Environment="CATALINA_PID=/opt/tomcat/latest/temp/tomcat.pid"
          Environment="JAVA_OPTS=-Xms256m -Xmx512m"
          ExecStart=/opt/tomcat/latest/bin/startup.sh
          ExecStop=/opt/tomcat/latest/bin/shutdown.sh
          Restart=on-failure

          [Install]
          WantedBy=multi-user.target
          SVCEOF

          systemctl daemon-reload
          systemctl enable tomcat
          systemctl start tomcat

          cat > /opt/tomcat/latest/webapps/ROOT/index.jsp << 'JSPEOF'
          <%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
          <!DOCTYPE html>
          <html>
          <head><meta charset="UTF-8"><title>Tomcat on EC2</title></head>
          <body>
          <h1>Hello from Tomcat on Amazon Linux 2023!</h1>
          <p>Java Version: <%= System.getProperty("java.version") %></p>
          <p>Tomcat Version: <%= application.getServerInfo() %></p>
          </body>
          </html>
          JSPEOF
          chown tomcat:tomcat /opt/tomcat/latest/webapps/ROOT/index.jsp
      Tags:
        - Key: Name
          Value: 'my-ec2-tomcat-instance'

Outputs:
  InstanceId:
    Description: EC2 Instance ID
    Value: !Ref EC2Instance

  PublicIP:
    Description: Public IP Address
    Value: !GetAtt EC2Instance.PublicIp

  TomcatURL:
    Description: Tomcat URL (open in browser)
    Value: !Sub 'http://${EC2Instance.PublicIp}:8080'

  SSHCommand:
    Description: SSH command (update the .pem path as needed)
    Value: !Sub 'ssh -i C:\Users\username\.ssh\${KeyName}.pem ec2-user@${EC2Instance.PublicIp}'

!Ref と !Sub の使い分け:

Apache版との主な違い（template.yaml）:

構築されるリソースと論理ID:

作業順序

⓪ 自分のIPアドレスを確認する（重要）
      ↓
① キーペアを作成する（コンソールで実施）
      ↓
② プロジェクトフォルダに移動する
      ↓
③ スタックを作成する（aws cloudformation create-stack）
      ↓
④ 作成状況・Outputsを確認する
      ↓
⑤ 動作確認（ブラウザ・SSH）
      ↓
⑥ スタックを削除する（aws cloudformation delete-stack）

【重要】⓪ 自分のIPアドレスを確認する

セキュリティグループで自分のIPのみを許可するために、正確なIPアドレスを事前に確認します。

注意: curl https://checkip.amazonaws.com で表示されるIPと、EC2への実際の接続元IPが一致しない場合があります（ISPやプロキシの経路の違いによる）。

方法A: ルーター管理画面で確認（推奨）

1. ブラウザで以下のURLにアクセスします

   http://192.168.0.1  または  http://192.168.1.1

2. 「ネットワークマップ」または「インターネット」項目を開く
3. **「インターネットIPアドレス」または「WAN IPアドレス」**の値を控えます

方法B: コマンドで確認

curl https://checkip.amazonaws.com

控えておく情報: 自分のIPアドレス（例: 203.0.113.1）

① キーペアの作成（コンソールで実施）

キーペアのみコンソールで作成します。CloudFormationではキーペアのダウンロードが行えないためです。

AWSコンソール → EC2 → キーペア → 「キーペアを作成」

ダウンロードされた my-ec2-tomcat-key.pem を保存します。

C:\Users\ユーザー名\.ssh\my-ec2-tomcat-key.pem

前回のキーペアの流用について: Apacheハンズオンで作成した my-ec2-apache-key を流用する場合、この手順はスキップし、後続コマンドの KeyName の値を my-ec2-apache-key に変更します。

② プロジェクトフォルダに移動する

VSCodeのターミナル（CMD）を開き、プロジェクトフォルダに移動します。

cd C:\my-aws\aws-learning-projects\ec2-tomcat-web

template.yaml があることを確認します。

dir template.yaml

③ スタックの作成

以下のコマンドを実行します。203.0.113.1 は⓪で確認した自分のIPアドレスに置き換えてください。

aws cloudformation create-stack ^
  --stack-name my-ec2-tomcat-stack ^
  --template-body file://template.yaml ^
  --region ap-northeast-1 ^
  --capabilities CAPABILITY_NAMED_IAM ^
  --parameters ^
    ParameterKey=KeyName,ParameterValue=my-ec2-tomcat-key ^
    ParameterKey=MyIP,ParameterValue=203.0.113.1/32

各オプションの説明:

^ について: Windowsのコマンドプロンプトで長いコマンドを複数行に分けるための改行エスケープ文字です。1行で書いても動作します。

template.yamlのコメントは英語のみ: 日本語コメントが含まれているとWindows上のAWS CLIがエンコードエラーを起こすため、コメントはすべて英語で記述しています。

成功すると以下のようなStackIdが表示されます。

{
    "StackId": "arn:aws:cloudformation:ap-northeast-1:123456789012:stack/my-ec2-tomcat-stack/xxxxx"
}

④ 作成完了・Outputsの確認

スタック作成は完了まで約3〜5分かかります。ただし、Tomcatのインストール（UserData）はさらに5〜10分かかるため、スタック完了後もすぐにブラウザでアクセスできないことがあります。

作成状況の確認

aws cloudformation describe-stacks ^
  --stack-name my-ec2-tomcat-stack ^
  --query "Stacks[0].StackStatus" ^
  --output text

Outputs（接続情報）の確認

CREATE_COMPLETE になったら以下を実行します。

aws cloudformation describe-stacks ^
  --stack-name my-ec2-tomcat-stack ^
  --query "Stacks[0].Outputs" ^
  --output table

以下のような出力が表示されます。

------------------------------------------------------------------------------------------
|                                    DescribeStacks                                      |
+----------------+-----------------------------------------------------------------------+
|  OutputKey     |  OutputValue                                                          |
+----------------+-----------------------------------------------------------------------+
|  InstanceId    |  i-0123456789abcdef0                                                 |
|  PublicIP      |  x.x.x.x                                                             |
|  TomcatURL     |  http://x.x.x.x:8080                                                 |
|  SSHCommand    |  ssh -i C:\Users\...\.ssh\my-ec2-tomcat-key.pem ec2-user@x.x.x.x     |
+----------------+-----------------------------------------------------------------------+

控えておく情報: PublicIP と TomcatURL

⑤ 動作確認

ブラウザで確認

Outputsに表示された TomcatURL（http://x.x.x.x:8080）をブラウザで開きます。

Hello from Tomcat on Amazon Linux 2023!
Java Version: 17.x.x
Tomcat Version: Apache Tomcat/10.1.25

が表示されれば成功です。

表示されない場合: UserDataのインストール完了まで5〜10分かかります。スタックが CREATE_COMPLETE になった後も少し待ってからアクセスしてください。

SSHで接続して確認

Outputsに表示された SSHCommand を実行します（パスは実際のパスに修正します）。

ssh -i C:\Users\ユーザー名\.ssh\my-ec2-tomcat-key.pem ec2-user@（PublicIP）

初回接続時の確認には yes を入力します。

# Javaのバージョン確認
java -version

# Tomcatサービスの状態確認（active (running) と表示されれば正常）
sudo systemctl status tomcat

# TomcatのログでERRORがないか確認
sudo tail -50 /opt/tomcat/latest/logs/catalina.out

# UserDataの実行ログ確認（インストール状況を詳細に確認できる）
sudo cat /var/log/cloud-init-output.log

# 8080番ポートのListen確認
sudo ss -tlnp | grep :8080

exit

【接続できない場合】真のIPアドレスを確認する

curl で確認したIPを設定したが接続できない場合、実際の接続元IPが異なる可能性があります。

セキュリティグループIDを取得:

aws cloudformation describe-stack-resources ^
  --stack-name my-ec2-tomcat-stack ^
  --query "StackResources[?ResourceType=='AWS::EC2::SecurityGroup'].PhysicalResourceId" ^
  --output text

SSH全開放（一時的・テスト用）:

aws ec2 authorize-security-group-ingress ^
  --group-id sg-XXXXXXXXX ^
  --protocol tcp ^
  --port 22 ^
  --cidr 0.0.0.0/0 ^
  --region ap-northeast-1

SSH接続して真のIPを確認します。

echo $SSH_CLIENT
# 出力例: 203.0.113.1 17508 22
# 先頭の値が真の接続元IP
exit

確認後、全開放を削除して真のIPで制限し直します。

rem 全開放を削除
aws ec2 revoke-security-group-ingress ^
  --group-id sg-XXXXXXXXX ^
  --protocol tcp ^
  --port 22 ^
  --cidr 0.0.0.0/0 ^
  --region ap-northeast-1

rem 真のIPで再制限
aws ec2 authorize-security-group-ingress ^
  --group-id sg-XXXXXXXXX ^
  --protocol tcp ^
  --port 22 ^
  --cidr 真のIP/32 ^
  --region ap-northeast-1

⑥ スタックの削除

課金を止めるために、ハンズオン完了後は必ず削除してください。

CloudFormationはスタック削除で全リソースを一括削除できます。手動でリソースを1つ1つ削除する必要はありません。

aws cloudformation delete-stack ^
  --stack-name my-ec2-tomcat-stack ^
  --region ap-northeast-1

削除の進行状況を確認します（完了まで約3〜5分）。

aws cloudformation describe-stacks ^
  --stack-name my-ec2-tomcat-stack ^
  --query "Stacks[0].StackStatus" ^
  --output text

削除完了の確認（以下のエラーが表示されれば削除完了）。

aws cloudformation describe-stacks ^
  --stack-name my-ec2-tomcat-stack ^
  --region ap-northeast-1

An error occurred (ValidationError) when calling the DescribeStacks operation:
Stack with id my-ec2-tomcat-stack does not exist

このメッセージが表示されれば削除完了です。キーペアはCloudFormationで管理していないため、手動で削除します。

EC2 → キーペア → my-ec2-tomcat-key を選択 → 「アクション」→「削除」

ローカルの .pem ファイルも削除します。

コンソール版との比較

コンソール版でIAMロール・セキュリティグループ・EC2を手動作成した手順が、CloudFormationではすべて template.yaml に定義されています。

コンソール版で詰まりやすいポイント:
UserDataのTomcatインストールが5〜10分かかるため、コンソール版では「インスタンスが動いているのにアクセスできない」状態が続きます。
CloudFormationでも待ち時間は同じですが、デプロイ自体はコマンド1本で完了します。

トラブルシューティング

まとめ

今回のハンズオンで実現できたこと：

CloudFormationのメリットを実感できたポイント

• コンソール版では20〜30分かかった作業がコマンド1本（5〜10分）で完了した
• delete-stack で依存関係を気にせず全リソースを一括削除できた
• template.yaml をGitで管理することで、環境構成の変更履歴が残せる

コンソール版と比較してみる

CloudFormationが裏で何をやっているか、同じ構成をAWSコンソールのみで構築する手順をまとめました。コンソール版ではキーペア・IAMロール・セキュリティグループ・EC2を依存関係順に手動で作成する必要があり、各リソースの役割と繋がりが視覚的に理解できます。

EC2サーバ構築ハンズオン：AWSコンソールでTomcatを構築する手順

関連記事

-->

The post EC2サーバ構築をIaC化：CloudFormationでEC2 Tomcatを自動デプロイする手順【コンソール版との比較付き】 first appeared on CayTech Lab.