システム運用
技術解説
連載 [第10回] :
  今日からはじめる Pulumiでカンタン インフラ運用・管理

Pulumiの最新機能「Pulumi ESC」を使ってみよう

2023年12月26日(火)
大関 研丞 (Kenneth Ozeki)
最終回となる今回は、2023年12月時点でリリースされている新機能の紹介と、その新機能の中から「Pulumi ESC」を用いたハンズオンを実践していきます。

Pulumi Cloudで新しい変数(environment)を作成

次に、Pulumi Cloud画面にてPulumi ESCで取得する変数を作成します。ESC経由でAWSへの認証を行うために必要となる3つの変数「AWS_ACCESS_KEY_ID」「AWS_SECRET_ACCESS_KEY」「AWS_SESSION_TOKEN」をPulumi Cloud側で用意していきます。

  1. ブラウザでPulumi Cloudにログインして、左メニューから [Environments] → [Create Environment] をクリックします。
  2. 「Create Environment」画面で「aws-cred-environment」と入力して、[Create Environment]をクリックします。
  3. 変数を定義する「Environment definition」欄で以下のyamlに書き換えます。「roleArn」には先ほどの手順で控えたロールのARNを入力します。認証に必要な変数の他に、自身が用意したい変数(TEST_ENV: “hoge”)もテスト用に設定しておきます。入力が完了したら、画面下部の[Save]をクリックします。
    view source
    print?
    01values:
    02  aws:
    03    login:
    04      fn::open::aws-login:
    05        oidc:
    06          duration: 1h
    07          roleArn: <your-oidc-iam-role-arn>
    08          sessionName: pulumi-environments-session
    09  environmentVariables:
    10    AWS_ACCESS_KEY_ID: ${aws.login.accessKeyId}
    11    AWS_SECRET_ACCESS_KEY: ${aws.login.secretAccessKey}
    12    AWS_SESSION_TOKEN: ${aws.login.sessionToken}
    13    TEST_ENV: "hoge"
    AWS_ACCESS_KEY_ID、AWS_SECRET_ACCESS_KEY、AWS_SESSION_TOKENそれぞれの値は、yamlに記載のaws-loginプロバイダーからOIDCを利用して自動的に取得されます。最終的に、Pulumi ESCが実行された際に「environmentVariables」配下に記載した変数のkey、valueがPulumi ESCの実行環境のPCに環境変数としてセットされるイメージです。

動作確認

Pulumi ESCを利用するための一通りの設定が完了したので、動作確認をしてみます。

  1. ローカルPCで、ESCの変数(env)リストを取得します。
    view source
    print?
    1$ esc env ls
    2 
    3aws-cred-environment
  2. 「esc env get」コマンドで、変数(env)の設定内容を確認します。
    view source
    print?
    01$ esc env get aws-cred-environment
    02 
    03   Value
    04   
    05    {
    06      "aws": {
    07        "login": null
    08      },
    09      "environmentVariables": {
    10        "AWS_ACCESS_KEY_ID": null,
    11        "AWS_SECRET_ACCESS_KEY": null,
    12        "AWS_SESSION_TOKEN": null,
    13        "TEST_ENV": "hoge"
    14      }
    15    }
    16   
    17   Definition
    18   
    19    values:
    20      aws:
    21        login:
    22          fn::open::aws-login:
    23            oidc:
    24              duration: 1h
    25              roleArn: arn:aws:iam::***
    26              sessionName: pulumi-environments-session
    27      environmentVariables:
    28        AWS_ACCESS_KEY_ID: ${aws.login.accessKeyId}
    29        AWS_SECRET_ACCESS_KEY: ${aws.login.secretAccessKey}
    30        AWS_SESSION_TOKEN: ${aws.login.sessionToken}
    31        TEST_ENV: "hoge"
  3. 「esc env open」コマンドで、変数(env)のvalueをレンデリングした内容を取得します。
    view source
    print?
    01$ esc env open aws-cred-environment
    02 
    03{
    04  "aws": {
    05    "login": {
    06      "accessKeyId": "ASIA***",
    07      "secretAccessKey": "*******",
    08      "sessionToken": "*********"
    09    }
    10  },
    11  "environmentVariables": {
    12    "AWS_ACCESS_KEY_ID": "ASIA***",
    13    "AWS_SECRET_ACCESS_KEY": "********",
    14    "AWS_SESSION_TOKEN": "********",
    15    "TEST_ENV": "hoge"
    16  }
    17}
    AWSの認証関連に利用される変数(env)と、自身で設定した変数(env)が取得できていることが確認できます。ちなみに「--format shell」オプションを付加することで、shellコマンドで変数(env)のvalueをレンダリングした内容を取得できます。
    view source
    print?
    1$ esc env open aws-cred-environment --format shell
    2                   
    3export AWS_ACCESS_KEY_ID="ASIA***"
    4export AWS_SECRET_ACCESS_KEY="*******"
    5export AWS_SESSION_TOKEN="************"
    6export TEST_ENV="hoge"
  4. 最後に「esc run」コマンドで、AWSのクレデンシャル情報が設定されていない状態で「aws s3 ls」コマンドが実行できるか(AWSへの認証が可能か)確認します。まずは、aws s3 lsコマンド単体では認証エラーが出ることを確認します(実行環境によってはエラーメッセージが異なる場合があります)
    view source
    print?
    1$ aws s3 ls
    2 
    3An error occurred (ExpiredToken) when calling the ListBuckets operation: The provided token has expired.
  5. 今度は、esc runコマンドを用いてaws s3 lsコマンドを実行します。ESC経由で実行したいコマンドは「-i」オプション以降に指定します。
    view source
    print?
    1$ esc run aws-cred-environment -i aws s3 ls
    2 
    32023-08-23 14:20:30 ***
    42023-11-17 13:33:10 ***
    ESC経由であれば、AWSのクレデンシャル情報が設定されていない状態でも無事にawsコマンドが実行できる(認証できる)ことが確認できました。ESCを実行して取得した環境変数をPulumi Programで利用したい場合はconfiguration APIを利用する方法がありますので、ぜひ参考にしてみてください。

おわりに

今回で、「今日からはじめる Pulumiでカンタン インフラ運用・管理」の連載は終了となります。本連載を通じて、Pulumiが提供する素晴らしい機能や利点を少しでも伝えられたなら、大変嬉しく思います。また、クラウドインフラストラクチャの構築と管理がよりシンプルで柔軟になるPulumiの可能性に触れ、読者の皆さんが新たな技術に対する興奮を共有できたなら、それに越したことはありません。

また本連載のような執筆ができる機会が訪れるまで、今後も技術の進化に合わせて、より深い洞察と実践的な情報をお届けできるよう、努力してまいります。最後まで本連載をお読みいただき、本当にありがとうございました。今後ともよろしくお願いいたします。

【参考】Pulumi公式ホームページ(英語)

Infrastructure-as-Code / IaC / Pulumi / インフラ / 自動化
著者
大関 研丞 (Kenneth Ozeki)
クリエーションライン株式会社 Data Platform Team
前職では保険や金融エンタープライズのミッションクリティカルシステム(オンプレミス、仮想サーバー、CDN等のインフラ系業務)の設計/構築を経験。クリエーションラインに転職後はクラウドエンジニアとしてGCP関連の案件でインフラの設計/構築、IaCやCI/CDを用いたDevOpsの導入、コンテナ(Kubernetes)基盤の構築、運用自動化ツールの作成などを担当。
クリエーションラインの技術ブログをチェック

連載バックナンバー

システム運用技術解説
第10回

Pulumiの最新機能「Pulumi ESC」を使ってみよう

2023/12/26
最終回となる今回は、2023年12月時点でリリースされている新機能の紹介と、その新機能の中から「Pulumi ESC」を用いたハンズオンを実践していきます。
続きを読む
システム運用技術解説
第9回

TerraformからPulumiへの移行

2023/11/28
第9回となる今回は、既にTerraformでAWS環境に作成されているリソースをPulumiへ移行するケースを想定して、CoexistenceとConversionのハンズオンを実践していきます
続きを読む
システム運用技術解説
第8回

既に存在するリソースをPulumiで管理してみよう

2023/10/19
第8回となる今回は、既にクラウド環境にデプロイされているリソースをPulumiで管理(import)する方法について、ハンズオンで実践していきます。
続きを読む

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています

全文検索エンジンによるおすすめ記事

Topへ戻る
Copyright © 2004-2025 Impress Corporation. An Impress Group Company. All rights reserved.