## Level0 肩慣らし（AWS CDKを触ってみる）


### 0.1 翻訳APIを呼び出して、日本語を翻訳する  

最初は、AWS TranselateのAPIを呼び出し、日本語を英語に翻訳して画面に出力してみましょう。

>参考文献：
> 　https://docs.aws.amazon.com/ja_jp/translate/latest/dg/get-started-sdk.html
 
- 実行環境
    - aws sdk、pythonがインストールされた環境  
    ※Lambdaのテスト機能か、Cloudshellを使うのが手っ取り早い

- 言語
    - Python

- 処理の概要
    1. AWS SDKのパッケージをインポート  
    インポートするパッケージ：boto3

    2. AWS Transelateのクライント（client）を準備  
    boto3.client(<サービス名>)といった形で、クライアントを用意して変数に格納しておく

    3. クライアントのAPIに文字を渡して結果を変数に格納  
    一つ手前の手順で準備した変数を使い、クライアント内で定義されたメソッド（処理）を呼びだす。  
    実行形式：   
        <変数名>.<メソッド名>(引数1,引数2,…)  
        ※どういったAPIがあるかは自分で調べてみましょう

    4. 返ってきた結果を画面に出力する  
    変数名を入力するか、print(<変数名>)といった形で変数の値を画面に出力する。  
    実行形式：  
        <変数名>  
        print("翻訳結果：",<変数名>)  





### 0.2 感情判定を行う  

次は、AWS ComprehendのAPIを呼び出し、入力され文章がポジティブな文章なのか、ネガティブな文章なのか判定して画面に出力してみましょう。  
せっかくなので、前の章で翻訳した文章を使って感情判定を行ってみるのも面白いかもしれません。  


>参考文献：  
>https://www.gis-py.com/entry/amazon-comprehend  
>https://docs.aws.amazon.com/ja_jp/code-library/latest/ug/python_3_comprehend_code_examples.html


- 実行環境
- aws sdk、pythonがインストールされた環境  
※Lambdaのテスト機能か、Cloudshellを使うのが手っ取り早い

- 言語  
    - Python  

- 処理の概要
    1. AWS SDKのパッケージをインポート  
        インポートするパッケージ：boto3

    2. AWS Comprehendのクライント（client）を準備  
        boto3.client(<サービス名>)といった形で、クライアントを用意して変数に格納しておく  

    3. クライアントのAPIに文字を渡して結果を変数に格納  
        一つ手前の手順で準備した変数を使い、クライアント内で定義されたメソッド（処理）を呼びだす。  
        実行形式： <変数名>.<メソッド名>(引数1,引数2,…)  
        ※今回使用するのは「DetectSentiment」。他にどんなことができるかは余裕があれば見てみよう

    4. 返ってきた結果を画面に出力する  
       変数名を入力するか、print(<変数名>)といった形で変数の値を画面に出力する。  
       実行形式：  
                <変数名>  
                print("感情の分析結果：",<変数名>)  


### <2時間かかっても解けない場合のヒント＞  
* サーバレスアーキテクチャで翻訳WebAPIを構築する  
> https://pages.awscloud.com/JAPAN-event-OE-Hands-on-for-Beginners-Serverless-1-2022-confirmation_422.html  

* AWS Lambda と AWS AI Services を組み合わせて作る音声文字起こし & 感情分析パイプライン  
> https://pages.awscloud.com/JAPAN-event-OE-Hands-on-for-Beginners-Serverless-3-2022-confirmation_772.html

## Level1 CLIを使ってみる


この章では、普段コンソールで行っている操作をCLIではどのように実行できるかを実践していきます。  

まずは、CLIコマンドは、以下の要素で構成されていることを覚えておきましょう。  

【CLIの構成要素】  
aws <コマンド> <サブコマンド> --<オプション>  


実際にVPCの情報を表示するコマンドの場合は以下のように置き換えていきます。 

- コマンド　⇒　ec2  
- サブコマンド　⇒　describe-vpcs ※後述  
- オプション　⇒　 --vpc-id  

【実行例】  
aws ec2 describe-vpc --vpc-ids vpc-xxxxxxx
  
  
サブコマンドにはいくつか系統があるので、系統を覚えておくとよいかもしれません。  
また、完全につづりを覚えていなくても大丈夫です。間違ったコマンドをうった場合、CLI側がつづりが似ているコマンドを提案してくれます。  

|サブコマンド|系統|
|:---|:---|
|describe-○○|リソースの情報を取得|
|create-○○|リソースを作成|
|delete-○○|リソースを削除|
|modify-○○|リソースの設定値を変更|

### 1-1 CLIでリソース情報を取得してみる

情報取得のコマンドは「aws <リソースタイプ> describe-<リソース名（複数形）>」という系統でまとめられています。 
リソースタイプは「ec2」や「rds」などです。リソース名は「vpc」、「security-group」といったサービス名もあれば、「instance」のように作成されたリソースの実体を表す場合もあります。  
コマンドの実行結果は、デフォルトではjson形式で結果が表示されます。  
出力結果が一面で表示しきれない場合は、  

- Enterやスペースを押して次の表示
- (END)が表示されたら最後の表示までたどり着いた
- qを押して表示を閉じる  

の３点だけ覚えておきましょう。  
なお、コマンドの後に「--」で続くオプションを追加することで、出力する内容を加工することが可能です。  

コマンド例：

  |表示したいリソース|コマンド|
  |:---|:---|
  |VPC|aws ec2 describe-vpcs|
  |EC2|aws ec2 describe-instances|
  |RDS|aws rds describe-db-instances<br>あるいは<br>aws rds describe-db-clusters|
  |Security Group|aws ec2 describe-security-groups|
  |EIP|aws ec2 describe-addresses|
  |AMI|aws ec2 deregister-image|
  |Snapshot|aws ec2 describe-snapshots<br>あるいは<br>aws rds describe-db-snapshots|

<br>
<br>

オプション例：

  |オプション|説明|
  |:---|:---|
  |--<リソース名>-ids<br>あるいは<br>--<リソース名>-id|リソースのIDを指定してコマンドを実行する対象を絞り込む（例: --vpc-ids vpc-xxxx）<br>ただし、コマンドによって指定できるIDが異なるので注意|
  |--owner|【AMI、Snapshotのみ】<br>所有者を絞る。「--owner self」で自身が所有するものに絞れる|
  |--filter|条件を指定して、条件に該当するリソースだけを対象にする。<br> 書き方に癖があるのでリAIに聞くのが早い。|
  |--query|出力結果に表示する項目を絞り込む時に使用する。　<br> 別の方法として、json形式で出力したCLIの結果を別のコマンド（Linuxxならjq）で成形加工する。<br> 書き方に癖があるのでAIに聞くのが早い。|
  |--output|出力形式を「json」、「table」、「text」の中から選択できる|


### 1-2 SSMで接続してみる
次は、SSM接続をCLIでやってみます。SSMのコマンドは「aws ssm <コマンド>」といった系統でまとまっています。  
前項の「aws ec2 describe-instances」でインスタンスを検索して、接続をしてみましょう。

1. 接続するEC2を検索する  
    使用するコマンド：  
        aws ec2 describe-instances  
    ※そのままだと確認しづらいので、オプションをつけてインスタンスID、名前、付与されたロールのみを表示するようにしてみましょう。  
    とりあえず全ての情報を表示したあと、「--query」で必要な情報に絞っていくでもよいです。  

2. SSM接続する  
    使用するコマンド：  
        aws ssm start-session  

    オプション：  

    |引数|説明|  
    |:---|:---|  
    |--target | 接続するインスタンスのIDを指定|

    <br>
    ※SSM接続を行うためには、以下の条件を満たす必要があります。  
    
    - 以下2つのエンドポイントが作成されており、443ポートからの通信が許可されている  
        - com.amazonaws.ap-northeast-1.ssm  
        - com.amazonaws.ap-northeast-1.ssmmessages  
    - 以下のポリシーを許可されたロールがEC2に設定されている
        - AmazonSSMManagedInstanceCore
    - 接続元、接続先にSSMのエージェントがインストールされており、セッションマネージャから認識されている
        - EC2はOSがAmazonLinuxやWindowsの場合はSSMエージェントはインストール済みで、他の条件を満たした状態であればS自動で有効になる

3. セッションを切断する  
    セッションから抜ける場合は「exit」と打つ

### 1-3  EC2を操作する  
次にEC2の起動や停止をCLIで実施してみましょう。

- EC2を停止する  
    使用するコマンド：  
    aws ec2 stop-instances  

    オプション:  
    
    |引数|説明|  
    |:---|:---|  
    |--instance-ids|操作するインスタンスのIDを指定|
  
<br>

- EC2を起動する  
    使用するコマンド：  
    aws ec2 start-instances  

    オプション:  
    |引数|説明|  
    |:---|:---|  
    |--instance-ids|操作するインスタンスのIDを指定|

### 1-5. RDSを操作する  
最後にRDSを操作をCLIを使って実施してみましょう。  
今回取り上げるのはクラスタ構造を持たないRDSの場合です。Aurorのようにクラスタとインスタンスがある場合、それぞれコマンドが異なるので注意が必要です。

- DBインスタンスを停止する  
    使用するコマンド：  
    aws rds stop-db-instance  

    オプション:  

    |引数|説明|  
    |:---|:---|  
    |--db-instance-identifier|操作するインスタンスの識別子を指定|  

<br>

- DBインスタンスを起動する  
    使用するコマンド：  
    aws rds start-db-instance 

    オプション:  

    |引数|説明|  
    |:---|:---|  
    |--db-instance-identifier|操作するインスタンスの識別子を指定|  

<br>

- スナップショットを作成する  
    使用するコマンド：  
    aws rds create-db-snapshot

    オプション:  

    |引数|説明|  
    |:---|:---|  
    |--db-instance-identifier|操作するインスタンスの識別子を指定|  
    |--db-snapshot-identifier|作成するスナップショットの識別子を指定|  


## 2 Level2 単純な操作をCLIでコード化してみる

### 2.1 セキュリティグループの作成、インバウンドルールの追加／削除  

この章からは複数のコマンドを組み合わせて実行してみます。  
最初はSecurity Groupの作成です。Security Groupを作成する場合は、以下の２つのコマンドを順番に実行します。

1. セキュリティグループ自体を作成するコマンド
2. ２つ目はインバウントルール／アウトバウンドルールを作成するコマンド

では、順を追って見ていきましょう。  

- Security Groupを作成する  
    使用するコマンド：  
    aws ec2 create-security-group  

    |引数|設定値|  
    |:---|:---|  
    |--group-name|セキュリティグループ名|  
    |--description|セキュリティグループの説明（日本語不可）|  
    |--vpc-ids|セキュリティグループを作成するVPCのID|  
    |--tag-specifications|タグを設定する。指定する場合は、ResourceTypeに「設定するリソースのタイプ」、Tagsに「タグ名／値のセット」を指定するようjson形式で記述する。<br>例：Nameタグに「test」と設定する。 <br>「ResourceType=security-group」と「Tags=[{Key=Name, Value=test}]」を組み合わせて、"ResourceType=security-group,Tags=[{Key=Name, Value=test}]"と指定|    
<br>

- インバウンドルール／アウトバウンドを追加する  
    使用するコマンド：  
        aws ec2 authorize-security-group-ingress(インバウンドルール)   
        aws ec2 authorize-security-group-egress(アウトバウンドルール)

    - オプション

    |引数|設定値|  
    |:---|:---|   
    |--group-ids|セキュリティグループのID|  
    |--ip-permissions|各設定値（後述する「protocol」、「port」、「source-group」等に該当する値）をjson形式で指定する場合に使用|  
    |--protocol|プロトコルを「tcp」,「udp」、「icmp」の中から指定|  
    |--port|ポート番号を指定。範囲指定する場合は「xx-yy」のように「-（ハイフン）」を間に挟んで指定|  
    |--cidr|送信元／送信先をIP範囲で指定する場合に使用|
    |--source-group|送信元／送信先をセキュリティグループで指定する場合に使用|  
    
    <br>

    - ip-permissions

    |引数|設定値|  
    |:---|:---|  
    |FromPort|許可するポート番号の最小値。すべてを許可する場合は-1を指定|  
    |ToPort|許可するポート番号の最大値。すべてを許可する場合は-1を指定|  
    |IpProtocol|プロトコルを「tcp」,「udp」、「icmp」の中から指定|  
    |UserIdGroupPairs|送信元／送信先をセキュリティグループで指定する場合に使用。セキュリティグループを特定する情報（UserId、GroupName、GroupId,VPCIDなど）と説明（Description）のセットで指定。|  
    |IpRanges|送信元／送信先をIPv4の範囲で指定する場合に使用。IP範囲（CidrIp）と説明（Description）のセットで指定|  
    |Ipv6Ranges|送信元／送信先をIPv6の範囲で指定する場合に使用。IP範囲（CidrIpv6）と説明（Description）のセットで指定|  
    |PrefixListIds|送信元／送信先をマネージドプレフィックスで指定する場合に使用。マネージドプレフィックスのID（PrefixListId）と説明（Description）のセットで指定|  

<br>

ここまでで、Security Groupのを作成は完了です。しかし、一度作成したルールを変更したい、といったケースもありますので、次は変更方法を見ていきます。  

- インバウンドルール／アウトバウンドを変更する  
    インバウンドルールやアウトバウンドを変更する場合は、一度ルールを削除して再作成を行います。  

    1. 既存のルール削除  
        使用するコマンド：  
            aws ec2 revoke-security-group-ingress（インバウンドルール）  
            aws ec2 revoke-security-group-egress（アウトバウンドルール）  

        オプション:  
            「--group-id」または、「--group-name」は必須。セキュリティグループを１つに限定するために、「--security-group-rule-id」あるいは、「ip-permissions」「-protocol」「--port」「--cidr」を用います。

        |引数|設定値|  
        |:---|:---|    
        |--group-ids|セキュリティグループのID|  
        |--group-name|セキュリティグループ名|  
        |--security-group-rule-id|セキュリティグループルールのID|  
        |--ip-permissions|インバウンドルール／アウトバウンドを追加の時と同じ|  
        |--protocol|インバウンドルール／アウトバウンドを追加の時と同じ|  
        |--port|インバウンドルール／アウトバウンドを追加の時と同じ|  
        |--cidr|インバウンドルール／アウトバウンドを追加の時と同じ|  
        |--source-group|インバウンドルール／アウトバウンドを追加の時と同じ|  

    <br>

    2. 修正後のルールを作成  
        「インバウンドルール／アウトバウンドを追加する」を参照

最後におまけとして不要になったSecurity Groupを削除するコマンドを紹介します。  

- セキュリティグループの削除する  
    使用するコマンド:  
        aws ec2 delete-security-group　　
    

    オプション:  
     
     |引数|設定値|  
     |:---|:---|    
     |--group-id|セキュリティグループのID|  


### 2-2 関連付けされてないEIPの検索と解放  

次は、関連付けされていないEIPを解放する手順を考えてみます。    
コンソールで実行するときと同じで、関連付けられていないEIPの検索し、検索対象となったEIPを解放します。

- 関連付けされてないEIPの検索  
    使用するコマンド:  
        aws ec2 describe-addresses  

    ※使い方は「1-1 CLIでリソース情報を取得してみる」を参照  
    
    ポイントはどうやって「関連付けされていないEIP」を見分けるかです。見分けるために必要な情報を選択して表示するようにしてみましょう。
  
「関連付けされていないEIP」が見つかったら、該当のEIPを解放するコマンドを実行します。  

- EIPの解放する  
    使用するコマンド:  
        aws ec2 release-addresses  

    オプション:  

    |引数|設定値|  
    |:---|:---|  
    |--allocation-id|EIPに割り当てられたID|  

### 2-3 AMIの作成、削除  

今後は、起動中のEC2のAMIを作成したり、不要になったAMIの削除を行ってみましょう。  

- AMIを作成する  
    使用するコマンド：  
    aws ec2 create-image

    オプション:  

    |引数|説明|  
    |:---|:---|  
    |--instance-id|操作するインスタンスのIDを指定|  
    |--no-reboot<br>--reboot|AMI作成時に再起動するかどうかを指定|  
  
  <br>

次にAMIの削除を行います。ただし、AMIを削除する前に『削除対象のAMIがどのスナップショットに関連付けられているか』を必ず控えておいてください。  

- AMIを削除する  
    使用するコマンド：  
    aws ec2 deregister-image

    オプション:  

    |引数|説明|  
    |:---|:---|  
    |--image-id|操作するAMIのIDを指定|  
  
<br>

最後にAMIが関連付けられたスナップショットを必ず削除しましょう。（コンソールでだとAWS側で対応してくれますが、スナップショットが残ってしまうと課金の対象となります。）  
この時、削除対象のスナップショットを指定するために、スナップショットのIDが必要です。AMIを削除する前に控えておいた内容はここで使用します。

- スナップショットを削除する  
    使用するコマンド：  
    aws ec2 deregister-image

    オプション:  

    |引数|説明|  
    |:---|:---|  
    |--snapshot-id|操作するスナップショットのIDを指定|  




### 2-4 RDSのリストア手順

最後に、RDSのリストア手順を考えてみましょう。  
実際の環境では、RDSの自動バックアップや、AWSバックアップによるスナップショットからの復元と、障害発生したRDSの停止のみかもしれませんが、今回は別のシナリオを考えてみました。  

想定するケースは以下の通り。  
- マルチAZにおいて複数のインスタンスが稼働中
- インスタンス間はレプリケーションされており、リアルタイムでデータは同期されている    
- 稼働中のうち、1台に障害は発生したため、正常な状態の別インスタンスからデータを復元する  

このケースでは、実行すべき手順は以下の4つです。

1. 正常なインスタンスからスナップショットを作成
2. 異常が発生したRDSのインスタンス名を変更  
3. スナップショットより元の名前でインスタンスを作成
4. 新しいインスタンスの稼働を確認後、2.のインスタンスを停止  

では、手順が明確になったところで、それぞれの処理を見ていきましょう。


1. 正常なインスタンスからスナップショットを作成
    使用するコマンド：  
    aws rds create-db-snapshot

    オプション:  

    |引数|説明|  
    |:---|:---|  
    |--db-instance-identifier|操作するインスタンスの識別子を指定|  
    |--db-snapshot-identifier|作成するスナップショットの識別子を指定|  
    
    <br>

2. 異常が発生したRDSのインスタンス名を変更  
   使用するコマンド：  
    aws rds modify-db-instance

    オプション:  

    |引数|説明|  
    |:---|:---|  
    |--db-instance-identifier|現在の名前|  
    |--new-db-instance-identifier|新しい名前|  
    
    <br>
3. スナップショットより元の名前でインスタンスを作成  
     使用するコマンド：  
    aws rds restore-db-instance-from-db-snapshot

    オプション:  

    |引数|説明|  
    |:---|:---|  
    |--db-instance-identifier|操作するインスタンスの識別子を指定|  
    |--db-snapshot-identifier|作成元のスナップショットの識別子を指定|  
    |--db-instance-class |インスタンスクラス(t3.microなど)を指定|
    |--multi-az <br> または<br> --no-multi-az|マルチAZにするかどうか。今回のシナリオではシングルで立ち上げたいので「--no-multi-az」とします。|
    
    <br>
4. 新しいインスタンスの稼働を確認後、2.のインスタンスを停止  
    使用するコマンド：  
    aws rds stop-db-instance  

    オプション:  

    |引数|説明|  
    |:---|:---|  
    |--db-instance-identifier|操作するインスタンスの識別子を指定|   




## 3. CloudFormationを用いてリソースを作成してみる

この章では、CloudFormationを用いてリソースを作成する手順を学んでいきます。  
前提として、今回作成する構成と、CloudFormationの基本構成を紹介していきます。  

### 前提　

今回、作成するものは基本的なEC2、RDSを持つ構成です。

【作成するもの】  
- VPC(インターネットゲートウェイ、パブリックサブネット×２，プライベートサブネット×2、NATゲートウェイなし、S3エンドポイントなし) 

- EC2×１（EIPあり、Keypairあり、パブリックサブネットに配置）  

- RDS×1(プライベートサブネットに配置)  
<br>


次に、CloudFormationの基本構成の紹介です。  
CloudFormationは大きく分けて以下のような構成を持たせます。  
  
【CloudFormationの基本構成】  

|必須／任意|構成要素|入力するもの|  
|:---|:---|:---|  
|任意|AWSTemplateFormatVersion|テンプレートのバージョン。現状は'2010-09-09'で固定。|  
|任意|Description|スタックの説明|  
|任意|Parameters|スタックを作成する際に、手で入力する変数|  
|必須|Resources|スタックで作成するリソースの定義<br>【設定項目】<br>リソース名：同じソース内でかぶりのない名前<br>タイプ(Type)：定義するリソースのタイプ（VPC、EC2といった各種リソースや、ルートテーブルを関連付けるといった操作）<br>Properties:リソースの詳細設定|  
|任意|Confition|実行する条件。例えば、特定のリージョンのみで実行を許可するなど。|  
|任意|Outputs|スタック作成が成功した際に出力画面に表示する値。複数のテンプレートを使用する際、後続のテンプレートで使用するリソースIDを出力するなど|  

Resourcesの例   
```yaml::Example.yaml
    リソース名:
        Type:　AWS::EC2::VPC
        Properties:
            ・・・
```



### 3-1. VPCを作成する  

最初にVPCを作成するためのCloudFormationテンプレートを作成します。  
いきなりAIに書かせてもいいですが、基本的な構造を理解しておくとAIが書いたソースが理解しやすくなります。ポイントは「コンソールで作成する手順と同じ」です。  

普段、コンソールでVPCを作成される際に、  

 - どういったリソースを一緒に作成するか
 - それらのリソースを作成に付随して「どういった操作」をしているか  

 をイメージするとよいでしょう。イメージした手順をCloudFomationのテンプレートにそのまま落とし込んでいくとテンプレートの理解が深まると思います。  

VPC作成時に必要な手順:
- VPC作成
- サブネット作成  
- インターネットゲートウェイを作成
- インターネットゲートウェイをVPCにアタッチ
- ルートテーブル作成  
- インターネットゲートウェイへのルートをルートテーブルに追加
- ルートテーブルとサブネットを関連付ける  

以下は、追加要素がある場合に作成
- NAT作成　※NATを設置する場合
- NATにEIPを割り当てる　※NATを設置する場合 
    ※より細かく言えば「EIPを取得する」、「EIPをNATに関連付ける」に分解される  
- NATへのルートをルートテーブルにを追加する  ※NATを設置する場合
<br>

- ゲートウェイ型のS3エンドポイントを作成 ※S3エンドポイントを設置する場合  
- S3エンドポイントへのルートをルートテーブルにを追加する ※S3エンドポイントを設置する場合  
  
  

上記を考慮しつつ、yamlを意識した構成で書いてみます。  
↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓
```yaml::VPC作成.yml 
AWSTemplateFormatVersion: '2010-09-09'  
Resources:  
        <作成するVPCの定義>:  
            ・・・
        
        <パブリックサブネット1の定義>:
            ・・・
        
        <パブリックサブネット2の定義>:
            ・・・
        
        <プライベートサブネット1の定義>:
            ・・・
        
        <プライベートサブネット2の定義>:
            ・・・

        <インターネットゲートウェイの定義>:
            ・・・
        
        <インターネットゲートウェイをVPCにアタッチ>:
            ・・・
        
        <パブリックサブネット用のルートテーブルの定義>:
            ・・・
                
        <プライベートサブネット用のルートテーブルの定義>:
            ・・・
        
        <パブリックサブネット用のルートテーブルをサブネットに関連付ける>:
            ・・・
                
        <プライベートサブネット用のルートテーブルをサブネットに関連付ける>:
            ・・・

```

### 3-2. EC2を作成する

次に、CloudFormationテンプレートを用いてEC2を作成してみましょう。考え方はVPCの時と同じです。コンソールでどう作成されるかをイメージし、CloudFormationのテンプレートに落とし込んで行きます。　　

EC2作成時に必要な手順:  
- セキュリティグループ作成  
- EC2作成  

※以下は必要に応じて実施
- EIPを取得 ※外部ネットワークから接続する場合  
- EIPをEC2に関連付ける ※外部ネットワークから接続する場合  
- キーペアの作成 ※ssh,rdpなどで接続する場合  
- キーペアの設定 ※ssh,rdpなどで接続する場合。EC2の作成時に設定  

  
  
上記を考慮しつつ、yamlを意識した構成で書いてみます。    
↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓
```yaml::VPC作成.yml 
AWSTemplateFormatVersion: '2010-09-09'  
Resources:
    <ECインスタンスの定義>:
        ・・・

    <セキュリティグループの定義>:
        ・・・

    <EIPの定義>:
        ・・・
    
    <EIPをEC2インスタンスに関連付ける>:
        ・・・
```

### 3-3. RDSを作成する  
最後に、CloudFormationテンプレートを用いてRDSを作成してみましょう。まずはRDSを作成する際にどういった手順を踏むかを整理します。
　　　　

RDS作成時に必要な手順:  
- セキュリティグループ作成    
- サブネットグループ作成  
- RDS作成  
  

※以下はデフォルトを使わない場合に作成
- オプショングループ作成
- パラメータグループ作成    
  
  
上記を考慮しつつ、yamlを意識した構成で書いてみます。   
↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓
```yaml::VPC作成.yml 
AWSTemplateFormatVersion: '2010-09-09'  
Resources:
    <サブネットグループの定義>:
        ・・・

    <セキュリティグループの定義>:
        ・・・

    <RDSの定義>:
        ・・・
```

### 【番外編】EventBridgeによる自動通知

番外編として、実際の業務で依頼された内容を少し紹介します。  
依頼された内容は、CloudTrailや、SecurityHubなどが検知した内容をSNSで関係者に通知する仕組みを作るといったものです。  
構築する手順に落としていくと以下のようになります。  

EventBridgeので通知を作成する際の手順:  
- SNSトピックを作成する  
- SNSにサブスクリプションを作成  
- EventBridgeでCloudtralイベントを検知し、SNSに通知する仕組みを作る  
  
※メールの通知内容を修正する場合は以下の設定も合わせて実施
- EventBridgeでSNSに通知内容を加工する  


## 4. CDKを使ったインフラ構築　（編集中）

### 4-0-1. 環境準備  

最低限インストールすもの
- Node.js  
  Node.jsの公式サイトよりダウンロードして、インストールする。　

> https://nodejs.org/ja  

<br>

- CDK
Node.jsをインストール完了したら、「Node.js」で動作するCDKパッケージをインストールします。  
コマンドプロンプト（Powershell）を立ち上げてコマンドを実行
※Node.jsのインストール時に付随していた場合は上書きになる

  ```shell::Node.jsのCDKパッケージをインストール
  npm install -g aws-cdk
  ```  

- CLI  
  AWS公式からCLIをインストールしておきましょう。  

  インストールが終わったら、認証情報を設定しておく。(非推奨)  
    1. AAWSコンソールにて、IAMの画面に遷移する
    2. 使用するユーザ名を選択し、認証情報でアクセスキーを作成をクリック
    3. なんやかんややってアクセスキーを作成（※このタイミングを逃すとダウンロードできなくなる）  
    == こっからはコンソール外での作業 ==
    4. プロンプトを開き設定用のコマンドを打つ  
    
        aws configure  

    5. ダウンロードしておいたアクセスキーをとかを打ち込む

  <br>

  SSOを使う方法はこのあたり参照  
  1. AWS Organizationsを有効にする  
  2. IAM Identity Centerを有効にしてユーザを追加  

  > https://zenn.dev/kyonaka/articles/8a9ce3fc205334 

  3. CLIでSSOで認証情報を設定する  

  > https://zenn.dev/fez_tech/articles/fec83b79c44ff1  

  4. 以降「--profile <設定したプロフィール名>をつけてコマンドを実行  

  <br>


必要に応じてインストールするもの  

- Pythonなど、使いたい言語  
  言語によって異なるので割愛します。  

  > 参考：https://docs.aws.amazon.com/ja_jp/cdk/v2/guide/work-with.html  
  
  Javascriptを拡張したTypescriptでコーディングするのが一般的のよう？
  

 - VsCode  
    コード開発に便利な統合環境。Windowストアや、公式URLからVscodeをインストールします。  
    インストール語に、パスの設定と、CDK開発用の拡張機能をいくつかインストールしておきましょう。  

    - パスの設定  
    Node.jsが正しくインストールされていれば追加設定不要のはず。  
    もしVSCodeを開いていた状態で、Node.jsをインストールしていたらVSCodeを再起動してみましょう。  

    - 拡張機能  
      便利な拡張機能をいくつか紹介します。   

      |拡張機能|概要|  
      |---|---|  
      |AWS tools|CDK、CLIなどAWSのIaC環境をサポートするための機能|  
      |AmazonQ developer|AWSが提供しているAIによるコード作成支援。使用するにはBuilderIDでの認証あるいはIAMユーザでの認証が必要。個人で試す分には、BiulderIDを作成するのもあり|  
      |GitHub copilot|GitHubのリポジトリと同期してファイルを管理する際に使用。Copilotとも連携しているので、チャットで質問して、回答されたコードをファイルやコマンドラインに直接流し込める。<br>ただし、GitHubアカウントがあって、GitHubのデスクトップアプリをインストールしている人に限る|
      |Japanese Language Pack for VS Code|メニューなどを日本語化する拡張機能|


## 4-0-1. プロジェクト作成

環境準備が整ったらCDKの開発するフォルダを作っていきます。 
ここからはコマンドをばりばり書くので、一つずつ意味を覚えていきましょう。

ステップとしては次の二つ。
  1. フォルダを用意する  
  2. フォルダ内にプロジェクトで必要な構成を作成する  

うち、2.はCDKのコマンドで作成でできます。　　

- フォルダを作成する。  
ドキュメント見るとコマンド（mkdir <フォルダ名>）でサクッと作ってますが、Window環境でコマンド苦手という人はエクスプローラを立ち上げて、手で作ってもOKです。

- フォルダ内にプロジェクトで必要な構成を作成する  
こちらはさすが手作業は無理があるので、コマンドプロンプトやPowerShellを使いましょう。  
Linux環境や、VScode上で操作しているなら、ターミナルを立ち上げて実行するでも同じことです。
 
  コマンド:  
  ```shell::プロジェクト作成.sh
  cd <プロジェクト用に作成したフォルダのパス>
  cdk init sample-app --language typescript # TypScriptの場合
  cdk init app cdk init app --language python #Pythonの場合
  # 「app」の部分を「sample-app」にするとsnsやsqsを作るサンプルコードがついてきます。
  ```

作成される構成はこちら。  

- フォルダ構成（Typescriptの場合）
  ```folder::Typescriptのフォルダ構成
    /<プロジェクトを作ったフォルダ>/
        ├── bin/  
        │   └── typescript.ts 👈 スタック定義を読み込んであれやこれするファイル
        ├── lib/ 👈 スタックを定義していくフォルダ
        │   └── typescript-stack.ts　👈 スタック定義の実体を書くファイル
        ├── test/ 👈 テスト？？
        │   └── typescript.test.ts　
        ├── package.json 👈 プロジェクトファイルの環境設定
        └── ...
      ※他は割愛  
  ```

- フォルダ構成（Pythonの場合）
  ```file::pythonのフォルダ構成
    /<プロジェクトを作ったフォルダ>/
        ├── python/  👈 スタックを定義していくフォルダ
        │   ├── __init__.py 👈 配下のファイルを他のファイルから読み込めるようにするために必要なファイル。
        │   ├── python_stack.py 👈 スタック定義の実体を書くファイル
        │   └── ...
        ├── app.py 👈 スタック定義を読み込んであれやこれするファイル
        ├── cdk.json 👈 プロジェクトファイルの環境設定
        └── ...
      ※他は割愛  
  ```

  「\_\_init\_\_.py」の詳細も割愛します。詳しく知りたい人は以下のサイトなどを参照してください。
  > https://qiita.com/msi/items/d91ea3900373ff8b09d7

<br>
  
コードを書く際に最低限気にしないといけないのは以下の3つです
1. スタック定義の実体を書くファイル (typescript-stack.ts, python_stack.py) 
  手っ取り早くリソース定義を書きたい人はこのファイルだけ編集すればOKです。  
  class～と書いているまとまりにリソースの定義を追記していきましょう。  
  <br>
  class～の後に続く名前が気に食わないから名前変えてしまえ、  
  とか、  
  リソースが増えてきたし定義を分けてしてしまえ、  
  と思った人は、この次に紹介するファイルも修正してください。  

2. スタック定義を読み込んであれやこれするファイル (typescript.ts, app.py)  
  一部のCDKを実行する際に一番最初に呼び出されるのがこのファイルです。  
  このファイルは、大雑把に言うと以下の3つで構成されています。  

    - CDK環境の初期化
    - スタック定義の実体を書いたファイルを読み込む
    - CloudFormationのテンプレートを作成する

  
    「スタック定義の実体を書いたファイルを読み込む」の際に、そのファイル内で定義した名前を使います。 
    定義した名前を変えると呼びす名前が変わるので修正が必要です。  
    定義を分割すると、複数の名前で呼び出しをかける必要があるので、こちらも修正が必要です。  

    逆に言ってしまえば、スタック定義の実体を書いたファイルを読み込「こまず」、直接定義を書いてしまえば、このファイルだけでよい。ただし、1つにまとめてしまうと管理面でリスクがあるので推奨はされていない。  

    - 1つの変更が全てのリソースに影響を与えてしまったり
    - 単純にソースが長すぎて読みづらかったり
    - 変更箇所がわかりずらかったり
    - ・・・  


    デフォルトで作成した名前（app.pyやtypescript.ts）が気に食わないから変えてしまえ、とか  
    ここに置いていくなんてセンスがないな。別の階層に入れてしまえ、とか思った人は次のファイルを修正が必要です。  

    

  3. プロジェクトファイルの環境設定(package.json, cdk.json)  
    CDKのコマンドを実行した際に読み込まれるのがこのファイルです。このファイルの中に「このプロジェクトフォルダで最初に呼び出すのはこいつだ」という設定が含まれています。  
    そのため、呼び出すファイル名が変われば即修正です。  
    また、呼び出すファイルの置き場所を変えても即修正です。

  <br>
  <br>


ちなみに、CloudShellを使ってプロジェクト環境を作ってもよいです。  「Node.js」、「CDK」などがそろっていたので。（さすが公式）  
ただし、VSCodeなどでコードとは連携できない（できんのかな？）ので、VSCodeで編集したファイルは実行都度CloudShell上にをアップロードする必要があります。  
（メンドクサイネ👍）  

<br>

最後に、CDKで使用したいコマンドだけ覚えてかえりましょう。
  
 - コマンド  

    > 参考：
    > https://qiita.com/aomidro/items/3e3449fde924893f18ca  
    

  |コマンド|内容|
  |---|---|
  |最初に1回だけ実行すればよいもの|> |
  |cdk init app cdk init app --language <開発する言語><br>または<br>cdk init app cdk init sample-app --language <開発する言語>|コマンドを実行したフォルダ内に指定した言語での実行環境を作ります。<br>「sample_app」場合は差サンプルコードもついてくる。<br>プロジェクトを始めるときに1回だけ実行すればよし|
  |cdk acknowledge \<id\>|よくある「通知をオフにしたいならこちら」的なコマンド。コマンドを打つたびに表示される紹介文を次から非表示にできる。|
  |以下は環境ごとに1度実行。認証情報など、実施環境に変更があれば再その都度再実行する|> |
  |cdk bootstrap <br>または<br>cdk bootstrap aws://<アカウントのID>/リージョン|認証したAWS環境に対し、CDKの実行に利用するIAMロールやS3バケットを作成。<br>（準備にCloudformationを使っているので、少なくとも、CroudFromation,IAM、S3の権限があるユーザでないと実行できない？）|
  |こっから下は都度使用するもの。<br>コマンドプロンプトが「cdk.json」と同じ階層を参照している際に使用できる|> |
  |npm run build|【Typescript（Node.jsとかも？）で利用可】<br>Javascriptにコンパイルする|
  |pm run watch|Typescript（Node.jsとかも？）で利用可】<br>変更履歴やコンパイルの履歴を表示する？|
  |npm run test|リソース作成のテスト|
  |cdk ls|アプリ内のすべてのスタックを一覧表示。|
  |cdk synth (スタック名)|書いたコードで作成されるCloudFormationテンプレートを出力する。本番適応前にコードの記載内容が構造的に問題ないことを確認するために使用する。|
  |cdk deploy (スタック名)|コードで書いたリソースを実際にAWSに作成する。デプロイとは本番に適応するという意味の開発用語。<br>スタック名を省略したらプロジェクト全体を対象に実行する。|
  |cdk deploy (スタック名)　--watch <br> cdk watch|デプロイの引き金となるコードの変更を監視する<br>スタック名を省略したらプロジェクト全体を対象に実行する。|
  |cdk destroy (スタック名)|スタックを削除する。<br>スタック名を省略したらプロジェクト全体を対象に実行する。|
  |cdk diff (スタック名)|過去に本番適応されたスタックと現在のスタックの差分を比較する<br>スタック名を省略したらプロジェクト全体を対象に実行する。|
  |cdk docs|困ったときは公式ドキュメントを開いてみよう（余計にわからんくなりそう）<br>スタック名を省略したらプロジェクト全体を対象に実行する。|

### 4-1. 基本概念  

- 構造化  

|レベル|概要|
|---|---|
|L1|最小単位のリソースを定義する。作成する細かさとしてはCloudfamationのリソース定義を1対1の関係にある。呼び出すAPIはすべて頭にCfn（あるいはcfn）がつく。|  
|L2|関連リソースを1つのまとまりで定義する。（例えばVPCであれば、VPC、サブネット、ルートテーブル、NAT、インターネットゲートウェイ、EIPなどをまとめて定義）|
|L3|（調査中）|  


- コード化の流れ  
 
 1. コードを記載
    テキストエディアや、開発ツールでファイルを作成し、コードを記載してします。  
    
    【ソース(TypeScript)】  
    読み出し元:  
    ```Typescript::サンプルコード_読み出し元.ts
    // CDK全体をインポート
    import * as cdk from 'aws-cdk-lib';

    // スタックを定義したパッケージをインポート
    //「/lib/typescript-stack」て場所にある、「TypescriptStack」という定義を持ってくるという意味
    // 前者がファイルパスで、後者がコード上のスタックの定義名（クラス名）です。
    import { TypescriptStack } from '../lib/typescript-stack';
    
    //　下準備
    const app = new cdk.App();
    
    # スタックの定義を読み込む
    new TypescriptStack(app, 'TypescriptStack');
    ```  
    <br>  

    スタック定義:  
    ```Typescript::サンプルコード_スタック定義.ts
    // 必要なライブラリをインポート
    import { Duration, Stack, StackProps, RemovalPolicy } from 'aws-cdk-lib';
    import { Construct } from 'constructs';
    
    import * as s3 from 'aws-cdk-lib/aws-s3';
    ・・・

    //　スタック定義しますよっていう宣言
    export class TypescriptStack extends Stack {
        // この辺はお作法的なやつ
        constructor(scope: Construct, id: string, props?: StackProps) {
        super(scope, id, props);
    
         // 実体を作成
        const s3Bucket = new s3.Bucket(this, "<識別名>", {・・・}))
        const vpc = new ・・・
        const ec2 = new ・・・

        //　作るだけならこんな書き方でもOK
        new s3.Bucket(this, "<識別名>", {・・・})
    ```  
    <br>  

    【ソース(Python)】  

    読み出し元：  
    ```python::サンプルコード_読み出し元.py
    import os
    # CDK全体をインポート
    import aws_cdk as cdk
    # スタックを定義したパッケージをインポート
    #「python.python_stack」て場所にある、「PythonStack」という定義を持ってくるという意味
    # 前者は「.」を「/」に読み替えてファイルパス、後者がコード上のスタックの定義名（クラス名）です。
    from python.python_stack import PythonStack
    #下準備
    app = cdk.App()
    # スタックの定義を読み込む
    PythonStack(app, "<スタック名>", )
    #テンプレート生成
    app.synth()
    ```  
    <br>  

    スタック定義： 
    ```python::サンプルコード_.py
    # 必要なパッケージをインポート
    from aws_cdk import Stack
    import aws_cdk.aws_s3 as s3
    ・・・

    from constructs import Construct
    # スタックを定義しますよっていう宣言
    class PythonStack(Stack):
    # この辺はお作法的なやつ
    def __init__(self, scope: Construct, construct_id: str, **kwargs) -> None:
        super().__init__(scope, construct_id, **kwargs)
        # スタック定義の実体を書く
        S3 = s3.Bucket(self, "<識別名>", {・・・})
        VPC = ・・・
        EC2 = ・・・
    ```
    <br>

 2. 検証
    作成したコードについては以下の観点で検証を行います。

    - 「構造的に」正しいコードが記載されているか  
        この段階はあくまで「コードが実行できる形になっているか」という確認です。  
        実行した結果が意図したものになるかを保証するものではありません。

        【確認できること】
        - パッケージ等の名称を打ち間違えていない
        - 作成中のプログラム言語のお作法にのっとって記載されているか
        - パッケージの呼び出しに必要な情報が記載されているか  
        - パッケージの呼び出し方があっているか  
        など 


    - 「設定する値を」正しく記載できているか  
        実際に作成しようとする「設定値」があっているかを確認します。

        - 新規の場合:  
            「cdk synth」コマンドを使ってCloudformationのテンプレートに変換できることを確認してください。  
            テンプレートが表示されないなら、コードの記述がどこか間違えています。  
            欲を言えば、生成されたCloudFormationのテンプレートを見て、各設定値が間違っていないことを確認してください。  

            調べきれてないので割愛しますが、言語ごとにテスト用のコードを記載して実行する、といった手段も取れるようです。  

        - 変更の場合：   
             「cdk diff」コマンドを使って、変更すべき点が差分として表示されることを確認してください。  
             もし、意図してない変更箇所が表示されていたらデプロイしないでください。  
        
        - 削除の場合：  
            「cdk destroy」でCloudformationのスタックを削除します。
            削除コマンドを打つ際は「スタックを指名して」実行することをお勧めします。どういった名前のスタックがあるかは「cdk ls」コマンドで確認しましょう。  

            また、スタックを削除した後は、<span style="color:red;">「リソースが削除されたか」</span>も確認してください。  
            S3など、リソースによってはデフォルト設定がスタックを削除してもリソースは削除しない設定になっています。確実にリソースを削除する場合は、「removal_policy」のパラメータを明示的に「RemovalPolicy.DESTROY」にするようにましょう。  
            そうしないとデプロイやデストロイを繰り返すたびに不要なリソースが残り続けることになります。

<br>

3. AWS環境に実装（デプロイ／デストロイ）  
    作成するスタックの検証が終わればAWS環境に実装します。  
    実装作業はコマンドで行うため、コマンドプロンプトやターミナル上での操作となります。コマンドについては後ほど紹介します。つづりが似ているので間違わないように。間違ってデストロイ（削除）のコマンドを売った場合は、コマンド実行後に表示される確認のメッセージで「n」と売ってキャンセルしてください。  

    細かいことを言えば、コマンドを打てば即座にリソース作成／削除を開始するわけではありません。  
     - コード化したものをCloudFarmationテンプレートに変換
     - CDK用のS3にテンプレートをアップロード
     - CloudFormationにテンプレートをアップロードしてスタックを作成
     - スタックが処理される過程で各リソースの作成／変更が行われる  
     といった手順を踏みます。デストロイの場合も、Cloudformation上のスタック削除を仲介してリソースの削除を行います。  

    <br>

    デプロイ（作成・変更）コマンド:  
    ```shell::deploy.sh
    cdk deploy #プロジェクト全体
    cdk deploy <スタック名> #<スタック名>で指定したスタックのみ
    ```
    <br>
    
    デストロイ（削除）コマンド:  
    ```shell::destroy.sh
    cdk destroy #プロジェクト全体
    cdk destroy <スタック名> #<スタック名>で指定したスタックのみ
    ```




### 4-2. まずはL2で試してみよう  

> 公式リファレンス：https://docs.aws.amazon.com/cdk/api/v2/

- S3を作ってみる 
    第一歩としてS3バケットを作成してみましょう。 

    まずは、CDKを呼び出すために必要なパッケージ等を表にまとめます。  


    【必要なパッケージなど】  

    |Typescript|python|概要|
    |---|---|---|
    |aws-cdk-lib|aws_cdk|CDK全体をまとめたパッケージ|
    |aws-cdk-lib/Stack|aws_cdk.Stack|各パッケージを呼び出すためのお作法で必要なもの|
    |constructs/Construct|constructs.Construct|各パッケージを呼び出すためのお作法で必要なもの|
    |aws-cdk.aws-s3|aws_cdk.aws_s3|S3のスタックを定義するためののパッケージ群|
    |aws-cdk-lib/RemovalPolicy|aws_cdk.RemovalPolicy|スタック削除時にリソース削除するかどうか決める値の定義|  

    <br>
  
    次にコードを書いてみましょう。 とりあえず動かしたいだけなので、呼び出し元（typescript.tsやapp.py）は変更せず、スタック定義を書いたソースのみを編集します。

    ソースに追加しないといけないのは、2点のみ。
    - 必要なパッケージ等を読み込む処理
    - 作成するS3の定義

    S3に関しては、「バケット名」と、「スタック削除時のリソース削除する指定」だけ渡しておきます。
    <br>

    Typescript:  
    ```typescript::s3.ts
    const s3Bucket = new s3.Bucket(this, "<識別名>", {・・・}))
                                                      ↑バケット名等はこの部分でを指定します  
    ```  
    <br>

    Python:  
    ```python::s3.py
    S3 = s3.Bucket(self, "<識別名>", {・・・})  
                                    　↑バケット名等はこの部分でを指定します  
    ```  
    <br>  

    気を付けないといけないのは、「<識別名>」と「作成されるリソースの名前」は別物だということです。    
    「<識別名>」がCloudFormation上で、どのリソースかを識別するものです。  
    一方で｛｝で記載する内容は、作成するリソースの設定値に反映します。  
    よって、｛｝内できちんと名前をつけないと、お前誰やねんて名前のS3が出来上がります。

    <br>  
    <br>  

- VPCを作ってみよう  

    まずは基本構造のVPCを作成してみましょう。
    作成するものは3と同じこの構成です。  
    
    > VPC(インターネットゲートウェイ、パブリックサブネット×２，プライベートサブネット×2、NATゲートウェイなし、S3エンドポイントなし)  

    VPCのリソースを作成するには、「aws_ec2」にある「ec2.vpc」のパッケージを使用します。


   Python:  
    ```python::s3.py
    import aws_cdk.aws_ec2 as ec2
    -- 中略 --
            vpc = ec2.vpc(self, "<識別名>", {ip_addresses=ec2.IpAddresses.cidr("<CIDR>"),・・・})  
    ```  

    極端な話、vpcのCIDRのみを渡せば、このパッケージはVPCを作成してくれます。
    ただし、作成されるのはVPCのみではありません。  
    「cdk synth」でクラウドフォーメーションのテンプレートから、自動生成されるリソースを抜き出してみます。  
    ざっと見た通り「NATgateway」、「Lamdba」が含まれています。少なくとも「NAT」が今回の要件にないため、
    作成しないように制御が必要です。

    【デフォルトで作成されるリソース】
    - AWS::EC2::VPC × 1
    - AWS::EC2::Subnet × 4
    - AWS::EC2::RouteTable × 4
    - AWS::EC2::EIP × 2
    - AWS::EC2::NatGateway × 2
    - AWS::EC2::InternetGateway × 1
    - Custom::VpcRestrictDefaultSG × 1
    - AWS::IAM::Role × 1
    - AWS::Lambda::Function × 1  
    
    【リソースに関する操作】
    - AWS::EC2::VPCGatewayAttachment × 1
    - AWS::EC2::SubnetRouteTableAssociation × 4
    - AWS::EC2::Route × 4  
    
    【その他】
    - AWS::CDK::Metadata × 1
    
    <br>  
    
    余分なものを作成しないために、以下の引数に着目しましょう。  

    【引数（一部抜粋）】 

    |Typescript|Python|概要|
    |---|---|---|
    |vpcName|vpc_name|VPCにつけるNameタグを設定※スタック識別子とは別|
    |ipAddresses(cidr)|ip_addresses(cidr)|VPCのCIDR。ipAddressesはcdk_ec2の構造体で指定が必要。cidrの場合は値を直接指定。<br>ただし、cidrは今後廃止予定らしいので、ip_addressesに慣れておく方がよさそう|
    |maxAzs|max_azs|使用するAZの最大個数|
    |natGateways|nat_gateways|作成するNATゲートウェイの個数|
    |subnetConfiguration|subnet_configuration|後述するサブネットの定義を指定。[{定義１},{定義２}]といった形式で複数の定義を行うことも可能|　　

    【サブネットの定義 （一部抜粋）】   

    |Typescript|Python|概要|
    |---|---|---|
    |name|name||
    |subnetType|subnet_type|サブネットの種類を選択<br>PRIVATE_ISOLATED:プライベートサブネット(NATなし)<br>PRIVATE_WITH_EGRESSまたはPRIVATE_WITH_NAT:プライベートサブネット（NATあり）<br>PUBLIC:パブリックサブネット|
    |cidrMask|cidr_mask|サブネットのCidrのマスク（/～の部分）16～28まで指定可能|


- ALB,ターゲットグループ、EC2を作ってみよう  
最後は、ALB、EC2、ターゲットグループを作る例を見ていきます。  
VPCは前の項で作成したものを参照してください。  

    【作成するリソース】  
    - 2つのパブリックサブネットにまたぐようにALBを設定  
    - ALBに対し、HTTP（80ポート）を許可  
    - EC2を対象に取るターゲットグループを設置  
    - ターゲットグループに２つのEC2を設定
    - EC2に対し、ALBからのHTTP(80ポート)を許可  
    - ALBのリスナールールにターゲットグループを設定

    【必要なパッケージ】  
    Typescript:aws-cdk-lib/aws-ec2  
    Python:aws_cdk.aws_ec2:    
    |コンストラクト|概要|
    |---|---|
    |SecurityGroup|セキュリティグループを作成。add_ingress_ruleメソッドと使ってインバウンドルールを追加|
    |Instance|EC2インスタンスを作成|  

    
    Typescript:aws-cdk-lib/aws-elasticloadbalancingv2  
    Python:aws_cdk.aws_elasticloadbalancingv2:  
    |コンストラクト|概要|
    |---|---|
    |ApplicationLoadBalancer|ApplicationLoadBalancer|ALBを作成|
    |ApplicationTargetGroup|ターゲットグループを作成|
    |add_listener|リスナーを作成|  
    
    Typescript:aws-cdk-lib/aws-elasticloadbalancingv2-targets
    Python:aws_cdk.aws_elasticloadbalancingv2_targets:  
    |コンストラクト|概要|
    |---|---|
    |InstanceTarget|ターゲットグループに設定するターゲットを作成|


### 4-3. 次にL1で試してみよう ＜鋭意製作中＞   
次が抽象度を下げてL1で実行してみます。  
L2と比べて、CloudFormationのテンプレートに近い記載方法になります。  

|比較項目|L1|L2|
|---|---|---|
|抽象度|一つのリソースタイプに対して1つのパッケージが対応。呼び出した際に設定した値のみ反映したテンプレートを作成する。|関連リソースを1つのコマンドで実装可能（VPCであれば、VPCに付随するRoutetableなどを一緒に作成）|
|自由度|細かく値を指定できるので作成者の意図が反映しやすい|指定してなくても自動的に作成されるリソースもあるため要注意（VPCの作成でデフォルトではNATが生成される、デフォルトのセキュリティグループからインバウンド／アウトバウンドルールを削除するためおLam,dbaが作成されるなど）|
|習得難易度|高め|中程度|



- S3を作ってみる  

    【必要なパッケージ】  
      
    【指定が必須な項目】  
    これらの内容を指定する必要がある。



  
  
- VPCを作ってみよう  
    【必要なパッケージ】  
      
    【指定が必須な項目】  
    これらの内容を指定する必要がある。


まずは基本構造のVPCを作成してみましょう。
作成するものは3と同じこの構成です。  
  
> 


[振り返り]  


- CIDR拡張、サブネット／ルートテーブル追加をやってみよう  
コード化のメリットであるコードのバージョン管理や変孤高履歴

    【必要なパッケージ】  
      
    【指定が必須な項目】  
    これらの内容をJson形式の要領で指定する必要がある。

    |項目|内容|
    |---|---|
    |||


### コードの分割  

構成が複雑になると、スタック定義を行うファイルに記載するコードの量も増えてきます。  
その場合は、構成要素をまとまりごとに分けて、ファイルを分割することも可能えす。  
その場合、VPCなど、後続の処理で使用するものを引き渡せるように少し工夫をする必要があります。  

【変更箇所①】  
クラス内変数ではなく、自分自身のプロパティとしてスタックを定義する

変更前：  
```Python::変更前.py
    class sampleStackVPC(Stack):
        -- 中略 --
        vpc = ～
```  

変更後：  
```Python::変更後.py
    class sampleStackVPC(Stack):
        -- 中略 --
        self.vpc = ～
```

【変更箇所②】 
次に呼び出すスタック定義の引数でVPCのスタックを受け取れるように変更します。  

変更前：  
```Python::変更前.py
    class sampleStackALB(Stack):
        def __init__(self, scope: Construct, construct_id: str, **kwargs) -> None:
```  

変更後：  
```Python::変更後.py
    class sampleStackALB(Stack):
        def __init__(self, scope: Construct, construct_id: str, vpc: ec2.Vpc, **kwargs) -> None:
```

【変更箇所③】 
最後に呼び出し元を変更します。まず、呼び出すスタック定義が２つになるため、それぞれのスタック定義をインポートします。  
次に、それぞれのスタックを準備呼び出すように変更します。
この時、VPCを呼び出す際は戻ってきたあたりを変数に格納するようにし、次のスタック定義を呼び出す際に引数として渡すようにします。  

変更前：  
```Python::変更前.py
from python.sample_stack_vpc import sampleStackVPC

sampleStackVPC(app, "CreateVPC",)
```  

変更後：  
```Python::変更後.py
# 別々のファイルで定義したスタック定義をそれぞれ取得
from python.sample_stack_vpc import sampleStackVPC
from python.sample_stack_alb import sampleStackALB

# 後続で使用する値があるものは、変数に格納
vpcStack=sampleStackVPC(app, "CreateVPC",)
# 引数として、スタック定義を追加する
sampleStackALB(app, "CreateALB-EC2",vpcStack.vpc)
```  

<br>


この状態で、「cdk synth」や「cdk ls」を実行してみると、スタックが２つ定義されていることがわかります。  

【スタック一覧】  

```shell::スタック一覧.sh
PS C:\work\level4\firstCDK\python> cdk synth
Successfully synthesized to C:\work\level4\firstCDK\python\cdk.out
Supply a stack id (CreateVPC, CreateALB-EC2) to display its template.
PS C:\work\level4\firstCDK\python> cdk ls
CreateVPC
CreateALB-EC2
```  

複数のスタックをまとめてデプロイする場合は、「--all」オプションをつけて実行します。  

【まとめてデプロイ】  

```shell::まとめてデプロイ.sh
C:\work\level4\firstCDK\python> cdk deploy --all --profile cdk-dev
Synthesis time: 8.3s

CreateVPC
CreateALB-EC2: start: Building 092854daeec19e585df4404920ce868d8986a8b2be02818ba0f4912ba8f07321:current_account-current_region
CreateALB-EC2: success: Built 092854daeec19e585df4404920ce868d8986a8b2be02818ba0f4912ba8f07321:current_account-current_region
Stack undefined
#
# --中略
#
✅  CreateVPC

✨  Deployment time: 70.58s

Outputs:
CreateVPC.ExportsOutputRefnakatanicdkvpcCC53DC87CA166B76 = vpc-08b175154e35d6e4e
CreateVPC.ExportsOutputRefnakatanicdkvpcprivateSubnet1Subnet045C2CA29E01B9C8 = subnet-00d7f0ace21ac4108
CreateVPC.ExportsOutputRefnakatanicdkvpcpublicSubnet1Subnet63E843A1374B8481 = subnet-0ca16ac7649fc18b2
CreateVPC.ExportsOutputRefnakatanicdkvpcpublicSubnet2Subnet069E731E9BCFEC8A = subnet-084eb8beda8583ba2
Stack ARN:
arn:aws:cloudformation:ap-northeast-1:405982488975:stack/CreateVPC/9d7bed70-fd8f-11ef-b989-0666363c58e9

✨  Total time: 78.87s

CreateALB-EC2: start: Publishing 092854daeec19e585df4404920ce868d8986a8b2be02818ba0f4912ba8f07321:current_account-current_region
CreateALB-EC2: success: Published 092854daeec19e585df4404920ce868d8986a8b2be02818ba0f4912ba8f07321:current_account-current_region
CreateALB-EC2
Stack undefined
#
# --中略
#
 ✅  CreateALB-EC2

✨  Deployment time: 201.13s

Stack ARN:
arn:aws:cloudformation:ap-northeast-1:405982488975:stack/CreateALB-EC2/ca7dd6d0-fd8f-11ef-9739-066fa6dbdcbd

✨  Total time: 209.43s
```  

## 【番外編】 SDKを使って複雑な操作をコード化してみる


これ以降は番外編です。  
SDKを使用してコンソールで行う「操作手順」をpythonでコード化を考えていきます。  
  
コードするメリットとしては以下のようなものがあげられます。  
- 決まった手順を繰り返し実行できる  
    例えば、  
    1. 障害が起きたEC2をバックアップ  
    2. 障害が起きたEC2を停止  
    3. ひとつ前のバックアップで新規のEC2を起動  

    といったように、何が起因となって発生する作業のうち、作業手順が明確で毎回同じであれば、コードに落とし込むことが可能でしょう。そして、コード化した手順が正しく実行される保証がとれれば、次に同じ事象が発生してもコード化した手順を実行するだけで作業が完了します。  

- 実行する人の能力に関わらず「同じ結果」が返ってくる  
  構築が終わった後、必ずしも構築した人がインフラの面倒を見続けるとは限りません。運用のマニュアルを作り、オペレーターにマニュアルに従った案内をしてもらう、といったケースが多いでしょう。（昨今は、人手不足もあり、AIや自動音声を活用して単純な手続きは自動化するといったこともやっています）  
  コード化すると「この事象の時はこのコードを実行すればよい」といったように操作をマニュアル化できるのでオペレーターが実行しても、専門職が手作業で行う作業と同じ結果を得ることができます。また、自動化された運用であれば、AIに「このコード実行して」とお願いすることもできます。  

- コードの一部を可変にすることで、操作できる内容に幅を持たせる  
  案外見落とされがちに思いますが、「同じ結果を返す」だけではコード化を十分に理解したとは言えないと思います。作成したコードの中に「その操作固有」の設定や処理をふんだんに盛り込まれていた場合は同でしょう。  例えば、次のような手順をコード化したとします。  

    1. 障害が起きた<span style="color:red;">インスタンスID「i-xxxxxxxx」の</span>EC2をバックアップ　
    2. 障害によって<span style="color:red;">影響があるシステム関係者のAさん</span>に通知を送る
    3. 障害が起きた<span style="color:red;">インスタンスID「i-xxxxxxxx」の</span>EC2を停止  
    4. <span style="color:red;">障害が起きたEC2のバックアップのうち、ひとつ前のバックアップ名を選択して</span>新規のEC2を起動  

    この際、赤字部分がコード内で直接指定されていたらどうでしょう？  
    後日、別のEC2で起きた障害で、同じコードを実行仕様としても、インスタンスのIDやバックアップ名は異なります。  
    また、そのEC2で稼働しているシステムの関係者がSさんだとしたら同でしょう？　コード上はAさんに通知を送るので、Aさんには自分がかかわっていないシステムの連絡が行きますし、本来連絡を受けたいSさんには連絡が飛びません。  
      
    次に、こういったコードならどうでしょう？  

    1. <span style="color:red;">実行時に入力されたインスタンスIDの</span>EC2をバックアップ　
    2. <span style="color:red;">操作時に入力した担当者</span>に通知を送る
    3. 障害が起きた<span style="color:red;">実行時に入力されたインスタンスIDの</span>EC2を停止  
    4. <span style="color:red;">実行時に入力されたインスタンスIDが名称に含まれる</span>バックアップのうち、作成日が一つ古いバックアップで新規のEC2を起動  

    この場合は、実行するコードは同じでも、実際にメンテナンスされるEC2や、通知先はコードを実行したときに入力した値で決まります。  
    ただしやりすぎは禁物です。  
    コードを実行するのに、10個も20個も追加入力を求めるならコンソール上で操作するのとハードルの高さは変わりません。  

    あるいは、こういったコードならどうでしょう？

    1. <span style="color:red;">実行中かつヘルスチェックがNGのEC2を検索しインスタンスのIDを取得する</span>
    2. <span style="color:red;">取得したインスタンスIDで関係者一覧を参照し連絡先を取得する</span>
    3. <span style="color:red;">取得したインスタンスのIDの</span>EC2をバックアップ　
    4. <span style="color:red;">取得した連絡先</span>に通知を送る
    5. <span style="color:red;">取得したインスタンスのIDの</span>EC2を停止  
    6. <span style="color:red;">取得したインスタンスのIDの</span>バックアップのうち、作成日が一つ古いバックアップで新規のEC2を起動  

    この場合、関係者一覧を新しく作成する必要がありますが、それ以外で必要な情報はコード自身が勝手に補完してくれます。  


一方で、以下のようなケースではコード化するのは難しいです。

- 障害の原因がわからずあれこれ試している内になぜか回復した  
  ⇒何かきっかけで直ったかわからないので、回復させるための操作をコードに落とし込めない

- 運用しているシステム固有の仕組みで対処しなければならない
- 操作に際しては、操作申請書を紙で提出し、責任者の押印（デジタル証明印はNG）が必要
- コード実行が禁止されている操作での復旧が必要
　⇒「固有の仕組み」「デジタル証明印はNG」「禁止されている操作」をコードで実装できなければ、当然コード化できません。



### 番外1. 関連付けされてないEIPの検索と削除をSDKでコード化
最初にとりあげるのは、前の章でも取り上げた「関連付けされていないEIPを解放する」です。  

同じように実行すると手作業が残ってしまうので、今回は完全に自動化してみます。  
まずは、コンソール上でどういった操作をするかを分解してみることが肝心です。操作を分解してみると、以下のような細かい手順を踏んでいることがわかります。

【操作手順】

1. EIPの一覧を表示（取得）する
2. 関連付けされてない（＝関連付けられたインスタンスのIDが空白）のものに絞る
3. 該当のEIPを開放する

これらを一つ一つAPI呼び出しや、処理構造に置き換えていきます。
さらに、SDKを使うとなると事前の準備も必要でしたね。

【操作手順(詳細版)】
1. AWS　SDKのパッケージをインポートする  
2. クライアントを準備する  
3. EIPの一覧を表示（取得）するAPIを呼び出す  
4. 3.の結果から、「関連付けられたインスタンスのIDが空白」のものだけを抜き出す  
5. 4.からEIPのIDを取得し、EIPを削除するAPIを呼び出す  

最後のこの手順は「削除」を含む操作のため、誤操作を避けるために削除するEIPの情報を表示して、ユーザに最終確認してもらうステップを追加してもよいと思います。  


### 番外2. EC2のリストア手順をコード化

- まずは、コンソール上でどういった操作をするかを分解してみる

    1. AMIの一覧を表示（取得）する
    2. 障害前のAMIがあることを確認する
    3. 起動中のEC2のAMIを取得する
    4. 起動中のEC2を停止する
    5. 障害前のAMIからEC2を作成する 

### 番外3. RDSのリストア手順をコード化  
- まずは、コンソール上でどういった操作をするかを分解してみる

    1. スナップショットの一覧を表示（取得）する
    2. 障害前のスナップショットがあることを確認する
    3. 起動中のRDSのスナップショットを取得する
    4. 起動中のRDSを停止する
    5. 障害前のスナップショットからRDSを作成する 

## [応用編]TeraFormによるコード化

### 参考

- 「それ、どこに出しても恥ずかしくないTerraformコードになってるか？」   
> https://www.youtube.com/watch?v=0IQ4IScqQws
