マネージドインスタンスのソフトウェア設定の記録 - AWS Config

マネージドインスタンスのソフトウェア設定の記録

AWS Config を使用して、Amazon EC2 インスタンスおよびオンプレミスサーバーのソフトウェアインベントリの変更を記録できます。これにより、ソフトウェア設定の変更履歴を確認できます。例えば、新しい Windows 更新プログラムが Windows マネージドインスタンスにインストールされると、AWS Config はこの変更を記録した後で配信チャネルに送信し、ユーザーが変更の通知を受けられるようにします。AWS Config では、Windows 更新プログラムが、いつマネージドインスタンスにインストールされ、その後どのように変更されたかの履歴を確認できます。

ソフトウェア設定の変更を記録するには、次のステップを完了する必要があります。

  • AWS Config でマネージドインスタンスのインベントリリソースタイプの記録をオンにします。

  • EC2 サーバーとオンプレミスサーバーを、マネージドインスタンスとして AWS Systems Manager に設定する。マネージドインスタンスとは、Systems Manager で使用するために設定されたマシンです。

  • Systems Manager インベントリ機能を使用して、マネージドインスタンスからソフトウェアインベントリの収集を開始します。

    注記

    Systems Manager が、アンマネージドインスタンスの設定項目の作成をサポートするようになりました

    アンマネージインスタンスの設定項目には、Key: “InstanceStatus”Value: “Unmanaged” の補助的な設定が含まれます。

    アンマネージドインスタンスの設定項目は追加の更新を受け取りません

    追加の更新を受け取るには、設定項目がマネージドインスタンスである必要があります。

AWS Config ルールを使用して、ソフトウェアの設定変更をモニタリングし、変更がルールに準拠しているかいないかの通知を受け取ることができます。例えば、マネージドインスタンスに指定のアプリケーションがあるかどうかを確認するルールを作成すると、インスタンスに指定のアプリケーションがインストールされていない場合に、AWS Config はインスタンスがルールに準拠していないことをフラグで知らせます。AWS Config マネージドルールの一覧については、[AWS Config マネージドルールのリスト] を参照してください。

AWS Config でソフトウェアの設定変更の記録を有効にするには

  1. AWS Config ですべてのサポートされているリソースタイプの記録を有効にするか、一部の選択したマネージドインスタンスのインベントリリソースタイプを記録します。詳細については、[AWS Config で記録するリソースの選択] を参照してください。

  2. Systems Manager のインスタンスプロファイルを使用して Amazon EC2 インスタンスを起動します。このプロファイルには、AmazonSSMManagedInstanceCore管理ポリシーが含まれています。この AWS 管理ポリシーにより、インスタンスは Systems Manager サービスコア機能を使用できます。

    Systems Manager のインスタンスプロファイルに追加できるその他のポリシーについては、 AWS Systems Manager ユーザーガイドの [Create an IAM Instance Profile for System Manager (Systems Manager の IAM インスタンスプロファイルの作成)] を参照してください。

    重要

    SSM Agent は、クラウド上の System Manager と通信するために、マネージドインスタンスにインストールする必要がある Amazon ソフトウェアです。次のいずれかのオペレーティングシステム用の AMI から EC2 インスタンスが作成された場合、このエージェントがプリインストールされています。

    • 2016 年 11 月以降に公開された Windows Server 2003-2012 R2 AMI

    • Windows Server 2016 および 2019

    • Amazon Linux

    • Amazon Linux 2

    • Ubuntu Server 16.04

    • Ubuntu Server 18.04

    このエージェントがプリインストールされた AMI から作成されていない EC2 インスタンスでは、エージェントを手動でインストールする必要があります。詳細については、AWS Systems Manager ユーザーガイドの次の [トピック] を参照してください。

  3. AWS Systems Manager ユーザーガイドの [インベントリ収集の設定] に従ってインベントリ収集を開始します。手順は、Linux インスタンスでも Windows インスタンスでも同じです。

    AWS Config は、以下のインベントリタイプの設定変更を記録できます。

    • [Applications (アプリケーション)] - マネージドインスタンスのアプリケーション ( ウイルス対策ソフトウェアなど) のリスト。

    • [AWS components (コンポーネント)] - マネージドインスタンスの AWS のコンポーネント (AWS CLI や SDK など) のリスト。

    • [Instance information (インスタンス情報)] - OS 名やバージョン、ドメイン、ファイアウォールのステータスなどの情報。

    • [Network configuration (ネットワーク設定) - IP アドレス、ゲートウェイ、サブネットマスクなどの設定情報。

    • [Windows Update (Windows 更新プログラム)] - マネージドインスタンスの Windows 更新プログラムのリスト (Windows インスタンスのみ)。

    注記

    AWS Config現時点では、 でカスタムインベントリタイプの記録はサポートされていません。

インベントリ収集は、System Manager の機能の 1 つです。それらの機能は、[Operations Management (業務管理)]、[Actions & Change (アクションと変更)]、[Instances & Nodes (インスタンスとノード)]、[Shared Resources (共有リソース)] のカテゴリにグループ化されています。詳細については、[What is Systems Manager? (System Managerとは?)]、および AWS Systems Manager ユーザーガイドの [Sysytem Manager Capabilities (Systems Manager の機能)] を参照してください。