マネージドインスタンスのソフトウェア設定の記録 - AWS Config

マネージドインスタンスのソフトウェア設定の記録

AWS Config を使用して、Amazon EC2 インスタンスおよびオンプレミスサーバーのソフトウェアインベントリの変更を記録できます。これにより、ソフトウェア設定の変更履歴を確認できます。たとえば、新しい Windows 更新プログラムが Windows マネージドインスタンスにインストールされると、AWS Config はこの変更を記録した後で配信チャネルに送信し、ユーザーが変更の通知を受けられるようにします。AWS Config では、Windows 更新プログラムが、いつマネージドインスタンスにインストールされ、その後どのように変更されたかの履歴を確認できます。

ソフトウェア設定の変更を記録するには、次のステップを完了する必要があります。

  • AWS Config でマネージドインスタンスのインベントリリソースタイプの記録をオンにします。

  • EC2 とオンプレミスサーバーを AWS Systems Manager の マネージドインスタンスとして設定します。マネージドインスタンスは、Systems Manager で使用するように設定されたマシンです。

  • Systems Manager インベントリ機能を使用して、マネージドインスタンスからソフトウェアインベントリの収集を開始します。

AWS Config ルールを使用して、ソフトウェアの設定変更をモニタリングし、変更がルールに準拠しているかいないかの通知を受け取ることができます。たとえば、マネージドインスタンスに指定のアプリケーションがあるかどうかを確認するルールを作成すると、インスタンスに指定のアプリケーションがインストールされていない場合に、AWS Config はインスタンスがルールに準拠していないことをフラグで知らせます。AWS Config マネージドルールの一覧については、「AWS Config マネージドルールのリスト」を参照してください。

AWS Config でソフトウェアの設定変更の記録を有効にするには

  1. AWS Config ですべてのサポートされているリソースタイプの記録を有効にするか、一部の選択したマネージドインスタンスのインベントリリソースタイプを記録します。詳細については、「AWS Config で記録するリソースの選択」を参照してください。

  2. AmazonSSMManagedInstanceCore 管理ポリシーを含む、Systems Manager 用のインスタンスプロファイルを使用して Amazon EC2 インスタンスを起動します。この AWS 管理ポリシーにより、インスタンスは Systems Manager サービスコア機能を使用することができます。

    Systems Manager のインスタンスプロファイルに追加できる他のポリシーの詳細については、AWS Systems Manager ユーザーガイドの「Systems Manager の IAM インスタンスプロファイルの作成」を参照してください。

    重要

    SSM エージェントは、クラウド上の Systems Manager と通信するために、マネージドインスタンスにインストールする必要がある Amazon ソフトウェアです。次のいずれかのオペレーティングシステム用の AMI から EC2 インスタンスが作成された場合、このエージェントがプリインストールされています。

    • 2016 年 11 月以降に公開された Windows Server 2003-2012 R2 AMI

    • Windows Server 2016 および 2019

    • Amazon Linux

    • Amazon Linux 2

    • Ubuntu Server 16.04

    • Ubuntu Server 18.04

    このエージェントがプリインストールされた AMI から作成されていない EC2 インスタンスでは、エージェントを手動でインストールする必要があります。詳細については、AWS Systems Manager ユーザーガイドの次のトピックを参照してください。

  3. AWS Systems Manager ユーザーガイドの「インベントリ収集の設定」の説明に従ってインベントリ収集を開始します。手順は、Linux インスタンスでも Windows インスタンスでも同じです。

    AWS Config は、以下のインベントリタイプの設定変更を記録できます。

    • アプリケーション – マネージドインスタンスのアプリケーション (ウイルス対策ソフトウェアなど) のリスト。

    • AWS コンポーネント – マネージドインスタンスの AWS コンポーネント (AWS CLI や SDK など) のリスト。

    • インスタンス情報 – インスタンス情報 (OS 名とバージョン、ドメイン、ファイアウォールのステータスなど)。

    • ネットワーク設定 – 設定情報 (IP アドレス、ゲートウェイ、サブネットマスクなど)。

    • Windows 更新プログラム – マネージドインスタンスの Windows 更新プログラムのリスト (Windows インスタンスのみ)。

    注記

    現時点では、AWS Config でカスタムインベントリタイプの記録はサポートされていません。

インベントリ収集は、Systems Manager の多くの機能の 1 つです。それらの機能は、[業務管理]、[アクションと変更]、[インスタンスとノード]、[共有リソース] のカテゴリにグループ化されています。詳細については、AWS Systems Manager ユーザーガイドの「Systems Manager とは」および「Systems Manager の機能」を参照してください。