AWS Systems Manager Change Manager - AWS Systems Manager

AWS Systems Manager Change Manager

AWS Systems Manager の一機能である Change Manager は、アプリケーションの設定とインフラストラクチャに対する運用上の変更をリクエスト、承認、実装、および報告するためのエンタープライズ変更管理フレームワークです。単一の委任管理者アカウントから AWS Organizations を使用すると、複数の AWS アカウント と複数の AWS リージョン 全体で変更を管理することができます。または、ローカルアカウントを使用して、単一の AWS アカウント の変更を管理できます。AWSリソースとオンプレミスリソースの両方に対する変更を管理する場合に Change Manager を使用します。Change Manager の使用を開始するには、Systems Manager コンソールを開きます。ナビゲーションペインで、[Change Manager] を選択します。

Change Manager では、事前に承認された変更テンプレートを使用して、リソースに対する変更プロセスのオートメーションと、運用上の変更を行う際の意図しない結果の回避に役立てることができます。各変更テンプレートでは、次の項目を指定します。

  • 変更リクエストの作成時にユーザーが選択できる 1 つ、または複数のオートメーションランブック。リソースに対して行われる変更は、オートメーションランブックに定義されています。作成する変更テンプレートには、カスタムランブックまたはAWS マネージドランブックを含めることができます。ユーザーが変更リクエストを作成するときは、利用可能なランブックからリクエストに含めるランブックを選択できます。さらに、リクエストを作成するユーザーが変更リクエストで任意のランブックを指定できるようにする変更テンプレートを作成できます。

  • その変更テンプレートを使用して行われた変更リクエストを確認する必要がある、アカウントのユーザー。

  • Amazon Simple Notification Service (Amazon SNS) トピックは、割り当てられた承認者に変更リクエストを確認する準備ができたことを通知するために使用されます。

  • ランブックワークフローをモニタリングするために使用される Amazon CloudWatch アラーム。

  • 変更テンプレートを使用して作成された変更リクエストのステータスの変更に関する通知を送信するために使用される Amazon SNS トピック。

  • 変更テンプレートの分類とフィルタリングに使用する変更テンプレートに適用するタグ。

  • 変更テンプレートから作成された変更リクエストを承認ステップなしで実行できるかどうか (自動承認リクエスト)。

Systems Manager のもうひとつの機能である Change Calendar との統合により、Change Manager は重要なビジネスイベントとのスケジュール競合を回避しながら、変更を安全に実装するためにも役立ちます。Change Manager の AWS Organizations および AWS IAM Identity Center (successor to AWS Single Sign-On) との統合により、既存の ID 管理システムを使用して、単一のアカウントから組織全体の変更を管理できるようになります。Change Managerから変更の進捗状況を監視して、組織全体における運用上の変更を監査することができるため、可視性と説明責任が向上します。

Change Manager は、継続的インテグレーション (CI) プラクティスと継続的デリバリー (CD) 手法の安全管理を補完します。例外がある場合、または承認が必要な場合を除き、Change Managerは CI/CD パイプラインなどの自動化されたリリースプロセスの一環として行われる変更を対象としません。

Change Manager の仕組み

標準または緊急の運用変更を行う必要性が特定されると、組織内の人物が、組織、またはアカウントでの使用のために作成された変更テンプレートのいずれかに基づく変更リクエストを作成します。

リクエストされた変更が手動承認を必要とする場合、Change Manager は Amazon SNS 通知を通じて、指定された承認者に変更リクエストの確認の準備ができたことを通知します。変更テンプレートで変更リクエストの承認者を指定したり、変更リクエスト自体に承認者を指定したりできます。レビューワーは、テンプレートごとに異なる担当者を割り当てることができます。例えば、マネージドノードに対する変更のリクエストを承認する必要がある 1 人のユーザー、ユーザーグループ、または AWS Identity and Access Management (IAM) ロールを割り当てて、データベース変更については別のユーザー、グループ、または IAM ロールを割り当てられます。変更テンプレートで自動承認が許可され、リクエスタの IAM ユーザーポリシーで禁止されていない場合、ユーザーはレビューステップなしでリクエストの Automation ランブックを実行することもできます(変更のフリーズイベントを除く)。

変更テンプレートごとに、最大 5 レベルの承認者を追加できます。例えば、まずテクニカルレビューワーに変更テンプレートから作成された変更リクエストを承認してもらってから、1 人以上のマネージャに第 2 レベルの承認を求めます。

Change Manager は AWS Systems Manager Change Calendar と統合されています。リクエストされた変更が承認されると、システムはまず、そのリクエストがスケジュールされた他のビジネスアクティビティと競合していないかどうかを判断します。競合が検出された場合、Change Manager は変更をブロックするか、ランブックワークフローを開始する前に追加の承認を要求することができます。例えば、営業時間内の変更のみを許可して、チームが予想外の問題を管理できるようにすることが可能です。営業時間内外での実行をリクエストする変更については、変更凍結承認者という形でより高いレベルの経営陣の承認を義務付けることができます。緊急変更の場合、Change Manager は変更リクエストの承認後、競合について Change Calendar をチェックするステップ、またはイベントをブロックするステップを省略できます。

承認された変更を実装するときは、Change Manager が関連する変更リクエストで指定されているオートメーションランブックを実行します。ランブックワークフローの実行時には、承認された変更リクエストで定義されている操作のみが許可されます。このアプローチは、変更の実装時における意図しない結果を回避するために役立ちます。

ランブックワークフローの実行時に実施できる変更を制限することに加えて、Change Manager は同時実行性とエラーしきい値の制御にも役立ちます。ユーザーは、ランブックワークフローが一度に実行できるリソースの数、一度に変更を実行できるアカウントの数、およびプロセスを停止し、ロールバックする (ランブックにロールバックスクリプトが含まれている場合) までに許可する失敗の回数を選択できます。また、CloudWatch アラームを使用して、行われている変更の進捗状況をモニタリングすることもできます。

ランブックワークフローが完了したら、行われた変更の詳細を確認できます。これらの詳細には、変更リクエストの理由、使用された変更テンプレート、変更のリクエスト者と承認者、および変更の実装方法が含まれます。

詳細情報

Introducing AWS Systems ManagerChange Manager (AWS ニュースブログ)

Change Managerは、どのような運用上のメリットを提供できますか?

Change Manager には以下のような利点があります。

  • サービスの中断とダウンタイムのリスクを軽減する

    Change Manager では、ランブックワークフローの実行時に承認された変更のみが実施されるようにすることで、運用上の変更を安全にします。計画されていない、またはレビューされていない変更は、ブロックすることができます。Change Managerは、何時間にも及ぶ高額な調査やバックトラッキングが必要となるような、人為的なエラーに起因する意図しない結果を避けるために役立ちます。

  • 変更履歴に関する詳細な監査とレポートを取得する

    Change Managerは、組織全体で行われた変更、それらの変更の意図、およびそれらの承認者と実装者に関する詳細を報告し、監査するための一貫した方法を用いて説明責任を提供します。

  • スケジュールの競合または違反を回避する

    Change Managerは、組織のためのアクティブな変更カレンダーに基づいて、祝祭日イベント、または新製品のローンチなどのスケジュールの競合を検出できます。ランブックワークフローの実行を営業時間内に限定する、または追加の承認がある場合にのみ許可することが可能です。

  • 変化するビジネスに合わせて変更要件を導入する

    異なる事業期間には、異なる変更管理要件を実装することができます。例えば、月末のレポート作成、納税申告時期、またはその他の重要な事業期間中には、変更をブロックする、または不必要な運用上のリスクを生じる可能性がある変更に対して取締役レベルの承認を義務付けることができます。

  • 複数のアカウント全体における変更を一元的に管理する

    Organizations との統合により、Change Manager は、すべての組織単位 (OU) 全体における変更を単一の委任管理者アカウントから管理することを可能にします。Change Manager は、組織全体での使用、または一部の OU のみでの使用のために有効化できます。

Change Manager はどのようなユーザーに適していますか?

Change Managerは、次のような AWS のお客様と組織に適しています。

  • クラウドまたはオンプレミス環境に対して行われる運用上の変更の安全性とガバナンスを向上させたいとお考えの AWS のお客様。

  • チーム間のコラボレーションと可視性の向上、ダウンタイムの回避によるアプリケーションの可用性の改善、および手動タスクと反復的なタスクに関連するリスクの軽減を求める組織。

  • 変更管理のベストプラクティスに従う必要がある組織

  • アプリケーションの設定とインフラストラクチャに対して行われた変更について、完全に監査可能な履歴を必要とするお客様。

Change Manager の主な特徴は何ですか。

Change Managerの主な特徴には以下が含まれます。

  • 変更管理のベストプラクティスに対する統合サポート

    Change Managerでは、選択した変更管理のベストプラクティスを運用に適用することができ、以下のオプションを有効にすることが可能です。

    • Change Calendarをチェックしてイベントが現在制限されているかどうかを確認し、変更がカレンダーのオープン期間中にのみ行われるようにする。

    • 変更凍結承認者からの追加の承認によって、制限されたイベント中における変更を許可する。

    • すべての変更テンプレートに対して CloudWatch アラームを指定する必要があります。

    • 変更リクエストの作成に使用する前に、アカウントで作成されたすべての変更テンプレートを確認および承認する必要があります。

  • カレンダーのクローズ期間と緊急の変更リクエストに対する異なる承認経路

    制限されたイベントに対して Change Calendar をチェックするオプションを有効にして、そのイベントが完了になるまで承認済みの変更リクエストをブロックすることができます。ただし、カレンダーがクローズ状態になっている場合でも変更を行うことを許可できる 2 番目の承認者 (変更凍結承認者) グループを指定することも可能です。緊急の変更テンプレートを作成することもできます。緊急の変更テンプレートを使用して作成された変更リクエストには引き続き通常の承認が必要ですが、カレンダー制限の対象にはならず、変更凍結承認も必要ありません。

  • ランブックワークフローの開始方法とタイミングを制御する

    ランブックワークフローは、スケジュールに従って開始する、または承認が完了され次第開始することができます (カレンダー制限規則の対象となります)。

  • 組み込み通知のサポート

    組織内で変更テンプレートと変更リクエストを確認および承認するユーザーを指定します。Amazon SNS トピックを変更テンプレートに割り当てると、その変更テンプレートで作成された変更リクエストのステータスの変更に関する通知をトピックのサブスクライバーに送信します。

  • AWS Systems Manager Change Calendarとの統合

    Change Managerでは、管理者が指定された期間内におけるスケジュール変更を制限することができます。例えば、営業時間内の変更のみを許可するポリシーを作成して、チームが問題に対処できるようにすることが可能です。重要なビジネスイベント中における変更を制限することもできます。例えば、小売業者は、大規模な販売イベント中に変更を制限することが可能です。制限期間中に追加の承認を義務付けることもできます。

  • AWS IAM Identity Center (successor to AWS Single Sign-On) との統合と Active Directory のサポート

    IAM Identity Center との統合により、組織のメンバーは共通のユーザー のアイデンティティで Systems Manager を使用し、AWS アカウント にアクセスしてリソースを管理することができます。IAM Identity Center を使用することで、AWS 全体のアカウントへのアクセス権をユーザーに割り当てることができます

    Active Directory との統合は、Active Directory アカウントのユーザーを Change Manager 操作用に作成された変更テンプレートの承認者として割り当てることを可能にします。

  • Amazon CloudWatch アラームとの統合

    Change Manager は CloudWatch アラームと統合されています。Change Manager はランブックのワークフロー中に CloudWatch アラームをリッスンし、通知の送信などアラームに対して定義されたあらゆるアクションを実行します。

  • AWS Organizations との統合

    Organizations が提供するクロスアカウント機能を使用することで、組織内の OU での Change Manager 操作の管理に委任管理者アカウントを使用することができます。Organizations の管理アカウントで、委任管理者アカウントにするアカウントを指定できます。どの OU でChange Managerを使用できるかを制御することも可能です。

Change Manager の使用料金はかかりますか?

はい。Change Managerの料金は従量課金制に基づいて設定されています。お支払いいただくのは、使用分の料金だけです。詳細については、AWS Systems Manager 料金を参照してください。

Change Managerの主要コンポーネントは何ですか?

組織、またはアカウント内での変更プロセスの管理に使用されるChange Managerコンポーネントには、以下が含まれます。

委任管理者アカウント

組織全体でChange Managerを使用する場合は、委任管理者アカウントを使用します。これは、Change Manager を含む Systems Manager 全体の操作アクティビティを管理するためのアカウントとして指定される AWS アカウント です。委任管理者アカウントは、組織全体の変更アクティビティを管理します。Change Managerでの使用のために組織をセットアップするときは、どのアカウントがこの役割を担うかを指定します。委任管理者アカウントは、それが割り当てられている組織単位 (OU) 唯一のメンバーである必要があります。Change Manager を単一の AWS アカウント のみで使用する場合、委任管理者アカウントは必要ありません。

重要

組織全体で Change Manager を使用する場合は、常に委任管理者アカウントから変更を行うことをお勧めします。組織内の他のアカウントから変更を行うことはできますが、それらの変更は、委任された管理者アカウントで報告されず、表示することもできません。

変更テンプレート

変更テンプレートは、必要な承認、利用可能なランブック、変更リクエストの通知オプションなどの項目を定義する、Change Manager の設定のコレクションです。

組織またはアカウント内のユーザーによって作成された変更テンプレートは、承認プロセスを経てから使用することを義務付けることができます。

Change Manager は、2 種類の変更テンプレートをサポートしています。緊急の変更テンプレートに基づく承認済み変更リクエストの場合、Change Calendar にブロッキングイベントがある場合でも、要求された変更を行うことができます。標準的な変更テンプレートに基づく承認済みの変更リクエストについては、指定された 変更凍結イベント承認者から追加の承認を受け取っている場合を除いて、Change Calendar にブロッキングイベントがある場合にリクエストされた変更を行うことはできません。

変更リクエスト

変更リクエストは、AWS またはオンプレミス環境の 1 つ以上のリソースを更新する Automation ランブックを実行するための Change Manager のリクエストです。変更リクエストは、変更テンプレートを使用して作成されます。

変更リクエストを作成するときは、組織またはアカウント内の 1 人、または複数人の承認者がリクエストを確認して承認する必要があります。必要な承認がなければ、リクエストされた変更を適用するランブックワークフローの実行は許可されません。

システムでは、変更リクエストは AWS Systems Manager OpsCenter の OpsItem の一種です。ただし、/aws/changerequest タイプの OpsItems は OpsCenter に表示されません。OpsItems である変更リクエストには、他のタイプの OpsItems に課されているものと同じクォータが適用されます。AWS リージョン で AWS アカウント のために作成できる OpsItems の数については、「OpsCenter のクォータとは?」を参照してください。

さらに、変更リクエストをプログラム的に作成するには、CreateOpsItem API オペレーションを呼び出しません。代わりに、StartChangeRequestExecution API オペレーションを使用します。ただし、変更リクエストは直ちに実行されず、承認を受ける必要があります。また、ワークフローの実行を妨げるブロッキングイベントが Change Calendar に存在していない必要もあります。StartChangeRequestExecution アクションは、承認が受け取られており、カレンダーがブロックされていない (またはブロッキングカレンダーイベントを回避する許可が付与されている) 場合に完了することができます。

Runbook ワークフロー

ランブックワークフローは、クラウドまたはオンプレミス環境にあるターゲットリソースに対して行われるリクエストされた変更のプロセスです。各変更リクエストには、リクエストされた変更を行うために使用される単一のオートメーションランブックが指定されています。ランブックワークフローは、必要な承認がすべて付与され、Change Calendar にブロッキングイベントがなくなったときに発生します。変更が特定の日時にスケジュールされている場合、ランブックワークフローは、すべての承認が受け取られ、カレンダーがブロックされていないとしても、スケジュールされた日時まで開始されません。