Systems Manager の機能 - AWS Systems Manager

Systems Manager の機能

Systems Manager 機能は以下の機能タイプに分類されます。

高速セットアップ

高速セットアップを使用して、推奨されるベストプラクティスを使用して、頻繁に使用する AWS サービスと機能をすばやく構成できます。AWS Organizations との統合により、個々のアカウントまたは複数のアカウントおよび AWS リージョンにまたがって 高速セットアップ を使用することもできます。高速セットアップは、一般的なタスクや推奨されるタスクを自動化する AWS Systems Manager など、サービスのセットアップを簡素化します。これらのタスクには、たとえば、必須の AWS Identity and Access Management (IAM) インスタンスプロファイルロールの作成、定期的なパッチスキャンやインベントリ収集などの運用上のベストプラクティスの設定が含まれます。

Operations Management

Operations Management は、AWS リソースの管理に役立つ一連の機能です。詳細については、タブを選択してください。

Explorer

Explorer は、AWS リソースに関する情報をレポートするカスタマイズ可能なオペレーションダッシュボードです。Explorer には、AWS アカウントおよびリージョン全体のオペレーションデータ(OpsData)の集約ビューが表示されます。Explorer では、OpsData に EC2 インスタンス、パッチコンプライアンスの詳細、および運用作業項目 (OpsItems) に関するメタデータが含まれています。Explorer では、OpsItems が事業部門またはアプリケーション全体にどのように分散されているか、それらが時間の経過とともにどのような傾向を示すか、およびカテゴリによってどのように異なるかに関するコンテキストが提供されます。Explorer で情報をグループ化およびフィルタリングすると、自身に関連する項目や、アクションが必要な項目に注目することができます。優先度の高い問題を特定したら、Systems Manager OpsCenter を使用してオートメーションランブックを実行すると、問題をすばやく解決できます。

OpsCenter

OpsCenter は、オペレーションエンジニアや IT プロフェッショナルが AWS リソースに関連する運用作業項目 (OpsItems) を表示、調査、解決できる中心的な場所を提供します。OpsCenter は、AWS リソースに影響する問題の解決までの平均時間を短縮するように設計されています。Systems Manager のこの機能では、各 OpsItem、関連 OpsItems、および関連リソースに関する状況に応じた調査データを提供しながら、サービス間で OpsItems を集約および標準化します。また、OpsCenter では、問題を迅速な解決に使用できる Systems Manager Automation ドキュメント (ランブック) も提供しています。検索可能なカスタムデータを OpsItem ごとに指定することができます。OpsItems に関する自動的に生成された概要レポートは、ステータスおよびソース別に表示することもできます。

CloudWatch Dashboards

Amazon CloudWatch ダッシュボードは、CloudWatch コンソールにあるカスタマイズ可能なホームページであり、ダッシュボードを使用すれば、異なるリージョンにまたがっているリソースでも、1 つのビューでモニタリングできます。CloudWatch ダッシュボードを使用して、AWS のリソースのメトリクスおよびアラームをカスタマイズした状態で表示することができます。

Trusted Advisor & Personal Health Dashboard (PHD)

Systems Manager の 2 つのオンラインツールは、リソースのプロビジョニングとアカウントのヘルスイベントのモニタリングに役立ちます。Trusted Advisor は、AWS のベストプラクティスに従ってリソースをプロビジョニングするのに役立つリアルタイムのガイダンスを提供するオンラインツールです。詳細については、「Trusted Advisor」を参照してください。

AWS Personal Health Dashboard は、アカウントに影響する可能性がある AWS Health イベントに関する情報を提供します。情報は 2 つの方法で表示されます。ダッシュボードには、最近のイベントおよび予定されているイベントがカテゴリ別に分類されて表示されます。詳細なイベントログには、過去 90 日間のすべてのイベントが表示されます。詳細については、「AWS Personal Health Dashboard の開始方法」を参照してください。

アプリケーション管理

アプリケーション管理は、AWS で実行されているアプリケーションの管理に役立つ一連の機能です。詳細については、タブを選択してください。

Resource Groups

AWS リソースグループ: AWS リソースは、AWS で使用できるエンティティです。たとえば、Systems Manager SSM ドキュメント、パッチベースライン、メンテナンスウィンドウ、パラメータ、マネージドインスタンス、Amazon Elastic Compute Cloud (EC2) インスタンス、Amazon Elastic Block Store (Amazon EBS) ボリューム、セキュリティグループ、Amazon Virtual Private Cloud (VPC) が挙げられます。リソースグループとは、すべてが同じ AWS リージョンにあり、クエリで指定された条件に適合する AWS リソースのコレクションを指します。リソースグループコンソールでクエリを構築するか、または AWS CLI で リソースグループ コマンドにこのクエリを引数として渡します。リソースグループ を使用すると、カスタムコンソールを作成し、タグで特定した条件に基づいて情報を整理し、統合することができます。AWS Systems Manager でモニタリングおよび設定情報を表示するためにグループを使用することもできます。

AppConfig

AppConfig では、アプリケーション設定を作成、管理、迅速にデプロイできます。AppConfig は、あらゆる規模のアプリケーションへの管理型デプロイをサポートします。AppConfig は、EC2 インスタンス、AWS Lambda、コンテナ、モバイルアプリケーション、または IoT デバイスでホストされているアプリケーションで使用できます。アプリケーション設定のデプロイ時のエラーを防ぐため、AppConfig にはバリデータが含まれています。バリデータは構文チェックまたはセマンティックチェックを実施して、デプロイする設定が意図したとおりに動作することを確認します。設定のデプロイ中、AppConfig はアプリケーションをモニタリングしてデプロイが正常に実施されたことを確認します。システムでエラーが発生した場合、またはデプロイによってアラームがトリガーされた場合、AppConfig は変更をロールバックして、アプリケーションユーザーへの影響を最小限に抑えます。

パラメータストア

パラメータストア は、設定データ管理と機密管理のための安全な階層型ストレージを提供します。パスワード、データベース文字列、EC2 インスタンス ID、Amazon Machine Image (AMI) ID、ライセンスコードなどのデータをパラメータ値として保存できます。値はプレーンテキストまたは暗号化されたデータとして保存できます。次に、パラメータの作成時に指定した一意の名前を使用して値を参照できます。

変更管理

Systems Manager は、AWS リソースに対してアクションを実行したり、それらのリソースを変更したりするための以下の機能を提供します。詳細については、タブを選択してください。

Automation

Systems Manager Automation を使用して、一般的なメンテナンスとデプロイのタスクを自動化します。オートメーションを使用すると、Amazon Machine Images の作成と更新、ドライバーとエージェントの更新プログラムの適用、Windows Server インスタンスでのパスワードのリセット、Linux インスタンスでの SSH キーのリセット、OS パッチまたはアプリケーション更新プログラムの適用が可能になります。

Change Calendar

Change Calendar では、指定したアクション (Systems Manager Automation ドキュメントなど) が AWS アカウントで実行できるまたはできない日付と時刻の範囲を設定できます。Change Calendar では、これらの範囲をイベントと呼びます。Change Calendar エントリを作成すると、タイプが ChangeCalendarSystems Manager ドキュメントが作成されます。Change Calendar では、ドキュメントに iCalendar 2.0 データがプレーンテキスト形式で保存されます。Change Calendar エントリに追加したイベントは、ドキュメントの一部になります。

メンテナンスウィンドウ

メンテナンスウィンドウ を使用して、ビジネスクリティカルなオペレーションを中断することなく、パッチや更新プログラムのインストールなどの管理タスクを実行するようにマネージドインスタンスの定期的なスケジュールを設定します。

ノード管理

Systems Manager は、EC2 インスタンス、ハイブリッド環境のオンプレミスサーバーと仮想マシン (VM)、その他のタイプの AWS リソース (ノード) を管理する以下の機能を提供します。詳細については、タブを選択してください。

Compliance

Systems Manager 設定コンプライアンスを使用すると、マネージドインスタンス群のスキャンを実行して、パッチコンプライアンスと設定の不一致を確認できます。複数の AWS アカウントとリージョンからデータを収集して集計し、それに準拠していない特定のリソースにドリルダウンすることができます。デフォルトでは、設定コンプライアンスでは、Patch Manager によるパッチ適用と ステートマネージャー による関連付けに関するコンプライアンスデータが表示されます。サービスをカスタマイズし、IT またはビジネスの要件に基づいて独自のコンプライアンスタイプを作成することもできます。

Managed Instances

マネージドインスタンスは、Systems Manager 用に設定されたハイブリッド環境のすべての EC2 インスタンスまたはオンプレミスマシン – サーバーまたは仮想マシン (VM)– です。マネージドインスタンスをセットアップするには、使用するマシンに SSM エージェント をインストール (デフォルトでインストールされていない場合) し、AWS Identity and Access Management (IAM) アクセス権限を設定します。オンプレミスのマシンには、アクティベーションコードも必要となります。

Inventory

インベントリは、マネージドインスタンスからのソフトウェアインベントリの収集プロセスを自動化します。インベントリを使用して、マネージドインスタンスのアプリケーション、ファイル、コンポーネント、パッチなどに関するメタデータを収集できます。

Session Manager

Session Manager を使用して、インタラクティブなワンクリックブラウザベースのシェル、または AWS CLI を介して EC2 インスタンスを管理できます。Session Manager は、インバウンドポートを開いたり、踏み台ホストを維持したり、SSH キーを管理したりすることなく、安全で監査可能なインスタンスの管理を提供します。Session Manager は、EC2 インスタンスへの簡単なワンクリックのクロスプラットフォームアクセスをエンドユーザーに提供しつつ、インスタンスへの制御されたアクセス、厳格なセキュリティプラクティス、インスタンスアクセスの詳細を含む、完全に監査可能なログを必要とする企業ポリシーに準拠することを容易にします。

Run Command

Systems Manager Run Command を使用すると、大規模なマネージドインスタンスの設定を安全にリモートで管理することができます。Run Command を使用して、数十または数百のインスタンスのターゲットセットで、アプリケーションの更新または Linux シェルスクリプトや Windows PowerShell コマンドの実行などのオンデマンドの変更を行います。

State Manager

Systems Manager ステートマネージャーを使用して、マネージドインスタンスを定義された状態に保つプロセスを自動化します。ステートマネージャー を使用して、インスタンスがスタートアップ時に特定のソフトウェアでブートストラップされたり、Windows ドメイン (Windows Server インスタンスのみ) に結合されたり、特定のソフトウェア更新でパッチを適用されたりするように設定できます。

Patch Manager

Patch Manager を使用して、セキュリティ関連のアップデートと他のタイプのアップデートの両方でマネージドインスタンスにパッチを適用するプロセスを自動化します。Patch Manager を使用すると、オペレーティングシステムとアプリケーションの両方にパッチを適用することができます。(Windows Server では、アプリケーションのサポートは、Microsoft アプリケーションの更新に制限されています。) この機能では、インスタンスをスキャンして欠落しているパッチを確認し、EC2 インスタンスタグを使用して欠落しているパッチを個別のインスタンスまたは大規模なグループのインスタンスに適用できます。Patch Manager のパッチベースラインでは、リリースから数日以内にパッチを自動承認するためのルールと、承認済みパッチおよび拒否済みパッチのリストが含まれています。パッチ適用を Systems Manager のメンテナンスウィンドウタスクとして実行するようスケジュールすることで、セキュリティパッチを定期的にインストールでき、また、いつでもオンデマンドでマネージド インスタンスにパッチを適用できます。Linux オペレーティングシステムの場合、パッチベースラインの一部として、パッチ適用オペレーションに使用するレポジトリを定義できます。これにより、インスタンスで設定されたレポジトリに関係なく、信頼されたレポジトリからのみ更新プログラムがインストールされます。Linux の場合、オペレーティングシステムのセキュリティ更新として分類されているものだけでなく、インスタンスでパッケージを更新することもできます。Windows Server の場合は、Patch Manager を使用してサポートされている Microsoft アプリケーションを更新することもできます。

Distributor

Distributor を使用して、パッケージを作成し、マネージドインスタンスにデプロイします。Distributor では、独自のソフトウェアをパッケージ化したり、[AmazonCloudWatchAgent] などの AWS 提供のエージェントソフトウェアパッケージを見つけて、AWS Systems Manager マネージドインスタンスにインストールすることができます。パッケージを初めてインストールした後、Distributor を使用して新しいパッケージバージョンを完全にアンインストールおよび再インストールするか、新しいファイルまたは変更されたファイルのみを追加するインプレース更新を実行できます。Distributor は、ソフトウェアパッケージなどのリソースを AWS Systems Manager マネージドインスタンスに発行します。

Hybrid Activations

ハイブリッド環境のサーバーおよび VM をマネージドインスタンスとしてセットアップするには、マネージドインスタンスのアクティベーションを作成する必要があります。アクティベーションが完了したら、アクティベーションコードと ID を受け取ります。このコードと ID の組み合わせは、Amazon EC2 のアクセス ID とシークレットキーに似ており、マネージドインスタンスから Systems Manager サービスへのセキュアなアクセスが可能になります。

共有リソース

Systems Manager は、AWS リソースの管理および設定のために以下の共有リソースを使用します。詳細については、タブを選択してください。

Documents

Systems Manager ドキュメント (SSM ドキュメント) は、Systems Manager が実行するアクションを定義します。SSM ドキュメントタイプには、ステートマネージャー と Run Command で使用される Command ドキュメント、および Systems Manager Automation で使用されるオートメーションドキュメントが含まれています。Systems Manager には、実行時にパラメータを指定して使用できる多数の事前設定済みのドキュメントが含まれています。ドキュメントは JSON や YAML で表すことができ、ユーザーが指定するパラメータおよびステップが含まれます。