Systems Manager の機能 - AWS Systems Manager

Systems Manager の機能

Systems Manager によって機能は以下の機能タイプに分類されます。

Quick Setup

Quick Setup により、頻繁に使用する AWS サービスと機能を、推奨されるベストプラクティスを使用して設定できます。AWS Organizations との統合により、個々の AWS アカウント で、または複数の AWS アカウント と AWS リージョン にまたがって Quick Setup を使用できます。Quick Setup は、一般的なタスクや推奨されるタスクを自動化することで、Systems Manager などのサービスのセットアップを簡素化します。これらのタスクには、例えば、必須の AWS Identity and Access Management (IAM) インスタンスプロファイルロールの作成、定期的なパッチスキャンやインベントリ収集などの運用上のベストプラクティスの設定が含まれます。

Operations Management

Operations Management は、AWS リソースの管理に役立つ一連の機能です。詳細については、タブを選択してください。

Incident Manager

Incident Manager は、AWS がホストするアプリケーションに影響を与えるインシデントを、ユーザーが緩和したりそのようなインシデントから復旧したりできるように設計された、インシデントマネジメントコンソールです。

Incident Manager は、影響をレスポンダーに通知し、関連するトラブルシューティングデータを強調表示し、サービスをバックアップして実行するためのコラボレーションツールを提供することで、インシデントの解決を向上させます。また、Incident Manager は応答計画を自動化して、応答者チームのエスカレーションも可能にします。

Explorer

Explorer は、AWS リソースに関する情報の報告に使用するカスタマイズ可能なオペレーションダッシュボードです。Explorer には、AWS アカウント および AWS リージョン 全体のオペレーションデータ (OpsData) の集約的なビューが表示されます。Explorer では、OpsData に Amazon EC2 インスタンス、パッチコンプライアンスの詳細、および運用作業項目 (OpsItems) に関するメタデータが含まれています。Explorer では、OpsItems が事業部門またはアプリケーション全体にどのように分散されているか、それらが時間の経過とともにどのような傾向を示すか、およびカテゴリによってどのように異なるかに関するコンテキストが提供されます。Explorer で情報をグループ化およびフィルタリングすると、自身に関連する項目や、アクションが必要な項目に注目することができます。優先度の高い問題を特定したら、AWS Systems Manager の一機能である OpsCenter を使用して Automation ランブックを実行すると、問題を解決できます。

OpsCenter

OpsCenter は、オペレーションエンジニアや IT プロフェッショナルが AWS リソースに関連する運用作業項目 (OpsItems) を表示、調査、解決できる一元的な場所を提供します。OpsCenter は、AWS リソースに影響を与える問題の解決までの平均時間を、短縮する目的で設計されています。この Systems Manager 機能では、各 OpsItem、関連のある OpsItems、および関連リソースに関する状況に応じた調査データを提供しながら、サービス間で OpsItems を集約および標準化します。また、OpsCenter では、問題の解決に使用できる Systems Manager Automation ランブックも提供しています。検索可能なカスタムデータを OpsItem ごとに指定することができます。OpsItems について自動的に生成された概要レポートは、ステータスとソース別に表示することもできます。

CloudWatch Dashboards

Amazon CloudWatch ダッシュボードは、CloudWatch コンソールにあるカスタマイズ可能なページであり、ダッシュボードを使用すれば、異なるリージョンにまたがっているリソースでも、1 つのビューでモニタリングできます。CloudWatch ダッシュボードを使用して、AWS のリソースのメトリクスおよびアラームをカスタマイズした状態で表示することができます。

Trusted Advisor & AWS Health Dashboard (PHD)

Systems Manager の 2 つのオンラインツールは、リソースのプロビジョニングとアカウントのヘルスイベントのモニタリングに役立ちます。Trusted Advisor は、AWS のベストプラクティスに従ってリソースをプロビジョニングするのに役立つリアルタイムのガイダンスを提供するオンラインツールです。Trusted Advisor: 詳細については、「」を参照してください。

AWS Health Dashboard は、アカウントに影響する可能性がある AWS Health イベントに関する情報を提供します。情報は 2 つの方法で表示されます。ダッシュボードには、最近のイベントおよび予定されているイベントがカテゴリ別に分類されて表示されます。詳細なイベントログには、過去 90 日間のすべてのイベントが表示されます。詳細については、「AWS Health Dashboard の開始方法」を参照してください。

アプリケーション管理

アプリケーション管理は、 で実行されているアプリケーションの管理に役立つ一連の機能ですAWS 詳細については、タブを選択してください。

Application Manager

Application Manager は、AWS リソースに関する問題をアプリケーションの背景に対応して調査および修正する際に役立ちます。Application Manager は、複数の AWS サービスや Systems Manager 機能のオペレーション情報を、単一の AWS マネジメントコンソールに集約します。

Resource Groups

AWS Resource Groups: AWS リソースは、SSM ドキュメント、パッチベースライン、メンテナンスウィンドウ、パラメータ、マネージドインスタンスなどの AWS、Amazon Elastic Compute Cloud(Amazon EC2)インスタンス、Amazon Elastic Block Store (Amazon EBS) ボリューム、セキュリティグループ、Amazon Virtual Private Cloud(VPC)で操作できるエンティティです。リソースグループとは、すべてが同じ AWS リージョン にあり、クエリで指定された条件に適合する AWS リソースのコレクションを指します。リソースグループコンソールでクエリを構築するか、または AWS Resource Groups で AWS CLI コマンドにこのクエリを引数として渡します。リソースグループを使用すると、タグで特定した条件に従って情報を整理し、統合するカスタムコンソールを作成できます。Systems Manager でモニタリングおよび設定情報を表示するベースとしてグループを使用することもできます。

AppConfig

AppConfig は、アプリケーション設定を作成、管理、迅速にデプロイする際に有用です。AppConfig では、あらゆる規模のアプリケーションへの管理型デプロイがサポートされています。AppConfig は、Amazon EC2 インスタンス、AWS Lambda コンテナ、モバイルアプリケーション、エッジデバイスでホストされているアプリケーションで使用できます。アプリケーション設定のデプロイ時のエラーを防ぐため、AppConfig にはバリデータが含まれています。バリデータは構文チェックまたはセマンティックチェックを実施して、デプロイする設定が意図したとおりに動作することを確認します。AppConfig は設定のデプロイ中、アプリケーションをモニタリングしてデプロイが正常に実施されたことを確認します。システムでエラーが発生した場合、またはデプロイによってアラームが呼び出された場合、AppConfig は変更をロールバックして、アプリケーションユーザーへの影響を最小限に抑えます。

パラメータストア

Parameter Store は、設定データ管理と機密管理のための安全な階層型ストレージを提供します。パスワード、データベース文字列、Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Machine Image (AMI) ID、ライセンスコードなどのデータをパラメータ値として保存できます。値はプレーンテキストまたは暗号化されたデータとして保存できます。次に、パラメータの作成時に指定した一意の名前を使用して値を参照できます。

変更管理

Systems Manager は、AWS リソースにアクション実行または変更するために以下の機能を提供します。詳細については、タブを選択してください。

Change Manager

Change Manager は、アプリケーションの設定やインフラストラクチャに対する運用上の変更を要求、承認、実装、レポート作成するためのエンタープライズ変更管理フレームワークです。AWS Organizations を使用すると、単一の委任された管理者アカウントから、複数の AWS リージョン の複数の AWS アカウント にまたがる変更を管理できます。または、ローカルアカウントを使用して、単一の AWS アカウント の変更を管理できます。AWSリソースとオンプレミスリソースの両方に対する変更を管理する場合に Change Manager を使用します。

Automation

メンテナンスとデプロイでの一般的なタスクを自動化するには、オートメーションを使用します。オートメーションを使用すると、Amazon Machine Images (AMIs) の作成と更新、ドライバーとエージェントの更新プログラムの適用、Windows Server インスタンスでのパスワードのリセット、Linux インスタンスでの SSH キーのリセット、OS パッチまたはアプリケーション更新プログラムの適用が可能になります。

Change Calendar

Change Calendar では、(Systems Manager Automation ランブックなどで) 指定したアクションを AWS アカウント で実行できる、または実行できない日時の範囲を設定できます。Change Calendar では、これらの範囲をイベントと呼びます。Change Calendar エントリを作成すると、ChangeCalendar タイプの Systems Manager ドキュメントが作成されます。Change Calendar では、ドキュメントに iCalendar 2.0 データがプレーンテキスト形式で保存されます。Change Calendar エントリに追加したイベントは、ドキュメントの一部になります。Change Calendar インターフェイスでイベントを手動で追加したり、.ics ファイルを使用して、サポートされているサードパーティーのカレンダーからイベントをインポートしたりできます。

メンテナンスウィンドウ

Maintenance Windows を使用して、ビジネスクリティカルなオペレーションを中断することなく、パッチや更新プログラムのインストールなどの管理タスクを実行するように、マネージドインスタンスの定期的なスケジュールを設定します。

ノード管理

Systems Manager は、Amazon EC2 インスタンス、エッジデバイス、オンプレミスサーバー、ハイブリッド環境の仮想マシン (VM) を含むノードを管理するために以下の機能を提供します。詳細については、タブを選択してください。

Compliance

マネージドノードのフリートをスキャンし、パッチコンプライアンスと設定の整合性を検出するには、Compliance を使用します。複数の AWS アカウント と AWS リージョン からデータを収集して集計し、それに準拠していない特定のリソースにドリルダウンすることができます。デフォルトで、設定コンプライアンスは Patch Manager のパッチ適用、および State Manager の関連付けに関する現在のコンプライアンスデータを表示します。サービスをカスタマイズし、IT またはビジネスの要件に基づいて独自のコンプライアンスタイプを作成することもできます。

Fleet Manager

Fleet Manager は、統合されたユーザーインターフェイス (UI) エクスペリエンスであり、ノードをリモートから管理することに役たちます。Fleet Manager で 1 つのコンソールからフリート全体の正常性とパフォーマンスステータスを確認できます。個別のデバイスとインスタンスからデータを収集して、コンソールから一般的なトラブルシューティングと管理タスクを実行することもできます。これには、ディレクトリとファイルの内容の表示、Windows レジストリ管理、オペレーティングシステムのユーザー管理などが含まれます。

Inventory

インベントリは、マネージドノードからのソフトウェアインベントリの収集プロセスを自動化します。インベントリでアプリケーション、ファイル、コンポーネント、パッチなどに関するメタデータを収集できます。

セッションマネージャー

Session Manager により、インタラクティブなブラウザ ベースのワンクリックシェルまたは AWS CLI を介して、エッジデバイスと Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理できます。Session Manager は、インバウンドポートを開いたり、踏み台ホストを維持したり、SSH キーを管理したりする必要がなく、安全で監査可能なエッジデバイスとインスタンスの管理を実現します。同時に Session Manager では、エッジデバイスとインスタンスへ制御されたアクセス、厳格なセキュリティプラクティス、エッジデバイスとインスタンスへのアクセス詳細を含む完全に監査可能なログを必要とする企業ポリシーの尊守を可能にしつつ、エンドユーザーに対しては、エッジデバイスとEC2 インスタンスへのワンクリックによる簡単なクロス プラットフォームアクセスを提供します。Session Manager を使用する場合、アドバンストインスタンス層を有効にする必要があります。詳細については、「アドバンストインスタンス層を有効にするには」を参照してください。

Run Command

Run Command を使用すると、マネージドノードの設定を、安全にリモートで大規模に管理することができます。Run Command を使用して、数十または数百台のマネージドノードのターゲットセットに対して、アプリケーションの更新、または Linux シェルスクリプトと Windows PowerShell コマンドの実行といった変更をオンデマンドで行います。

ステートマネージャー

マネージドノードを定義された状態に維持するためのプロセスを自動化するには、State Manager を使用します。State Manager を使用してマネージドノードがスタートアップ時に特定のソフトウェアでブートストラップされ、Windows ドメイン (Windows Server ノードのみ) に結合され、または特定のソフトウェア更新でパッチが適用されることを保証します。

Patch Manager

Patch Manager を使用して、セキュリティ関連とその他のアップデートの両方でマネージドノードにパッチ適用するプロセスを自動化します。Patch Manager を使用すると、オペレーティングシステムとアプリケーションの両方にパッチを適用することができます。(Windows Server では、アプリケーションのサポートは、Microsoft がリリースしたアプリケーションの更新に制限されています)。

この機能はマネージドノードをスキャンして欠落パッチを確認し、タグを使用して個別またはマネージドノードの大グループに欠落パッチを適用することを実現します。Patch Manager はパッチベースラインを使用し、リリースから数日以内にパッチを自動承認するルールと、承認済と拒否済みパッチのリストが含まれています。Systems Manager のメンテナンスウィンドウ タスクとしてパッチを実行するようスケジュールすることにより、セキュリティパッチを定期的にインストールでき、またはいつでもオンデマンドでマネージドノードにパッチを適用できます。

Linux オペレーティングシステムの場合、パッチベースラインの一部として、パッチ適用オペレーションに使用するレポジトリを定義できます。これにより、マネージドノードで設定されたレポジトリとは関係なく、信頼されたレポジトリからのみ更新プログラムがインストールされることを保証します。Linux の場合、オペレーティングシステムのセキュリティ更新として分類されているものだけでなく、マネージドノードでどのようなパッケージでも更新する機能があります。任意の S3 バケットに送信されるパッチレポートを生成することもできます。1 つのマネージドノードの場合、レポートはマシンに適用されたすべてのパッチ詳細が含まれます。すべてのマネージドノードに関するレポートでは、欠けているパッチの数についての概要のみが提供されます。

ディストリビューター

Distributor により、デプロイパッケージを作成してマネージドノードに展開します。Distributor で、自分のソフトウェアをパッケージ化または AWS を提供するエージェントソフトウェアパッケージ (AmazonCloudWatchAgent など) を探して Systems Manager のマネージドノードにインストールすることができます。初めてパッケージをインストールした後、Distributor を使用して新しいパッケージバージョンのアンインストールと再インストールするか、新しいまたは変更されたファイルを追加するインプレース更新を実行できます。Distributor はソフトウェアパッケージなどのリソースを Systems Manager のマネージドノードに発行します。

Hybrid Activations

ハイブリッド環境のサーバーおよび VM をマネージドインスタンスとしてセットアップするには、マネージドインスタンスのアクティベーションを作成します。アクティベーションが完了したら、アクティベーションコードと ID を受け取ります。このコードと ID の組み合わせは Amazon Elastic Compute Cloud (Amazon EC2) のアクセス ID とシークレット キーのように機能し、マネージドインスタンスから Systems Manager サービスへの安全なアクセスを可能になります。

Systems Manager を使用してエッジデバイスを管理する場合、エッジデバイス用のアクティベーションを作成することもできます。

共有リソース

Systems Manager は、AWS リソースの管理および設定のために以下の共有リソースを使用します。

Documents

Systems Manager ドキュメント (SSM ドキュメント) は、Systems Manager が実行する操作を定義します。SSM ドキュメントタイプには、State Manager と Run Command で使用される Command ドキュメントや、Systems Manager Automation で使用される Automation ランブックなどがあります。Systems Manager には、実行時にパラメータを指定して使用できる事前設定済みのドキュメントが 数十件含まれています。ドキュメントは JSON や YAML で表すことができ、ユーザーが指定するパラメータおよびステップが含まれます。