アドバンストインスタンス層を有効にするには - AWS Systems Manager

アドバンストインスタンス層を有効にするには

AWS Systems Manager は、ハイブリッドおよびマルチクラウド環境の非 EC2 マシン用に、スタンダードインスタンス層とアドバンストインスタンス層を提供します。スタンダードインスタンス層では、AWS アカウント ごと、AWS リージョン ごとに最大 1,000 のハイブリッドがアクティブ化されたマシンを登録できます。EC2 以外のノードで Microsoft がリリースしたアプリケーションにパッチを適用し、Session Manager を使用して EC2 以外のノードに接続するには、アドバンストインスタンス層でも Patch Manager を使用する必要があります。詳細については、「アドバンストインスタンス層を有効にするには」を参照してください。

このセクションでは、ハイブリッドおよびマルチクラウド環境を設定してアドバンストインスタンス層を使用する方法について説明します。

開始する前に

アドバンストインスタンス料金の詳細を確認します。アドバンストインスタンスは、従量制料金で利用できます。詳細については、「AWS Systems Manager の料金」を参照してください。

アドバンストインスタンス層を有効にするためのアクセス権限の設定

AWS Identity and Access Management (IAM) にアクセス許可があることを確認して、環境を標準インスタンス層からアドバンストインスタンス層に変更します。AdministratorAccess IAM ポリシーをユーザー、グループ、またはロールにアタッチするか、Systems Manager アクティベーション層サービス設定を変更するアクセス許可を持っている必要があります。アクティベーション層の設定は、次の API オペレーションを使用します。

インライン IAM ポリシーをユーザーアカウントに追加するには、以下の手順に従います。このポリシーにより、ユーザーは現在のマネージドインスタンス層の設定を表示できます。また、このポリシーにより、ユーザーは指定された AWS アカウント および AWS リージョン の現在の設定をリセットまたは変更できます。

  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [Users] を選択します。

  3. 一覧で、ポリシーを埋め込むユーザーの名前を選択します。

  4. [Permissions] タブを選択します。

  5. ページ右側にある [Permission policies (権限のポリシー)] で、[Add inline policy (インラインポリシーの追加)] を選択します。

  6. [JSON] タブを選択します。

  7. デフォルトコンテンツを以下のものと置き換えます。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetServiceSetting" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:ResetServiceSetting", "ssm:UpdateServiceSetting" ], "Resource": "arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier" } ] }
  8. [ポリシーの確認] を選択します。

  9. [Review policy (ポリシーの確認)] ページで、[Name (名前)] にインラインポリシーの名前を入力します。例: Managed-Instances-Tier

  10. [Create policy] を選択します。

管理者は、ユーザーに次のインラインポリシーを割り当てることで、読み取り専用アクセス許可を指定できます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetServiceSetting" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "ssm:ResetServiceSetting", "ssm:UpdateServiceSetting" ], "Resource": "*" } ] }

IAM ユーザーポリシーの作成と編集の詳細については、IAM ユーザーガイドの「IAM ポリシーの作成」を参照してください。

アドバンストインスタンス層を有効にするには (コンソール)

次の手順では、Systems Manager コンソールを使用して、指定した AWS アカウント と AWS リージョン で、マネージドインスタンスのアクティベーションを使用して追加されたすべての非 EC2 ノードでアドバンストインスタンス層を使用するように変更する方法を示します。

開始する前に

マネージドインスタンスを作成した AWS リージョン でコンソールを開いていることを確認します。コンソールの右上隅にあるリストを使用して、リージョンを切り替えることができます。

ハイブリッドおよびマルチクラウド環境で、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスと非 EC2 マシンのセットアップ要件を完了していることを確認します。詳細については、AWS Systems Manager のセットアップ を参照してください。

重要

次の手順では、アカウントレベルの設定を変更する方法について説明します。この変更の結果、料金がお客様のアカウントに請求されます。

アドバンストインスタンス層を有効にするには (コンソール)
  1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。

  2. ナビゲーションペインで、[Fleet Manager] を選択します。

  3. [設定]、[インスタンスティアの設定を変更] を選択します。

  4. アカウント設定の変更に関するダイアログで情報を確認し、次に進みます。

  5. 承認する場合、承認するオプションを選択し、[設定を変更] を選択します。

システムがすべてのインスタンスを標準インスタンス層からアドバンストインスタンス層に移動するプロセスを完了するのに数分かかることがあります。

注記

標準インスタンス層への変更の詳細については、「アドバンストインスタンス層から標準インスタンス層に戻す」を参照してください。

アドバンストインスタンス層を有効にするには (AWS CLI)

次の手順では、AWS Command Line Interface を使用して、指定した AWS アカウント および AWS リージョン で、マネージドインスタンスのアクティベーションを使用して追加されたすべてのオンプレミスサーバーと VM でアドバンストインスタンス層を使用するように変更する方法を示します。

重要

次の手順では、アカウントレベルの設定を変更する方法について説明します。この変更の結果、料金がお客様のアカウントに請求されます。

AWS CLI を使用してアドバンストインスタンス層を有効にするには
  1. AWS CLI を開き、次のコマンドを実行します。各リソースプレースホルダーの例をユーザー自身の情報に置き換えます。

    Linux & macOS
    aws ssm update-service-setting \ --setting-id arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier \ --setting-value advanced
    Windows
    aws ssm update-service-setting ^ --setting-id arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier ^ --setting-value advanced

    コマンドが成功した場合、出力はありません。

  2. 次のコマンドを実行して、現在の AWS アカウント および AWS リージョン のマネージドノードのサービス設定を表示します。

    Linux & macOS
    aws ssm get-service-setting \ --setting-id arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier
    Windows
    aws ssm get-service-setting ^ --setting-id arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier

    このコマンドによって以下のような情報が返されます。

    {
        "ServiceSetting": {
            "SettingId": "/ssm/managed-instance/activation-tier",
            "SettingValue": "advanced",
            "LastModifiedDate": 1555603376.138,
            "LastModifiedUser": "arn:aws:sts::123456789012:assumed-role/Administrator/User_1",
            "ARN": "arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/managed-instance/activation-tier",
            "Status": "PendingUpdate"
        }
    }

アドバンストインスタンス層を有効にするには (PowerShell)

次の手順では、AWS Tools for Windows PowerShell を使用して、指定した AWS アカウント および AWS リージョン で、マネージドインスタンスのアクティベーションを使用して追加されたすべてのオンプレミスサーバーと VM でアドバンストインスタンス層を使用するように変更する方法を示します。

重要

次の手順では、アカウントレベルの設定を変更する方法について説明します。この変更の結果、料金がお客様のアカウントに請求されます。

PowerShell を使用してアドバンストインスタンス層を有効にするには
  1. AWS Tools for Windows PowerShell を開き、次のコマンドを実行します。各リソースプレースホルダーの例をユーザー自身の情報に置き換えます。

    Update-SSMServiceSetting ` -SettingId "arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier" ` -SettingValue "advanced"

    コマンドが成功した場合、出力はありません。

  2. 次のコマンドを実行して、現在の AWS アカウント および AWS リージョン のマネージドノードのサービス設定を表示します。

    Get-SSMServiceSetting ` -SettingId "arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier"

    このコマンドによって以下のような情報が返されます。

    ARN:arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/managed-instance/activation-tier
    LastModifiedDate : 4/18/2019 4:02:56 PM
    LastModifiedUser : arn:aws:sts::123456789012:assumed-role/Administrator/User_1
    SettingId        : /ssm/managed-instance/activation-tier
    SettingValue     : advanced
    Status           : PendingUpdate

システムがすべてのノードをスタンダードインスタンス層からアドバンストインスタンス層に移動するプロセスを完了するのに数分かかることがあります。

注記

標準インスタンス層への変更の詳細については、「アドバンストインスタンス層から標準インスタンス層に戻す」を参照してください。