チュートリアル: コンソールを使用してパッチ用メンテナンスウィンドウを作成する - AWS Systems Manager

チュートリアル: コンソールを使用してパッチ用メンテナンスウィンドウを作成する

重要

このレガシートピックを引き続き使用してパッチ適用のためのメンテナンスウィンドウを作成することができます。ただし、代わりにパッチポリシーを使用することをお勧めします。詳細については、Quick Setup でのパッチポリシー設定 および組織内のインスタンスのためにパッチ適用を設定するを参照してください。

サーバーの可用性に対する影響を最小限に抑えるため、メンテナンスウィンドウを設定して事業運営を中断させない時間帯にパッチ適用を実行することをお勧めします。

この手順を開始する前に、AWS Systems Manager の一機能である Maintenance Windows のロールとアクセス許可を設定する必要があります。詳細については、「Maintenance Windows を設定する」を参照してください。

パッチ適用のメンテナンスウィンドウを作成するには

  1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。

  2. ナビゲーションペインで、[Maintenance Windows] を選択します。

  3. [Create maintenance window] を選択します。

  4. [Name] に、緊急および重要な更新プログラムのパッチを適用するメンテナンスウィンドウとして、これを指定する名前を入力します。

  5. (オプション) [説明] に説明を入力します。

  6. ノードをがターゲットとして登録されていない場合でも、そのマネージドノードでメンテナンスウィンドウタスクの実行を許可する場合は、[Allow unregistered targets] (未登録ターゲットを許可) を選択します。

    このオプションを選択すると、タスクをメンテナンスウィンドウに登録する際に、未登録ノードを (ノード ID で) 選択できます。

    このオプションを選択しない場合、タスクをメンテナンスウィンドウに登録する際に、事前に登録済みのターゲットを選択する必要があります。

  7. [スケジュール ] セクションの上部で、3 つのスケジュールオプションのいずれかを使用して、メンテナンスウィンドウのスケジュールを指定します。

    cron/rate 式の作成の詳細については、「リファレンス: Systems Manager の Cron 式および rate 式」を参照してください。

  8. [期間] に、メンテナンスウィンドウを実行する時間数を入力します。指定する値は、開始時刻に基づいてメンテナンスウィンドウの具体的な終了時刻を決定します。メンテナンスウィンドウタスクは、決定された終了時刻から、次のステップで [タスクの開始を停止] に指定する時間数を引いて求められる時刻の後に開始することは許可されません。

    たとえば、メンテナンスウィンドウが午後 3 時に開始され、期間が 3 時間で、[タスクの開始を停止] の値が 1 時間の場合、午後 5 時以降はメンテナンスウィンドウのタスクを開始できません。

  9. [Stop initiating tasks] に、メンテナンスウィンドウが終了してから新しいタスクの実行のスケジュールが停止されるまでの時間数を入力します。

  10. (オプション) [Window start date] (ウィンドウ開始日) で、メンテナンスウィンドウをアクティブにする日時を ISO-8601 拡張形式で指定します。これにより、指定した将来の日付までメンテナンスウィンドウのアクティベーションを遅らせることができます。

  11. (オプション) [Window end date] (ウィンドウ終了日) で、メンテナンスウィンドウを非アクティブにする日時を ISO-8601 拡張形式で指定します。これにより、メンテナンスウィンドウの実行を停止する将来の日時を設定できるようになります。

  12. (オプション) [タイムゾーンのスケジュール] で、スケジュールされたメンテナンスウィンドウの実行の基準となるタイムゾーンを、IANA (Internet Assigned Numbers Authority) 形式で指定できます。例: 「America/Los_Angeles」、「etc/UTC」、または「Asia/Seoul」。

    有効な形式の詳細については、IANA ウェブサイトの「Time Zone Database」を参照してください。

  13. (オプション) [タグの管理] 領域で、1 つ以上のタグキーの名前と値のペアをメンテナンスウィンドウに適用します。

    タグは、リソースに割り当てるオプションのメタデータです。タグを使用すると、目的、所有者、環境などのさまざまな方法でリソースを分類できます。例えば、このメンテナンスウィンドウにタグを付けて、実行するタスクのタイプを指定できます。この場合、以下のキーの名前と値のペアを指定します。

    • Key=TaskType,Value=Patching

  14. [Create maintenance window] を選択します。

  15. メンテナンスウィンドウのリストで、作成したメンテナンスウィンドウを選択し、[Actions]、[Register targets] の順に選択します。

  16. (オプション) [Maintenance window target details] セクションで、このターゲットの名前、説明、所有者情報 (自分の名前またはエイリアス) を指定します。

  17. [ターゲットの選択] で、[インスタンスタグの指定] を選択します。

  18. [インスタンスタグの指定] で、メンテナンスウィンドウに登録するノードを識別するためのタグキーとタグ値を入力し、[追加] を選択します。

  19. [Register target] を選択します。メンテナンスウィンドウのターゲットが作成されます。

  20. 作成したメンテナンスウィンドウの詳細ページで、[アクション]、[run command タスクの登録] の順に選択します。

  21. (オプション) [Maintenance window task details (メンテナンスウィンドウのタスクの詳細)] に、このタスクの名前と説明を入力します。

  22. [Command document] (コマンドのドキュメント) で、AWS-RunPatchBaseline を選択します。

  23. [Task priority (タスクの優先度)] で、優先度を選択します。ゼロ (0) が最高の優先度になります。

  24. [Targets (ターゲット)] の [Target by (ターゲットの条件)] で、この手順の前半で作成したメンテナンスウィンドウターゲットを選択します。

  25. [レート制御] の場合:

    • [同時実行数] の場合、コマンドを同時に実行するマネージドノードの数または割合を指定します。

      注記

      マネージドノードに適用されるタグを指定するか、AWS リソースグループを指定してターゲットを選択し、ターゲットとなるマネージドノードの数が不明な場合は、割合を指定してドキュメントを同時に実行できるターゲットの数を制限します。

    • [エラーのしきい値] で、ノードの数または割合のいずれかで失敗した後、他のマネージドノードでのコマンドの実行をいつ停止するか指定します。例えば、3 つのエラーを指定した場合、4 番目のエラーが受信されると、Systems Manager はコマンドの送信を停止します。コマンドを処理しているマネージドノードもエラーを送信する可能性があります。

  26. (オプション) [IAM サービスロール] で、Systems Manager がメンテナンスウィンドウタスクの実行時期を推測するための許可を付与するロールを選択します。

    サービスロール ARN を指定しない場合、Systems Manager はアカウントのサービスにリンクされたロールを使用します。アカウントに Systems Manager 用の適切なサービスにリンクされたロールが存在しない場合は、タスクが正常に登録されるとロールが作成されます。

    注記

    セキュリティ体制を強化するために、メンテナンスウィンドウタスクを実行するためのカスタムポリシーとカスタムサービスロールを作成することを強くお勧めします。ポリシーは、特定のメンテナンスウィンドウタスクに必要なアクセス許可のみを提供するように作成できます。詳細については、「Maintenance Windows を設定する」を参照してください。

  27. (オプション) [出力オプション] で、コマンド出力をファイルに保存するには、[S3 への出力の書き込みを有効にします] ボックスをオンにします。ボックスにバケット名とプレフィックス (フォルダ) 名を入力します。

    注記

    S3 バケットにデータを書き込む機能を許可する S3 アクセス許可は、このタスクを実行する IAM ユーザーのものではなく、マネージドノードに割り当てられたインスタンスプロファイルのものです。詳細については、「Systems Manager に必要なインスタンスのアクセス許可を設定する」または「ハイブリッド環境に IAM サービスロールを作成する」を参照してください。さらに、指定された S3 バケットが別の AWS アカウント にある場合は、マネージドノードに関連付けられたインスタンスプロファイルまたは IAM サービスロールに、そのバケットへの書き込みに必要なアクセス許可があることを確認してください。

    Amazon CloudWatch Logs ロググループに出力をストリーミングするには、[CloudWatch 出力] ボックスを選択します。ボックスにロググループ名を入力します。

  28. [SNS Notifications (SNS 通知)] セクションで、コマンドの実行状態に関する通知を受け取る場合は、[Enable SNS notifications (SNS 通知を有効にする)] チェックボックスをオンにします。

    Run Command 用の Amazon SNS 通知の設定の詳細については、「Amazon SNS 通知を使用した Systems Manager のステータス変更のモニタリング」を参照してください。

  29. [Parameters (パラメータ)]。

    • [Operation (オペレーション)] リストで、[Scan (スキャン)] を選択して見つからないパッチをスキャンするか、[Install (インストール)] を選択して見つからないパッチをスキャンしてインストールします。

    • [Snapshot Id (スナップショット ID)] フィールドには何も指定する必要がありません。このシステムでは、このパラメータが自動的に生成されて提供されます。

    • パッチベースラインに指定されているものとは異なるパッチのセットをPatch Managerで使用する場合を除き、[Install Override List (インストール上書きリスト)] フィールドには何も入力する必要はありません。詳細については、パラメータ名: InstallOverrideList を参照してください。

    • [再起動オプション] で、Install オペレーション中にパッチがインストールされた場合にノードを再起動するか、Patch Manager が前回のノードの再起動後にインストールされた他のパッチを検出した場合にノードを再起動するかを指定します。詳細については、パラメータ名: RebootOption を参照してください。

    • (オプション) [Comment (コメント)] に、このコマンドに関する追跡メモまたはリマインダーを入力します。

    • [Timeout (seconds) (タイムアウト (秒))] に、オペレーションが完了せずに失敗したとみなされるまでにシステムが待機する秒数を入力します。

  30. [Register Run command task (Run command タスクの登録)] を選択します。

メンテナンスウィンドウタスクが完了したら、Fleet Manager 機能の Systems Manager コンソールで、パッチコンプライアンスの詳細を確認できます。

あるいは Patch Manager 機能の [コンプライアンスレポート] タブでコンプライアンス情報を確認することもできます。

DescribePatchGroupStateDescribeInstancePatchStatesForPatchGroup の API を使用してコンプライアンスの詳細を確認することもできます。パッチコンプライアンスデータの詳細については、「パッチコンプライアンスについて」を参照してください。