マネージドノードへのオンデマンド パッチ適用 - AWS Systems Manager

マネージドノードへのオンデマンド パッチ適用

AWS Systems Manager の一機能である Patch Manager の [Patch now (今すぐパッチ適用)] オプションを使用すると、Systems Manager コンソールからオンデマンドでパッチ適用オペレーションを実行できます。つまり、マネージドノードのコンプライアンス状況を更新したり、準拠していないノードにパッチをインストールしたりするために、スケジュールを作成する必要はありません。また、スケジュールされたパッチ適用ウィンドウを設定または変更するために、Systems Manager コンソールを Patch Manager と、 AWS Systems Manager の一機能である Maintenance Windows 間で切り替える必要もありません。

[Patch now] (今すぐパッチを適用) は、ゼロデイアップデートを適用したり、マネージドノードに他の重要なパッチをできるだけ早くインストールしたりする必要がある場合に特に便利です。

注記

オンデマンドのパッチ適用では、一度に 1 組の AWS アカウント と AWS リージョン のペアのみサポートされます。パッチポリシーに基づくパッチ適用オペレーションには使用できません。すべてのマネージドノードをコンプライアンス状態にしておくために、パッチポリシーを使用することをお勧めします。パッチポリシーの使用の詳細については、「Quick Setup パッチポリシーの使用」を参照してください。

「Patch now (今すぐパッチ)」の仕組み

[Patch now (今すぐパッチ)] を実行するには、次の 2 つの必須設定のみを指定します。

  • 欠落しているパッチのみをスキャンするか、パッチをスキャンして、かつ、マネージドノードにインストールするか

  • どのマネージドノードでオペレーションを実行するか

[今すぐパッチ] オペレーションを実行すると、他のパッチオペレーションで選択するのと同じ方法で使用するパッチベースラインを決定します。マネージドノードがパッチグループに関連付けられている場合は、そのグループに指定されたパッチベースラインが使用されます。マネージドノードがパッチグループに関連付けられていない場合、この操作では、マネージドノードのオペレーティングシステムタイプのデフォルトとして現在設定されているパッチベースラインが使用されます。定義済みのベースラインでも、デフォルトとして設定したカスタムベースラインでもかまいません。パッチベースライン選択の詳細については、「パッチグループについて」を参照してください。

[Patch now] (今すぐパッチ) で指定できるオプションには、パッチ適用後にマネージドノードを再起動するタイミングまたは再起動するかどうかの選択、パッチ適用オペレーションのログデータを保存する Amazon Simple Storage Service (Amazon S3) バケットの指定、パッチ適用中のライフサイクルフックとしての Systems Manager ドキュメント (SSM ドキュメント) の実行などがあります。

[Patch now (今すぐパッチ適用)] の同時実行とエラーしきい値

[Patch now (今すぐパッチ適用)] オペレーションでは、Patch Manager が同時実行とエラーしきい値のオプションに対応します。一度にパッチを適用するマネージドノードの数を指定する必要も、操作が失敗するまでに許可するエラーの数を指定する必要もありません。Patch Manager は、オンデマンドでパッチを適用するときに、次の表に示す同時実行数とエラーのしきい値の設定を適用します。

重要

次のしきい値は、Scan and install オペレーションのみに適用されます。Scan オペレーションの場合、Patch Manager は最大 1,000 個のノードのスキャンを同時に試みます。また、最大 1,000 個のエラーが発生するまでスキャンを続行します。

同時実行: インストールオペレーション
[Patch now] (今すぐパッチ適用) オペレーションでのマネージドノードの合計数 一度にスキャンされる、またはパッチが適用されるマネージドノードの数
25 未満 1
25~100 5%
101~1,000 8%
1000 超 10%
エラーしきい値: インストールオペレーション
[Patch now] (今すぐパッチ適用) オペレーションでのマネージドノードの合計数 操作が失敗する前に許可されるエラーの数
25 未満 1
25~100 5
101~1,000 10
1000 超 10

[今すぐパッチ適用] ライフサイクルフックの使用

[Patch now (今すぐパッチ適用)] では、Install パッチ適用オペレーション中、ライフサイクルフックとして SSM コマンドドキュメントを実行できます。これらのフックは、パッチの適用前にアプリケーションをシャットダウンしたり、パッチ適用後または再起動後にアプリケーションに対してヘルスチェックを実行したりするといったタスクに使用できます。

ライフサイクルフック使用の詳細については、「AWS-RunPatchBaselineWithHooks SSM ドキュメントについて」を参照してください。

次の表には、3 つの [今すぐパッチ適用] 再起動オプションのそれぞれで利用できるライフサイクルフックと、各フックの使用例が含まれています。

ライフサイクルフックと使用例
再起動オプション フック: インストール前 フック: インストール後 フック: 終了時 フック:スケジュールされた再起動後
必要に応じて再起動

パッチ適用を開始する前に SSM ドキュメントを実行します。

使用例:パッチ適用プロセスの開始前に、アプリケーションを安全にシャットダウンします。

パッチ適用の終了時およびマネージドノードの再起動前に SSM ドキュメントを実行します。

使用例: 再起動前にサードパーティーのアプリケーションのインストールなどの操作を実行します。

パッチ適用オペレーションを完了し、インスタンスが再起動されてから SSM ドキュメントを実行します。

使用例: パッチ適用後、アプリケーションが期待どおりに動作していることを確認します。

利用不可
インスタンスを再起動しない 上記と同じ。

パッチ適用操作の終了時に SSMドキュメントを実行します。

使用例: パッチ適用後、アプリケーションが期待どおりに動作していることを確認します。

利用不可

利用不可

再起動時間をスケジュールする 上記と同じ。 インスタンスを再起動しないと同じ。 利用不可

スケジュールされていた再起動が完了した直後に SSM ドキュメントを実行します。

使用例:再起動後にアプリケーションが期待どおりに動作していることを確認します。

[今すぐパッチ適用] の実行

以下の手順に従って、オンデマンドでマネージドノードにパッチを適用します。

「Patch now (今すぐパッチ)」を実行するには
  1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。

  2. ナビゲーションペインで、[Patch Manager] を選択します。

  3. [AWS Systems Manager Patch Manager] ページまたは [Patch baselines (パッチベースライン)] ページで、開いたベースラインに応じて、[Patch now (今すぐパッチを適用)] を選択します。

  4. [パッチ適用操作] で、次のいずれかを選択します。

    • [Scan] (スキャン): Patch Manager は、マネージドノードに不足しているパッチを検出しますが、インストールしません。結果は、[コンプライアンス] ダッシュボード、またはパッチコンプライアンスの表示に使用するその他のツールで表示できます。

    • [Scan and install] (スキャンとインストール): Patch Manager は、マネージドノードに不足しているパッチを検出してインストールします。

  5. この手順は、前の手順で [Scan and install] (スキャンとインストール) を選択した場合にのみ使用します。[Reboot option] (再起動オプション) で 、次のいずれかを選択します。

    • [Reboot if needed] (必要に応じて再起動): インストール後、Patch Manager は、パッチのインストールを完了するために必要な場合にのみマネージドノードを再起動します。

    • [Don't reboot my instances] (インスタンスを再起動しない): インストール後、Patch Manager はマネージドノードを再起動しません。Patch Manager 外での再起動を選択または管理するときに、ノードを手動で再起動できます。

    • [Schedule a reboot time] (再起動時刻をスケジュール): Patch Manager でマネージドノードを再起動する日付、時刻、および UTC タイムゾーンを指定します。[Patch now (今すぐパッチ適用)] 操作の実行後、スケジュールされていた再起動は「AWS-PatchRebootAssociation」という名前で関連付けとして State Manager にリストされます。

  6. [Instances to patch (パッチを適用するインスタンス)] で、次のいずれかを選択します。

    • [Patch all instances] (すべてのインスタンスにパッチを適用): Patch Manager は、現在の AWS リージョン の AWS アカウント ですべてのマネージドノードに対して、指定したオペレーションを実行します。

    • [Patch only the target instances I specify]: (指定したターゲットインスタンスのみにパッチを適用) 次のステップで対象にするマネージドノードを指定します。

  7. このステップは、前のステップで [Patch only the target instances I specify] (指定したターゲットインスタンスのみにパッチを適用) を選択した場合にのみ使用します。[Target selection] (ターゲットの選択) セクションで、タグの指定、ノードの手動選択、またはリソースグループの指定により、このオペレーションを実行するノードを特定します。

    注記

    表示されるはずのマネージドノードが表示されない場合は、トラブルシューティングのヒントについて「マネージドノードの可用性のトラブルシューティング」を参照してください。

    リソースグループを対象にすることを選択した場合、AWS CloudFormation スタックに基づいたリソースグループにデフォルトの aws:cloudformation:stack-id タグでタグ付けする必要があることに注意してください。これが削除されている場合、Patch Manager はリソースグループに属するマネージドノードを特定できないことがあります。

  8. (オプション) [Patching log storage] (ログストレージのパッチ適用) で、このパッチ適用オペレーションからログを作成して保存する場合は、ログを保存する S3 バケットを選択します。

    注記

    S3 バケットにデータを書き込む機能を許可する S3 許可は、このタスクを実行する IAM ユーザーのものではなく、インスタンスに割り当てられたインスタンスプロファイル (EC2 インスタンスの場合) または IAM サービスロール (ハイブリッドアクティベーションマシン) のものです。詳細については、「Systems Manager にインスタンスのアクセス許可を設定する」または「ハイブリッド環境に IAM サービスロールを作成する」を参照してください。さらに、指定された S3 バケットが別の AWS アカウント にある場合は、マネージドノードに関連付けられたインスタンスプロファイルまたは IAM サービスロールが、そのバケットへの書き込みに必要なアクセス許可があることを確認してください。

  9. (オプション) パッチ適用オペレーションの特定の時点で SSM ドキュメントをライフサイクルフックとして実行する場合は、次の手順を実行します。

    • [Use lifecycle hooks] (ライフサイクルフックを使用) を選択します。

    • 使用可能なフックごとに、オペレーションの指定した時点で実行する SSM ドキュメントを選択します。

      • インストール前

      • インストール後

      • 終了時

      • スケジュールされた再起動後

      注記

      デフォルトのドキュメント AWS-Noop では、オペレーションは実行されません。

  10. [Patch now (今すぐパッチ)] を選択します。

    [Association execution summary (関連付け実行の概要)] ページが開きます。(今すぐパッチでは、AWS Systems Manager の一機能である State Manager の関連付けをオペレーションに使用します)。[Operation summary] (オペレーションの概要) では、指定したマネージドノードのスキャンまたはパッチ適用の状況をモニタリングできます。