Quick Setup でのパッチポリシー設定 - AWS Systems Manager

Quick Setup でのパッチポリシー設定

2022 年 12 月 22 日より、Patch Manager では、パッチポリシーを使用して組織と AWS アカウント にパッチ適用を設定する際に推奨される方法が新しく提供されます。

パッチポリシーは、AWS Systems Manager の一機能である Quick Setup を使用して設定します。パッチポリシーを使用すると、以前のパッチ適用を設定する方法に比べて、パッチ適用オペレーションをより広範囲かつ一元的に制御できます。パッチポリシーは、サポート対象バージョンの Linux、macOS、Windows Server など、Patch Manager がサポートしているすべてのオペレーティングシステムで使用できます。パッチポリシーの作成方法については、「Quick Setup を使用して組織内のインスタンスのためにパッチ適用を設定する」を参照してください。

パッチポリシーの主な機能

ノードにパッチを適用する他の方法を使用せずに、パッチポリシーを使用して次に示す主な機能を活用してください。

  • 一度にセットアップ – メンテナンスウィンドウや State Manager アソシエーションを使用してパッチ適用オペレーションをセットアップするには、Systems Manager コンソールのさまざまな部分で複数のタスクを実行する必要があります。パッチポリシーを使用すると、すべてのパッチ適用オペレーションを 1 つのウィザードでセットアップできます。

  • 複数アカウント/複数リージョンのサポート – メンテナンスウィンドウ、State Manager アソシエーションや Patch Manager の [Patch now] (今すぐパッチ適用) 機能を使用すると、1 組の AWS アカウント-AWS リージョン ペアのマネージドノードを対象にすることしかできません。複数のアカウントと複数のリージョンを使用している場合、アカウントとリージョンの各ペアでセットアップタスクを実行する必要があるため、セットアップとメンテナンスのタスクに多大な時間がかかる可能性があります。ただし、AWS Organizations を使用すると、1 つのパッチポリシーを設定して、すべての AWS アカウント のすべての AWS リージョン のすべてのマネージドノードに適用されるようにできます。または、選択したアカウントとリージョンの一部の組織単位 (OU) にのみパッチポリシーを適用することもできます。パッチポリシーは、必要に応じて 1 つのローカルアカウントに適用することもできます。

  • 組織レベルでのインストールをサポート – Quick Setup の既存のホスト管理設定オプションでは、マネージドノードを毎日スキャンしてパッチコンプライアンスを確認することができます。ただし、このスキャンは予め決められた時間に行われ、パッチのコンプライアンス情報のみが得られます。パッチのインストールは実行されません。パッチポリシーを使用して、スキャンおよびインストールのさまざまなスケジュールを指定できます。カスタムの CRON 式または Rate 式を使用して、これらのオペレーションの頻度と時間を選択することもできます。例えば、未適用のパッチがないか毎日スキャンして、定期的に更新されるコンプライアンス情報を取得できます。ただし、不要なダウンタイムを避けるため、インストールスケジュールは週に 1 回にすることもできます。

  • パッチベースラインの選択の簡略化 – パッチポリシーには引き続きパッチベースラインが組み込まれており、パッチベースラインの設定方法に変更はありません。ただし、パッチポリシーを作成または更新するときは、オペレーティングシステム (OS) の種類ごとに使用する AWS マネージドベースラインまたはカスタムベースラインを 1 つのリストで選択できます。OS の種類ごとにデフォルトベースラインを別々のタスクで指定する必要はありません。

注記

パッチポリシーに基づいてパッチ適用オペレーションが実行される場合、AWS-RunPatchBaseline SSM ドキュメントが使用されます。詳細については、「パッチ適用のための SSM コマンドドキュメント: AWS-RunPatchBaseline」を参照してください。

関連情報

Systems Manager Quick Setup を使用して AWS Organization 全体で一元的にパッチオペレーションをデプロイする」(AWS クラウド運用と移行に関するブログ)

パッチポリシーとのその他の違い

以前のパッチ適用設定の方法の代わりにパッチポリシーを使用する場合に注意すべきその他の相違点は次のとおりです。

  • パッチグループは不要 – 以前のパッチ適用オペレーションでは、パッチグループに属するように複数のノードをタグ付けし、そのパッチグループに使用するパッチベースラインを指定できました。パッチグループがない場合、Patch Manager では、OS の種類に対する現在のデフォルトのパッチベースラインを使用してパッチが適用されました。パッチポリシーを使用すると、パッチグループをセットアップして管理する必要がなくなります。

  • [Configure patching] (パッチ適用を設定) ページが削除されました – パッチポリシーがリリースされる前は、[Configure patching] (パッチ適用を設定) ページで、パッチを適用するノード、パッチ適用スケジュール、およびパッチ適用オペレーションのデフォルトを指定できました。このページは Patch Manager から削除されました。これらのオプションは、パッチポリシーで指定することになりました。

  • [Patch now] (今すぐパッチ適用) サポートなし – 引き続き、ノードをオンデマンドでパッチできるのは、一度に 1 組の AWS アカウント-AWS リージョン ペアに限られています。詳細については、マネージドノードへのオンデマンド パッチ適用 を参照してください。

  • パッチポリシーとコンプライアンス情報 – パッチ適用ポリシーの設定に従ってマネージドノードのコンプライアンスをスキャンすると、コンプライアンスデータが利用可能になります。他のコンプライアンススキャン方法と同じ方法でデータを表示および操作できます。組織全体または複数の組織単位のパッチポリシーをセットアップできますが、AWS アカウント-AWS リージョン ペアそれぞれのコンプライアンス情報はペアごとに個別に報告されます。詳細については、「パッチコンプライアンスレポートの使用」を参照してください。

  • 関連付けコンプライアンスステータスとパッチポリシー – Quick Setup パッチポリシーの下にあるマネージドノードのパッチステータスは、そのノードの State Manager 関連付け実行ステータスと一致します。関連付け実行ステータスが Compliant の場合、マネージドノードのパッチステータスも Compliant とマークされます。関連付け実行ステータスが Non-Compliant の場合、マネージドノードのパッチステータスも Non-Compliant とマークされます。

パッチポリシーがサポートされている AWS リージョン

Quick Setup でのパッチポリシー設定は、現在、次のリージョンでサポートされています。

  • 米国東部 (オハイオ) (us-east-2)

  • 米国東部 (バージニア北部) (us-east-1)

  • 米国西部 (北カリフォルニア) (us-west-1)

  • 米国西部 (オレゴン) (us-west-2)

  • アジアパシフィック (ムンバイ) (ap-south-1)

  • アジアパシフィック (ソウル) (ap-northeast-2)

  • アジアパシフィック (シンガポール) (ap-southeast-1)

  • アジアパシフィック (シドニー) (ap-southeast-2)

  • アジアパシフィック (東京) (ap-northeast-1)

  • カナダ (中部) (ca-central-1)

  • ヨーロッパ (フランクフルト) (eu-central-1)

  • 欧州 (アイルランド) (eu-west-1)

  • ヨーロッパ (ロンドン) (eu-west-2)

  • 欧州 (パリ) (eu-west-3)

  • 欧州 (ストックホルム) (eu-north-1)

  • 南米 (サンパウロ) (sa-east-1)