Quick Setup ホスト管理 - AWS Systems Manager

Quick Setup ホスト管理

AWS Systems Manager の一機能である Quick Setup を利用することで、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスで必要なセキュリティロールと一般的に使用される Systems Manager 機能をすばやく設定できます。AWS Organizations と統合することで、個々のアカウントで、または複数のアカウントと AWS リージョン にまたがって Quick Setup を使用できます。これらの機能は、使用を開始するために必要な最小限のアクセス許可を提供しながら、インスタンスの状態を管理およびモニタリングするのに役立ちます。Systems Manager のサービスと機能に慣れていない場合は、Quick Setup の設定を作成する前に AWS Systems Manager ユーザーガイドを確認するようお勧めします。Systems Manager の詳細については、「AWS Systems Manager とは」を参照してください。

注記

同じ AWS リージョン を対象に複数の Quick Setup ホスト管理設定を作成することはできません。

組織の Quick Setup は、以下の AWS リージョン で使用できます。

  • 米国東部 (オハイオ)

  • 米国東部(バージニア北部)

  • 米国西部 (北カリフォルニア)

  • 米国西部 (オレゴン)

  • アジアパシフィック (ムンバイ)

  • アジアパシフィック (ソウル)

  • アジアパシフィック (シンガポール)

  • アジアパシフィック (シドニー)

  • アジアパシフィック (東京)

  • カナダ (中部)

  • 欧州 (フランクフルト)

  • 欧州 (アイルランド)

  • 欧州 (ロンドン)

  • 欧州 (パリ)

  • 南米 (サンパウロ)

個々の AWS アカウント 向けの Quick Setup は、Systems Manager がサポートされているすべての AWS リージョン でご利用いただけます。サポートされているリージョンのリストについては、 アマゾン ウェブ サービス全般のリファレンスの「Systems Manager サービスエンドポイント」のリージョン」列を参照してください。

ホスト管理の設定

ホスト管理を設定するには、AWS Systems Manager Quick Setup コンソールで次のタスクを実行します。

Quick Setup でホスト管理を設定するには

  1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。

  2. ナビゲーションペインで、[Quick Setup] を選択します。

    -または-

    AWS Systems Manager ホームページが最初に開く場合は、メニューアイコン ( ) を選択してナビゲーションペインを開き、[Quick Setup] を選択します。

  3. [Create (作成)] を選択します。

  4. [Host Management (ホスト管理)] を選択し、[Next (次へ)] を選択します。

  5. [Configuration options (設定オプション)] セクションで、設定に対して許可するオプションを選択します。

    [Update Systems Manager (SSM) Agent every two weeks (Systems Manager (SSM) エージェントを 2 週間ごとに更新)] オプションを選択すると、Systems Manager は 2 週間ごとにエージェントの新しいバージョンを自動的にチェックします。新しいバージョンがある場合、Systems Manager はインスタンスのエージェントを最新のリリースバージョンに自動的に更新します。インスタンスで常に最新バージョンの SSM Agent が実行されるように、このオプションを選択することをお勧めします。エージェントを手動でインストールする方法など SSM Agent の詳細については、「SSM Agent の使用」を参照してください。

    [Collect inventory from your instances every 30 minutes (インスタンスからインベントリを収集)] オプションを選択した場合、Quick Setup では、次のタイプのメタデータの収集が設定されます。

    • AWS コンポーネント – EC2 ドライバー、エージェント、バージョンなど。

    • アプリケーション – アプリケーション名、発行元、バージョンなど。

    • インスタンスの詳細 – システム名、オペレーティングシステム (OS) 名、OS バージョン、最終起動、DNS、ドメイン、ワークグループ、OS アーキテクチャなど。

    • ネットワーク設定 – IP アドレス、MAC アドレス、DNS、ゲートウェイ、サブネットマスクなど。

    • サービス – 名前、表示名、ステータス、依存サービス、サービスタイプ、開始タイプなど (Windows Server インスタンスのみ)。

    • Windows ロール – 名前、表示名、パス、機能タイプ、インストールされている状態など (Windows Server インスタンスのみ)。

    • Windows 更新 – Hotfix ID、インストール者、インストール日など (Windows Server インスタンスのみ)。

    AWS Systems Manager の機能であるインベントリの詳細については、「 AWS Systems Manager インベントリ 」を参照してください。

    [Scan instances for missing patches daily (欠落しているパッチのインスタンスを毎日スキャンする)] オプションを選択した場合、Systems Manager は Patch Manager を使用して毎日インスタンスをスキャンし、[Compliance (コンプライアンス)] ページで簡単なレポートを生成します。Patch Manager は AWS Systems Manager の一機能です。このレポートには、デフォルトのパッチベースラインに従って、パッチに準拠しているインスタンスの数が表示されます。このレポートには、各インスタンスとそのコンプライアンスステータスのリストが含まれます。このリストに移動して、準拠していないインスタンスの詳細を表示できます。パッチ適用オペレーションとパッチベースラインの詳細については、「AWS Systems Manager Patch Manager」を参照してください。コンプライアンス情報を表示するには、Systems Manager の [Compliance] ページを参照してください。

    [Install and configure the CloudWatch agent (CloudWatch エージェントをインストールして設定する)] オプションを選択すると、統合 CloudWatch エージェントの基本的な設定が Amazon EC2 インスタンスにインストールされます。エージェントは、Amazon CloudWatch のインスタンスからメトリクススとログファイルを収集します。この情報は統合されているため、インスタンスの状態をすばやく判断できます。CloudWatch エージェントの基本的な設定の詳細については、「CloudWatch エージェントの事前定義されたメトリクスセット」を参照してください。追加コストが発生する場合があります。詳細については、「Amazon CloudWatch の料金」を参照してください。

    [Update the CloudWatch agent once every 30 days (CloudWatch エージェントを 30 日ごとに更新)] オプションを選択すると、Systems Manager は 30 日ごとに CloudWatch エージェントの新しいバージョンを自動的にチェックします。新しいバージョンがある場合、Systems Manager はインスタンスのエージェントを最新のリリースバージョンに自動的に更新します。インスタンスで常に最新バージョンの CloudWatch エージェントが実行されるように、このオプションを選択することをお勧めします。

  6. [Targets (ターゲット)] セクションで、ホスト管理を [Entire organization (組織全体)]、[Custom (カスタム)] 組織単位 (OU)、またはログインしている [Current account (現在のアカウント)] でセットアップするのか選択します。

    • 組織全体 – [Instance profile options (インスタンスプロファイルオプション)] セクションで、インスタンスにアタッチされた既存のインスタンスプロファイルに必要な IAM ポリシーを追加するか、Quick Setup で IAM ポリシーとインスタンスプロファイルを作成し、選択した設定に必要なアクセス許可を持つインスタンスプロファイルを作成できるようにするか選択します。

      注記

      [Entire organization (組織全体)] オプションは、組織の管理アカウントからホスト管理を設定する場合にのみ使用できます。

    • カスタム – [Target OUs (ターゲット OU)] セクションで、ホスト管理をセットアップする OU を選択します。[Target Regions (ターゲットリージョン)] セクションで、ホスト管理をセットアップするリージョンを選択します。[Instance profile options (インスタンスプロファイルオプション)] セクションで、インスタンスにアタッチされた既存のインスタンスプロファイルに必要な IAM ポリシーを追加するか、Quick Setup で IAM ポリシーとインスタンスプロファイルを作成し、選択した設定に必要なアクセス許可を持つインスタンスプロファイルを作成できるようにするか選択します。

    • 現在のアカウント – [Current Region (現在のリージョン)] または [Choose Regions (リージョンの選択)] を選択します。次に、インスタンスをターゲットにする方法を選択します。その後、[Current Region (現在のリージョン)] を選択している場合はステップ 7 に進みます。[Choose Regions (リージョンの選択)] を選択している場合は、ホスト管理をセットアップする [Target Regions (ターゲットリージョン)] を選び、ステップ 7 に進みます。

  7. [Create (作成)] を選択します。

注記

アカウントの Quick Setup 設定はいつでも編集できます。[組織] Quick Setup 設定を編集するには、[設定] ステータスが [成功] または [失敗] である必要があります。Quick Setup 設定を編集する前に、Quick Setup の [結果] ページを使用して設定を変更する方法を学ぶことをお勧めします。詳細については、「Quick Setup 結果の操作」を参照してください。

Quick Setup 結果の操作

Systems Manager では、選択したオプションごとに個別のカードに Quick Setup の結果が表示されます。


                    AWS Quick Setup の結果。

選択した各オプションについて、Systems Manager は State Manager の関連付けを作成し、直ちに実行します。選択したすべてのインスタンスまたはターゲットインスタンスで関連付けが正常に実行されると、[Configuration status (設定ステータス)] フィールドに [Success (成功)] と表示されます。1 つの関連付けの実行に失敗した場合、[Configuration status (設定ステータス)] は [Failed (失敗)] になります。関連付けが処理中の場合、[Configuration status (設定ステータス)] は [Pending (保留中)] です。[Pending (保留中)] の項目の [Configuration status (設定ステータス)] を更新するには、ブラウザを更新します。

注記

[Inventory collection (インベントリ収集)] オプションは、数個のインスタンスのみを選択した場合でも、完了までに最大 10 分かかることがあります。

  • [設定されていない] の [設定ステータス] の場合は、Quick Setup でオプションを選択しなかったことを意味します。[Managed instances (マネージドインスタンス)] でこのステータスが表示された場合は、[Role selection (ロールの選択)] リストでロールを選択しなかったことを意味します。このトピックで説明されているように、Quick Setup を再度実行し、ロールを選択できます。

  • Quick Setup オプションの関連付けを編集するには、オプションカードの [編集] ボタンを選択します。関連付けを編集する場合は、 [関連付けの編集] ページで別の SSM ドキュメントを選択しないでください。別の SSM ドキュメントを選択した場合、オプションは Quick Setup で使用できなくなります。関連付けのパラメータとターゲットのみを変更します。関連付けへの変更を保存すると、State Manager は自動的に関連付けを実行します。関連付けの詳細については、「Systems Manager の関連付けの使用」を参照してください。

  • Quick Setup のコンプライアンスデータを表示するには、[View compliance summary in Explorer (エクスプローラでコンプライアンスサマリーを表示)] ボタンを選択します。これにより、Explorer ダッシュボードが開きます。AWS Systems Manager の一機能である Explorer の詳細については、「AWS Systems Manager Explorer」を参照してください。

  • AWS Organizations 組織の管理アカウントにログインしている間に Quick Setup 結果を表示すると、[Organization (組織)] タブに [Organization (組織)] の Quick Setup 結果の概要が表示されます。このビューには、Quick Setup の [Applied configuration (適用された設定)] が表示され、結果をフィルタリングして、ターゲットの [デプロイ] と [関連付け] のステータスを表示し、[Quick Setup デプロイ] カードの個々のターゲットの詳細を表示できます。

  • [デプロイステータス] は、ターゲットまたはスタックインスタンスの状態を表します。つまり、このステータスは、設定オプションは、AWS CloudFormation が正常にデプロイされたかどうかを示します。[デプロイステータス] では、Quick Setup で作成された関連付けのステータスを評価しません。

  • [関連付けのステータス] は、ターゲットインスタンスまたはスタックインスタンス内で Quick Setup によって作成されたすべての関連付けの状態を示します。すべての関連付けを正常に実行する必要があります。実行しない場合、ターゲットのステータスは [Failed] になります。

Quick Setup の結果のトラブルシューティング

Quick Setup カードに [設定されていません] と表示されている場合は、Quick Setup ページ上のオプションが表示されていない可能性があります。この問題のトラブルシューティングの最初のステップとして、Quick Setup の結果ページの上部にある [すべてを編集] ボタンを選択し、選択内容を確認します。1 つ以上のオプションを選択しなかった場合は、オプションを選択してから [リセット] を選択してそれらのオプションを設定できます。

1 つ以上の Quick Setup の結果カードに問題がある場合は、次の手順を使用して問題のトラブルシューティングを行います。

注記

[組織] Quick Setup に対して失敗した関連付けを調べるには、失敗した関連付けを持つアカウントにサインインし、次の手順に従う必要があります。管理アカウントからの結果を表示する場合、[関連付け ID] はターゲットアカウントへのハイパーリンクではありません。

失敗した Quick Setup 設定をトラブルシューティングするには

  1. Quick Setup の結果ページで、[設定ステータス] が [失敗] であるカードの [詳細を表示] を選択します。

    
                            Quick Setup カードの [詳細を表示] ボタンの選択
  2. [Association ID (関連付け ID)] ページで、[Execution history (実行履歴)] タブを選択します。

  3. [Execution ID (実行 ID)] で、失敗した関連付けの実行を選択します。

    
                            関連付け実行 ID の選択
  4. [Association execution targets (関連付け実行ターゲット)] ページには、関連付けが実行されたすべてのインスタンスが一覧表示されます。実行に失敗した実行の [Output (出力)] ボタンを選択します。

    
                            実行に失敗した関連付けの実行の [出力] ボタンを選択する
  5. [Output (出力)] ページで、[Step - Output (ステップ - 出力)] を選択して、コマンド実行のステップのエラーメッセージを表示します。各ステップで異なるエラーメッセージを表示できます。すべてのステップのエラーメッセージを確認して、問題のトラブルシューティングに役立ててください。

    
                            実行に失敗した関連付けの実行のステップ出力の選択

ステップ出力を表示しても問題を解決しない場合は、関連付けを再作成して、問題が解決しないかどうかを確認できます。関連付けを再作成するには、まず、Quick Setup オプションの既存の関連付けをすべて削除する必要があります。関連付けを削除するには、Quick Setup の結果カードの [削除] ボタンを使用します。ナビゲーションペインで [State Manager] を選択して関連付けを削除することもできます。関連付けを削除したら、Quick Setup を再度実行して、問題が解決しないかどうかを確認します。

設定の編集と削除

Quick Setup 結果ページの [すべて編集] ボタンをクリックすると、再度 Quick Setup を実行できます。オプションを選択または選択解除できます。オプションをオフにした場合、Systems Manager は関連付けを削除しません。たとえば、以前に [インスタンスから 30 分ごとにインベントリを収集する] オプションを選択し、Quick Setup を再度実行するときにオプションをオフにした場合、元の関連付けは引き続き存在します。関連付けは、Quick Setup の結果ページまたは [State Manager] ページから削除する必要があります。

重要

新しいインスタンスで Quick Setup を実行する場合は、新しいインスタンスを選択し、以前に Quick Setup を実行したすべてのインスタンスを選択することをお勧めします。以前に Quick Setup を実行したすべてのインスタンスを選択することで、すべてのインスタンスの関連付けの実行を同期できます。これにより、ステータスとコンプライアンスのレポートが同期されます。また、タグを使用してインスタンスをターゲットにすることをお勧めします。指定したタグを持つ新しいインスタンスは、自動的に Quick Setup の関連付けに追加されます。つまり、Quick Setup の結果と [コンプライアンス] ページにステータスが自動的に表示されます。

特定のリージョンから Quick Setup を削除する場合は、Quick Setup の結果ページまたはそのリージョンの [State Manager (ステートマネージャー)] ページから関連付けを削除する必要があります。