Maintenance Windows のセットアップ - AWS Systems Manager

Maintenance Windows のセットアップ

AWS アカウント 内のユーザーが AWS Systems Manager の一機能である Maintenance Windows を使用してメンテナンスウィンドウタスクを作成およびスケジュールできるようにするには、必要なアクセス許可を付与する必要があります。

開始する前に

セクションのタスクを完了するには、すでに設定された次のリソースのいずれかまたは両方が必要です。

  • IAM ユーザーまたはグループにアクセス許可を割り当てます。これらのユーザーまたはグループには、メンテナンスウィンドウを操作するための一般的なアクセス許可が既に付与されている必要があります。これは、ユーザーまたはグループへの IAM ポリシーの AmazonSSMFullAccess、またはメンテナンスウィンドウのタスクを対象とする Systems Manager のアクセス許可の小さいセットを提供する別の IAM ポリシーを確認することによって実行できます。詳細については、「ユーザーグループを作成する」および「ユーザーを作成してアクセス許可を割り当てる」を参照してください。

  • (オプション) Run Command タスクを実行するメンテナンスウィンドウでは、Amazon Simple Notification Service (Amazon SNS) ステータス通知を送信するように選択できます。Run Command は Systems Manager の機能です。このオプションを使用する場合は、これらのセットアップタスクを完了する前に Amazon SNS トピックを設定します。SNS 通知の送信に使用する IAM ロールの作成に関する情報など、Systems Manager の Amazon SNS 通知設定の詳細については、「Amazon SNS 通知を使用した Systems Manager のステータス変更のモニタリング」を参照してください。

セットアップタスクの概要

ユーザーがメンテナンスウィンドウの登録に必要なアクセス許可を付与するためには、管理者が次のタスクを実行します。(詳細な手順については、「コンソールを使用して、メンテナンスウィンドウのアクセス許可を設定します。」を参照してください)。

タスク 1: カスタムメンテナンスウィンドウロールで使用するポリシーを作成する

メンテナンスウィンドウのタスクには、ターゲットリソースで実行するために必要なアクセス許可を提供するための IAM ロールが必要です。実行するタスクのタイプおよびその他の運用要件によって、このポリシーの内容が決定されます。

トピック タスク 1: カスタムメンテナンスウィンドウのサービスロール用にポリシーを作成する に対応する基本ポリシーを提供します。

タスク 2: メンテナンスウィンドウのタスク用にカスタムサービスロールを作成する

タスク 1 で作成したポリシーは、タスク 2 で作成したメンテナンスウィンドウのロールにアタッチされます。ユーザーがメンテナンスウィンドウのタスクを登録すると、タスク設定の一部としてこのカスタムサービスロールが指定されます。このロールでアクセス許可が付与され、Systems Manager がユーザーに代わって、メンテナンスウィンドウでタスクを実行できます。

重要

以前は、Systems Manager コンソールが、AWS マネージド IAM サービスリンクロール AWSServiceRoleForAmazonSSM を選択して、タスクのメンテナンスロールとして使用する機能を提供していました。メンテナンスウィンドウのタスクにおける、このロールとそれに関連するポリシーである AmazonSSMServiceRolePolicy の使用は推奨されなくなりました。このロールをメンテナンスウィンドウのタスクに使用している場合は、使用を中止することをお勧めします。代わりに、メンテナンスウィンドウのタスクが実行されたときに、Systems Manager と他の AWS のサービス間の通信を可能にする独自の IAM ロールを作成します。

タスク 3: メンテナンスウィンドウのタスクを登録するユーザーに、サービスロールを使用するアクセス許可を付与する

カスタムメンテナンスウィンドウのロールにアクセスする許可をユーザーに付与すると、そのロールをメンテナンスウィンドウのタスクで使用できます。これは、Maintenance Windows の Systems Manager API コマンドを操作するために既に付与されているアクセス許可に追加されます。このロールは、メンテナンスウィンドウタスクを実行するために必要なアクセス許可を伝えます。このため、これらの IAM アクセス許可を渡す機能がないと、ユーザーは、カスタムサービスロールを使用してメンテナンスウィンドウにタスクを割り当てることができません。

タスク 4: (オプション) メンテナンスウィンドウタスクの登録を許可されていないユーザーのアクセス許可を明示的に拒否する

メンテナンスウィンドウでタスクを登録したくない AWS アカウント 内のユーザーに対する ssm:RegisterTaskWithMaintenanceWindow アクセス許可を拒否できます。これにより、メンテナンスウィンドウのタスクを登録してはいけないユーザーに対して、追加の予防レイヤーが提供されます。