ステップ 4: ハイブリッド環境のマネージドインスタンスのアクティベーションを作成する - AWS Systems Manager

ステップ 4: ハイブリッド環境のマネージドインスタンスのアクティベーションを作成する

ハイブリッド環境でサーバーと仮想マシン (VM) をマネージドインスタンスとして設定するには、マネージドインスタンスのアクティベーションを作成する必要があります。アクティベーションが完了するとすぐに、アクティベーションコードとアクティベーション ID が送信されます。ハイブリッド環境でサーバーと VM に AWS Systems Manager SSM Agent をインストールするときに、このコードと ID の組み合わせを指定します。このコードと ID は、マネージドインスタンスから Systems Manager サービスへの安全なアクセスを提供します。

重要

アクティベーションの作成方法に応じて、Systems Manager はすぐにアクティベーションコードと ID をコンソールまたはコマンドウィンドウに返します。この情報をコピーして、安全な場所に保管します。コンソールから離れたり、コマンドウィンドウを閉じたりすると、この情報は失われる可能性があります。紛失した場合は、新しいアクティベーションを作成する必要があります。

アクティベーションの有効期限について

アクティベーションの有効期限は、オンプレミスのマシンを Systems Manager で登録できる時間帯です。Systems Manager に以前に登録した、サーバーまたは仮想マシン (VM) に、アクティベーションの期限切れの影響はありません。アクティベーションが期限切れになると、その特定のアクティベーションを使用して、複数のサーバーまたは VM を Systems Manager に登録することはできません。新しいものを作成する必要があるだけです。

以前に登録したすべてのオンプレミスサーバーおよび VM は、明示的に登録を解除するまで、Systems Manager マネージドインスタンスとして登録されたままになります。Systems Manager コンソールの [Fleet Manager] ページと [Managed Instances (マネージドインスタンス)] タブで、マネージドインスタンスの登録を解除するには、AWS CLI コマンド deregister-managed-instance を使用するか、API コール DeregisterManagedInstance を使用します。

アクティベーションタグについて

AWS Command Line Interface (AWS CLI) または AWS Tools for Windows PowerShell を使用してアクティベーションを作成する場合は、タグを指定できます。タグは、リソースに割り当てるオプションのメタデータです。タグを使用すると、目的、所有者、環境などのさまざまな方法でリソースを分類できます。ここでは、ローカル Linux マシンで実行する、オプションのタグを含む AWS CLI サンプルコマンドを示します。

aws ssm create-activation \ --default-instance-name MyWebServers \ --description "Activation for Finance department webservers" \ --iam-role service-role/AmazonEC2RunCommandRoleForManagedInstances \ --registration-limit 10 \ --region us-east-2 \ --tags "Key=Department,Value=Finance"

アクティベーションの作成時にタグを指定すると、それらのタグはアクティブ化時に自動的にオンプレミスサーバーと VM に割り当てられます。

既存のアクティベーションにタグを追加したり、既存のアクティベーションからタグを削除したりすることはできません。アクティベーションを使用してオンプレミスサーバーと VM に自動的にタグを割り当てない場合は、後でタグを追加できます。具体的には、オンプレミスサーバーと VM が初めて Systems Manager に接続した後にタグを付けることができます。接続すると、マネージドインスタンス ID が割り当てられ、 Systems Manager コンソールにプレフィックス「mi-」が付いた ID で表示されます。アクティベーションプロセスを使用せずにマネージドインスタンスにタグを追加する方法については、「 マネージドインスタンスのタグ付け」を参照してください。

注記

Systems Manager コンソールを使用してアクティベーションを作成した場合、アクティベーションにタグを割り当てることはできません。AWS CLI または Tools for Windows PowerShell のいずれかを使用してアクティベーションを作成する必要があります。

Systems Manager を使用してオンプレミスサーバーや仮想マシン (VM) を管理する必要がなくなった場合は、登録解除できます。詳細については、ハイブリッド環境でのマネージドインスタンスの登録解除 を参照してください。

アクティベーションを作成する (コンソール)

マネージドインスタンスのアクティベーションを作成するには

  1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。

  2. ナビゲーションペインで [ハイブリッドアクティベーション] を選択します。

    -または-

    AWS Systems Manager ホームページが最初に開く場合は、メニューアイコン ( ) を選択してナビゲーションペインを開き、[ハイブリッドアクティベーション] を選択します。

  3. [Create activation] を選択します。

  4. (オプション) [Activation description] フィールドに、このアクティベーションの説明を入力します。説明は省略可能です。多数のサーバーや VM を有効化する場合は、説明を入力することをお勧めします。

  5. [Instance limit] (インスタンス制限) フィールドで、このアクティベーションの一環として AWS に登録するオンプレミスサーバーまたは VM の合計数を指定します。デフォルト値は 1 インスタンスです。

  6. [IAM role name] セクションで、サーバーや VM とクラウド内の AWS Systems Manager との通信を可能にするサービスロールオプションを選択します。

    1. [Use the system created default command execution role] (システムの作成したデフォルトコマンド実行ロールを使用) を選択し、AWS で作成されたロールとマネージドポリシーを使用します。

    2. [必要な許可を持つ既存のカスタム IAM ロールを選択する] を選択し、前に作成したオプションのカスタムロールを使用します。このロールには、"Service": "ssm.amazonaws.com" を指定する信頼関係ポリシーが必要です。IAM ロールが信頼関係ポリシーでこの原則を指定しない場合、次のエラーが発生します。

      An error occurred (ValidationException) when calling the CreateActivation
                                          operation: Not existing role: arn:aws:iam::<accountid>:role/SSMRole

      このロールの作成に関する詳細については、「ステップ 2: ハイブリッド環境に IAM サービスロールを作成する」を参照してください。

  7. [Activation expiry date] フィールドで、アクティベーションの有効期限日を指定します。有効期限は将来の日付で、30 日以内でなければなりません。デフォルト値は 24 時間です。

    注記

    有効期限日後にマネージドインスタンスを追加登録するには、新しいアクティベーションを作成する必要があります。有効期限日は、登録されて実行中のインスタンスには影響しません。

  8. (オプション) [Default instance name] フィールドに名前を入力します。

  9. [Create activation] を選択します。Systems Manager は、すぐにアクティベーションコードと ID をコンソールに返します。

マネージドインスタンスのアクティベーションを作成する (コマンドライン)

次の手順では、AWS Command Line Interface (AWS CLI) (Linux または Windows の場合) または AWS Tools for PowerShell を使用して、マネージドインスタンスのアクティベーションを作成する方法について説明します。

アクティベーションを作成するには

  1. まだ AWS CLI または AWS Tools for PowerShell をインストールして設定していない場合は、インストールして設定します。

    詳細については、「AWS コマンドラインツールのインストールまたはアップグレード」を参照してください。

  2. アクティベーションを作成するには、次のコマンドを実行します。

    注記
    • region は、米国東部 (オハイオ) リージョンの us-east-2 のように、AWS Systems Manager でサポートされている AWS リージョン の識別子を表します。サポートされている region 値の一覧については、アマゾン ウェブ サービスの全般リファレンスの「Systems Manager サービスエンドポイント」にある Region 列を参照してください。

    • iam-role パラメータに指定するロールには、"Service": "ssm.amazonaws.com" を指定する信頼関係ポリシーが必要です。AWS Identity and Access Management (IAM) ロールが信頼関係ポリシーでこの原則を指定しない場合、次のエラーが発生します。

      An error occurred (ValidationException) when calling the CreateActivation
                                              operation: Not existing role: arn:aws:iam::<accountid>:role/SSMRole

      このロールの作成に関する詳細については、「ステップ 2: ハイブリッド環境に IAM サービスロールを作成する」を参照してください。

    • --expiration-date の場合、アクティベーションコードの有効期限が切れるときの日付を、"2021-07-07T00:00:00" などのタイムスタンプ形式で指定します。日付は 30 日を上限に事前に指定できます。有効期限を指定しない場合、アクティベーションコードは 24 時間で有効期限が切れます。

    Linux & macOS
    aws ssm create-activation \ --default-instance-name name \ --iam-role iam-service-role-name \ --registration-limit number-of-managed-instances \ --region region \ --expiration-date "timestamp" \\ --tags "Key=key-name-1,Value=key-value-1" "Key=key-name-2,Value=key-value-2"
    Windows
    aws ssm create-activation ^ --default-instance-name name ^ --iam-role iam-service-role-name ^ --registration-limit number-of-managed-instances ^ --region region ^ --expiration-date "timestamp" ^ --tags "Key=key-name-1,Value=key-value-1" "Key=key-name-2,Value=key-value-2"
    PowerShell
    New-SSMActivation -DefaultInstanceName name ` -IamRole iam-service-role-name ` -RegistrationLimit number-of-managed-instances ` –Region region ` -ExpirationDate "timestamp" ` -Tag @{"Key"="key-name-1";"Value"="key-value-1"},@{"Key"="key-name-2";"Value"="key-value-2"}

    以下はその例です。

    Linux & macOS
    aws ssm create-activation \ --default-instance-name MyWebServers \ --iam-role service-role/AmazonEC2RunCommandRoleForManagedInstances \ --registration-limit 10 \ --region us-east-2 \ --expiration-date "2021-07-07T00:00:00" \ --tags "Key=Environment,Value=Production" "Key=Department,Value=Finance"
    Windows
    aws ssm create-activation ^ --default-instance-name MyWebServers ^ --iam-role service-role/AmazonEC2RunCommandRoleForManagedInstances ^ --registration-limit 10 ^ --region us-east-2 ^ --expiration-date "2021-07-07T00:00:00" ^ --tags "Key=Environment,Value=Production" "Key=Department,Value=Finance"
    PowerShell
    New-SSMActivation -DefaultInstanceName MyWebServers ` -IamRole service-role/AmazonEC2RunCommandRoleForManagedInstances ` -RegistrationLimit 10 ` –Region us-east-2 ` -ExpirationDate "2021-07-07T00:00:00" ` -Tag @{"Key"="Environment";"Value"="Production"},@{"Key"="Department";"Value"="Finance"}

    アクティベーションが正常に完了するとすぐに、システムからアクティベーションコードとアクティベーション ID が返ります。

ステップ 6: ハイブリッド環境に SSM Agent をインストールする (Windows)」に進んでください。