パッチグループについて - AWS Systems Manager

パッチグループについて

パッチグループを使用すると、インスタンスと特定のパッチベースラインとを関連付けることができます。パッチグループは、一連のインスタンスに、関連するパッチベースラインのルールに基づいて、適切なパッチをデプロイしていることを確認するのに役立ちます。パッチグループを使用すると、適切なテストの完了前にパッチがデプロイされることも回避できます。たとえば、環境別 (開発、テスト、実稼働など) にパッチグループを作成して、適切なパッチベースラインに各パッチグループを登録できます。

注記

パッチグループは、オペレーティングシステムタイプごとに 1 つのパッチベースラインのみに登録できます。

AWS-RunPatchBaseline を実行する場合、インスタンス ID やタグを使用して、マネージドインスタンスを対象にすることができます。SSM エージェント および Patch Manager はインスタンスに追加したパッチグループの値に基づいて、使用するパッチベースラインを評価します。

パッチグループは、Amazon EC2 タグを使用して作成します。Systems Manager における他のタグ付けシナリオとは異なり、パッチグループを定義するにはタグキーとして Patch Group を使用する必要があります。キーは、大文字と小文字が区別されます。任意の値 ("ウェブサーバー" など) を指定できますが、キーは Patch Group とする必要があります。

注記

インスタンスが所属できるパッチグループは 1 つのみです。

パッチグループを作成してインスタンスにタグを付けたら、パッチグループをパッチベースラインに登録できます。パッチグループをパッチベースラインに登録することで、パッチグループ内のインスタンスは、関連付けられたパッチベースラインで定義されているルールを使用します。パッチグループを作成する方法とパッチグループをパッチベースラインに関連付ける方法の詳細については、「パッチグループの作成」および「パッチベースラインにパッチグループを追加する」を参照してください。

AWS CLI を使用したパッチベースラインとパッチグループの作成例については、「チュートリアル: サーバー環境にパッチを適用する (AWS CLI)」を参照してください。Amazon EC2 タグの詳細については、Amazon EC2 ユーザーガイドの「Amazon EC2 リソースにタグを付ける」を参照してください。

仕組み

システムでタスクを実行してインスタンスにパッチベースラインを適用するときに、SSM エージェントはパッチグループの値が定義されているかどうかを確認します。インスタンスがパッチグループに割り当てられている場合、Patch Manager は、どのパッチベースラインがそのパッチグループに登録されているかを確認します。そのグループに割り当てられたパッチベースラインが見つかると、Patch Manager は、関連付けられたパッチベースラインを使用するように SSM エージェント に通知します。インスタンスにパッチグループが設定されていない場合は、Patch Manager で現在設定されているデフォルトパッチベースラインを使用するように SSM エージェント に自動的に通知します。

次の図は、Run Command タスクをサービスのフリートに送信して、Patch Manager を使用してパッチを適用するときに、Systems Manager が実行するプロセスの一般的な例を示します。コマンドを送信して、Patch Manager を使用してパッチを適用するようにメンテナンスウィンドウを設定するときに、同様のプロセスが使用されます。

この例では、次のタグが適用される 3 つの Windows Server EC2 インスタンスのグループがあります。

EC2 インスタンスグループ タグ

グループ 1

key=OS,value=Windows

key=Patch Group,value=DEV

グループ 2

key=OS,value=Windows

グループ 3

key=OS,value=Windows

key=Patch Group,value=QA

この例では、これら 2 つの Windows パッチベースラインも用意されています。

パッチベースライン ID デフォルト値 関連するパッチグループ

pb-0123456789abcdef0

はい

Default

pb-9876543210abcdef0

いいえ

DEV

図 1: パッチ適用オペレーションのプロセスの流れの一般的な例


                        図は、パッチ適用オペレーションを実行するときに、パッチベースラインがどのように決定されるかを示しています。

Run Command および Patch Manager を使用して、スキャンやパッチをインストールする一般的な手順は次のようになります。

  1. パッチにコマンドを送信する: Systems Manager コンソール、SDK、AWS CLI、または AWS Tools for Windows PowerShell を使用して、AWS-RunPatchBaseline ドキュメントを使用して Run Command タスクを送信します。key=OS,value=Windows タグをターゲットにして、マネージドインスタンスにパッチを適用する Run Command タスクを図に示します。

  2. パッチベースラインの判定: SSM エージェント は、EC2 インスタンスに適用されるパッチグループタグを確認し、対応するパッチベースラインで Patch Manager をクエリします。

    • パッチベースラインに関連付けられている一致するパッチグループの値:

      1. パッチオペレーションを開始するステップ 1 で発行されたコマンドを受け取る、グループ 1 の EC2 インスタンスにインストールされた SSM エージェント。SSM エージェント は、パッチグループタグ値 DEV を持つ EC2 インスタンスが適用されていることを確認し、関連付けられたパッチベースラインで Patch Manager をクエリします。

      2. Patch Manager はパッチベースライン pb-9876543210abcdef0 がパッチグループに DEV 関連付けられていることを確認し、SSM エージェント に通知します。

      3. SSM エージェント は、pb-9876543210abcdef0 で設定された承認ルールと例外に基づいて、Patch Manager からパッチベースラインのスナップショットを取得して、次のステップに進みます。

    • インスタンスに追加されたパッチグループタグはありません。

      1. パッチオペレーションを開始するステップ 1 で発行されたコマンドを受け取る、グループ 2 の EC2 インスタンスにインストールされた SSM エージェント。SSM エージェント は、適用される Patch Group タグのない EC2 インスタンスを確認し、結果として、SSM エージェント は、デフォルトの Windows パッチベースラインで Patch Manager をクエリします。

      2. Patch Manager は、デフォルトの Windows Server パッチベースラインが pb-0123456789abcdef0 であることを確認し、SSM エージェント に通知します。

      3. SSM エージェント は、デフォルトのパッチベースライン pb-0123456789abcdef0 で設定された承認ルールと例外に基づいて、Patch Manager からパッチベースラインのスナップショットを取得して、次のステップへと進みます。

    • パッチベースラインに一致するパッチグループの値が関連付けられていません。

      1. パッチオペレーションを開始するステップ 1 で発行されたコマンドを受け取る、グループ 3 の EC2 インスタンスにインストールされた SSM エージェント。SSM エージェント は、パッチグループタグ値 QA を持つ EC2 インスタンスが適用されていることを確認し、関連付けられたパッチベースラインで Patch Manager をクエリします。

      2. Patch Manager は、パッチグループ QA に関連付けられたパッチベースラインを見つけられません。

      3. Patch Manager は、デフォルトの Windows パッチベースライン pb-0123456789abcdef0 を使用するよう SSM エージェント に通知します。

      4. SSM エージェント は、デフォルトのパッチベースライン pb-0123456789abcdef0 で設定された承認ルールと例外に基づいて、Patch Manager からパッチベースラインのスナップショットを取得して、次のステップへと進みます。

  3. パッチのスキャンまたはインストール。使用する適切なパッチベースラインを決定したら、SSM エージェント は、ステップ 1 で指定されたオペレーションの値に基づいてスキャンまたはインストールのいずれかを開始します。スキャンまたはインストールされたパッチは、Patch Manager によって提供されるパッチベースラインスナップショットで定義された、承認ルールとパッチの例外に基づいて定義されます。