AWS Systems Manager ドキュメント - AWS Systems Manager

AWS Systems Manager ドキュメント

AWS Systems Manager ドキュメント (SSM ドキュメント) は、Systems Manager がマネージドインスタンスで実行するアクションを定義します。Systems Manager には、ランタイムでパラメータを指定して使用できる事前設定済みのドキュメントが 100 件以上含まれています。Systems Manager のドキュメントコンソールの、[Owned by Amazon] (Amazon 所有) タブを選択するか、ListDocuments API オペレーションを呼び出す際に Owner フィルターで Amazon を指定することで、事前設定済みのドキュメントを確認できます。ドキュメントは JavaScript Object Notation (JSON) や YAML を使用し、これにはユーザーが指定するパラメータおよびステップが含まれます。

SSM ドキュメントからは組織にとってどのようなメリットが得られますか?

SSM ドキュメントは、以下のメリットを提供します。

  • ドキュメントのカテゴリ

    必要なドキュメントを検索しやすくするには、検索するドキュメントの種類に応じてカテゴリを選択します。検索範囲を広げる場合は、同じドキュメントタイプに対して複数のカテゴリを選択できます。異なるドキュメントタイプに関するカテゴリの選択はサポートされていません。カテゴリーは、Amazon が所有するドキュメントでのみ使用できます。

  • ドキュメントのバージョン

    ドキュメントの異なるバージョンを作成して保存できます。その後、各ドキュメントのデフォルトのバージョンを指定できます。ドキュメントのデフォルトバージョンは、新しいバージョンに更新したり、古いバージョンのドキュメントに戻すことができます。ドキュメントのコンテンツを変更すると、Systems Manager は自動的にドキュメントのバージョンを増やします。コンソール、AWS Command Line Interface (AWS CLI) コマンド、または API コールでドキュメントバージョンを指定することで、ドキュメントの任意のバージョンを取得または使用できます。

  • 必要に応じてドキュメントをカスタマイズする

    ドキュメントのステップやアクションをカスタマイズする場合は、独自のドキュメントを作成できます。システムが、それが作成された AWS リージョン 内の AWS アカウント により、ドキュメントを保存します。SSM ドキュメントの作成方法の詳細については、「SSM ドキュメントの作成」を参照してください。

  • タグのドキュメント

    ドキュメントにタグを付けると、そのタグに基づいてドキュメントをすばやく識別できます。たとえば、特定の環境、部門、ユーザー、グループ、または期間でドキュメントをタグ付けできます。ユーザーやグループがアクセスできるタグを指定する AWS Identity and Access Management (IAM) ポリシーを作成することで、ドキュメントへのアクセスを制限することもできます。詳細については、「システムマネージャのドキュメントにタグを付ける」を参照してください。

  • ドキュメントの共有

    ドキュメントを公開するか、または同じ AWS リージョン の特定の AWS アカウント と共有できます。例えば、顧客または従業員に提供するすべての Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに同じ設定を適用したい場合などは、アカウント間でドキュメントを共有すると便利です。これは、インスタンス上のアプリケーションまたはパッチを最新の状態に保つことに加えて、顧客のインスタンスで特定のアクティビティを拒否したい場合にも利用できます。または、組織全体の従業員アカウントで使用されているインスタンスに、特定の内部リソースへのアクセス許可が確実に付与されるようにする場合があります。詳細については、「SSM ドキュメントの共有」を参照してください。

SSM ドキュメントが適しているユーザー

  • 大規模な運用での効率改善、手動による介入が原因で起きうるエラー数の削減、一般的な問題の解決までの時間の短縮などに、AWS Systems Managerの機能の使用をお考えのすべてのお客様。

  • デプロイおよび設定タスクを自動化しようとするインフラストラクチャの専門家。

  • 一般的な問題の確実な解決、トラブルシューティングの効率向上、および反復処理の削減を希望する管理者。

  • 通常手動で実行しているタスクの自動化を目指すユーザー。

SSM ドキュメントの種類について教えてください。

次の表に、各タイプの SSM ドキュメントと、それらの用途についての説明を示します。

[Type] (タイプ) 以下で使用 詳細

ApplicationConfiguration

ApplicationConfigurationSchema

AWS AppConfig

AWS Systems Manager の機能である AWS AppConfig を使用すると、アプリケーション設定を作成、管理し、迅速にデプロイできます。ApplicationConfiguration ドキュメントタイプを使用するドキュメントを作成することにより、設定データを SSM ドキュメントに保存できます。詳細については、「AWS AppConfig ユーザーガイド」の「Freeform configurations」(自由形式の設定) を参照してください。

SSM ドキュメントで設定を作成する場合は、対応する JSON スキーマを指定する必要があります。スキーマは ApplicationConfigurationSchema ドキュメントタイプを使用し、一連のルールと同様に、各アプリケーション構成設定で許可されるプロパティを定義します。詳細については、「AWS AppConfig ユーザーガイド」の「About validators」(バリデーターについて) を参照してください。

Automation ランブック

オートメーション

State Manager

Maintenance Windows

Amazon Machine Image (AMI) の作成や更新など、一般的なメンテナンスやデプロイメントタスクを実行する際に、Automation ランブックを使用します。State Manager は、Automation ランブックを使用して設定を適用します。これらのアクションは、インスタンスのライフサイクル中いつでも 1 つ、または複数のターゲットで実行できます。Maintenance Windowsは、指定されたスケジュールに基づいた一般的なメンテナンスタスクとデプロイメントタスクの実行に Automation ランブックを使用します。

Linux ベースのオペレーティングシステム用にサポートされているAutomation ランブックはすべて、macOS 向けの EC2 インスタンスでもサポートされています。

Change Calendar ドキュメント

Change Calendar

AWS Systems Manager の一機能である Change Calendar では、ChangeCalendar ドキュメントタイプが使用されています。Change Calendar ドキュメントには、Automation アクションによる環境の変更を許可または禁止できるカレンダーエントリと関連するイベントが保存されます。Change Calendar では、ドキュメントに iCalendar 2.0 データがプレーンテキスト形式で保存されます。

Change Calendar は、macOS の EC2 インスタンスではサポートされていません。

AWS CloudFormation テンプレート

AWS CloudFormation

AWS CloudFormation テンプレートは、CloudFormation スタックでプロビジョニングするリソースについて記述します。CloudFormation テンプレートを Systems Manager のドキュメントとして保存すると、Systems Manager のドキュメント機能のメリットを活用できます。これには、複数のバージョンのテンプレートの作成と比較、同じ AWS リージョン の他のアカウントとのテンプレートの共有が含まれます。

Systems Manager の機能である Application Manager を使用して、CloudFormation テンプレートとスタックを作成して編集できます。詳細については、「Application Manager での AWS CloudFormation テンプレートとスタックの使用」を参照してください。

コマンドのドキュメント

Run Command

State Manager

Maintenance Windows

AWS Systems Manager の一機能である Run Command は、コマンドドキュメントを使用してコマンドを実行します。AWS Systems Manager の一機能である State Manager は、コマンドドキュメントを使用して設定を適用します。これらのアクションは、インスタンスのライフサイクル中にいつでも、1 つまたは複数のターゲットで実行できます。AWS Systems Manager の一機能である Maintenance Windows は、指定されたスケジュールに基づいて設定を適用するためにコマンドドキュメントを使用します。

ほとんどのコマンドドキュメントは、Systems Manager でサポートされているすべての Linux および Windows Server オペレーティングシステムでサポートされています。macOS 向けの EC2 インスタンスでは、以下のコマンドドキュメントがサポートされています。

  • AWS-ConfigureAWSPackage

  • AWS-RunPatchBaseline

  • AWS-RunPatchBaselineAssociation

  • AWS-RunShellScript

パッケージドキュメント

Distributor

AWS Systems Manager の一機能である Distributor では、パッケージは、SSM ドキュメントで表されます。パッケージドキュメントには、マネージドインスタンスにインストールするソフトウェアまたはアセットを含む添付 ZIP アーカイブファイルが含まれています。Distributor でパッケージを作成するパッケージドキュメントを作成します。

Distributor は、Oracle Linux および macOS マネージドインスタンスではサポートされていません。

ポリシードキュメント

State Manager

AWS Systems Manager の一機能である Inventory では、AWS-GatherSoftwareInventory ポリシードキュメントと State Manager の関連付けを使って、マネージドインスタンスからインベントリデータを収集します。独自の SSM ドキュメントを作成するときは、Automation ランブックとコマンドドキュメントがマネージドインスタンスへのポリシーの適用に推奨される方法です。

Systems Manager Inventory と AWS-GatherSoftwareInventory ポリシードキュメントは、Systems Manager のサポート対象のすべてのオペレーティングシステムでサポートされています。

インシデント後分析テンプレート

Incident Manager インシデント後分析

Incident Manager は、インシデント後分析テンプレートを使用して、AWS オペレーション管理のベストプラクティスに基づいて分析を作成します。

御社のチームは、テンプレートを使用して作成した分析を、インシデント対応での改善点を特定するために使用できます。

セッションドキュメント

Session Manager

AWS Systems Manager の一機能である Session Manager は、セッションドキュメントを使用して、ポート転送セッション、インタラクティブコマンドを実行するセッション、SSH トンネルを作成するセッションなど、開始するセッションのタイプを決定します。

セッションドキュメントは、Systems Manager でサポートされているすべての Linux および Windows Server オペレーティングシステムでサポートされています。macOS 向けの EC2 インスタンスでは、以下のコマンドドキュメントがサポートされています。

  • AWS-PasswordReset

  • AWS-StartInteractiveCommand

  • AWS-StartPortForwardingSession

  • AWS-StartPortForwardingSessionToSocket

  • AWS-StartSSHSession

SSM ドキュメントクォータ

SSM ドキュメントのクォータの詳細については、アマゾン ウェブ サービス全般リファレンスの「Systems Manager サービスクォータ」を参照してください。