ユースケースとベストプラクティス

このトピックでは、AWS Systems Manager 機能の一般的ユースケースやベストプラクティスを示します。使用可能な場合は、他にも、関連するブログの投稿や技術文書へのリンクが含まれます。

注記

次の各セクションのタイトルは、技術ドキュメントの該当セクションへの有効なリンクです。

オートメーション

• インフラストラクチャ用のセルフサービス Automation ランブックを作成します。

• AWS Systems Manager の一機能である Automation を使用して、パブリックSystems Manager ドキュメント (SSM ドキュメント) を使用して、または独自のワークフローを作成して、AWS Marketplace またはカスタム AMIs から Amazon Machine Images (AMIs) を簡単に作成できます。

• AMIs を構築および維持するには、AWS-UpdateLinuxAmi および AWS-UpdateWindowsAmi Automation ランブック、または作成したカスタムの Automation ランブックを使用します。

インベントリ

• AWS Systems Manager の一機能であるインベントリと AWS Config を使用して、時間をかけてアプリケーション設定を監査します。

Maintenance Windows

• ノードで破壊的になり得るアクション (オペレーティングシステム (OS) のパッチ適用、ドライバーの更新、ソフトウェアのインストール) を実行するスケジュールを定義します。

• AWS Systems Manager の機能である State Manager と Maintenance Windows の違いについては、「State Manager または Maintenance Windows の選択」を参照してください。

Parameter Store

• AWS Systems Manager の一機能である Parameter Store を使用して、グローバル設定を一元的に管理します。

• AWS Systems ManagerParameter Store で AWS KMS を使用する方法

• Parameter Store パラメータから AWS Secrets Manager シークレットを参照します。

Patch Manager

• Patch Manager の一機能である AWS Systems Manager を使用してパッチを大規模にロールアウトし、フリートコンプライアンスの可視性をノード全体で強化します。

• Patch Manager を AWS Security Hub と統合して、フリートのノードがコンプライアンス違反になったときにアラートを受け取ったり、セキュリティの観点からフリートのパッチ適用ステータスを監視したりします。Security Hub の使用には料金が発生します。詳細については、「料金」を参照してください。

• パッチコンプライアンス用のマネージドノードのスキャンでは、コンプライアンスデータが意図せず上書きされることを防ぐため、一度に 1 つの方法のみを実行します。

Run Command

• EC2 Run Command を使用して、SSH アクセスなしで大規模なインスタンスを管理します。

• AWS CloudTrail を使用して、AWS Systems Manager の一機能である Run Command によって、またはそのために行われたすべての API コールを監査します。

• Run Command を使用してコマンドを送信する場合は、パスワード、設定データ、その他のシークレットなどの機密情報をプレーンテキスト形式で含めないでください。アカウント内のすべての Systems Manager API アクティビティは、AWS CloudTrail ログの S3 バケットにログ記録されます。つまり、その S3 バケットへのアクセス権を持つユーザーは、これらの秘密のプレーンテキスト値を表示できます。このため、Systems Manager オペレーションで使用する機密データを暗号化するために、SecureString パラメータを作成して使用することをお勧めします。

  詳細については、「IAM ポリシーを使用して Systems Manager パラメータへのアクセスを制限する」を参照してください。

  注記

  デフォルトでは、CloudTrail によってバケットに配信されるログファイルは、Amazon の Amazon S3 で管理された暗号化キーによるサーバー側の暗号化 (SSE-S3) によって暗号化されます。直接管理可能なセキュリティレイヤーを提供するには、代わりに CloudTrail ログファイルのAWS KMS によって管理されたキー (SSE-KMS) を使用したサーバー側の暗号化 を使用できます。

  詳細については、「AWS CloudTrail ユーザーガイド」の「AWS KMS マネージドキー (SSE-KMS) による CloudTrail ログファイルの暗号化」を参照してください。

• Run Command のターゲットおよびレート制御機能を使用して、ステージングされたコマンドオペレーションを実行します。

• AWS Identity and Access Management (IAM) ポリシーを使用して、Run Command (およびすべての Systems Manager 機能) にきめ細かいアクセス許可を適用します。

Session Manager

• AWS CloudTrail を使用して、AWS アカウント のセッションアクティビティを監査します。

• Amazon CloudWatch Logs または Amazon S3 を使用して、AWS アカウント にセッションデータをログ記録します。

• インスタンスへのユーザーセッションアクセスを制御します。

• セッションでコマンドへのアクセスを制限します。

• ssm-user アカウントの管理権限をオフにしたり、オンにしたりします。

State Manager

• 事前設定済みの AWS-UpdateSSMAgent ドキュメントを使用して、少なくとも 1 か月に 1 回、SSM Agent をアップデートします。

• (Windows の場合) PowerShell または DSC モジュールを Amazon Simple Storage Service (Amazon S3) にアップロードして、AWS-InstallPowerShellModule を使用します。

• タグを使用して、ノードのアプリケーショングループを作成します。個々のノード ID を指定するのではなく、Targets パラメータを使用してターゲットノードを作成します。

• Systems Manager を使用して、Amazon Inspector によって生成された結果を自動的に修復します。

• 一元化された設定のリポジトリに SSM ドキュメントを保存し、組織全体でドキュメントを共有します。

• State Manager と Maintenance Windows との違いについては、「State Manager または Maintenance Windows の選択」を参照してください。

マネージドノード

• Systems Manager では、オペレーションを実行するために正確な時間の参照が必要です。ノードの日時が正しく設定されていない場合、その日時は API リクエストの署名の日付と一致しないことがあります。これにより、エラーが発生したり、機能が不完全になったりする可能性があります。例えば、時刻設定が正しくないノードは、マネージドノードのリストには含まれません。

  ノードの時刻設定の詳細については、「Amazon EC2 インスタンスの時刻を設定する」を参照してください。

• Linux 管理対象ノードでは、SSM Agent の署名を確認します。

詳細情報

• Systems Manager のセキュリティに関するベストプラクティス