ユースケースとベストプラクティス
このトピックでは、AWS Systems Manager 機能の一般的ユースケースやベストプラクティスを示します。使用可能な場合は、他にも、関連するブログの投稿や技術文書へのリンクが含まれます。
注記
次の各セクションのタイトルは、技術ドキュメントの該当セクションへの有効なリンクです。
オートメーション
-
インフラストラクチャ用のセルフサービス Automation ランブックを作成します。
-
AWS Systems Manager の一機能である Automation を使用して、パブリックSystems Manager ドキュメント (SSM ドキュメント) を使用して、または独自のワークフローを作成して、AWS Marketplace またはカスタム AMIs から Amazon Machine Images (AMIs) を簡単に作成できます。
-
AMIs を構築および維持するには、
AWS-UpdateLinuxAmi
およびAWS-UpdateWindowsAmi
Automation ランブック、または作成したカスタムの Automation ランブックを使用します。
インベントリ
-
AWS Systems Manager の一機能であるインベントリと AWS Config を使用して、時間をかけてアプリケーション設定を監査します。
Maintenance Windows
-
ノードで破壊的になり得るアクション (オペレーティングシステム (OS) のパッチ適用、ドライバーの更新、ソフトウェアのインストール) を実行するスケジュールを定義します。
-
AWS Systems Manager の機能である State Manager と Maintenance Windows の違いについては、「State Manager または Maintenance Windows の選択」を参照してください。
Parameter Store
-
AWS Systems Manager の一機能である Parameter Store を使用して、グローバル設定を一元的に管理します。
Patch Manager
-
Patch Manager の一機能である AWS Systems Manager を使用してパッチを大規模にロールアウトし、フリートコンプライアンスの可視性をノード全体で強化します。
-
Patch Manager を AWS Security Hub と統合して、フリートのノードがコンプライアンス違反になったときにアラートを受け取ったり、セキュリティの観点からフリートのパッチ適用ステータスを監視したりします。Security Hub の使用には料金が発生します。詳細については、「料金
」を参照してください。 -
パッチコンプライアンス用のマネージドノードのスキャンでは、コンプライアンスデータが意図せず上書きされることを防ぐため、一度に 1 つの方法のみを実行します。
Run Command
-
AWS CloudTrail を使用して、AWS Systems Manager の一機能である Run Command によって、またはそのために行われたすべての API コールを監査します。
Run Command を使用してコマンドを送信する場合は、パスワード、設定データ、その他のシークレットなどの機密情報をプレーンテキスト形式で含めないでください。アカウント内のすべての Systems Manager API アクティビティは、AWS CloudTrail ログの S3 バケットにログ記録されます。つまり、その S3 バケットへのアクセス権を持つユーザーは、これらの秘密のプレーンテキスト値を表示できます。このため、Systems Manager オペレーションで使用する機密データを暗号化するために、
SecureString
パラメータを作成して使用することをお勧めします。詳細については、「IAM ポリシーを使用して Parameter Store パラメータへのアクセスを制限する」を参照してください。
注記
デフォルトでは、CloudTrail によってバケットに配信されるログファイルは、Amazon の Amazon S3 で管理された暗号化キーによるサーバー側の暗号化 (SSE-S3) によって暗号化されます。直接管理可能なセキュリティレイヤーを提供するには、代わりに CloudTrail ログファイルのAWS KMS によって管理されたキー (SSE-KMS) を使用したサーバー側の暗号化 を使用できます。
詳細については、「AWS CloudTrail ユーザーガイド」の「AWS KMS マネージドキー (SSE-KMS) による CloudTrail ログファイルの暗号化」を参照してください。
-
Run Command のターゲットおよびレート制御機能を使用して、ステージングされたコマンドオペレーションを実行します。
State Manager
-
事前設定済みの AWS-UpdateSSMAgent ドキュメントを使用して、少なくとも 1 か月に 1 回、SSM Agent をアップデートします。
-
(Windows の場合) PowerShell または DSC モジュールを Amazon Simple Storage Service (Amazon S3) にアップロードして、
AWS-InstallPowerShellModule
を使用します。 -
タグを使用して、ノードのアプリケーショングループを作成します。個々のノード ID を指定するのではなく、
Targets
パラメータを使用してターゲットノードを作成します。 -
Systems Manager を使用して、Amazon Inspector によって生成された結果を自動的に修復します
。 -
State Manager と Maintenance Windows との違いについては、「State Manager または Maintenance Windows の選択」を参照してください。
マネージドノード
-
Systems Manager では、オペレーションを実行するために正確な時間の参照が必要です。ノードの日時が正しく設定されていない場合、その日時は API リクエストの署名の日付と一致しないことがあります。これにより、エラーが発生したり、機能が不完全になったりする可能性があります。例えば、時刻設定が正しくないノードは、マネージドノードのリストには含まれません。
ノードの時刻設定の詳細については、「Amazon EC2 インスタンスの時刻を設定する」を参照してください。
-
Linux 管理対象ノードでは、SSM Agent の署名を確認します。