アドバンストインスタンス層を有効にするには - AWS Systems Manager

アドバンストインスタンス層を有効にするには

AWS Systems Manager は、ハイブリッド環境のサーバー、エッジサービスおよび VM に、スタンダードインスタンス層とアドバンストインスタンス層を提供します。スタンダードインスタンス層では、AWS アカウント ごと、AWS リージョン ごとに最大 1,000 のオンプレミスマシンを登録できます。1 つのアカウントとリージョンに 1,000 台を超えるオンプレミスマシンを登録する必要がある場合、アドバンストインスタンス層を使用します。ハイブリッドインスタンス環境では、任意の数のマネージドノードをアドバンストインスタンス層にアクティベートできます。ただし、「Create a managed-instance activation for a hybrid environment (ハイブリッド環境にマネージドインスタンスのアクティベーションを作成する)」で説明されているマネージドインスタンスのアクティブ化プロセスを使用して Systems Manager 用に設定されたすべてのマネージドノードには、従量料金制が適用されます。これは、Systems Manager をオンプレミスアクティベーションを使用する Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにも適用されます (これは一般的なシナリオではありません)。

注記
  • アドバンストインスタンスでは、Session Manager を使用してハイブリッドマシンに接続することができます。Session Manager では、インスタンスへのインタラクティブシェルアクセスを提供します。詳細については、「AWS Systems Manager Session Manager」を参照してください。

  • スタンダードインスタンスの制限は、Systems Manager オンプレミスアクティベーションを使用する Amazon EC2 インスタンスにも適用されます (これは一般的なシナリオではありません)。

  • 仮想マシン (VM) およびオンプレミスインスで Microsoft がリリースしたアプリケーションにパッチを適用するには、アドバンストインスタンス層を有効にします。アドバンストインスタンス層の使用には料金が発生します。Amazon Elastic Compute Cloud (Amazon EC2) インスタンスで Microsoft がリリースしたアプリケーションにパッチを適用する場合、追加料金はかかりません。詳細については、「」を参照してくださいWindows Server で Microsoft がリリースしたアプリケーションのパッチ適用について

このセクションでは、ハイブリッド環境を設定してアドバンストインスタンス層を使用する方法について説明します。

開始する前に

アドバンストインスタンス料金の詳細を確認します。アドバンストインスタンスは、アカウントレベルの機能です。アドバンストインスタンスは、従量制料金で利用できます。詳細については、「AWS Systems Manager の料金」を参照してください。

アドバンストインスタンス層を有効にするためのアクセス権限の設定

AWS Identity and Access Management (IAM) にアクセス許可があることを確認して、環境を標準インスタンス層からアドバンストインスタンス層に変更します。AdministratorAccess ポリシーを IAM ユーザー、グループ、またはロールにアタッチするか、Systems Manager アクティベーション層サービス設定を変更するアクセス許可を持っている必要があります。アクティベーション層の設定は、次の API オペレーションを使用します。

インライン IAM ポリシーをユーザーアカウントに追加するには、以下の手順に従います。このポリシーにより、ユーザーは現在のマネージドインスタンス層の設定を表示できます。また、このポリシーにより、ユーザーは指定された AWS アカウント および AWS リージョン の現在の設定をリセットまたは変更できます。

  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [Users] を選択します。

  3. 一覧で、ポリシーを埋め込むユーザーの名前を選択します。

  4. [Permissions] タブを選択します。

  5. ページ右側にある [Permission policies (権限のポリシー)] で、[Add inline policy (インラインポリシーの追加)] を選択します。

  6. [JSON] タブを選択します。

  7. デフォルトコンテンツを以下のものと置き換えます。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetServiceSetting" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:ResetServiceSetting", "ssm:UpdateServiceSetting" ], "Resource": "arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier" } ] }
  8. [ポリシーの確認] を選択します。

  9. [Review policy (ポリシーの確認)] ページで、[Name (名前)] にインラインポリシーの名前を入力します。例: Managed-Instances-Tier

  10. [Create policy] を選択します。

管理者はユーザーのアカウントに、次のインラインポリシーを割り当てることで、読み取り専用アクセス許可を指定できます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetServiceSetting" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "ssm:ResetServiceSetting", "ssm:UpdateServiceSetting" ], "Resource": "*" } ] }

IAM ユーザーポリシーの作成と編集の詳細については、IAM ユーザーガイドの「IAM ポリシーの作成」を参照してください。

アドバンストインスタンス層を有効にするには (コンソール)

次の手順では、Systems Manager コンソールを使用して、指定した AWS アカウント と AWS リージョン で、マネージドインスタンスのアクティベーションを使用して追加されたすべてのオンプレミスサーバー、エッジサービスおよび仮想マシン (VM) でアドバンストインスタンス層を使用するように変更する方法を示します。

重要

次の手順では、アカウントレベルの設定を変更する方法について説明します。この変更の結果、料金がお客様のアカウントに請求されます。

アドバンストインスタンス層を有効にするには (コンソール)

  1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。

  2. ナビゲーションペインで、[Fleet Manager] を選択します。

    -または-

    AWS Systems Manager ホームページを最初に開く場合は、メニューアイコン ( ) を選択してナビゲーションペインを開き、[Fleet Manager] を選択します。

  3. [アカウント管理] メニューで、[インスタンス層の設定] を選択します。

    [Settings] タブが表示されない場合は、次の操作を行います。

    1. マネージドインスタンスを作成した AWS リージョン でコンソールを開いていることを確認します。コンソールの右上隅にあるリストを使用して、リージョンを切り替えることができます。

    2. インスタンスが Systems Manager の要件を満たしていることを確認します。詳細については、Systems Manager の前提条件 を参照してください。

    3. ハイブリッド環境のサーバーおよび VM の場合、アクティベーションプロセスが完了したことを確認します。詳細については、「」を参照してくださいハイブリッド環境で AWS Systems Manager を設定する

  4. [Change account settings (アカウント設定の変更)] を選択します。

  5. アカウント設定の変更に関するポップアップの情報を確認し、承認した場合は、同意して続行するオプションを選択します。

システムがすべてのインスタンスを標準インスタンス層からアドバンストインスタンス層に移動するプロセスを完了するのに数分かかることがあります。

注記

標準インスタンス層への変更の詳細については、「アドバンストインスタンス層から標準インスタンス層に戻す」を参照してください。

アドバンストインスタンス層を有効にするには (AWS CLI)

次の手順では、AWS Command Line Interface を使用して、指定した AWS アカウント および AWS リージョン で、マネージドインスタンスのアクティベーションを使用して追加されたすべてのオンプレミスサーバーと VM でアドバンストインスタンス層を使用するように変更する方法を示します。

重要

次の手順では、アカウントレベルの設定を変更する方法について説明します。この変更の結果、料金がお客様のアカウントに請求されます。

AWS CLI を使用してアドバンストインスタンス層を有効にするには

  1. AWS CLI を開き、次のコマンドを実行します。

    Linux & macOS
    aws ssm update-service-setting \ --setting-id arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier \ --setting-value advanced
    Windows
    aws ssm update-service-setting ^ --setting-id arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier ^ --setting-value advanced

    コマンドが成功した場合、出力はありません。

  2. 次のコマンドを実行して、現在の AWS アカウント および AWS リージョン のマネージドノードのサービス設定を表示します。

    Linux & macOS
    aws ssm get-service-setting \ --setting-id arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier
    Windows
    aws ssm get-service-setting ^ --setting-id arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier

    このコマンドによって以下のような情報が返されます。

    {
        "ServiceSetting": {
            "SettingId": "/ssm/managed-instance/activation-tier",
            "SettingValue": "advanced",
            "LastModifiedDate": 1555603376.138,
            "LastModifiedUser": "arn:aws:sts::123456789012:assumed-role/Administrator/User_1",
            "ARN": "arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/managed-instance/activation-tier",
            "Status": "PendingUpdate"
        }
    }

アドバンストインスタンス層を有効にするには (PowerShell)

次の手順では、AWS Tools for Windows PowerShell を使用して、指定した AWS アカウント および AWS リージョン で、マネージドインスタンスのアクティベーションを使用して追加されたすべてのオンプレミスサーバーと VM でアドバンストインスタンス層を使用するように変更する方法を示します。

重要

次の手順では、アカウントレベルの設定を変更する方法について説明します。この変更の結果、料金がお客様のアカウントに請求されます。

PowerShell を使用してアドバンストインスタンス層を有効にするには

  1. AWS Tools for Windows PowerShell を開き、次のコマンドを実行します。

    Update-SSMServiceSetting ` -SettingId "arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier" ` -SettingValue "advanced"

    コマンドが成功した場合、出力はありません。

  2. 次のコマンドを実行して、現在の AWS アカウント および AWS リージョン のマネージドノードのサービス設定を表示します。

    Get-SSMServiceSetting ` -SettingId "arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier"

    このコマンドによって以下のような情報が返されます。

    ARN:arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/managed-instance/activation-tier
    LastModifiedDate : 4/18/2019 4:02:56 PM
    LastModifiedUser : arn:aws:sts::123456789012:assumed-role/Administrator/User_1
    SettingId        : /ssm/managed-instance/activation-tier
    SettingValue     : advanced
    Status           : PendingUpdate

システムがすべてのノードをスタンダードインスタンス層からアドバンストインスタンス層に移動するプロセスを完了するのに数分かかることがあります。

注記

標準インスタンス層への変更の詳細については、「アドバンストインスタンス層から標準インスタンス層に戻す」を参照してください。