AWS Systems Manager
ユーザーガイド

Systems Manager の前提条件

AWS Systems Manager を使用して Amazon EC2 インスタンス、およびオンプレミスサーバーまたは仮想マシン (VM) を管理するための前提条件は、このユーザーガイドのセットアップの章を参照してください。このトピックでは、このような要件の一部に関するその他の詳細について説明します。

組織で Systems Manager のセットアップを開始する前に、以下の AWS サービスについて理解することをお勧めします。これらのサービスについての実務的知識は Systems Manager を正常にセットアップするために不可欠です。

  • Amazon Elastic Compute Cloud (Amazon EC2) は、AWS クラウドでスケーラブルなコンピューティングキャパシティーを提供します。詳細については、「Amazon EC2 とは」を参照してください。 (Linux) および「Amazon EC2 とは」 (Windows)。

  • AWS Identity and Access Management (IAM) は、AWS リソースへのアクセスを安全にコントロールするためのウェブサービスです。詳細については、IAM User Guide の「IAMとは」を参照してください。

前提条件: サポートされるオペレーティングシステム

AWS Systems Manager で使用するには、Amazon EC2 インスタンス、オンプレミスサーバー、および VM で次のいずれかのオペレーティングシステムが実行されている必要があります。

オペレーティングシステムタイプ

Windows Server

バージョン Intel 32 ビット (x86) Intel 64 ビット (x86_64) ARM 64 ビット (arm64)
2003 および 2003 R2
2008
2008 R2
2012 および 2012 R2
2016
2019

Linux

Amazon Linux

バージョン Intel 32 ビット (x86) Intel 64 ビット (x86_64) ARM 64 ビット (arm64)
2012.03 – 2018.03

注記

バージョン 2015.03 以降では、Amazon Linux は、Intel 64 ビット (x 86_64) バージョンでのみリリースされています。

Amazon Linux 2

バージョン Intel 32 ビット (x86) Intel 64 ビット (x86_64) ARM 64 ビット (arm64)
2.0 および以降のすべてのバージョン

Ubuntu Server

バージョン Intel 32 ビット (x86) Intel 64 ビット (x86_64) ARM 64 ビット (arm64)
12.04 LTS および 14.04 LTS
16.04 LTS および 18.04 LTS

Red Hat Enterprise Linux (RHEL)

バージョン Intel 32 ビット (x86) Intel 64 ビット (x86_64) ARM 64 ビット (arm64)
6.0
6.5
6.9
7.0
7.4
7.5
7.6

CentOS

バージョン Intel 32 ビット (x86) Intel 64 ビット (x86_64) ARM 64 ビット (arm64)
6.0
6.3 および 6.x 以降のバージョン
7.1 および 7.x 以降のバージョン

SUSE Linux Enterprise Server (SLES)

バージョン Intel 32 ビット (x86) Intel 64 ビット (x86_64) ARM 64 ビット (arm64)
12 および 12.x 以降のバージョン

Raspbian

バージョン ARM 32 ビット (arm)
Jessie
Stretch

前提条件: SSM エージェント

AWS Systems Manager エージェント (SSM エージェント) は、Amazon EC2 インスタンス、オンプレミスサーバー、または仮想マシン (VM) にインストールして設定することができる Amazon のソフトウェアです。SSM エージェント により、Systems Manager がこれらのリソースを更新、管理、および設定できるようにします。エージェントは、AWS クラウド上の Systems Manager サービスからのリクエストを処理し、リクエストに指定されたとおりに実行します。SSM エージェント は、Amazon Message Delivery Service (サービスプレフィックス: ec2messages)を使用して、Systems Manager サービスにステータスと実行情報を返します。

SSM エージェント は、Systems Manager で使用する各インスタンスにインストールする必要があります。SSM エージェント は、デフォルトで、次の Amazon マシンイメージ (AMI) から作成されたインスタンスに事前インストールされています。

  • Windows Server 2016 年 11 月以降に公開された 2003-2012 R2 AMI

  • Windows Server 2013 および 2016

  • Amazon Linux

  • Amazon Linux 2

  • Ubuntu Server 16.04

  • Ubuntu Server 18.04

次の表に示すように、その他の AMI や、ハイブリッド環境のオンプレミスサーバーおよび仮想マシンには、エージェントを手動でインストールする必要があります。

重要

新しい機能が Systems Manager に追加されるか、既存の機能が更新されると必ず、更新されたバージョンの SSM エージェント がリリースされます。古いバージョンのエージェントがインスタンスで実行されていると、SSM エージェント プロセスによっては失敗することがあります。そのため、インスタンス上で SSM エージェント を最新に維持するプロセスを自動化することをお勧めします。詳細については、SSM エージェント への更新の自動化 を参照してください。SSM エージェント の更新に関する通知を受け取るには、SSM エージェント のリリースノートのページをサブスクライブします。

オペレーティングシステムタイプ 説明
Windows

2016 年 11 月以前に発行された Windows AMI は、EC2Config サービスを使用して要求を処理し、インスタンスを設定します。

EC2Config サービスまたは以前のバージョンの SSM エージェント を使用して Systems Manager リクエストを処理する理由が特にない限り、各 Amazon EC2 インスタンスまたはマネージドインスタンスに最新バージョンの SSM エージェント をダウンロードしてインストールすることをお勧めします。詳細については、「Windows インスタンスで SSM エージェント をインストールし設定する」を参照してください。

Linux SSM エージェント は、デフォルトでは、Amazon Linux、Amazon Linux 2、Ubuntu Server 16.04、Ubuntu Server 18.04 LTS ベース EC2 AMI にインストールされます。Amazon ECS 対応の AMI のように、ベースイメージではないその他のバージョンの Amazon EC2 for Linux では、手動で SSM エージェント をインストールする必要があります。詳細については、「Amazon EC2 Linux インスタンスで SSM エージェント をインストールし設定する」を参照してください。
オンプレミスサーバーと VM

SSM エージェント は、ハイブリッド環境で使用するオンプレミスサーバーおよび仮想マシン (VM) に手動でインストールする必要があります。これらのマシンでの SSM エージェント のダウンロードとインストールのプロセスは、Amazon EC2 インスタンスの場合のプロセスとは異なります。詳細については、以下のトピックを参照してください。

前提条件: インターフェイス VPC エンドポイントまたはインターネットアクセス

マネージドインスタンスと Systems Manager サービスが相互に通信するためには、次のいずれかを実行する必要があります。

  • インターフェイス Virtual Private Cloud(VPC) エンドポイントを使用するために Systems Manager を設定する

  • マネージドインスタンスでアウトバウンドのインターネットアクセスを有効にする

注記

マネージドインスタンスのインバウンドのインターネットアクセスを有効にする必要はありません。

マネージドインスタンスのセキュリティ体制を強化するために、インターフェイス VPC エンドポイントを使用するように Systems Manager を設定することをお勧めします。インターフェイスエンドポイントは、プライベート IP アドレスを使用して Amazon EC2 および Systems Manager API にプライベートにアクセスできるテクノロジーである PrivateLink を使用しています。PrivateLink は、Amazon EC2 サービス、Systems Manager サービス、およびマネージドインスタンス間のネットワークトラフィックをすべて、Amazon ネットワークに制限します。(マネージドインスタンスはインターネットにアクセスできません)。 また、インターネットゲートウェイ、NAT デバイスあるいは仮想プライベートゲートウェイの必要はありません。詳細については、「(オプション) プライベートクラウドエンドポントの作成」を参照してください。

PrivateLink および VPC エンドポイントの詳細については、Amazon VPC User Guide の「AWS PrivateLink を介したサービスへのアクセス」を参照してください。

前提条件: TLS 証明書

各マネージドインスタンスには、次の Transport Layer Security (TLS) 証明書のいずれかがインストールされている必要があります。

  • Amazon Root CA 1

  • Starfield Services Root Certificate Authority - G2

  • Starfield Class 2 Certificate Authority

AWS サービスは、これらの証明書を使用して、他の AWS サービスへの呼び出しを暗号化します。デフォルトでは、これらのいずれかの証明書は、Amazon マシンイメージ (AMI) から作成されたすべてのインスタンスにインストールされています。Amazon から提供されていない AMI から作成されたインスタンス、独自のオンプレミスサーバーおよび VM には、AWS Certificate Manager (ACM) を使用して Amazon Trust Services からこれらのいずれかの証明書をインストールして有効にする必要があります。

Amazon Trust Services 証明書または ACM の使用については、AWS Certificate Manager User Guide を参照してください。

コンピューティング環境にある証明書がグループポリシーオブジェクト (GPO) によって管理される場合は、場合により、これらの証明書のいずれかを含めるグループポリシーを設定する必要があります。

Amazon Root および Starfield 証明書の詳細については、ブログ投稿「独自の認証機関への AWS の移行の準備方法」を参照してください。