AWS Systems Manager 高速セットアップ - AWS Systems Manager

AWS Systems Manager 高速セットアップ

AWS Systems Manager 高速セットアップ を使用して、必要なセキュリティロールと一般的に使用される Systems Manager 機能を Amazon EC2 インスタンスですばやく設定します。AWS Organizations と統合することで、高速セットアップ を個々のアカウントで使用することも、複数のアカウントとリージョンにまたがって使用することもできます。これらの機能は、使用を開始するために必要な最小限のアクセス許可を提供しながら、インスタンスの状態を管理およびモニタリングするのに役立ちます。具体的には、高速セットアップ は、タグを使用して選択したかターゲットに指定したインスタンスで以下のコンポーネントを設定するのに役立ちます。

  • Systems Manager の AWS Identity and Access Management (IAM) インスタンスプロファイルのロール。

  • SSM エージェント のスケジュールされた隔週ごとの更新。

  • 30 分ごとにスケジュールされたインベントリメタデータの収集。

  • 欠落しているパッチを特定するために、インスタンスを毎日スキャン。

  • Amazon CloudWatch エージェントの 1 回限りのインストールと設定。

  • CloudWatch エージェントのスケジュールに基づく毎月の更新。

注記

[組織] 高速セットアップ が以前に [ローカル] 高速セットアップ を実行したアカウントをターゲットにしている場合、既存の設定は変更されません。[組織] 高速セットアップ を実行すると、新しい ステートマネージャー 関連付けのセットが作成されます。つまり、設定オプションとスケジュールが重複する関連付けを持つことができます。

[組織] 高速セットアップ は、以下の AWS リージョンで使用できます。

  • 米国東部 (バージニア北部)

  • 米国東部 (オハイオ)

  • 米国西部 (北カリフォルニア)

  • 米国西部 (オレゴン)

  • アジアパシフィック (ムンバイ)

  • アジアパシフィック (ソウル)

  • アジアパシフィック (シンガポール)

  • アジアパシフィック (シドニー)

  • アジアパシフィック (東京)

  • 欧州 (フランクフルト)

  • 欧州 (アイルランド)

  • 欧州 (ロンドン)

  • 欧州 (パリ)

  • カナダ (中部)

  • 南米 (サンパウロ)

[ローカル] 高速セットアップ は、Systems Manager がサポートされているすべてのリージョンで利用できます。サポートされているリージョンのリストについては、アマゾン ウェブ サービス全般のリファレンスの「Systems Manager サービスエンドポイント」 の [リージョン] 列を参照してください。

高速セットアップ にアクセスするには、Systems Manager コンソールのナビゲーションペインで、[高速セットアップ] を選択します。ナビゲーションペインの上部にある [AWS Systems Manager] を選択し、次に示すように [Systems Manager を開始する] を選択することで、高速セットアップ にアクセスすることもできます。複数のアカウントとリージョンをターゲットに設定できる [組織] 高速セットアップ タイプにアクセスするには、組織の マスターアカウント にログインする必要があります。AWS Organizations の使用開始方法については、AWS Organizations ユーザーガイド の「AWS Organizations の使用を開始する」を参照してください。


            AWS 高速セットアップ へのアクセス
注記

アカウントの 高速セットアップ 設定はいつでも編集できます。[組織] 高速セットアップ 設定を編集するには、[設定] ステータスが [成功] または [失敗] である必要があります。高速セットアップ 設定を編集する前に、高速セットアップ の [結果] ページを使用して設定を変更する方法を学ぶことをお勧めします。詳細については、「高速セットアップ 結果の操作」を参照してください。

アクセス許可ロール

デフォルトでは、Systems Manager にはインスタンスと通信したり、インスタンスでアクションを実行したりするためのアクセス許可がありません。AWS Identity and Access Management (IAM) インスタンスプロファイルと IAM サービスロール (またはロールの継承) を使用して、アクセスを許可する必要があります。インスタンスプロファイルは、起動時に EC2 インスタンスに IAM ロール情報を渡すコンテナです。サービスロールにより、Systems Manager はインスタンスでコマンドを実行できます。インスタンスプロファイルの詳細については、IAM ユーザーガイドの「インスタンスプロファイルの使用」を参照してください。サービスロールの詳細については、「AWS のサービスにアクセス許可を委任するロールの作成」を参照してください。

[デフォルトのロールを使用する] を選択することで、これらのロールを 高速セットアップ で作成して設定できます。既存のロールを選択する場合、そのロールには、少なくともこのトピックで説明されているアクセス許可を持つ IAM ポリシーが含まれている必要があります。既存のロールを選択し、それらのロールにこれらのアクセス許可がない場合、高速セットアップ で 1 つ以上の選択されたコンポーネントの設定に失敗するか、それらのコンポーネントが正しく実行されないことがあります。

注記

高速セットアップ は、インスタンスに既に存在するインスタンスプロファイルを上書きしません。

デフォルトのインスタンスプロファイルの詳細

[インスタンスプロファイルのロール] セクションで、[デフォルトのロールを使用する] を選択すると、高速セットアップ によって [AmazonSSMManagedInstanceCore] ポリシーと 1 つの追加ポリシーを使用する新しい IAM インスタンスプロファイルが作成されます。[AmazonSSMManagedInstanceCore] ポリシーにより、Systems Manager はインスタンスで以下のアクションを実行できます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:DescribeAssociation", "ssm:GetDeployablePatchSnapshotForInstance", "ssm:GetDocument", "ssm:DescribeDocument", "ssm:GetManifest", "ssm:GetParameter", "ssm:GetParameters", "ssm:ListAssociations", "ssm:ListInstanceAssociations", "ssm:PutInventory", "ssm:PutComplianceItems", "ssm:PutConfigurePackageResult", "ssm:UpdateAssociationStatus", "ssm:UpdateInstanceAssociationStatus", "ssm:UpdateInstanceInformation" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2messages:AcknowledgeMessage", "ec2messages:DeleteMessage", "ec2messages:FailMessage", "ec2messages:GetEndpoint", "ec2messages:GetMessages", "ec2messages:SendReply" ], "Resource": "*" } ] }
注記

ssmmessages* および ec2messages* アクションの詳細については、「リファレンス: ec2messages、ssmmessages と他の API コール」を参照してください。

高速セットアップ では、インスタンスプロファイルに次のポリシーも追加されます。このポリシーは、クラウド内の Systems Manager サービスと Amazon EC2 インスタンス間で信頼された通信を有効にします。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"ec2.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }

サービスロールの詳細

[Systems Manager サービスロール] セクションで、[デフォルトのロールを使用する] を選択した場合、高速セットアップ によって次のポリシーが含まれる新しい IAM サービスロールが作成されます。最初のポリシーでは Systems Manager がインスタンスで以下のアクションを実行できるようにします。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:CreateInstanceProfile", "iam:ListInstanceProfilesForRole", "iam:PassRole", "ec2:DescribeIamInstanceProfileAssociations", "iam:GetInstanceProfile", "ec2:DisassociateIamInstanceProfile", "ec2:AssociateIamInstanceProfile", "iam:AddRoleToInstanceProfile" ], "Resource": "*" } ] }

次のポリシーでは、Systems Manager がユーザーに代わって前のポリシーのアクションを実行できるようにします 。Systems Manager は、アクションを実行するロールを引き受けます。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"ssm.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }
注記

Systems Manager のインスタンスプロファイルを使用してインスタンスを設定しても、そのインスタンスでコマンドを実行したり、 Systems Manager 機能を使用したりするためのアクセス許可はユーザーに付与されません。IAM ユーザー、グループ、またはロールは、Systems Manager を使用してインスタンスでアクションを実行できるようにする別のアクセス許可ポリシーで設定する必要があります。詳細については、「AWS Systems Manager のセットアップ」を参照してください。

Systems Manager (SSM) エージェントの更新

SSM エージェント は、AWS クラウドの Systems Manager サービスからのリクエストを処理し、リクエストに指定されたとおりにインスタンスで実行する Amazon ソフトウェアです。SSM エージェント は、デフォルトで次の Amazon マシンイメージ (AMI) にプレインストールされています。

  • 2016 年 11 月以降に公開された Windows Server 2008-2012 R2 AMI

  • Windows Server 2013 および 2016

  • Amazon Linux

  • Amazon Linux 2

  • Ubuntu Server 16.04、18.04、20.04

  • Amazon ECS に最適化された AMI

SSM エージェント は、Amazon Linux または Amazon Linux 2 に基づくすべての AMI にインストールされるわけではありません。たとえば、SSM エージェント は、Amazon Linux 2 に基づく EKS に最適化された AMI にはプリインストールされません。

このオプションを有効にすると、Systems Manager は 2 週間ごとにエージェントの新しいバージョンを自動的に確認します。新しいバージョンがある場合、Systems Manager はインスタンスのエージェントを最新のリリースバージョンに自動的に更新します。インスタンスで常に最新バージョンの SSM エージェント が実行されるように、このオプションを選択することをお勧めします。エージェントを手動でインストールする方法など SSM エージェント の詳細については、「SSM エージェント の使用」を参照してください。

インスタンスからインベントリを収集する

AWS Systems Manager インベントリは、コンピューティング環境を可視化します。インベントリを使用して、マネージドインスタンスからメタデータを収集できます。このメタデータは、中央 Amazon Simple Storage Service (Amazon S3) バケットに保存できます。組み込みツールを使用してデータにクエリを実行し、ソフトウェアを実行しているインスタンス、ソフトウェアポリシーに必要な設定、および更新が必要なインスタンスをすばやく判断できます。高速セットアップ では、次のタイプのメタデータの収集を設定します。

  • AWS コンポーネント: EC2 ドライバ、エージェント、バージョンなど。

  • アプリケーション: アプリケーション名、発行元、バージョンなど。

  • インスタンスの詳細: システム名、オペレーティングシステム (OS) 名、OS バージョン、最終起動、DNS、ドメイン、ワークグループ、OS アーキテクチャなど。

  • ネットワーク設定: IP アドレス、MAC アドレス、DNS、ゲートウェイ、サブネットマスクなど。

  • サービス: 名前、表示名、ステータス、依存サービス、サービスタイプ、開始タイプなど (Windows Server インスタンスのみ)。

  • Windows ロール: 名前、表示名、パス、機能タイプ、インストールされている状態など (Windows Server インスタンスのみ)。

  • Windows 更新: Hotfix ID、インストール者、インストール日など (Windows Server インスタンスのみ)。

Systems Manager インベントリを設定して、インスタンスから次の追加のタイプのメタデータを収集できます。詳細については、「AWS Systems Manager インベントリ」を参照してください。

  • カスタムインベントリ: カスタムインベントリの操作 に説明されるようにマネージドインスタンスに割り当てられたメタデータ。

  • ファイル: 名前、サイズ、バージョン、インストール日、変更時間および最新アクセス時間など。

  • タグ: インスタンスに割り当てられるタグ。

  • Windows レジストリ: レジストリキーのパス、値の名前、値タイプおよび値。

重要

グローバルインベントリ設定は、[Inventory page (インベントリページ)] のワンクリック設定オプションから作成され 、AWS アカウント内のすべてのインスタンスを対象とします。インスタンスでグローバルインベントリ設定が既に有効になっている場合は、高速セットアップでインベントリ収集を有効にすると、指定したインスタンスまたはターゲットインスタンスのインベントリデータを収集する別のスケジュールが作成されます。競合はありません。ただし、一部のインスタンスで非グローバルインベントリ設定が既に有効になっている場合、前に作成した設定は失敗します。インベントリ収集は、インスタンスごとに複数の特定の設定をサポートしていません。この問題を解決するには、グローバルインベントリ設定をデプロイするか、競合設定を削除します。

欠落しているパッチを毎日スキャンする

高速セットアップ でこのオプションを有効にすると、Systems Manager は Patch Manager を使用して毎日インスタンスをスキャンし、[コンプライアンス] ページでシンプルなレポートを生成します。このレポートには、デフォルトのパッチベースラインに従って、パッチに準拠しているインスタンスの数が表示されます。このレポートには、各インスタンスとそのコンプライアンスステータスのリストが含まれます。このリストに移動して、準拠していないインスタンスの詳細を表示できます。パッチ適用オペレーションとパッチベースラインの詳細については、「AWS Systems Manager Patch Manager」を参照してください。コンプライアンス情報を表示するには、「Systems Manager コンプライアンス」ページを参照してください。

CloudWatch エージェントのインストールおよび設定

Amazon CloudWatch では、データと実用的なインサイトを利用して、アプリケーションのモニタリング、システム全体のパフォーマンスの変化に関する理解と対応、リソース使用率の最適化、および運用状態の統合的な確認を行うことができます。CloudWatch エージェントは、インスタンスからメトリクスとログファイルを収集し、この情報を統合して、インスタンスの状態をすばやく判断できるようにします。詳細については、「CloudWatch エージェントを使用して EC2 インスタンスとオンプレミスサーバーからメトリクスとログを収集する」を参照してください。追加コストが発生する場合があります。詳細については、「Amazon CloudWatch 料金表」を参照してください。

4 週間に 1 回 CloudWatch エージェントを更新する

このオプションを有効にすると、Systems Managerは 4 週間ごとに CloudWatch エージェントの新しいバージョンを自動的に確認します。新しいバージョンがある場合、Systems Manager はインスタンスのエージェントを最新のリリースバージョンに自動的に更新します。インスタンスで常に最新バージョンの CloudWatch エージェントが実行されるように、このオプションを選択することをお勧めします。

高速セットアップ のターゲットの選択

高速セットアップ オプションを選択したら、[Targets (ターゲット)] セクションで、これらのオプションを使用して設定するインスタンスを選択します。高速セットアップ には、インスタンスをターゲット設定するための次のオプションがあります。

ローカル

  • [現在の AWS アカウントとリージョンのすべてのインスタンスを選択]: 高速セットアップ が、現在の AWS アカウントとリージョンのすべてのインスタンスを検索して適用します。

  • [インスタンスタグを指定する]: 高速セットアップ が、指定したタグキーと (オプション) タグ値を使用してインスタンスを検索します。

  • インスタンスを手動で選択する: 高速セットアップ は、ユーザーがリストから 1 つまたは複数のインスタンスを選択します。

組織

  • ターゲット組織単位 (OU): 高速セットアップ 複数の AWS Organizations 組織単位 (OU) をターゲットにできます。高速セットアップ は、OU 内のすべてのアカウントに設定を適用します。

  • ターゲットリージョン: 高速セットアップ [Target organizational units (OUs) (ターゲット組織単位 (OU))] 内でターゲットにするリージョンを選択できます。

注記

[組織] 高速セットアップ の使用時には、個々のインスタンスまたはタグをターゲットにすることはできません。[ターゲット組織単位 (OU)] および [ターゲットリージョン] 内のアカウント内のすべてのインスタンスは、高速セットアップによって設定されます。高速セットアップ は、[ターゲット組織単位 (OU)] および [ターゲットリージョン] 内のアカウントで起動するすべての新しいインスタンスにも設定を適用します。[組織] 高速セットアップ では、最大 2,000 個のターゲットを指定できます。[組織] 高速セットアップ 内のターゲットは、AWS CloudFormation スタックインスタンスに等しくなります。つまり、ターゲットは、リージョン内のアカウント内のスタックへの参照です。アカウントの数に指定したリージョンの数を掛けることで、ターゲットの合計数を求めることができます。AWS CloudFormation スタックインスタンスの詳細については、「AWS CloudFormation ユーザーガイド」の「スタックインスタンス」を参照してください。

高速セットアップ 結果の操作

Systems Manager では、選択したオプションごとに個別のカードに 高速セットアップ の結果が表示されます。


                AWS 高速セットアップ の結果。

選択したオプションごとに、Systems Manager によって ステートマネージャー 関連付けが作成され、すぐに実行されます。選択したすべてのインスタンスまたはターゲットインスタンスで関連付けが正常に実行されると、[Configuration status (設定ステータス)] フィールドに [Success (成功)] と表示されます。1 つの関連付けの実行に失敗した場合、[Configuration status (設定ステータス)] は [Failed (失敗)] になります。関連付けが処理中の場合、[Configuration status (設定ステータス)] は [Pending (保留中)] です。[Pending (保留中)] の項目の [Configuration status (設定ステータス)] を更新するには、ブラウザを更新します。

注記

[Inventory collection (インベントリ収集)] オプションは、数個のインスタンスのみを選択した場合でも、完了までに最大 10 分かかることがあります。

[設定されていない] の [設定ステータス] の場合は、高速セットアップ でオプションを選択しなかったことを意味します。[Managed instances (マネージドインスタンス)] でこのステータスが表示された場合は、[Role selection (ロールの選択)] リストでロールを選択しなかったことを意味します。このトピックで説明されているように、高速セットアップ を再度実行し、ロールを選択できます。

高速セットアップ オプションの関連付けを編集するには、オプションカードの [編集] ボタンを選択します。関連付けを編集する場合は、 [関連付けの編集] ページで別の SSM ドキュメントを選択しないでください。別の SSM ドキュメントを選択した場合、オプションは 高速セットアップ で使用できなくなります。関連付けのパラメータとターゲットのみを変更します。関連付けへの変更を保存すると、ステートマネージャー は自動的に関連付けを実行します。

高速セットアップ のコンプライアンスデータを表示するには、[View compliance summary in Explorer (エクスプローラでコンプライアンスサマリーを表示)] ボタンを選択します。これにより、AWS Systems Manager Explorer ダッシュボードが開きます。Explorer の詳細については、「AWS Systems Manager Explorer」を参照してください。

AWS Organizations 組織の マスターアカウント にログインしている間に 高速セットアップ 結果を表示すると、[組織] タブに [組織] 高速セットアップ の結果の概要が表示されます。このビューには、高速セットアップ の [Applied configuration (適用された設定)] が表示され、結果をフィルタリング、ターゲットの [デプロイメント] および [関連付け] のステータスを表示、[高速セットアップ デプロイメント] カードの個々のターゲットの詳細を表示できます。

[デプロイステータス] は、ターゲットまたはスタックインスタンスの状態を表します。つまり、このステータスは、設定オプションは、AWS CloudFormation が正常にデプロイされたかどうかを示します。[デプロイステータス] は、高速セットアップ で作成された関連付けのステータスを評価しません。

[関連付けのステータス] は、ターゲットインスタンスまたはスタックインスタンス内で 高速セットアップ によって作成されたすべての関連付けの状態を示します。すべての関連付けを正常に実行する必要があります。実行しない場合、ターゲットのステータスは [Failed] になります。

高速セットアップ の結果のトラブルシューティング

高速セットアップ カードに [設定されていません] と表示されている場合は、高速セットアップ ページ上のオプションが表示されていない可能性があります。この問題のトラブルシューティングの最初のステップとして、高速セットアップ の結果ページの上部にある [すべてを編集] ボタンを選択し、選択内容を確認します。1 つ以上のオプションを選択しなかった場合は、オプションを選択してから [リセット] を選択してそれらのオプションを設定できます。

1 つ以上の 高速セットアップ の結果カードに問題がある場合は、次の手順を使用して問題のトラブルシューティングを行います。

注記

[組織] 高速セットアップ に対して失敗した関連付けを調べるには、失敗した関連付けを持つアカウントにサインインし、次の手順に従う必要があります。マスターアカウント からの結果を表示する場合、[関連付け ID] はターゲットアカウントへのハイパーリンクではありません。

失敗した 高速セットアップ 設定をトラブルシューティングするには

  1. 高速セットアップ の結果ページで、[設定ステータス] が [失敗] であるカードの [詳細を表示] を選択します。

    
                        高速セットアップ カードの [詳細を表示] ボタンの選択
  2. [Association ID (関連付け ID)] ページで、[Execution history (実行履歴)] タブを選択します。

  3. [Execution ID (実行 ID)] で、失敗した関連付けの実行を選択します。

    
                        関連付け実行 ID の選択
  4. [Association execution targets (関連付け実行ターゲット)] ページには、関連付けが実行されたすべてのインスタンスが一覧表示されます。実行に失敗した実行の [出力] ボタンを選択します。

    
                        実行に失敗した関連付けの実行の [出力] ボタンを選択する
  5. [出力] ページで、[Step - Output (ステップ - 出力)] を選択して、コマンド実行のステップのエラーメッセージを表示します。各ステップで異なるエラーメッセージを表示できます。すべてのステップのエラーメッセージを確認して、問題のトラブルシューティングに役立ててください。

    
                        実行に失敗した関連付けの実行のステップ出力の選択

ステップ出力を表示しても問題を解決しない場合は、関連付けを再作成して、問題が解決しないかどうかを確認できます。関連付けを再作成するには、まず、高速セットアップ オプションの既存の関連付けをすべて削除する必要があります。関連付けを削除するには、高速セットアップ の結果カードの [削除] ボタンを使用します。ナビゲーションペインで [ステートマネージャー] を選択して関連付けを削除することもできます。関連付けを削除したら、高速セットアップ を再度実行して、問題が解決しないかどうかを確認します。

高速セットアップ の再実行

高速セットアップ 結果ページの [すべて編集] ボタンをクリックすると、再度 高速セットアップ を実行できます。オプションを選択または選択解除できます。オプションをオフにした場合、Systems Manager は関連付けを削除しません。たとえば、以前に [インスタンスから 30 分ごとにインベントリを収集する] オプションを選択し、高速セットアップ を再度実行するときにオプションをオフにした場合、元の関連付けは引き続き存在します。関連付けは、高速セットアップ の結果ページまたは [状態マネージャー] ページから削除する必要があります。

重要

新しいインスタンスで 高速セットアップ を実行する場合は、新しいインスタンスを選択し、以前に高速セットアップを実行したすべてのインスタンスを選択することをお勧めします。以前に 高速セットアップ を実行したすべてのインスタンスを選択することで、すべてのインスタンスの関連付けの実行を同期できます。これにより、ステータスとコンプライアンスのレポートが同期されます。また、タグを使用してインスタンスをターゲットにすることをお勧めします。指定したタグを持つ新しいインスタンスは、自動的に 高速セットアップ の関連付けに追加されます。つまり、高速セットアップ の結果と [コンプライアンス] ページにステータスが自動的に表示されます。