AWS Systems Manager State Manager
AWS Systems Manager の一機能である State Manager は、安全でスケーラブルな設定管理サービスであり、これによってマネージドノードおよび他の AWS リソースを定義された状態に保つプロセスが自動化されます。State Manager の使用を開始するには、Systems Manager コンソール
State Manager および Maintenance Windows は、マネージドノードで同様の種類の更新を実行できます。どちらを選択するかは、システムコンプライアンスを自動化する必要があるか、指定した期間中に優先度の高い、時間的制約のあるタスクを実行するかによって異なります。
詳細については、「State Manager または Maintenance Windows の選択」を参照してください。
State Manager はどのように組織にとってメリットになりますか?
State Manager で事前設定された Systems Manager ドキュメント (SSM ドキュメント) を使用することによって、ノードを管理する際に、次の利点が得られます。
-
スタートアップ時に特定のソフトウェアを使用してノードをブートストラップする。
-
定義済みのスケジュールに従ってエージェント (SSM Agent など) をダウンロードして更新する。
-
ネットワーク設定を設定する。
-
Microsoft Active Directory ドメインにノードを結合する。
-
ライフサイクルを通じてソフトウェアの更新でノードにパッチをあてる。
-
ライフサイクルを通じて Linux、macOS、および Windows マネージドノードでスクリプトを実行します。
他の AWS リソースにまたがって設定のずれを管理するには、Systems Manager の一機能である Automation を State Manager とともに使用して、次のタイプのタスクを実行します。
-
Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに Systems Manager ロールをアタッチして、これらのインスタンスをマネージドノードにします。
-
セキュリティグループに Ingress ルールと Egress ルールを適用します。
-
Amazon DynamoDB バックアップを作成または削除します。
-
Amazon Elastic Block Store (Amazon EBS) スナップショットを作成または削除します。
-
Amazon Simple Storage Service (Amazon S3) バケットの読み取りおよび書き込みのアクセス許可をオフにします。
-
マネージドノードと Amazon Relational Database Service (Amazon RDS) インスタンスを起動、再起動、または停止します。
-
Linux、macOS、Window AMIs にパッチを適用します。
Automation ランブックを使用した State Manager の使用については、「State Manager 関連付けでのオートメーションの実行」を参照してください。
State Manager はどのようなユーザーに適していますか?
State Manager は、AWS リソースの管理とガバナンスを改善し、設定のずれを軽減したい AWS のお客様に適しています。
State Manager の特徴は何ですか?
State Manager の主な機能は以下のとおりです。
-
State Manager 関連付け
State Manager 関連付け とは、AWS リソースに割り当てる設定です。この設定では、リソースで維持したい状態を定義します。例えば、関連付けでは、アンチウイルスソフトウェアがマネージドノードにインストールされて実行されている必要があることや、特定のポートを閉じる必要があることなどを指定できます。
関連付けでは、設定を適用するスケジュールと、関連付けのターゲットを指定します。例えば、アンチウイルスソフトウェアに関する関連付けが AWS アカウントのすべてのマネージドノードで 1 日に 1 回実行されるとします。ソフトウェアがノードにインストールされていない場合、関連付けによって State Manager にインストールするように指示することができます。ソフトウェアがインストールされていてもサービスが実行されていない場合、関連付けによって State Manager にサービスを開始するように指示することができます。
-
柔軟なスケジューリングオプション
State Manager には、関連付けの実行時のスケジュール設定に関する次のオプションがあります。
-
即時処理または遅延処理
関連付けを作成すると、デフォルトでは、システムによって指定したリソースで関連付けがすぐに実行されます。最初の実行後、関連付けは定義したスケジュールに従って間隔を空けて実行されます。
コンソールの [Apply association only at the next specified Cron interval] (次に指定した Cron の間隔でのみ関連付けを適用する) オプションまたはコマンドラインの
ApplyOnlyAtCronIntervalパラメータを使用して、関連付けを直ちに実行しないように State Manager に指示できます。 -
cron 式と rate 式
関連付けを作成するときは、State Manager が設定を適用するスケジュールを指定します。State Manager は、関連付けの実行時にスケジューリングするためのほとんどの標準の cron 式と rate 式をサポートしています。State Manager はまた、関連付けを実行する曜日と月の n 番目の日を指定する番号記号 (#)、および月の最後の X 曜日を示す (L) 記号を含む cron 式をサポートしています。
注記 現在、State Manager では、関連付けの cron 式での月の指定はサポートされていません。
パッチした火曜日の 2 日後に関連付けを実行するなど、関連付けを実行するタイミングをさらに制御するには、オフセットを指定できます。オフセットでは、関連付けの実行がスケジュールされている日の後に待機する日数を定義します。
cron 式と rate 式の作成の詳細については、「リファレンス: Systems Manager の Cron 式および rate 式」を参照してください。
-
-
複数のターゲットオプション
関連付けは、関連付けのターゲットも指定します。State Manager は、ターゲットの AWS リソースとして、タグ、AWS Resource Groups、個々のノード ID、または現在の AWS リージョン と AWS アカウント 内にあるすべてのマネージドノードの指定をサポートしています。
EventBridge のサポート
この Systems Manager の機能は、Amazon EventBridge ルールでイベントタイプおよびターゲットタイプとしてサポートされています。詳細については、「Amazon EventBridge を使用して Systems Manager イベントをモニタリングする」および「リファレンス: Systems Manager 用の Amazon EventBridge イベントパターンとタイプ」を参照してください。
-
AWS CloudTrail の統合
State Manager は AWS CloudTrail と統合されて、監査できるすべての実行レコードを提供します。また、Amazon EventBridge と統合されて、状態の変更を追跡します。また、詳細なコマンド出力を Amazon Simple Storage Service (Amazon S3) に保存して表示することもできます。詳細については、次のトピックを参照してください。
State Manager の使用料金はかかりますか?
State Manager は追加料金なしでご利用いただけます。
State Manager の開始方法
State Manager の使用を開始するには、以下のタスクを完了してください。
| タスク | 追加情報 |
|---|---|
|
Systems Manager の前提条件を確認する |
|
|
State Manager の詳細情報 |
|
|
ノードに State Manager 関連付けを作成して割り当てる |
- 詳細情報
