AWS Systems Manager とは
AWS Systems Manager は、Amazon EC2 インスタンス、オンプレミスサーバーと仮想マシン、およびその他の AWS リソースを大規模に設定、管理するための一連の機能を備えています。。Systems Manager には、AWS リソース間で運用データを簡単に一元化し、タスクを自動化できる統一されたインターフェースが含まれています。Systems Manager はインフラストラクチャで運用上の問題を検出して解決するための時間を短縮します。Systems Manager は、インフラストラクチャのパフォーマンスと設定についての完全像を提供し、リソースとアプリケーションの管理を簡素化することで大規模なインフラストラクチャの運用と管理を簡単にします。
注記
AWS Systems Manager は、以前は「Amazon EC2 Systems Manager」および「Amazon Simple Systems Manager」と呼ばれていました。
仕組み
図 1 は、サーバー群へのコマンドの送信や、オンプレミスサーバーで実行中のアプリケーションのインベントリ実行などのアクションを実行するときに Systems Manager が実行する、さまざまなプロセスの一般的な例を示しています。各 Systems Manager 機能 (たとえば Run Command または メンテナンスウィンドウs の場合) では、セットアップ、実行、処理、および報告の類似したプロセスが使用されます。
-
Systems Manager の設定: Systems Manager コンソール、SDK、AWS CLI、または AWS Toolkit for Windows PowerShell を使用して、AWS リソースで実行するアクションを設定、スケジュール、自動化、および実行します。
-
検証および処理: Systems Manager は、アクセス許可を含む設定を検証し、ハイブリッド環境のインスタンスまたはサーバーで実行中の SSM エージェント にリクエストを送信します。SSM エージェント は、指定された設定変更を実行します。
-
報告: SSM エージェント は AWS クラウドの Systems Manager に対して、設定変更とアクションのステータスを報告します。次に、Systems Manager はユーザーおよびさまざまな AWS のサービス (設定されている場合) にステータスを送信します。
図 1: Systems Manager プロセスの流れの一般的な例
機能
Systems Manager には、次の機能が用意されています。
リソースグループ
AWS リソースグループ: AWS リソースは、AWS で使用できるエンティティであり、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、Amazon Elastic Block Store (Amazon EBS) ボリューム、セキュリティグループ、Amazon Virtual Private Cloud (VPC) などを指します。リソースグループとは、すべてが同じ AWS リージョンにあり、クエリで指定された条件に適合する AWS リソースのコレクションを指します。リソースグループコンソールでクエリを構築するか、または AWS CLI でリソースグループコマンドにこのクエリを引数として渡します。リソースグループを使用すると、タグで特定した条件に従って情報を整理し、統合するカスタムコンソールを作成できます。AWS システムマネージャでモニタリングおよび設定情報を表示するためにグループを使用することもできます。
インサイト
Systems Manager は、AWS リソースに関するデータを一元的に表示するための以下の機能を提供します。詳細については、タブを選択してください。
- 組み込みインサイト
-
インサイトには、AWS CloudTrail ログ、AWS Config ルールに関する評価結果や AWS Trusted Advisor レポートなどの AWS リソースグループ内のリソースに関する詳細情報が表示されます。インサイトは、一回ごとに単一の選択されたリソースグループについての情報を表示します。
- CloudWatch ダッシュボード
-
Amazon CloudWatch ダッシュボードは、CloudWatch コンソールにあるカスタマイズ可能なホームページであり、ダッシュボードを使用すれば、異なるリージョンにまたがっているリソースでも、1 つのビューでモニタリングできます。CloudWatch ダッシュボードを使用して、AWS のリソースのメトリクスおよびアラームをカスタマイズした状態で表示することができます。
- イ ンベントリ管理
-
インベントリマネージャーは、マネージドインスタンスからのソフトウェアインベントリの収集プロセスを自動化します。インベントリマネージャーを使用して、マネージドインスタンスのアプリケーション、ファイル、コンポーネント、パッチなどに関するメタデータを収集できます。
- 設定コンプライアンス
-
Systems Manager 設定コンプライアンスを使用すると、マネージドインスタンス群のスキャンを実行して、パッチコンプライアンスと設定の不一致を確認できます。複数の AWS アカウントとリージョンからデータを収集して集計し、それに準拠していない特定のリソースにドリルダウンすることができます。デフォルトでは、設定コンプライアンスでは、Patch Manager によるパッチ適用と ステートマネージャー による関連付けに関するコンプライアンスデータが表示されます。サービスをカスタマイズし、IT またはビジネスの要件に基づいて独自のコンプライアンスタイプを作成することもできます。
アクション
Systems Manager は、AWS リソースに対してアクションを取るような次の機能を提供します。詳細については、タブを選択してください。
- オートメーション
-
Systems Manager オートメーションを使用して、一般的なメンテナンスとデプロイのタスクを自動化します。オートメーションを使用すると、Amazon Machine Image の作成と更新、ドライバーとエージェントの更新プログラムの適用、Windows インスタンスでのパスワードのリセット、Linux インスタンスでの SSH キーのリセット、および OS パッチまたはアプリケーション更新プログラムの適用が可能になります。
- Run Command
-
Systems Manager Run Command を使用すると、大規模なマネージドインスタンスの設定を安全にリモートで管理することができます。Run Command を使用して、数十または数百のインスタンスのターゲットセットで、アプリケーションの更新または Linux シェルスクリプトや Windows PowerShell コマンドの実行などのオンデマンドの変更を行います。
- パッチ管理
-
Patch Manager を使用して、マネージドインスタンスにパッチを適用するプロセスを自動化します。この機能では、インスタンスをスキャンして欠落しているパッチを確認し、Amazon EC2 インスタンスタグを使用して欠落しているパッチを個別のインスタンスまたは大規模なグループのインスタンスに適用できます。セキュリティに関連するパッチ用に、Patch Manager のパッチベースラインには、リリースから数日以内にパッチを自動承認するためのルールと、承認および拒否されたパッチのリストが含まれています。セキュリティに関連するパッチは、インスタンス用に設定されたパッチのデフォルトのリポジトリからインストールされます。パッチ適用を Systems Manager の メンテナンスウィンドウ タスクとして実行するようにスケジュールすることで、セキュリティに関連するパッチを定期的にインストールできます。Linux オペレーティングシステムの場合、パッチベースラインの一部として、パッチ適用オペレーションに使用するレポジトリを定義できます。これにより、インスタンスで設定されたレポジトリに関係なく、信頼されたレポジトリからのみ更新プログラムがインストールされます。Linux の場合、オペレーティングシステムのセキュリティ更新として分類されているものだけでなく、インスタンスでパッケージを更新することもできます。
- メンテナンスウィンドウs
-
メンテナンスウィンドウs を使用して、ビジネスクリティカルなオペレーションを中断することなく、パッチや更新プログラムのインストールなどの管理タスクを実行するようマネージドインスタンスの定期的なスケジュールを設定します。
- ステート管理
-
Systems Manager ステートマネージャーを使用して、マネージドインスタンスを定義された状態に保つプロセスを自動化します。ステートマネージャー を使用して、インスタンスがスタートアップ時に特定のソフトウェアでブートストラップされたり、Windows ドメイン (Windows インスタンスのみ) に結合されたり、特定のソフトウェア更新でパッチを適用されたりするように設定できます。
共有リソース
Systems Manager は、AWS リソースの管理および設定のために以下の共有リソースを使用します。詳細については、タブを選択してください。
- マネージドインスタンス
-
マネージドインスタンスは、Systems Manager のために設定されたハイブリッド環境のすべての Amazon EC2 インスタンスまたはオンプレミスマシン (サーバーまたは仮想マシン [VM]) です。マネージドインスタンスをセットアップするには、使用するマシンに SSM エージェントをインストール (デフォルトでインストールされていない場合) し、AWS Identity and Access Management (IAM) アクセス権限を設定します。オンプレミスのマシンには、アクティベーションコードも必要となります。
- アクティベーション
-
ハイブリッド環境のサーバーおよび VM をマネージドインスタンスとしてセットアップするには、マネージドインスタンスのアクティベーションを作成する必要があります。アクティベーションが完了したら、アクティベーションコードと ID を受け取ります。このコードと ID の組み合わせは、Amazon EC2 のアクセス ID とシークレットキーに似ており、マネージドインスタンスから Systems Manager サービスへのセキュアなアクセスが可能になります。
- Systems Manager ドキュメント
-
Systems Manager ドキュメント (SSM ドキュメント) は、Systems Manager が実行するアクションを定義します。SSM ドキュメントは、ステートマネージャー および Run Command で使用されるコマンドドキュメントとするか、Systems Manager オートメーションで使用されるオートメーションドキュメントとすることができます。Systems Manager には、実行時にパラメータを指定して使用できる事前設定済みのドキュメントがさらに十数個含まれています。ドキュメントは JSON や YAML で表すことができ、ユーザーが指定するパラメータおよびステップが含まれます。
- パラメータストア
-
パラメータストア は、設定データ管理と機密管理のための安全な階層型ストレージを提供します。パスワード、データベース文字列、ライセンスコードなどのデータをパラメータ値として保存することができます。値はプレーンテキストまたは暗号化されたデータとして保存できます。次に、パラメータの作成時に指定した一意の名前を使用して値を参照できます。
開始方法
Systems Manager の使用を開始するには、次のことを行います。
-
Systems Manager の前提条件を完了したことを確認します
-
ロールとアクセス権限を設定します
-
インスタンスに SSM エージェント をインストールします (必要な場合)
Systems Manager でオンプレミスサーバーと VM を管理する場合には、マネージドインスタンスのアクティベーションも加えて作成する必要があります。
このタスクについては、「AWS Systems Manager のセットアップ」で説明しています。
Systems Manager へのアクセス
次のいずれかのインターフェイスを使用して Systems Manager にアクセスできます。
-
AWS Systems Manager コンソール — Systems Manager にアクセスするために使用できるウェブインターフェースを提供します。
-
AWS コマンドラインインターフェイス (AWS CLI) — Systems Manager を含むさまざまな AWS のサービス用のコマンドが用意されており、Windows、Mac、および Linux でサポートされています。詳細については、「AWS コマンドラインインターフェイス」を参照してください。
-
AWS Tools for Windows PowerShell — Systems Manager を含む一連のさまざまな AWS のサービス用のコマンドを提供します。詳細については、AWS Tools for Windows PowerShell を参照してください。
-
AWS SDK — 言語固有の API を提供し、署名の計算、リクエストの再試行処理、エラー処理など、接続のさまざまな詳細を処理します。詳細については、AWS SDK を参照してください。
料金表
Systems Manager の機能と共有コンポーネントは、追加料金なしで提供されます。ユーザーは、使用した AWS リソースに対してのみ料金を支払います。
ご意見をお待ちしております
ご意見をお待ちしております。お問い合わせの場合には、「AWS Systems Manager フォーラム」を参照してください。
関連情報
Systems Manager は以下のリファレンスにも記載されています。
