AWS Systems Manager
ユーザーガイド

AWS Systems Manager とは

AWS Systems Manager は、Amazon EC2 インスタンス、オンプレミスサーバーと仮想マシンや他の AWS リソースを大規模に設定および管理する機能のコレクションです。Systems Manager には、AWS リソース間で運用データを簡単に一元化し、タスクを自動化できる統一されたインターフェイスが含まれています。Systems Manager はインフラストラクチャで運用上の問題を検出して解決するための時間を短縮します。Systems Manager は、インフラストラクチャのパフォーマンスと設定についての詳細を提供し、リソースとアプリケーションの管理を簡素化することで大規模なインフラストラクチャの運用と管理を簡単にします。

注記

AWS Systems Manager は、以前は「Amazon EC2Systems Manager」および「Amazon Simple Systems Manager」と呼ばれていました。Amazon EC2 コンソールには、左のナビゲーションペインの見出し [SYSTEMS MANAGER SERVICES (システムマネージャサービス)] と [SYSTEMS MANAGER SHARED RESOURCES (システムマネージャ共有リソース)] の下に Systems Manager 機能とサービスが含まれています。EC2 コンソールは、ほとんどの Systems Manager 機能およびサービスへのアクセスを提供しますが、AWS Systems Manager コンソールを使用することをお勧めします。AWS Systems Manager コンソールでは、すべての Systems Manager サービス、データ、共有リソースへの簡単なアクセスを提供します。このコンソールには、ダッシュボードおよび AWS リソースの管理に役立つ Systems Manager と連携するサービスへの簡単なアクセスも含まれています。

仕組み

図 1 は、サーバー群へのコマンドの送信や、オンプレミスサーバーで実行中のアプリケーションのインベントリ実行などのアクションを実行するときに Systems Manager が実行する、さまざまなプロセスの一般的な例を示しています。各 Systems Manager 機能 (たとえば Run Command または メンテナンスウィンドウ の場合) では、セットアップ、実行、処理、および報告の類似したプロセスが使用されます。

  1. Systems Manager の設定: Systems Manager コンソール、SDK、AWS CLI、または AWS Toolkit for Windows PowerShell を使用して、AWS リソースで実行するアクションを設定、スケジュール、自動化、および実行します。

  2. 検証および処理: Systems Manager は、アクセス許可を含む設定を検証し、ハイブリッド環境のインスタンスまたはサーバーで実行中の SSM エージェント にリクエストを送信します。SSM エージェント は、指定された設定変更を実行します。

  3. レポート: SSM エージェント は AWS クラウドの Systems Manager に対して、設定変更とアクションのステータスを報告します。次に Systems Manager は、ユーザーおよびさまざまな AWS のサービス (設定されている場合) にステータスを送信します。

図 1: Systems Manager プロセスの流れの一般的な例


                 Systems Manager 機能 (たとえば Run Command または メンテナンスウィンドウ の場合) で、セットアップ、実行、処理、および報告の類似したプロセスを使用する方法を示す図。

機能

Systems Manager には、次の機能が用意されています。

リソースグループ

AWS リソースグループ: AWS リソースは、AWS で使用できるエンティティであり、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、Amazon Elastic Block Store (Amazon EBS) ボリューム、セキュリティグループ、Amazon Virtual Private Cloud (VPC) などを指します。リソースグループとは、すべてが同じ AWS リージョンにあり、クエリで指定された条件に適合する AWS リソースのコレクションを指します。リソースグループコンソールでクエリを構築するか、または AWS CLI でリソースグループコマンドにこのクエリを引数として渡します。リソースグループを使用すると、タグで特定した条件に従って情報を整理し、統合するカスタムコンソールを作成できます。AWS システムマネージャでモニタリングおよび設定情報を表示するためにグループを使用することもできます。

インサイト

Systems Manager は、AWS リソースに関するデータを一元的に表示するための以下の機能を提供します。詳細については、タブを選択してください。

Built-in InsightsCloudWatch DashboardsInventory ManagementConfiguration Compliance
Built-in Insights

インサイトには、AWS CloudTrail ログ、AWS Config ルールに関する評価結果や AWS Trusted Advisor レポートなどの AWS リソースグループ内のリソースに関する詳細情報が表示されます。インサイトは、一回ごとに単一の選択されたリソースグループについての情報を表示します。

CloudWatch Dashboards

Amazon CloudWatch ダッシュボードは、CloudWatch コンソールにあるカスタマイズ可能なホームページであり、ダッシュボードを使用すれば、異なるリージョンにまたがっているリソースでも、1 つのビューでモニタリングできます。CloudWatch ダッシュボードを使用して、AWS のリソースのメトリクスおよびアラームをカスタマイズした状態で表示することができます。

Inventory Management

インベントリマネージャーは、マネージドインスタンスからのソフトウェアインベントリの収集プロセスを自動化します。インベントリマネージャーを使用して、マネージドインスタンスのアプリケーション、ファイル、コンポーネント、パッチなどに関するメタデータを収集できます。

Configuration Compliance

Systems Manager 設定コンプライアンスを使用すると、マネージドインスタンス群のスキャンを実行して、パッチコンプライアンスと設定の不一致を確認できます。複数の AWS アカウントとリージョンからデータを収集して集計し、それに準拠していない特定のリソースにドリルダウンすることができます。デフォルトでは、設定コンプライアンスでは、Patch Manager によるパッチ適用と ステートマネージャー による関連付けに関するコンプライアンスデータが表示されます。サービスをカスタマイズし、IT またはビジネスの要件に基づいて独自のコンプライアンスタイプを作成することもできます。

アクション

Systems Manager は、AWS リソースに対してアクションを取るような次の機能を提供します。詳細については、タブを選択してください。

AutomationRun CommandSession ManagerDistributorPatch ManagementメンテナンスウィンドウState Management
Automation

Systems Manager オートメーションを使用して、一般的なメンテナンスとデプロイのタスクを自動化します。オートメーションを使用すると、Amazon Machine Image の作成と更新、ドライバーとエージェントの更新プログラムの適用、Windows インスタンスでのパスワードのリセット、Linux インスタンスでの SSH キーのリセット、および OS パッチまたはアプリケーション更新プログラムの適用が可能になります。

Run Command

Systems Manager Run Command を使用すると、大規模なマネージドインスタンスの設定を安全にリモートで管理することができます。Run Command を使用して、数十または数百のインスタンスのターゲットセットで、アプリケーションの更新または Linux シェルスクリプトや Windows PowerShell コマンドの実行などのオンデマンドの変更を行います。

Session Manager

Session Manager を使用して、インタラクティブなワンクリックブラウザベースのシェル、または AWS CLI を介して Amazon EC2 インスタンスを管理できます。Session Manager は、インバウンドポートを開いたり、踏み台ホストを維持したり、SSH キーを管理したりすることなく、安全で監査可能なインスタンスの管理を提供します。Session Manager は、Amazon EC2 インスタンスへの簡単なワンクリックのクロスプラットフォームアクセスをエンドユーザーに提供しつつ、インスタンスへの制御されたアクセス、厳格なセキュリティプラクティス、インスタンスアクセスの詳細を含む、完全に監査可能なログを必要とする企業ポリシーに準拠することを容易にします。

Distributor

Distributor を使用して、マネージドインスタンスにパッケージを作成およびデプロイします。Distributor では、独自のソフトウェアをパッケージ化したり、[AmazonCloudWatchAgent] などの AWS が提供するエージェントソフトウェアパッケージを見つけて、AWS Systems Manager マネージドインスタンスにインストールすることができます。Distributor は、ソフトウェアパッケージなどのリソースを AWS Systems Manager マネージドインスタンスに公開します。

Patch Management

Patch Manager を使用して、マネージドインスタンスにパッチを適用するプロセスを自動化します。この機能では、インスタンスをスキャンして欠落しているパッチを確認し、Amazon EC2 インスタンスタグを使用して欠落しているパッチを個別のインスタンスまたは大規模なグループのインスタンスに適用できます。セキュリティに関連するパッチ用に、Patch Manager のパッチベースラインには、リリースから数日以内にパッチを自動承認するためのルールと、承認および拒否されたパッチのリストが含まれています。セキュリティに関連するパッチは、インスタンス用に設定されたパッチのデフォルトのリポジトリからインストールされます。パッチ適用を Systems Manager の メンテナンスウィンドウ タスクとして実行するようにスケジュールすることで、セキュリティに関連するパッチを定期的にインストールできます。Linux オペレーティングシステムの場合、パッチベースラインの一部として、パッチ適用オペレーションに使用するレポジトリを定義できます。これにより、インスタンスで設定されたレポジトリに関係なく、信頼されたレポジトリからのみ更新プログラムがインストールされます。Linux の場合、オペレーティングシステムのセキュリティ更新として分類されているものだけでなく、インスタンスでパッケージを更新することもできます。

メンテナンスウィンドウ

メンテナンスウィンドウ を使用して、ビジネスクリティカルなオペレーションを中断することなく、パッチや更新プログラムのインストールなどの管理タスクを実行するようマネージドインスタンスの定期的なスケジュールを設定します。

State Management

Systems Manager ステートマネージャを使用して、マネージドインスタンスを定義された状態に保つプロセスを自動化します。ステートマネージャー を使用して、インスタンスがスタートアップ時に特定のソフトウェアでブートストラップされたり、Windows ドメイン (Windows インスタンスのみ) に結合されたり、特定のソフトウェア更新でパッチを適用されたりするように設定できます。

共有リソース

Systems Manager は、AWS リソースの管理および設定のために以下の共有リソースを使用します。詳細については、タブを選択してください。

Managed InstancesActivationsSystems Manager Documentsパラメータストア
Managed Instances

マネージドインスタンスは、Systems Manager 用に設定されたハイブリッド環境のすべての Amazon EC2 インスタンスまたはオンプレミスマシン (サーバーまたは仮想マシン (VM)) です。マネージドインスタンスをセットアップするには、使用するマシンに SSM エージェント をインストール (デフォルトでインストールされていない場合) し、AWS Identity and Access Management (IAM) アクセス権限を設定します。オンプレミスのマシンには、アクティベーションコードも必要となります。

Activations

ハイブリッド環境のサーバーおよび VM をマネージドインスタンスとしてセットアップするには、マネージドインスタンスのアクティベーションを作成する必要があります。アクティベーションが完了したら、アクティベーションコードと ID を受け取ります。このコードと ID の組み合わせは、Amazon EC2 のアクセス ID とシークレットキーに似ており、マネージドインスタンスから Systems Manager サービスへのセキュアなアクセスが可能になります。

Systems Manager Documents

Systems Manager ドキュメント (SSM ドキュメント) は、Systems Manager が実行するアクションを定義します。SSM ドキュメントタイプには、ステートマネージャー と Run Command で使用されるコマンドドキュメント、および Systems Manager オートメーションで使用されるオートメーションドキュメントが含まれています。Systems Manager には、実行時にパラメータを指定して使用できる多数の事前設定済みのドキュメントが含まれています。ドキュメントは JSON や YAML で表すことができ、ユーザーが指定するパラメータおよびステップが含まれます。

パラメータストア

パラメータストア は、設定データ管理と機密管理のための安全な階層型ストレージを提供します。パスワード、データベース文字列、ライセンスコードなどのデータをパラメータ値として保存することができます。値はプレーンテキストまたは暗号化されたデータとして保存できます。次に、パラメータの作成時に指定した一意の名前を使用して値を参照できます。

開始方法

Systems Manager の使用を開始するには、次のことを行います。

  • Systems Manager の前提条件を完了したことを確認します

  • ロールとアクセス権限を設定します

  • インスタンスに SSM エージェント をインストールします (必要な場合)

Systems Manager でオンプレミスサーバーと VM を管理する場合には、マネージドインスタンスのアクティベーションも加えて作成する必要があります。

このタスクについては、「AWS Systems Manager のセットアップ」で説明しています。

Systems Manager へのアクセス

次のいずれかのインターフェイスを使用して Systems Manager にアクセスできます。

  • AWS Systems Manager コンソール — Systems Manager にアクセスするために使用できるウェブインターフェイスを提供します。

  • AWS コマンドラインインターフェイス (AWS CLI) — Systems Manager を含むさまざまな AWS サービス用のコマンドが用意されており、Windows、Mac、Linux でサポートされています。詳細については、「AWS コマンドラインインターフェイス」を参照してください。

  • AWS Tools for Windows PowerShell — Systems Manager を含む一連のさまざまな AWS のサービス用のコマンドを提供します。詳細については、「AWS Tools for Windows PowerShell」を参照してください。

  • AWS SDK — 言語固有の API を提供し、署名の計算、リクエストの再試行処理、エラー処理など、接続のさまざまな詳細を処理します。詳細については、AWS SDK を参照してください。

料金表

一部の Systems Manager 機能は有料です。詳細については、「AWS Systems Manager 料金表」を参照してください。

ご意見をお待ちしております

ご意見をお待ちしております。お問い合わせの場合は、AWS Systems Manager フォーラムをご利用ください。

Systems Manager は以下のリファレンスにも記載されています。