【Systems Manager】AWSサービスしりとりリレー第8日目

こんにちは、SRE課の下西と申します。
APNアドバンストコンサルティングパートナー昇格記念「AWSサービスしりとりリレー」の8日目のブログになります。
今回はAWS Systems Managerについて記事にしていきます。

AWS Systems Manager とは

AWS上のEC2インスタンスなどのインフラストラクチャを表示および制御するために使用できるサービスで、複数のAWSのサービスの運用データを可視化し、リソース全体の運用タスクの自動化が行えるサービスです。
また、AWSリソースだけでなく、オンプレミスのサーバにも適用できます。
省略名称はSSMとなります。

SSMによるマネージドインスタンスにするためには

1．SSM Agentの導入
SSMによるマネージドインスタンスにするために、まずはSSM Agentを対象のインスタンスに導入する必要があります。
Amazon LinuxやWindows、Ubuntu Serverのオフィシャルイメージには導入済みで、それ以外のAMI、及びオンプレミスサーバは手動でインストールする必要があります。
SSM AgentがSSM APIと連携し各種操作やコントロールを行います。

2．SSM APIへの経路確保
SSM APIへの経路はインターネットやVPCエンドポイント経由でのアクセスとなります。

3.IAMロール付与
最後にSSMへのアクセスを許可するポリシーを持ったIAMロールを割り当てることでSSMによるマネージドインスタンスとなります。

SSMの機能

大きく6つの分類があります


上記画像がBlack Beltの2020/02/12の情報です。
2021/07/03の時点で以下の4つの機能がさらに加わってます。

・インシデントマネージャー
CloudWatchアラームまたは EventBrigeイベントから検出された異常状態やイベントをインシデントとして管理することが可能になり、設定した連絡先へ電話、電子メール、SMSでエスカレーションを行うことができます。
ランブックオートメーションにより重要な応答を自動化し、最初の応答者に詳細な手順を提供します。

・アプリケーションマネージャー
AWS上で運用しているアプリケーションで、各サービスに散らばる運用データを１つの画面で確認・対応できるサービス。ECSもサポートしています。

・変更マネージャー
変更のリクエストに対して承認者が承認したらプロセスが実行されるといった変更管理のサービス。

・フリートマネージャー
インスタンスのOS等の情報をコンパネ上で一元管理することができる機能。

高速セットアップをやってみる

インスタンスのSSM設定の自動構成ができる高速セットアップを使ってみました。高速セットアップは以下のようなことが行えます。

・SSMのIAMインスタンスプロファイルのロール
・SSM Agentのスケジュールされた隔週ごとの更新
・30分ごとにスケジュールされたインベントリメタデータの収集
・欠落しているパッチを特定するために、インスタンスを毎日スキャン
・Amazon CloudWatchエージェントの1回限りのインストールと設定
・CloudWatchエージェントのスケジュールに基づく毎月の更新

左カラムの高速セットアップを選択しCreateをクリック

Host Managementを選択

・2週間ごとに SSMエージェントをアップデートする
・30分ごとにインスタンスからインベントリを収集する
・日時でパッチ適用状況のスキャンを行う
にはデフォルトでチェックが入ってます。

・CloudWatchエージェントのインストールと設定を行う
・30日ごとに CloudWatchエージェントのアップデートを行う
は今回は選択しません。

リージョンを選択しすべてのインスタンスを対象とします
右下のcreateをクリックして完了