aws systems manager - ユーザーガイド...aws systems manager ユーザーガイド...

AWS Systems Managerユーザーガイド

AWS Systems Manager ユーザーガイド

AWS Systems Manager: ユーザーガイドCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.


Table of ContentsAWS Systems Manager とは ............................................................................................................... 1

機能 .......................................................................................................................................... 3Operations Management ...................................................................................................... 4アプリケーション管理 ......................................................................................................... 4アクションと変更 ............................................................................................................... 5インスタンスとノード ......................................................................................................... 5共有リソース ..................................................................................................................... 7

仕組み ....................................................................................................................................... 7SSM エージェントについて ........................................................................................................ 9サポートされるオペレーティングシステム .................................................................................... 10

Windows Server ............................................................................................................... 10Linux ............................................................................................................................... 11Raspbian ......................................................................................................................... 12

Systems Manager へのアクセス .................................................................................................. 12前提条件 .................................................................................................................................. 13

高速セットアップ .............................................................................................................................. 15アクセス許可ロール .................................................................................................................. 15

デフォルトのインスタンスプロファイルの詳細 ...................................................................... 16サービスロールの詳細 ....................................................................................................... 17

Systems Manager (SSM) エージェントの更新 ............................................................................... 18インスタンスからインベントリを収集する .................................................................................... 18欠落しているパッチを毎日スキャンする ....................................................................................... 19CloudWatch エージェントのインストールおよび設定 ..................................................................... 194 週間に 1 回 CloudWatch エージェントを更新する ....................................................................... 20クイックセットアップのターゲットの選択 .................................................................................... 20高速セットアップの結果の使用 ................................................................................................... 20高速セットアップの結果のトラブルシューティング ........................................................................ 22高速セットアップの再実行 ......................................................................................................... 23

Systems Manager のセットアップ ...................................................................................................... 25ステップ 1: AWS にサインアップする ......................................................................................... 25ステップ 2: AWS 用の IAM 管理ユーザーを作成する ...................................................................... 26ステップ 3: Systems Manager の管理者以外の IAM ユーザーおよびグループ ..................................... 27

タスク 1: タグエディタおよびリソースグループのポリシーを作成する ...................................... 27タスク 2: ユーザーグループを作成する ................................................................................ 28タスク 3: ユーザーを作成し、アクセス許可を割り当てる ........................................................ 30

ステップ 4: Systems Manager の IAM インスタンスプロファイルの作成 ........................................... 31Systems Manager インスタンスプロファイルのポリシーについて ............................................ 32タスク 1: (オプション) Amazon S3 バケットアクセス用のカスタムポリシーを作成する ............... 33タスク 2: Systems Manager インスタンスプロファイルにアクセス許可を追加する (コンソール) ... 35

ステップ 5: IAM インスタンスプロファイルを Amazon EC2 インスタンスにアタッチする ................... 37Systems Manager インスタンスプロファイルを使用するインスタンスを起動する (コンソール) .... 38既存のインスタンスに Systems Manager インスタンスプロファイルをアタッチする (コンソール) .................................................................................................................................. 39

ステップ 6: (オプション) プライベートクラウドエンドポントの作成 ................................................. 39VPC エンドポイントの制約と制限 ....................................................................................... 40Systems Manager 用 VPC エンドポイントを作成する ............................................................ 41

ステップ 7: (オプション) Systems Manager サービスロールの作成 .................................................. 42サービスロールを作成する ................................................................................................. 42

ステップ 8: (オプション) 他の AWS のサービスとの統合をセットアップする ..................................... 44ハイブリッド環境の設定 .................................................................................................................... 45

ステップ 1: Systems Manager の一般的なセットアップステップを完了する ...................................... 46ステップ 2: ハイブリッド環境の IAM サービスロールを作成する ..................................................... 46ステップ 3: オンプレミスサーバーおよび VM に TLS 証明書をインストールする ................................ 49ステップ 4: ハイブリッド環境のマネージドインスタンスのアクティベーションを作成する .................. 50

iii


アクティベーションを作成する (コンソール) ......................................................................... 51マネージドインスタンスのアクティベーションを作成する (コマンドライン) .............................. 51

ステップ 5: ハイブリッド環境に SSM エージェントをインストールする (Windows) ........................... 53ステップ 6: ハイブリッド環境に SSM エージェントをインストールする (Linux) ................................ 55ステップ 7: (オプション) アドバンストインスタンス層を有効にする ................................................. 58

アドバンストインスタンス層を有効にするためのアクセス許可を設定する ................................. 58アドバンストインスタンス層の有効化 (コンソール) ................................................................ 60アドバンストインスタンス層を有効にする (AWS CLI) ............................................................ 61アドバンストインスタンス層を有効にする (PowerShell) ......................................................... 61

ご利用開始にあたって ....................................................................................................................... 63ステップ 1: AWS CLI をインストールまたはアップグレードする ..................................................... 63ステップ 2: AWS Tools for PowerShell をインストールまたはアップグレードする .............................. 64ステップ 3: インスタンスへの SSM エージェントのインストールまたはアップデートの演習 ............... 65ステップ 4: Systems Manager チュートリアルおよびウォークスルー ............................................... 66

SSM エージェントの使用 ................................................................................................................. 70Windows インスタンスで SSM エージェントをインストールし設定する .......................................... 71

Amazon EC2 Windows インスタンスでの SSM エージェントのインストールおよび設定 ............. 72Windows インスタンスでの SSM エージェントログの表示 ..................................................... 74SSM エージェントが Windows インスタンス用にプロキシを使用するように設定する ................ 74

Amazon EC2 Linux インスタンスで SSM エージェントをインストールし設定する ............................. 75Amazon EC2 Linux インスタンスに SSM エージェントを手動でインストールする ..................... 75プロキシを使用するように SSM エージェントを設定する ...................................................... 92SSM エージェントログの表示 ........................................................................................... 94Linux インスタンスから SSM エージェントをアンインストールする ........................................ 95

SSM エージェントを介してルートレベルコマンドへのアクセスを制限する ...................................... 95SSM エージェントへの更新の自動化 .......................................................................................... 96

自動的に SSM エージェントを更新する .............................................................................. 97SSM エージェント通知へのサブスクライブ ................................................................................. 97SSM エージェントの最小 S3 バケットアクセス許可について ......................................................... 98

必要なアクセス許可 .......................................................................................................... 99例 ................................................................................................................................. 100

パートナーと製品の統合 ................................................................................................................... 101パラメータストアパラメータからの AWS Secrets Manager シークレットの参照 .............................. 101

制限 .............................................................................................................................. 101パラメータストアを使用して Secrets Manager シークレットを参照する方法 .......................... 102

GitHub および Amazon S3 からのスクリプトの実行 ..................................................................... 104GitHub からのスクリプトの実行 ........................................................................................ 105Amazon S3 からのスクリプトの実行 ................................................................................. 110

Systems Manager コンプライアンスで Chef InSpec プロファイルを使用する .................................. 117仕組み ........................................................................................................................... 117InSpec コンプライアンススキャンの実行 ............................................................................ 118

Operations Management .................................................................................................................. 121Explorer ................................................................................................................................. 121

Explorer の特徴は何ですか? .............................................................................................. 122Explorer と OpsCenter にはどのような関連性がありますか? ................................................. 123OpsData とは何ですか? ................................................................................................... 123Explorer の使用料金はかかりますか? ................................................................................. 123Explorer はすべての AWS リージョンで利用できますか? ...................................................... 123ご利用開始にあたって ...................................................................................................... 123Explorer を使用する ........................................................................................................ 131OpsData のエクスポート .................................................................................................. 134トラブルシューティング ................................................................................................... 136

OpsCenter .............................................................................................................................. 137OpsCenter はどのように組織にとってメリットになりますか? ............................................... 138OpsCenter の特徴は何ですか? .......................................................................................... 138Amazon CloudWatch Events と OpsCenter の連携方法どのサービスを使用する必要がありますか? ................................................................................................................................ 140

iv


OpsCenter は既存のケース管理システムと統合できますか? .................................................. 140OpsCenter の使用料金はかかりますか? .............................................................................. 140OpsCenter はオンプレミスおよびハイブリッドマネージドインスタンスと連携しますか？ ......... 141OpsCenter はすべての AWS リージョンで使用できますか? ................................................... 141OpsCenter のリソース制限について説明します。 ................................................................ 141OpsCenter の使用開始 ..................................................................................................... 142OpsItems の作成 ............................................................................................................. 143OpsItems の使用 ............................................................................................................. 148OpsItem 問題の修復 ........................................................................................................ 156OpsCenter 概要レポートを表示する ................................................................................... 159サポートされているリソースのリファレンス ....................................................................... 160OpsCenter アクティビティの監査とログ記録 ...................................................................... 163

CloudWatch ダッシュボード ..................................................................................................... 163Trusted Advisor と PHD ........................................................................................................... 164

アプリケーション管理 ......................................................................................................................... 4Resource Groups .................................................................................................................... 165AppConfig .............................................................................................................................. 165

AppConfig はどのように組織にとってメリットになりますか? ................................................ 166サポートされるターゲットのタイプ ................................................................................... 166AppConfig の使用料金はかかりますか? .............................................................................. 167AppConfig で動作するようにアプリケーションを変更する必要がありますか? ........................... 167AppConfig の仕組み ......................................................................................................... 167AppConfig のサービスクォータとは何ですか? ..................................................................... 168AWS AppConfig の使用開始 ............................................................................................. 169AWS AppConfig の使用 .................................................................................................... 173

パラメータストア .................................................................................................................... 181パラメータストアの開始方法 ........................................................................................... 182パラメータの詳細 ............................................................................................................ 183パラメータストアをセットアップする ............................................................................... 188パラメータの使用 ............................................................................................................ 195パブリックパラメータの使用 ............................................................................................. 220パラメータストアのスループットを向上する ...................................................................... 225デフォルトのパラメータ階層の指定 ................................................................................... 228パラメータストアチュートリアル ..................................................................................... 234

アクションと変更 ............................................................................................................................ 242オートメーション .................................................................................................................... 242

自動化のユースケース ...................................................................................................... 243自動化の使用を開始する ................................................................................................... 245自動化実行の使用 ............................................................................................................ 251オートメーションドキュメントの使用 ................................................................................ 321自動化のチュートリアル ................................................................................................... 558Systems Manager 自動化のトラブルシューティング ............................................................ 597

メンテナンスウィンドウ ........................................................................................................... 608アクセスの制御 ............................................................................................................... 609メンテナンスウィンドウの使用 (コンソール) ....................................................................... 621メンテナンスウィンドウのチュートリアル (AWS CLI) .......................................................... 627メンテナンスウィンドウチュートリアル ............................................................................ 663

Change Calendar .................................................................................................................... 671Change Calendar はどのようなユーザーに適していますか ? ................................................. 671Change Calendar の利点 .................................................................................................. 671Change Calendar の開始方法 ............................................................................................ 672Change Calendar の使用 .................................................................................................. 673Change Calendar Automation ドキュメントへの依存関係の追加 ............................................. 677

インスタンスとノード ...................................................................................................................... 678コンプライアンス .................................................................................................................... 678

設定コンプライアンスの使用を開始する ............................................................................. 679設定コンプライアンスのリソースデータの同期の作成 ........................................................... 679

v


設定コンプライアンスの使用 ............................................................................................. 681コンプライアンスの問題の修復 ......................................................................................... 684設定コンプライアンスのチュートリアル (AWS CLI) ............................................................. 685

インベントリ .......................................................................................................................... 687インベントリの詳細 ......................................................................................................... 690インベントリのリソースデータの同期の設定 ....................................................................... 695インベントリ収集の設定 ................................................................................................... 699インベントリデータの使用 ................................................................................................ 703カスタムインベントリの操作 ............................................................................................. 718インベントリ履歴と変更の追跡の表示 ................................................................................ 727インベントリのウォークスルー ......................................................................................... 729インベントリのトラブルシューティング ............................................................................. 738

マネージドインスタンス ........................................................................................................... 739マネージドインスタンスのパスワードのリセット ................................................................. 741

ハイブリッドアクティベーション .............................................................................................. 744Session Manager .................................................................................................................... 745

Session Manager はどのように組織にとってメリットになりますか? ...................................... 745Session Manager はどのようなユーザーに適していますか? .................................................. 746Session Manager の主な特徴は何ですか。 ......................................................................... 746セッションとは何ですか。 ................................................................................................ 748Session Manager の使用開始 ............................................................................................ 748Session Manager の操作 .................................................................................................. 784セッションアクティビティのログ記録と監査 ....................................................................... 795Session Manager のトラブルシューティング ...................................................................... 798

Run Command ....................................................................................................................... 800Run Command をセットアップする ................................................................................... 801コマンドの実行 ............................................................................................................... 804コマンドのステータスについて ......................................................................................... 813Run Command チュートリアル ......................................................................................... 818Run Command のトラブルシューティング .......................................................................... 829

ステートマネージャー .............................................................................................................. 832ステートマネージャーについて ........................................................................................ 833関連付けの使用 ............................................................................................................... 835ステートマネージャーチュートリアル ............................................................................... 855

Patch Manager ....................................................................................................................... 873パッチマネージャーの前提条件 ......................................................................................... 874仕組み ........................................................................................................................... 875パッチ適用オペレーションについて ................................................................................... 890パッチベースラインについて ............................................................................................. 900パッチマネージャーの使用 (コンソール) ............................................................................. 911チュートリアル: サーバー環境にパッチを適用する (AWS CLI) ............................................... 924Patch Manager の AWS CLI コマンド ................................................................................ 929

Distributor .............................................................................................................................. 942Distributor はどのように組織にとってメリットになりますか? ................................................ 943Distributor はどのようなユーザーに適していますか? ............................................................ 943Distributor の特徴は何ですか? ........................................................................................... 943パッケージとは何ですか? ................................................................................................. 944Distributor の使用開始 ...................................................................................................... 945Distributor の操作 ............................................................................................................ 947Distributor アクティビティの監査とログ記録 ....................................................................... 971Distributor のトラブルシューティング ................................................................................. 972

セキュリティ .................................................................................................................................. 974データ保護 ............................................................................................................................. 974

データの暗号化 ............................................................................................................... 975インターネットトラフィックのプライバシー ....................................................................... 977

Identity and Access Management .............................................................................................. 977対象者 ........................................................................................................................... 977

vi


アイデンティティを使用した認証 ...................................................................................... 978ポリシーを使用したアクセスの管理 ................................................................................... 979AWS Systems Manager と IAM の連携 .............................................................................. 981アイデンティティベースのポリシーの例 ............................................................................. 987トラブルシューティング ................................................................................................... 993

サービスにリンクされたロールの使用 ........................................................................................ 995Inventory and Maintenance Windows Role .......................................................................... 995Explorer Account Discovery Role ....................................................................................... 997

ログ記録とモニタリング ......................................................................................................... 1000コンプライアンス検証 ............................................................................................................ 1002弾力 ..................................................................................................................................... 1002インフラストラクチャセキュリティ .......................................................................................... 1003設定と脆弱性の分析 ............................................................................................................... 1003セキュリティのベストプラクティス .......................................................................................... 1003

Systems Manager の予防的セキュリティのベストプラクティス ............................................ 1003Systems Manager のモニタリングと監査のベストプラクティス ............................................ 1005

共有リソース ................................................................................................................................ 1007SSM ドキュメント ................................................................................................................ 1007

Systems Manager の定義済みドキュメント ....................................................................... 1009SSM ドキュメントスキーマと機能 ................................................................................... 1010SSM ドキュメントの構文 ............................................................................................... 1012Systems Manager ドキュメントの作成 ............................................................................. 1017ドキュメントのタグ付け ................................................................................................. 1019Systems Manager ドキュメントの共有 ............................................................................. 1023複合ドキュメントの作成 ................................................................................................. 1029リモートの場所からのドキュメントの実行 ........................................................................ 1030SSM ドキュメントプラグインの参照 ................................................................................ 1033

モニタリング ................................................................................................................................ 1060モニタリングツール ............................................................................................................... 1060インスタンスログの CloudWatch Logs への送信 (CloudWatch エージェント) .................................. 1061

Windows Server インスタンスのログ収集を CloudWatch エージェントに移行する ................. 1062CloudWatch エージェントの構成設定をパラメータストアに保存する ................................. 1066SSM エージェントでのログ収集へのロールバック ............................................................. 1066

インスタンスログの CloudWatch Logs への送信 (SSM エージェント) ........................................... 1067Amazon CloudWatch を使用した Run Command メトリクスのモニタリング .................................. 1069

Systems Manager Run Command のメトリクスおよびディメンション .................................. 1069AWS CloudTrail を使用した AWS Systems Manager API コールのログ記録 ................................... 1070

CloudTrail 内の Systems Manager 情報 ............................................................................ 1070Systems Manager ログファイルエントリの概要 ................................................................. 1071

Run Command 向けの Amazon CloudWatch Logs の設定 ............................................................ 1072コマンドの送信時に CloudWatch Logs を指定する ............................................................. 1073CloudWatch Logs でのコマンド出力の表示 ....................................................................... 1073

Amazon CloudWatch Events によるモニタリング ....................................................................... 1073Run Command 向けの CloudWatch Events の設定 ............................................................. 1075自動化の CloudWatch Events の設定 ................................................................................ 1076

Amazon SNS 通知を使用した Systems Manager ステータス変更のモニタリング ............................ 1077AWS Systems Manager 用の Amazon SNS 通知の設定 ....................................................... 1077AWS Systems Manager の Amazon SNS通知の例 .............................................................. 1083Run Command を使用してステータス通知を返すコマンドを送信する ................................... 1084メンテナンスウィンドウを使用して、ステータス通知を返すコマンドを送信する .................... 1086

AWS Systems Managerリファレンス ............................................................................................... 1090Cron および Rate 式 .............................................................................................................. 1090

Cron および Rate 式に関する一般情報 ............................................................................. 1091関連付のための Cron および Rate 式 ............................................................................... 1094メンテナンスウィンドウの関連付けに使用する Cron 式および Rate 式 .................................. 1095

メンテナンスウィンドウのスケジュール設定と有効期間のオプション ........................................... 1096例 1: メンテナンスウィンドウの開始日を指定する .............................................................. 1096

vii


例 2: メンテナンスウィンドウの開始日と終了日を指定する ................................................. 1097例 3: 一度のみ実行するメンテナンスウィンドウを作成する ................................................. 1097

ec2messages、ssmmessages と他の API コール ....................................................................... 1098ユースケースとベストプラクティス .................................................................................................. 1100ドキュメント履歴 .......................................................................................................................... 1102

以前の更新 ........................................................................................................................... 1135AWS Glossary .............................................................................................................................. 1147

viii


AWS Systems Manager とはAWS Systems Manager は、AWS でインフラストラクチャを表示および制御するために使用できる AWSのサービスです。Systems Manager コンソールを使用すると、複数の AWS のサービスのオペレーションデータを表示して、AWS リソース間でオペレーションタスクを自動化することができます。SystemsManager は、マネージドインスタンスをスキャンして、ポリシーの違反が検出された場合にはレポート(または是正策の措置) を行うことで、セキュリティを維持するのに役立ちます。

マネージドインスタンスは、Systems Manager で使用するために設定されているマシンです。また、Systems Manager は、マネージドインスタンスを設定して維持するのにも役立ちます。サポートマシンタイプには、Amazon EC2 インスタンス、オンプレミスサーバー、仮想マシン (VM) など (その他のクラウド環境の VM を含む) があります。サポートされているオペレーティングシステムのタイプには、Windows Server、複数の Linux ディストリビューション、Raspbian などがあります。

Systems Manager を使用すると、同じ識別リソースタグをそれぞれに適用することで AWS リソースを関連付けることができます。これで、このようなリソースのオペレーションデータをリソースグループとして表示し、モニタリングおよびトラブルシューティングすることができます。

たとえば、リソースタグ「Operation=North Region OS Patching」を次のすべてのリソースに割り当てることができます。

• Amazon EC2 インスタンスのグループ• 独自の施設内のオンプレミスサーバーのグループ• マネージドインスタンスに適用するパッチを指定する Systems Manager パッチベースライン。• パッチ適用オペレーションログの出力を格納する Amazon S3 バケット。• パッチ適用オペレーションのスケジュールを指定する Systems Manager のメンテナンスウィンドウ。

リソースをタグ付けしたら、北部リージョンでのパッチ適用オペレーションの一部であるすべてのリソースのステータスを報告する Systems Manager の統合ダッシュボードを表示できます。これらのリソースのいずれかで問題が発生した場合は、ただちに是正措置を取ることができます。

Systems Manager の機能

Systems Manager は、個々の機能 (p. 3) で構成されます。これらは、OperationsManagement、Actions & Change、Instances & Nodes、Shared Resources の 4 つのカテゴリにグループ化されています。

この機能のコレクションは、多数のオペレーションタスクを実行するために使用できる強力なツールと機能のセットです。以下に例を示します。

• アプリケーション、環境、リージョン、プロジェクト、キャンペーン、ビジネスユニット、ソフトウェアライフサイクルなど、選択した目的やアクティビティごとに AWS リソースをグループ化します。

• マネージドインスタンスの設定オプションとポリシーを一元的に定義します。• AWS リソースに関連する運用作業項目を一元的に表示、調査、および解決します。• さまざまなメンテナンスおよびデプロイタスクを自動化またはスケジュールします。• マネージドインスタンスで実行するアクションを定義するランブックスタイルの SSM ドキュメントを

使用して作成します。• レートとエラー制御を使用して、マネージドインスタンスのフリート全体を対象とするコマンドを実行

します。• ワンクリックでマネージドインスタンスに安全に接続できます。受信ポートを開いたり SSH キーを管理

したりする必要はありません。• 暗号化の有無にかかわらず、パラメータを使用してシークレットと設定データをコードから分離してか

ら、他の多くの AWS のサービスからそれらのパラメータを参照します。

1


• Amazon EC2 およびオンプレミスのマネージドインスタンスに関するメタデータを収集して、自動インベントリを実行します。メタデータには、アプリケーション、ネットワーク設定などに関する情報を含めることができます。

• 管理している複数の AWS リージョンおよびアカウントの統合されたインベントリデータを表示します。

• アカウントでコンプライアンス違反しているリソースをすばやく確認し、一元化されたダッシュボードから修正作業を行います。

• AWS リソースのメトリクスとアラームのアクティブな概要を表示します。

Systems Manager により、リソースとアプリケーションの管理が簡略化され、運用上の問題の検出と解決までにかかる時間が短縮されるほか、大規模な AWS インフラストラクチャの安全な運用と管理を簡単に行うことができるようになります。

Note

AWS Systems Manager は、以前は Amazon Simple Systems Manager (SSM) および AmazonEC2 Systems Manager (SSM) と呼ばれていました。詳細については、「Systems Manager サービス名履歴 (p. 2)」を参照してください。

AWS Systems Manager とは? (動画)

その他の AWS の動画は、「Amazon Web Services YouTube チャンネル」をご覧ください。

Systems Manager のサポートされているリージョン

AWS Systems Manager は、Amazon Web Services General Referenceの「Systems Manager サービスエンドポイント」に記載されている AWS リージョンで使用できます。Systems Manager 設定プロセスを開始する前に、使用する各 AWS リージョンでサービスが利用可能かどうか確認することをお勧めします。

ハイブリッド環境のオンプレミスサーバーと VM では、データセンターまたはコンピューティング環境に最も近いリージョンを選択することをお勧めします。

Systems Manager 料金表

一部の Systems Manager 機能は有料です。詳細については、「AWS Systems Manager 料金表」を参照してください。

Systems Manager サービス名履歴

AWS Systems Manager (Systems Manager) は、以前は「Amazon Simple Systems Manager (SSM)」や「Amazon EC2 Systems Manager (SSM)」と呼ばれていました。サービスの元の省略名「SSM」は、他のいくつかのサービスコンソールを含むさまざまな AWS リソースにまだ反映されています。例:• Systems Manager Agent: SSM エージェント• Systems Manager パラメータ: SSM パラメータ• Systems Manager サービスエンドポイント: ssm.us-east-2.amazonaws.com• AWS CloudFormation リソースタイプ: AWS::SSM::Document• AWS Config ルール識別子: EC2_INSTANCE_MANAGED_BY_SSM• AWS CLI コマンド: aws ssm describe-patch-baselines• AWS Identity and Access Management (IAM) 管理ポリシー名: AmazonSSMReadOnlyAccess• Systems Manager リソース ARN: arn:aws:ssm:us-east-2:111222333444:patchbaseline/pb-07d8884178EXAMPLE

関連情報

以下のリソースは、Systems Manager を直接使用する場合に役立ちます。

2

http://youtu.be/MK4ZoCs-muohttps://www.youtube.com/user/AmazonWebServiceshttps://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_regionhttps://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_regionhttps://aws.amazon.com/systems-manager/pricing/

AWS Systems Manager ユーザーガイド機能

• AWS Blog & Podcast – AWS Management Tools Category の Systems Manager についてのブログ投稿や、#Systems Manager にタグ付けされているその他の投稿をお読みください。

• Systems Manager 開発者フォーラム – アナウンスに従うか、AWS Systems Manager フォーラムに質問を投稿または回答してください。

• AWS Systems Manager API Reference – Systems Manager の各アクションとデータタイプの説明、構文、使用例を説明しています。

• AWS Systems Manager section of the AWS CLI Command Reference – コマンドラインツールからSystems Manager を管理します。Windows、Mac、および Linux/UNIX システムで使用できます。

• AWS Systems Manager section of the AWS Tools for PowerShell Cmdlet Reference – お使いのWindows、Linux、または Mac 環境の管理に使用するのと同じ PowerShell ツールで SystemsManager を管理します。

• Amazon Web Services General Referenceの「Systems Manager サービスの制限」 – AWS アカウントの Systems Manager のデフォルトのクォータを提供します。特に明記されていない限り、クォータはリージョンごとに存在します。

The following related resources can help you as you work with this service.• Classes & Workshops – Links to role-based and specialty courses as well as self-paced labs to help

sharpen your AWS skills and gain practical experience.• AWS Developer Tools – Links to developer tools, SDKs, IDE toolkits, and command line tools for

developing and managing AWS applications.• AWS Whitepapers – Links to a comprehensive list of technical AWS whitepapers, covering topics

such as architecture, security, and economics and authored by AWS Solutions Architects or othertechnical experts.

• AWS Support Center – The hub for creating and managing your AWS Support cases. Also includeslinks to other helpful resources, such as forums, technical FAQs, service health status, and AWSTrusted Advisor.

• AWS Support – The primary web page for information about AWS Support, a one-on-one, fast-response support channel to help you build and run applications in the cloud.

• Contact Us – A central contact point for inquiries concerning AWS billing, account, events, abuse,and other issues.

• AWS Site Terms – Detailed information about our copyright and trademark; your account, license,and site access; and other topics.

Systems Manager の詳細• Systems Manager の機能 (p. 3)• Systems Manager の詳細 (p. 7)• SSM エージェントについて (p. 9)• サポートされるオペレーティングシステム (p. 10)• Systems Manager へのアクセス (p. 12)• Systems Manager の前提条件 (p. 13)

Systems Manager の機能Systems Manager 機能は以下の機能タイプに分類されます。

トピック• Operations Management (p. 4)• アプリケーション管理 (p. 4)• アクションと変更 (p. 5)• インスタンスとノード (p. 5)

3

http://aws.amazon.com/blogs/http://aws.amazon.com/blogs/aws/category/management-tools/amazon-ec2-systems-manager/http://aws.amazon.com/blogs/mt/tag/aws-systems-manager/https://forums.aws.amazon.com//forum.jspa?forumID=185https://docs.aws.amazon.com/systems-manager/latest/APIReference/https://docs.aws.amazon.com/cli/latest/reference/ssm/index.htmlhttps://docs.aws.amazon.com/powershell/latest/reference/items/AWS_Systems_Manager_cmdlets.htmlhttps://docs.aws.amazon.com/general/latest/gr/ssm.html#limits_ssmhttps://aws.amazon.com/training/course-descriptions/https://aws.amazon.com/tools/https://aws.amazon.com/whitepapers/https://console.aws.amazon.com/support/home#/https://aws.amazon.com/premiumsupport/https://aws.amazon.com/contact-us/https://aws.amazon.com/terms/

AWS Systems Manager ユーザーガイドOperations Management

• 共有リソース (p. 7)

Operations ManagementOperations Management は、AWS リソースの管理に役立つ一連の機能です。

Explorer

Explorer (p. 121) は、AWS リソースに関する情報をレポートするカスタマイズ可能なオペレーションダッシュボードです。Explorer には、AWS アカウントおよびリージョン全体のオペレーションデータ（OpsData）の集約ビューが表示されます。Explorer では、OpsData に Amazon EC2 インスタンス、パッチコンプライアンスの詳細、および運用作業項目（OpsItems）に関するメタデータが含まれています。Explorer では、OpsItems がビジネスユニットまたはアプリケーション全体にどのように分散されているか、それらが時間の経過とともにどのような傾向を示すか、およびカテゴリによってどのように異なるかに関するコンテキストが提供されます。Explorer で情報をグループ化およびフィルタリングすると、自身に関連する項目や、アクションが必要な項目に注目することができます。優先度の高い問題を特定したら、Systems Manager OpsCenter を使用してオートメーションランブックを実行すると、問題をすばやく解決できます。

OpsCenter

OpsCenter (p. 137) は、オペレーションエンジニアや IT プロフェッショナルが AWS リソースに関連する運用作業項目 (OpsItems) を表示、調査、解決できる中心的な場所を提供します。OpsCenterは、AWS リソースに影響する問題の解決までの平均時間を短縮するように設計されています。Systems Manager のこの機能では、各 OpsItem、関連 OpsItems、および関連リソースに関する状況に応じた調査データを提供しながら、サービス間で OpsItems を集約および標準化します。また、OpsCenter では、問題を迅速な解決に使用できる Systems Manager Automation ドキュメント(ランブック) も提供しています。検索可能なカスタムデータを OpsItem ごとに指定することができます。OpsItems に関する自動的に生成された概要レポートは、ステータスおよびソース別に表示することもできます。

CloudWatch Dashboards

Amazon CloudWatch ダッシュボードは、CloudWatch コンソールにあるカスタマイズ可能なホームページであり、ダッシュボードを使用すれば、異なるリージョンにまたがっているリソースでも、1つのビューでモニタリングできます。CloudWatch ダッシュボードを使用して、AWS のリソースのメトリクスおよびアラームをカスタマイズした状態で表示することができます。

Trusted Advisor & Personal Health Dashboard (PHD)

Systems Manager の 2 つのオンラインツールは、リソースのプロビジョニングとアカウントのヘルスイベントのモニタリングに役立ちます。Trusted Advisor は、AWS のベストプラクティスに従ってリソースをプロビジョニングするのに役立つリアルタイムのガイダンスを提供するオンラインツールです。詳細については、「Trusted Advisor」を参照してください。

AWS Personal Health Dashboard は、アカウントに影響する可能性がある AWS Health イベントに関する情報を提供します。情報は 2 つの方法で表示されます。ダッシュボードには、最近のイベントおよび予定されているイベントがカテゴリ別に分類されて表示されます。詳細なイベントログには、過去 90 日間のすべてのイベントが表示されます。詳細については、「AWS Personal Health Dashboardの開始方法」を参照してください。

アプリケーション管理アプリケーション管理は、AWS で実行されているアプリケーションの管理に役立つ一連の機能です。

Resource Groups

AWS リソースグループ: AWS リソースは、AWS で使用できるエンティティです。たとえば、Systems Manager SSM ドキュメント、パッチベースライン、メンテナンスウィンドウ、パ

4

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.htmlhttps://aws.amazon.com/premiumsupport/technology/trusted-advisor/https://docs.aws.amazon.com/health/latest/ug/getting-started-phd.htmlhttps://docs.aws.amazon.com/health/latest/ug/getting-started-phd.htmlhttps://docs.aws.amazon.com/ARG/latest/userguide/welcome.html

AWS Systems Manager ユーザーガイドアクションと変更

ラメータ、マネージドインスタンス、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、Amazon Elastic Block Store (Amazon EBS) ボリューム、セキュリティグループ、Amazon VirtualPrivate Cloud (VPC) です。リソースグループとは、すべてが同じ AWS リージョンにあり、クエリで指定された条件に適合する AWS リソースのコレクションを指します。リソースグループコンソールでクエリを構築するか、または AWS CLI でリソースグループコマンドにこのクエリを引数として渡します。リソースグループを使用すると、タグで特定した条件に従って情報を整理し、統合するカスタムコンソールを作成できます。AWS Systems Manager でモニタリングおよび設定情報を表示するためにグループを使用することもできます。

AWS AppConfig

AppConfig (p. 165) では、アプリケーション設定を作成、管理、迅速にデプロイできます。AppConfig は、あらゆる規模のアプリケーションへの管理型デプロイをサポートします。AppConfig は、Amazon EC2 インスタンス、AWS Lambda、コンテナ、モバイルアプリケーション、または IoT デバイスでホストされているアプリケーションで使用できます。アプリケーション設定のデプロイ時のエラーを防ぐため、AppConfig にはバリデータが含まれています。バリデータは構文チェックまたはセマンティックチェックを実施して、デプロイする設定が意図したとおりに動作することを確認します。設定のデプロイ中、AppConfig はアプリケーションをモニタリングしてデプロイが正常に実施されたことを確認します。システムでエラーが発生した場合、またはデプロイによってアラームがトリガーされた場合、AppConfig は変更をロールバックして、アプリケーションユーザーへの影響を最小限に抑えます。

パラメータストア

パラメータストア (p. 181) は、設定データ管理と機密管理のための安全な階層型ストレージを提供します。パスワード、データベース文字列、ライセンスコードなどのデータをパラメータ値として保存することができます。値はプレーンテキストまたは暗号化されたデータとして保存できます。次に、パラメータの作成時に指定した一意の名前を使用して値を参照できます。

アクションと変更Systems Manager は、AWS リソースに対してアクションを実行したり、それらのリソースを変更したりするための以下の機能を提供します。

Automation

Systems Manager Automation (p. 242) を使用して、一般的なメンテナンスとデプロイのタスクを自動化します。Automation を使用すると、Amazon マシンイメージの作成と更新、ドライバーとエージェントの更新プログラムの適用、Windows インスタンスでのパスワードのリセット、Linux インスタンスでの SSH キーのリセット、OS パッチまたはアプリケーション更新プログラムの適用が可能になります。

メンテナンスウィンドウ

メンテナンスウィンドウ (p. 608) を使用して、ビジネスクリティカルなオペレーションを中断することなく、パッチや更新プログラムのインストールなどの管理タスクを実行するようにマネージドインスタンスの定期的なスケジュールを設定します。

インスタンスとノードSystems Manager は、Amazon EC2 インスタンス、ハイブリッド環境のオンプレミスサーバーと仮想マシン (VM)、その他のタイプの AWS リソース (ノード) を管理する機能を提供します。

Configuration Compliance

Systems Manager 設定コンプライアンス (p. 678)を使用すると、マネージドインスタンス群のスキャンを実行して、パッチコンプライアンスと設定の不一致を確認できます。複数の AWS アカウン

5

AWS Systems Manager ユーザーガイドインスタンスとノード

トとリージョンからデータを収集して集計し、それに準拠していない特定のリソースにドリルダウンすることができます。デフォルトでは、設定コンプライアンスでは、Patch Manager によるパッチ適用とステートマネージャーによる関連付けに関するコンプライアンスデータが表示されます。サービスをカスタマイズし、IT またはビジネスの要件に基づいて独自のコンプライアンスタイプを作成することもできます。

Inventory Management

インベントリマネージャー (p. 687)は、マネージドインスタンスからのソフトウェアインベントリの収集プロセスを自動化します。インベントリマネージャーを使用して、マネージドインスタンスのアプリケーション、ファイル、コンポーネント、パッチなどに関するメタデータを収集できます。

Managed Instances

マネージドインスタンス (p. 25)は、Systems Manager 用に設定されたハイブリッド環境のすべての Amazon EC2 インスタンスまたはオンプレミスマシン (サーバーまたは仮想マシン (VM)) です。マネージドインスタンスをセットアップするには、使用するマシンに SSM エージェントをインストール (デフォルトでインストールされていない場合) し、AWS Identity and Access Management (IAM)アクセス権限を設定します。オンプレミスのマシンには、アクティベーションコードも必要となります。

Activations

ハイブリッド環境のサーバーおよび VM をマネージドインスタンスとしてセットアップするには、マネージドインスタンスのアクティベーション (p. 45)を作成する必要があります。アクティベーションが完了したら、アクティベーションコードと ID を受け取ります。このコードと ID の組み合わせは、Amazon EC2 のアクセス ID とシークレットキーに似ており、マネージドインスタンスからSystems Manager サービスへのセキュアなアクセスが可能になります。

Session Manager

Session Manager (p. 745) を使用して、インタラクティブなワンクリックブラウザベースのシェル、または AWS CLI を介して Amazon EC2 インスタンスを管理できます。Session Manager は、インバウンドポートを開いたり、踏み台ホストを維持したり、SSH キーを管理したりすることなく、安全で監査可能なインスタンスの管理を提供します。Session Manager は、Amazon EC2 インスタンスへの簡単なワンクリックのクロスプラットフォームアクセスをエンドユーザーに提供しつつ、インスタンスへの制御されたアクセス、厳格なセキュリティプラクティス、インスタンスアクセスの詳細を含む、完全に監査可能なログを必要とする企業ポリシーに準拠することを容易にします。

Run Command

Systems Manager Run Command (p. 800) を使用すると、大規模なマネージドインスタンスの設定を安全にリモートで管理することができます。Run Command を使用して、数十または数百のインスタンスのターゲットセットで、アプリケーションの更新または Linux シェルスクリプトや WindowsPowerShell コマンドの実行などのオンデマンドの変更を行います。

State Management

Systems Manager ステートマネージャー (p. 832)を使用して、マネージドインスタンスを定義された状態に保つプロセスを自動化します。ステートマネージャーを使用して、インスタンスがスタートアップ時に特定のソフトウェアでブートストラップされたり、Windows ドメイン (Windows インスタンスのみ) に結合されたり、特定のソフトウェア更新でパッチを適用されたりするように設定できます。

Patch Management

Patch Manager (p. 873) を使用して、セキュリティ関連のアップデートと他のタイプのアップデートの両方でマネージドインスタンスにパッチを適用するプロセスを自動化します。Patch Manager を使用して、オペレーティングシステムとアプリケーションの両方にパッチを適用することができます。(Windows Server では、アプリケーションのサポートは、Microsoft アプリケーションの更新に制限されています。) この機能では、インスタンスをスキャンして欠落しているパッチを確認し、AmazonEC2 インスタンスタグを使用して欠落しているパッチを個別のインスタンスまたは大規模なグルー

6

AWS Systems Manager ユーザーガイド共有リソース

プのインスタンスに適用できます。Patch Manager のパッチベースラインには、リリースから数日以内にパッチを自動承認するためのルールと、承認済みパッチおよび拒否済みパッチのリストが含まれています。パッチ適用を Systems Manager のメンテナンスウィンドウタスクとして実行するようスケジュールすることで、セキュリティパッチを定期的にインストールできます。Linux オペレーティングシステムの場合、パッチベースラインの一部として、パッチ適用オペレーションに使用するレポジトリを定義できます。これにより、インスタンスで設定されたレポジトリに関係なく、信頼されたレポジトリからのみ更新プログラムがインストールされます。Linux の場合、オペレーティングシステムのセキュリティ更新として分類されているものだけでなく、インスタンスでパッケージを更新することもできます。Windows Server の場合は、Patch Manager を使用してサポートされているMicrosoft アプリケーションを更新することもできます。

Distributor

Distributor (p. 942) を使用して、パッケージを作成し、マネージドインスタンスにデプロイします。Distributor では、独自のソフトウェアをパッケージ化したり、[AmazonCloudWatchAgent] などのAWS 提供のエージェントソフトウェアパッケージを見つけて、AWS Systems Manager マネージドインスタンスにインストールすることができます。パッケージを初めてインストールした後、Distributorを使用して新しいパッケージバージョンを完全にアンインストールおよび再インストールするか、新しいファイルまたは変更されたファイルのみを追加するインプレース更新を実行できます。Distributorは、ソフトウェアパッケージなどのリソースを AWS Systems Manager マネージドインスタンスに発行します。

共有リソースSystems Manager は、AWS リソースの管理および設定のために以下の共有リソースを使用します。

Systems Manager Documents

Systems Manager ドキュメント (p. 1007) (SSM ドキュメント) は、Systems Manager が実行するアクションを定義します。SSM ドキュメントタイプには、ステートマネージャーと Run Command で使用される Command ドキュメント、および Systems Manager Automation で使用されるAutomationドキュメントが含まれています。Systems Manager には、実行時にパラメータを指定して使用できる多数の事前設定済みのドキュメントが含まれています。ドキュメントは JSON や YAML で表すことができ、ユーザーが指定するパラメータおよびステップが含まれます。

Systems Manager の詳細以下の図 1 は、サーバー群へのコマンドの送信や、オンプレミスサーバーで実行中のアプリケーションのインベントリ実行などのアクションを実行するときに Systems Manager が実行する、さまざまなプロセスの一般的な例を示しています。各 Systems Manager 機能 (たとえば Run Command およびメンテナンスウィンドウの場合) では、セットアップ、実行、処理、および報告の類似したプロセスが使用されます。

1. Systems Manager の設定: Systems Manager コンソール、SDK、AWS CLI、または AWS Tools forWindows PowerShell を使用して、AWS リソースに対して実行するアクションを設定、スケジュール、自動化および実行します。

2. 検証および処理: Systems Manager は、アクセス許可を含む設定を検証し、ハイブリッド環境のインスタンスまたはサーバーで実行中の SSM エージェントにリクエストを送信します。SSM エージェントは、指定された設定変更を実行します。

3. レポート: SSM エージェントは AWS クラウドの Systems Manager に対して、設定変更とアクションのステータスを報告します。次に Systems Manager は、ユーザーおよびさまざまな AWS のサービス(設定されている場合) にステータスを送信します。

図 1: Systems Manager プロセスの流れの一般的な例

7

AWS Systems Manager ユーザーガイド仕組み

8

AWS Systems Manager ユーザーガイドSSM エージェントについて

SSM エージェントについてAWS Systems Manager エージェント (SSM エージェント) は、Amazon EC2 インスタンス、オンプレミスサーバー、または仮想マシン (VM) にインストールして設定することができる Amazon のソフトウェアです。SSM エージェントにより、Systems Manager がこれらのリソースを更新、管理、および設定できるようにします。エージェントは、AWS クラウド上の Systems Manager サービスからのリクエストを処理し、リクエストに指定されたとおりに実行します。SSM エージェントは、Amazon Message DeliveryService (サービスプレフィックス: ec2messages)を使用して、Systems Manager サービスにステータスと実行情報を返します。

SSM エージェントは、Systems Manager で使用する各インスタンスにインストールする必要があります。SSM エージェントは、デフォルトで、次の Amazon マシンイメージ (AMI) から作成されたインスタンスに事前インストールされています。

• 2016 年 11 月以降に公開された Windows Server 2003-2012 R2 AMI• Windows Server 2016 および 2019• Amazon Linux• Amazon Linux 2• Ubuntu Server 16.04• Ubuntu Server 18.04

次の表に示すように、その他の AMI や、ハイブリッド環境のオンプレミスサーバーおよび仮想マシンには、エージェントを手動でインストールする必要があります。

Important

新しい機能が Systems Manager に追加されるか、既存の機能が更新されると必ず、更新されたバージョンの SSM エージェントがリリースされます。古いバージョンのエージェントがインスタンスで実行されていると、SSM エージェントプロセスによっては失敗することがあります。そのため、インスタンス上で SSM エージェントを最新に維持するプロセスを自動化することをお勧めします。詳細については、SSM エージェントへの更新の自動化 (p. 96) を参照してください。SSM エージェントの更新に関する通知を受け取るには、SSM エージェントのリリースノートのページをサブスクライブします。

オペレーティングシステムタイプ SSM エージェントのインストール

Windows 2016 年 11 月以前に発行された Windows AMIは、EC2Config サービスを使用して要求を処理し、インスタンスを設定します。

EC2Config サービスまたは以前のバージョンのSSM エージェントを使用して Systems Managerリクエストを処理する理由が特にない限り、各Amazon EC2 インスタンスまたはマネージドインスタンスに最新バージョンの SSM エージェントをダウンロードしてインストールすることをお勧めします。詳細については、「Windows インスタンスで SSM エージェントをインストールし設定する (p. 71)」を参照してください。

Linux SSM エージェントは、デフォルトでは、AmazonLinux、Amazon Linux 2、Ubuntu Server16.04、Ubuntu Server 18.04 LTS ベース EC2 AMI

9

https://github.com/aws/amazon-ssm-agent/blob/master/RELEASENOTES.mdhttps://github.com/aws/amazon-ssm-agent/blob/master/RELEASENOTES.md

AWS Systems Manager ユーザーガイドサポートされるオペレーティングシステム

オペレーティングシステムタイプ SSM エージェントのインストールにインストールされます。Amazon ECS 対応のAMI のように、ベースイメージではないその他のバージョンの Amazon EC2 for Linux では、手動でSSM エージェントをインストールする必要があります。詳細については、「Amazon EC2 Linux インスタンスで SSM エージェントをインストールし設定する (p. 75)」を参照してください。

オンプレミスサーバーと VM SSM エージェントは、ハイブリッド環境で使用するオンプレミスサーバーおよび仮想マシン (VM)に手動でインストールする必要があります。これらのマシンでの SSM エージェントのダウンロードとインストールのプロセスは、Amazon EC2 インスタンスの場合のプロセスとは異なります。詳細については、以下のトピックを参照してください。

• ハイブリッド環境に SSM エージェントをインストールする (Windows) (p. 53)

• ハイブリッド環境に SSM エージェントをインストールする (Linux) (p. 55)

サポートされるオペレーティングシステムAWS Systems Manager で使用するには、Amazon EC2 インスタンス、オンプレミスサーバー、およびVM で次のいずれかのオペレーティングシステムが実行されている必要があります。

オペレーティングシステムタイプ• Windows Server (p. 10)• Linux (p. 11)• Raspbian (p. 12)

Windows Server

バージョン Intel 32 ビット (x86) Intel 64 ビット (x86_64) ARM 64 ビット (arm64)

2003 および 2003 R2 ✓ ✓

2008 ✓ ✓

2008 R2 ✓

2012 および 2012 R2 ✓

2016 ✓

2019 ✓

10

AWS Systems Manager ユーザーガイドLinux

LinuxAmazon Linux


2012.03 – 2018.03 ✓ ✓

Note

バージョン 2015.03 以降では、Amazon Linux は、Intel 64 ビット (x 86_64) バージョンでのみリリースされています。

Amazon Linux 2


2.0 および以降のすべてのバージョン

✓ ✓

Ubuntu Server


12.04 LTS および 14.04LTS

✓ ✓

16.04 LTS および 18.04LTS

✓ ✓

Debian サーバー


Jessie (8) ✓

Stretch (9) ✓

Red Hat Enterprise Linux (RHEL)


6.0 ✓

6.5 ✓ ✓

6.9 ✓ ✓

7.0 ✓

7.4 ✓

7.5 ✓

7.6 ✓ ✓

11

AWS Systems Manager ユーザーガイドRaspbian

Oracle Linux


7.5 ✓

7.7 ✓

CentOS


6.0 ✓

6.3 および 6.x 以降のバージョン

✓ ✓

7.1 および 7.x 以降のバージョン

✓ ✓

SUSE Linux Enterprise Server (SLES)


12 および 12.x 以降のバージョン

✓

Raspbian

バージョン ARM 32 ビット (arm)

Jessie ✓

Stretch ✓

Systems Manager へのアクセスSystems Manager は次のいずれかの方法で使用できます。

Systems Manager コンソール

AWS Systems Manager コンソールは、Systems Manager にアクセスして使用するためのブラウザベースのインターフェイスです。

AWS コマンドラインツール

AWS コマンドラインツールを使用すると、システムのコマンドラインでコマンドを発行し、SystemsManager やその他の AWS タスクを実行することができます。また、 Windows、Linux、およびmacOS でサポートされています。CLI を使用した方が、コンソールを使用するよりも高速で便利です。コマンドラインツールは、AWS のタスクを実行するスクリプトを作成する場合に便利です。

AWS には、AWS Command Line Interface (AWS CLI) と AWS Tools for Windows PowerShell という2 セットのコマンドラインツールが用意されています。AWS CLI のインストールおよび使用の詳細

12

https://console.aws.amazon.com/systems-manager/https://aws.amazon.com/cli/https://aws.amazon.com/powershell/

AWS Systems Manager ユーザーガイド前提条件

については、『AWS Command Line Interface User Guide』を参照してください。Tools for WindowsPowerShell のインストールおよび使用の詳細については、『AWS Tools for Windows PowerShellUser Guide』を参照してください。

Note

Windows Server インスタンスでは、特定の SSM ドキュメント (例: レガシー AWS-ApplyPatchBaseline ドキュメント) を実行するには、Windows PowerShell 3.0 以降が必要です。Windows インスタンスで Windows Management Framework 3.0 以降を実行していることを確認します。このフレームワークには PowerShell が含まれます。

AWS SDK

AWS には、さまざまなプログラミング言語およびプラットフォーム(Java、Python、Ruby、.NET、iOS、Android など) のライブラリとサンプルコードで構成されたソフトウェア開発キット (SDK) が用意されています。SDK は、Systems Manager へのアクセス権をプログラムによって作成するのに役立ちます。AWS SDK のダウンロードやインストールなどの詳細については、「アマゾンウェブサービスのツール」を参照してください。

Systems Manager の前提条件AWS Systems Manager を使用して Amazon EC2 インスタンス、オンプレミスサーバー、および仮想マシン (VM) を管理するための前提条件は、このユーザーガイドのセットアップの章の各ステップを参照してください。

• AWS Systems Manager のセットアップ (p. 25)• ハイブリッド環境で AWS Systems Manager を設定する (p. 45)

このトピックではこのような前提条件の概要を示します。

Systems Manager を使用するための前提条件を満たすには

1. AWS アカウントを作成して、必要な IAM ロールを設定します。2. サービスを使用する AWS リージョンで、Systems Manager がサポートされていることを確認しま

す。3. サポート対象のオペレーティングシステムを実行するサポート対象のマシンタイプを使用しているこ

とを確認します。4. EC2 インスタンスの場合は、IAM インスタンスプロファイルを作成し、マシンにアタッチします。5. オンプレミスサーバーおよび VM の場合は、ハイブリッド環境の IAM サービスロールを作成します。6. Systems Manager エンドポイントへの HTTPS (ポート 443) アウトバウンドトラフィックが許可され

ていることを確認します。7. (推奨) Systems Manager で使用する VPC エンドポイントを Amazon Virtual Private Cloud に作成しま

す。8. AWS によって提供されていない AMI から作成されたオンプレミスサーバー、VM、および EC2 イン

スタンスの場合は、Transport Layer Security（TLS 証明書）をインストールします。9. オンプレミスサーバーおよび VM の場合は、マネージドインスタンスのアクティベーションプロセス

でマシンを Systems Manager に登録します。10. マネージドインスタンスごとに SSM エージェントをインストールし、インストールされたことを確

認します。

IAM および Amazon EC2 との統合

Systems Manager へのユーザーアクセス、その機能、そのリソースは、AWS Identity and AccessManagement (IAM) で使用または作成したポリシーで制御されます。AWS によって提供されているコン

13

https://docs.aws.amazon.com/cli/latest/userguide/https://docs.aws.amazon.com/powershell/latest/userguide/https://docs.aws.amazon.com/powershell/latest/userguide/https://aws.amazon.com/sdk-for-java/https://aws.amazon.com/sdk-for-python/https://aws.amazon.com/sdk-for-ruby/https://aws.amazon.com/sdk-for-net/https://aws.amazon.com/mobile/resources/https://aws.amazon.com/tools/#sdkhttps://aws.amazon.com/tools/#sdk

AWS Systems Manager ユーザーガイド前提条件

ピューティングリソースを使用し、オンプレミスサーバーおよび仮想マシン (VM) のみでない場合は、組織用に Systems Manager を設定する前に、Amazon Elastic Compute Cloud (Amazon EC2) を把握する必要があります。Systems Manager のセットアップを正常に行うには、これらのサービスの仕組みを理解することが重要です。

Amazon EC2 の詳細については、以下を参照してください。

• Amazon Elastic Compute Cloud (Amazon EC2)• Amazon EC2 Linux インスタンスの使用開始• Amazon EC2 Windows インスタンスの使用開始• Amazon EC2 とは? (Linux)• Amazon EC2 とは? (Windows)

IAM の詳細については、以下を参照してください。

• AWS Identity and Access Management (IAM)• IAM の使用開始• IAM とは

14

https://aws.amazon.com/ec2/https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EC2_GetStarted.htmlhttps://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.htmlhttps://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.htmlhttps://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/concepts.htmlhttps://aws.amazon.com/iam/https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started.htmlhttps://docs.aws.amazon.com/IAM/latest/UserGuide/

AWS Systems Manager ユーザーガイドアクセス許可ロール

AWS Systems Manager 高速セットアップ

AWS Systems Manager 高速セットアップを使用して、必要なセキュリティロールと一般的に使用されるSystems Manager 機能を Amazon EC2 インスタンスですばやく設定します。これらの機能は、使用を開始するために必要な最小限のアクセス許可を提供しながら、インスタンスの状態を管理およびモニタリングするのに役立ちます。具体的には、高速セットアップは、タグを使用して選択したかターゲットに指定したインスタンスで以下のコンポーネントを設定するのに役立ちます。

• Systems Manager の AWS Identity and Access Management (IAM) インスタンスプロファイルのロール。

• SSM エージェントのスケジュールされた隔週ごとの更新。• 30 分ごとにスケジュールされたインベントリメタデータの収集。• 欠落しているパッチを特定するために、インスタンスを毎日スキャン。• Amazon CloudWatch エージェントの 1 回限りのインストールと設定。• CloudWatch エージェントのスケジュールに基づく毎月の更新。

高速セットアップにアクセスするには、Systems Manager コンソールのナビゲーションペインで [QuickSetup (高速セットアップ)] を選択します。ナビゲーションペインの上部にある [AWS Systems Manager(AWS システムマネージャー)] を選択し、次に示すように [Get Started with Systems Manager (SystemsManager を開始する)] を選択することで、高速セットアップにアクセスすることもできます。

Note

高速セットアップの設定はいつでも変更できます。その前に、高速セットアップの結果ページを使用して設定を変更する方法を学習することをお勧めします。詳細については、「高速セットアップの結果の使用 (p. 20)」を参照してください。

アクセス許可ロールデフォルトでは、Systems Manager にはインスタンスと通信したり、インスタンスでアクションを実行したりするためのアクセス許可がありません。AWS Identity and Access Management (IAM) インスタンスプロファイルと IAM サービスロール (またはロールの継承) を使用して、アクセスを許可する必要があります。インスタンスプロファイルは、起動時に Amazon EC2 インスタンスに IAM ロール情報を渡すコンテ

15

AWS Systems Manager ユーザーガイドデフォルトのインスタンスプロファイルの詳細

ナです。サービスロールにより、Systems Manager はインスタンスでコマンドを実行できます。インスタンスプロファイルの詳細については、IAM User Guideの「インスタンスプロファイルの使用」を参照してください。サービス�