本稿は、AWS Solution Architect Professional に出題される AWS System Manager について個人用にまとめた記事です。
目次
AWS System Manager とは
複数の AWS のサービスの運用データを一元化し、AWS リソース全体のタスクを自動化できます。アプリケーション、アプリケーションスタックのさまざまなレイヤー、本番環境と開発環境といったリソースの論理グループを作成できます。Systems Manager では、リソースグループを選択し、その最新の API アクティビティ、リソース設定の変更、関連する通知、運用アラート、ソフトウェアインベントリ、パッチコンプライアンス状況を表示できます。運用ニーズに応じて、各リソースグループに対してアクションを実行することもできます。Systems Manager により、AWS リソースを一元的に表示および管理でき、運用を完全に可視化して制御できます。
パッチマネージャー
選択したオペレーティングシステムとソフトウェアのパッチを、Amazon EC2 またはオンプレミスの大規模なインスタンスグループに自動的にデプロイできます。パッチベースラインによって、オペレーティングシステムパッチや重要度の高いパッチなど、インストールする特定のパッチのカテゴリを自動承認するためのルールを設定できます。また、これらのルールよりも優先され、自動的に承認または拒否されるパッチのリストを指定できます。さらに、パッチのメンテナンスウィンドウをスケジュールして、事前に設定した時間にのみ適用されるようにできます。Systems Manager を使用すると、ソフトウェアが常に最新状態となり、コンプライアンスポリシーを満たすことができます。
適用するタイミング
AWS Systems Manager のメンテナンスウィンドウを使用してパッチ適用のタイミングを定義できます。AWS Systems Manager では、繰り返し実行される 1 つまたは複数の時間枠を定義できます。この時間枠内で、独自のメンテナンスを実行できます。このような期間を設定してインスタンスと関連付けることで、ワークロードの可用性に影響するインスタンスのメンテナンスアクティビティを適切な時間枠内で実行できます。
パッチベースライン
パッチベースラインによって、リリース後数日以内にパッチを自動承認するためのルールと、承認済みパッチと拒否済みパッチのリストが含まれます。 Systems Manager Maintenance Window タスクとして実行するようにパッチをスケジュールすることにより、パッチを定期的にインストールできます。 Amazon EC2 タグを使用して、パッチを個別にインストールしたり、インスタンスの大規模なグループにインストールしたりすることもできます。作成する自動承認ルールごとに、自動承認の遅延を指定できます。この遅延は、パッチがリリースされてからパッチのパッチ適用が自動的に承認されるまでの日数です。
パッチグループ
パッチグループは、パッチ適用のためのインスタンスを編成するオプション手段です。たとえば、異なるオペレーティングシステム( Linux または Windows )、異なる環境(開発、テスト、および本番)、または異なるサーバー機能( Web サーバー、ファイルサーバー、データベース)のパッチグループを作成できます。
パッチグループは、間違ったインスタンスのセットにパッチをデプロイすることを回避するのに役立ちます。また、適切にテストされる前にパッチを展開することを回避するのにも役立ちます。 Amazon EC2 タグを使用して、パッチグループを作成します。 Systems Manager 全体の他のタグ付けシナリオとは異なり、パッチグループはタグキーで定義する必要があります。
パッチグループを作成してインスタンスにタグを付けたら、パッチグループをパッチベースラインに登録できます。パッチグループをパッチベースラインに登録することにより、パッチの実行中に正しいパッチがインストールされるようにします。
パラメーターストア
パスワード、データベース文字列、AMI ID、ライセンスコードなどのデータをパラメーター値として保存できます。値をプレーンテキストまたは暗号化されたデータとして保存できます。その後、パラメーターの作成時に指定した一意の名前を使用して値を参照できます。