AWS Systems Manager Quick Setupを使ったAWS Organizations全体でのインスタンス管理

運用部門の管理者は、エージェントのアップデートやパッチ適用状況のチェックのような一般的な設定を組織全体に適用したいとお考えではないでしょうか。2020/07/28にAWS Systems Manager Quick SetupはAWS Organizationsをサポートしました。この機能によって、Systems Managerの設定を簡単に、組織のアカウント全体に定義できるようになりました。この操作はOrganizationマスターアカウントから行います。Quick Setupは、Organization全体または、特定のAWS Organization Units(OU)を選択して適用することが出来ます。このブログ記事では、組織内のマルチアカウントに対して、Systems Manager Quick Setupの設定オプション(Configuration options)を展開するベストプラクティスをご紹介します。

Quick Setupの実行結果は、OrganizationマスターアカウントのSystems Manager Explorerダッシュボードから確認することが出来ます。また、Quick Setupは自動的に対象のアカウントやリージョンからExplorer Dataを収集します。OrganizationマスターアカウントのQuick Setupコンソールから、Quick Setupの設定状況を一元的に確認することが出来ます。

前提条件

Quick Setupで用意されているパッチ適用やエージェントのアップデートなどを適用するためには、Systems Manager Agentを設定対象のインスタンスにインストールする必要があります。Organizationマスターアカウントであれば、Quick Setupは設定に必要なロールや権限をサービスにリンクされたロールの一部として作成します。Organizationマスターアカウントでのセットアップ中に、Quick SetupがResource Data Sync(表示形式：“SSMQuickSetupResourceDataSync_{timestamp}”)と、AWS CloudFormation StackSets(表示名：‘SSMQuickSetup’)を作成します。

開始方法

お客様はQuick Setupを使うことで、次に示すようなベストプラクティスに基づく設定オプションを、Organization内のアカウントに簡単に適用できるようになります。

• Update Systems Manager (SSM) Agent every two weeks (隔週でSystems Manager Agentをアップデート)
• Collect inventory from your instances every 30 minutes (30分ごとにインベントリを収集)
• Scan instances for missing patches daily (日次で未適用パッチ有無をスキャン)
• Install and configure the CloudWatch agent (CloudWatch agentのインストールと設定)
• Update the CloudWatch agent once every 30 days (30日ごとにCloudWatch agentをアップデート)

Quick Setupは、Systems Managerに必要な権限を持ったIAMインスタンスプロファイルを作成します。詳細は、Quick SetupのPermissions rolesセクションをご覧ください。

それではQuick Setupを使ってOrganization全体のインベントリの収集から始めましょう。まずはOrganization typeでQuick Setupを作成していきます。OrganizationのマスターアカウントでSystems Managerのコンソールから、[高速セットアップ(Quick Setup)]を選択します。[setup type]では[Organization]を選択し、必要な設定オプションにチェックをいれます。このセクションでは、[Collect inventory from your instances every 30 minutes]にチェックをいれます。

次に、対象となるOU、アカウント、リージョンを選択し、有効化します。この例では、us-west-2(Oregonリージョン)でワークロードが稼働しているため、リージョンはus-west-2を選択し、Sandbox OU、Developers OUを対象に設定を適用します。

設定完了後、設定のデプロイ状況と関連付け状況を確認することができます。

さらに、AWS CloudFormation StackSetsが各アカウントでデプロイされていることも確認できます。

インスタンスからのインベントリ収集

Systems Manager Inventoryを使うことで、お客様の環境のマネージドインスタンスのメタ情報を収集することが出来ます。加えて、より迅速な分析をするために詳細を各アカウントで確認することも出来ます。

それでは次に、OrganizationマスターアカウントからQuick Setupを使い、Systems Manager Agentのアップデートをスケジュールする方法について説明します。Quick Setupに新しい設定を追加します。

Systems Manager Agentのアップデート

Systems Manager Agentはイベントリの収集やパッチ適用といったタスクをインスタンス内で処理します。新機能の追加や、既存機能のアップデートがされると、AWSは定期的にSystems Manager Agentのアップデート版をリリースしていきます。こういった背景から、Systems Manager Agentを定期的にアップデートする設定を有効にして、インスタンスが最新のソフトウェア・機能を保った状態にすることを推奨しています。

インベントリ機能が有効になっていると、各アカウントでマネージドインスタンスのインベントリが収集されるため、Systems Manager Agentのバージョンを確認することが出来ます。結果を確認してみると、Organization内のSandBox OU内の一部のアカウントに、古いSystems Manager Agentがインストールされていることがわかります。

それでは次に、Quick Setupを使いOrganizationマスターアカウントからSystems Manager Agentのアップデートを行う方法を説明します。

まずはQuick Setupの設定変更を行います。OrganizationマスターアカウントからSystems Managerのコンソールを開き、[高速セットアップ(Quick Setup)]を選択したあとに、[Edit configuration]を選択します。

次に[Update the Systems Manager (SSM) Agent every two weeks]を有効化して[Update]を行います。

設定完了後、OrganizationメンバーアカウントのAgentバージョンを確認することが出来ます。最新バージョンである2.3.1319.0(2020/7/28時点)に更新されていることがわかります。

次は、未適用パッチを検出するために、パッチスキャンを日次でスケジュールする方法を説明します。

未適用パッチをスキャンで検出する

この設定オプションを有効にすると、Systems Manager Patch Managerによって、日次のパッチスキャニングが行われるようになります。パッチ適用の詳細は、Systems Manager ExplorerとComplianceから確認することが出来ます。OrganizationマスターアカウントからSystems Managerのコンソールを開き、[高速セットアップ(Quick Setup)]を選択したあとに、[Edit configuration]を選択します。[Scan instances for missing patches daily]を有効化して[Update]を行います。

詳細表示に加えて、Systems Manager Explorerから、コンプライアンス非準拠ステータスついて確認することが出来ます。下図は、Systems Manager Explorerから見た[Non-compliant instances for patching]の例です。
(訳注：日本語表示の場合、[パッチ適用の非準拠インスタンス]となります。)

Organizationマスターアカウントから、アカウント、OU、リージョンを選択して、必要なパッチベースラインを適用できます。この機能は、Systems Manager Automationによって実行されます。詳細な情報は、Centralized multi-account and multi-Region patching with AWS Systems Manager Automationをご覧ください。

最後に、Quick Setupを使いAmazon CloudWatch Agentの設定と、Agentの定期的な更新方法について説明します。

CloudWatch Agentのインストールと設定

Amazon CloudWatchはCloudWatch Agentを利用して、監視データとモニタリングデータをログ、メトリクス、イベントとして収集します。CloudWatch Agentのインストール、設定、アップデート作業を自動化するために、Qucik Setupの設定で、[Install and configure the CloudWatch agent]と[Update the CloudWatch Agent once every 30 days]を有効化します。

これで、各アカウントのCloudWatchメトリクスコンソールから実行中のインスタンスのメトリクスを確認することが出来ます。

CloudWatch Agentのアップデート

この設定を有効化することで、自動的にCloudWatch Agentの最新バージョンをチェックするようになります(30日ごと)。新しいバージョンが見つかれば、Systems Managerは自動的に実行中のインスタンスのAgentを最新バージョンにアップデートします。この設定オプションを有効化して、インスタンス内のCloudWatch Agentが最新バージョンで動作するように設定することを推奨します。

Quick Setupの実行結果

このブログ記事では、企業がOrganization内の複数のアカウント、リージョンに対してベストプラクティスな設定を行う上で、Systems ManagerのQuick Setupがどのように役立つかを説明してきました。ここでは、Quick Setupの設定に失敗したときのトラブルシューティングに役立つ情報をご紹介します。以下は、Organizationマスターアカウントから見たQuick Setupの実行結果のスクリーンショットになります。

[Configuration details]で各アカウントを選択すると、次のように各アカウントでの実行結果を確認することができます。

コンプライアンスステータスをExplorerから確認する

Systems Manager Explorerダッシュボードは、Quick Setupに紐づけられたコンプライアンスステータスをウィジェットで表示します。こちらを確認するには、Explorerのコンソールから対応するリソースデータの同期を選択し、[Desired state compliance status]のウィジェットをコンソールから選択します。
(訳注：日本語表示の場合は、[Desired state compliance status]は、[適切な状態の準拠ステータス]と表示されます)

クリーンアップ

[Actions]から[Delete Quick Setup]を選択することで、Quick Setupを削除できます。

Quick Setupを削除する前に、選択されているOUやリージョンを全て除外しておく必要があるので注意してください。全てのOUやリージョンを除外した後、[Actions]から[Delete Quick Setup]を選択し、削除が完了したことを確認したらクリーンアップは完了です。StackSetsのようなQuick Setupによって作成されるリソースは、OU内のアカウントから削除されます。

Quick Setupの利用には追加料金はかかりません。お客様は、AWSの料金表に基づき、Quick Setupによって管理されるリソースについて料金をお支払いいただきます。

まとめ

このブログ記事では、企業がマルチアカウントに対して自動的に設定オプションを展開する上で、Quick Setup(AWS Organizations対応)が、どのように役立つかを説明してきました。設定オプションには、エージェントのアップデート、ソフトウェアのインベントリ収集、管理アカウントからのアカウントおよびリージョン全体へのパッチスキャンが含まれます。また、Explorerによってアカウントおよびリージョン全体の設定オプションの適用状況を一元的に確認できることも説明しました。詳細は、ユーザガイドをご覧ください。

著者について

Harshitha Puttaは、シアトルに拠点を置く、AWSプロフェッショナルサービスのクラウドインフラストラクチャーアーキテクトです。彼女は、AWSサービスを使い革新的なソリューションを構築して、お客様がビジネス目標を達成できるように尽力しています。家族や友人とはボードゲームやハイキングを楽しんでいます。

Caleb Collinsは、コロラド州デンバーに拠点を置く、AWSプロフェッショナルサービスのクラウドインフラストラクチャーアーキテクトです。Calebは、お客様が素早く、柔軟的にクラウドのビジョンを実行できるように支援を行っています。そして、二人の娘と妻をもつレゴビルダーでもあります。

翻訳はSA上野が担当しました。原文はこちら。