全般

Q: AWS Systems Manager とは何ですか?
AWS Systems Manager を使用することで、複数の AWS のサービスの運用データを一元化し、AWS 上およびマルチクラウドやハイブリッド環境内のリソース全体のタスクを自動化できます。アプリケーション、アプリケーションスタックのさまざまなレイヤー、本番環境と開発環境といったリソースの論理グループを作成できます。Systems Manager では、リソースグループを選択し、その最新の API アクティビティ、リソース設定の変更、関連する通知、運用アラート、ソフトウェアインベントリ、パッチコンプライアンス状況を表示できます。運用ニーズに応じて、各リソースグループに対してアクションを実行することもできます。Systems Manager により、AWS 上およびマルチクラウドやハイブリッド環境内のリソースを一元的に表示および管理でき、運用を完全に可視化して制御できます。

Q: AWS Systems Manager はどのような利用者に適していますか?
複数の AWS のサービスを利用しているお客様は、AWS Systems Manager によって一元的かつ一貫性のある方法で運用に関するインサイトを収集し、ルーチンの管理タスクを実行できます。また、AWS Systems Manager を使用することで、ルーチンの操作の実行や、開発、テスト、本番環境の追跡、イベントなどの運用インシデントに対する積極的なアクションが可能になります。AWS Systems Manager によって、コードエディタや統合開発環境 (IDE) など、お客様が使用する開発者に焦点を当てたツールの運用を補完できます。IDE と同様に、AWS Systems Manager にも幅広い運用ツールが統合されています。

Q: 使用を開始するにはどうすればよいですか?
AWS Systems Manager の開始方法は簡単です。AWS マネジメントコンソールを使用して、AWS Systems Manager コンソールに進みます。シンプルなタグクエリを使用してリソースグループを作成したら、AWS Systems Manager で統合型の運用ツールのセットを利用できます。

Q: AWS Systems Manager ではどのオペレーティングシステムがサポートされていますか?
AWS Systems Manager は同一の操作感で Windows と Linux の両プラットフォームを管理できるよう最適化されています。オンプレミスシステムの管理の詳細については、こちらのドキュメントを参照してください。

Q: AWS Systems Manager ではオンプレミスで実行されるインスタンスも管理されますか?
はい。AWS Systems Manager では、オンプレミスデータセンター、ハイブリッドやその他のクラウド環境内、およびエッジで実行されているインスタンスの管理がサポートされます。詳細については、AWS Systems Manager の前提条件を参照してください。

Q: AWS Systems Manager を使用して AWS IoT Greengrass デバイスを管理するにはどうすればよいですか?
Systems Manager を使用すると、AWS IoT Greengrass デバイスを Amazon Elastic Compute Cloud (EC2) インスタンスおよびオンプレミスサーバーと一緒に管理できます。使用を開始するには、Setting up AWS Systems Manager for edge devices をご覧ください。

Q: AWS Systems Manager は、Amazon EC2 インスタンスとオンプレミスサーバーの管理にどのように役立ちますか?
AWS Systems Manager では、インスタンスまたはサーバー内でアクションを実行するエージェントを利用できます。エージェントは完全にオープンソースで、GitHub で利用できます。

Q: パブリック IP アドレスを使用せずに、VPC から AWS Systems Manager の API にプライベートにアクセスすることはできますか?
はい。VPC エンドポイントを作成すると、VPC (Amazon Virtual Private Cloud を使用して作成) から AWS Systems Manager の API にプライベートにアクセスできます。VPC エンドポイントを使用すると、VPC と AWS Systems Manager の間のルーティングが AWS ネットワークによって処理されます。インターネットゲートウェイ、NAT ゲートウェイ、バーチャルプライベートネットワーク (VPN) 接続は必要ありません。AWS Systems Manager で使用される最新世代の VPC エンドポイントでは、AWS PrivateLink が使用されています。AWS PrivateLink は、VPC でのプライベート IP アドレスと Elastic Network Interface (ENI) を使用することにより、AWS のサービス間でのプライベート接続を実現するテクノロジーです。PrivateLink の詳細については、PrivateLink のドキュメントを参照してください。

Q: AWS Systems Manager はどのリージョンで利用できますか?
AWS Systems Manager を利用できるリージョンについては、AWS のリージョン表をご覧ください。

Q: AWS Systems Manager ではどのようなインサイトを収集できますか?
AWS Systems Manager では複数の AWS のサービスからの情報を集めます。これらのサービス全体に対するインサイトは、複数のネイティブダッシュボードに表示されます。また、AWS Systems Manager には Amazon CloudWatch ダッシュボードも組み込まれているため、既存のダッシュボードを再利用することも、新規のダッシュボードを作成することもできます。

Q: 組み込みのインサイトとは何ですか?
AWS Systems Manager の組み込みのインサイトは、AWS CloudTrail による最近の API コール、AWS Config による最近の設定変更、インスタンスのソフトウェアインベントリのリスト、インスタンスのパッチコンプライアンスビュー、インスタンスの設定コンプライアンスビューを表示したダッシュボードです。これらのアカウントレベルのインサイトには、特定のリソースグループのメンバーを反映するようにフィルターを適用できます。これらのダッシュボードには、AWS Personal Health Dashboard による最近のイベントログと AWS Trusted Advisor による最適化の推奨事項も表示されます。

Q: マネージドインスタンスとは何ですか?
マネージドインスタンスは、AWS Systems Manager によって管理可能なオンプレミスサーバーまたは Amazon EC2 インスタンスです。マネージドインスタンスには、お客様のオンプレミスデータセンターまたは他のクラウドプロバイダーにおける物理サーバーや仮想マシンなどがあります。

Q: マネージドインスタンスはどのように設定しますか?
EC2 インスタンスをマネージドインスタンスとして設定するには、Systems Manager エージェントをインストールし、AWS Identity and Access Management (IAM) のインスタンスプロファイルをインスタンスにアタッチします。これにより、インスタンスに対してアクションを実行するアクセス許可が Systems Manager に与えられます。Amazon EC2 以外のサーバーまたは仮想マシンを登録するには、アクティベーションを作成します。

Q: 一部のオペレーティングシステムには、既に Systems Manager エージェントが含まれていますか?
AWS Windows AMI と Amazon Linux AMI にはデフォルトで Systems Manager エージェントがインストールされており、Amazon Linux リポジトリで利用できます。サポートされる別のオペレーティングシステムにエージェントをインストールすることもできます。

Q: AWS Systems Manager のアクティベーションとは何ですか?
AWS Systems Manager のアクティベーションにより、ハイブリッドなクラウド間の管理が実現します。AWS Systems Manager のアクティベーションを使用すれば、物理と仮想を問わずあらゆるサーバーを簡単に登録して、AWS Systems Manager で管理できます。

Q: AWS Systems Manager のアクティベーションを使用してインスタンスを登録するにはどうすればよいですか?
AWS Systems Manager コンソールまたは API で AWS Systems Manager のアクティベーションを作成すると、アクティベーションコードと ID が提供されます。このアクティベーションコードと ID を使用してサーバーにコマンドを実行することで、インスタンスを Systems Manager に登録できます。

Q: AWS Systems Manager ドキュメントとは何ですか?
AWS Systems Manager ドキュメントは、大規模なリソース管理に向けたコードとしての設定を可能にします。AWS Systems Manager ドキュメントによって一連のアクションが定義されるため、インスタンスのリモート管理、理想的な状態の維持、運用の自動化が可能です。AWS Systems Manager ドキュメントはクロスプラットフォームで、Windows と Linux のインスタンスに使用できます。

Q: AWS Systems Manager ドキュメントはどこで使用できますか?
Systems Manager ドキュメントは Run Command、ステートマネージャー、オートメーション機能で使用できます。

Q: 事前定義された AWS Systems Manager ドキュメントはありますか?
はい。インベントリの収集、アプリケーションのインストール、インスタンスのドメインへの参加、インスタンスの運用、メトリクスの収集などの一般的なタスクを自動化する、事前定義済みのさまざまな AWS Systems Manager ドキュメントから選択できます。

Q: 独自の AWS Systems Manager ドキュメントを作成するにはどうすればよいですか?
定義されたドキュメントのスキーマに合わせ、AWS Systems Manager コンソールまたは API から、JSON または YAML で AWS Systems Manager ドキュメントを作成できます。

Q: AWS Systems Manager の SLA によって何が保証されますか?
AWS Systems Manager の SLA により、当社は AWS Systems Manager の有料機能について、毎月の稼働時間が 99.9% 以上になることを保証します。

Q: SLA サービスクレジットの資格を有しているかどうかは、どうすればわかりますか?
AWS Systems Manager の有料機能について、毎月の請求期間中における稼働時間が 99.9% 未満であった場合、AWS Systems Manager の SLA に基づく AWS Systems Manager の SLA クレジットを受けることができます。

SLA の利用規約に関するすべての詳細、およびクレジット請求方法の詳細については、AWS Systems Manager SLA の詳細ページを参照してください。

Q: ServiceNow インスタンスと Jira Service Desk インスタンスを AWS Systems Manager に接続できますか?
はい。AWS Service Management Connector for ServiceNow および Jira Service Desk (以前の AWS Service Catalog Connector) を使用すると、ServiceNow および Jira Service Desk のエンドユーザーは ServiceNow で AWS 上およびマルチクラウドやハイブリッド環境内のリソースをネイティブに管理および操作できます。ServiceNow および Jira Service Desk のユーザーは、AWS Service Management Connector を使用して AWS Systems Manager を経由することで、Automation ランブックを ServiceNow および Jira Service Desk でシームレスに実行できます。これにより、ServiceNow および Jira Service Desk ユーザーの AWS 製品リクエストのアクションが簡素化され、AWS 製品のガバナンスと監視が可能になります。

ServiceNow 向け AWS Service Management Connector は、ServiceNow ストアで無料で入手できます。この新機能は、AWS Service Catalog が利用できるすべての AWS リージョンで利用可能です。詳細については、ドキュメントを参照してください。

AWS Service Management Connector for Jira Service Desk は、Atlassian Marketplace で無料で入手できます。この新機能は、AWS Service Catalog が利用できるすべての AWS リージョンで利用可能です。詳細については、ドキュメントを参照してください。

Q: AWS で Windows インスタンスを視覚的に管理するにはどうすればよいですか?
AWS Systems Manager は、Windows 向けに新しいコンソールベースの管理エクスペリエンスを提供します。リモートデスクトッププロトコル (RDP) を介して完全なグラフィカルインターフェイスを使用して、Systems Manager Fleet Manager を通じて Windows インスタンスへの接続を簡単に設定および管理できます。RDP は、サーバーまたはサーバーベースのアプリケーションへのアクセスを提供する Fleet Manager コンソールのいくつかの簡単な手順で Windows サーバーに接続します。追加のソフトウェアをインストールしたり、追加のサーバーをセットアップしたり、インスタンスのポートへのダイレクトインバウンドアクセスを開いたりする必要はありません。Fleet Manager コンソールを使用すると、タブを切り替えることなく、単一のブラウザウィンドウ内で直接、複数のサーバーを並べて表示、操作、および切り替えることができます。他の Fleet Manager 機能と同様に、Windows のコンソールベースの管理は、EC2 のマネージドインスタンス、およびオンプレミスや他のクラウドなどの他の環境で利用できます。RDP への標準の認証情報ベースのアクセスに加えて、AWS IAM アイデンティティセンターと、Okta、Ping、OneLogin などのサポートされているアイデンティティプロバイダーを使用して、ワンクリックでログインできるようにするオプションもあります。これは、ドメインに参加しない状態で接続することを許可します。

Q: Windows 向けのコンソールベースの管理にアクセスするにはどうすればよいですか?
Fleet Manager を使用して、AWS Systems Manager で Windows 向けのコンソールベースの管理エクスペリエンスにアクセスします。既存の Session Manager のオプションに加えて、[Instance Actions] (インスタンスアクション) のドロップダウンボタンの下にコンソールベースの RDP のオプションがあります。

Q: AWS Systems Manager は、オンプレミス、ハイブリッド環境、その他のクラウド環境、およびエッジで実行されているインスタンスを管理しますか?
はい。AWS Systems Manager では、オンプレミスデータセンター、ハイブリッドやその他のクラウド環境内、およびエッジで実行されているインスタンスの管理がサポートされます。詳細については、「AWS Systems Manager の前提条件」を参照してください。

Explorer

Q: AWS Systems Manager Explorer とは何ですか?
AWS Systems Manager Explorer は、AWS 上およびマルチクラウドやハイブリッド環境内のリソース向けのカスタマイズ可能なオペレーションダッシュボードです。Explorer は、全 AWS アカウントとリージョンからのオペレーションデータを集約して表示します。Explorer は、オペレーション上の問題について、ビジネス単位またはアプリケーション全体における分散のしかた、時間経過に伴う傾向の変化、カテゴリごとの変化についてコンテキストを提供します。

Q: OpsData とは何ですか?
OpsData は、Explorer ダッシュボードで表示されるオペレーションデータです。OpsData は、EC2、OpsCenter、パッチマネージャーなどさまざまなソースから収集されます。OpsData ソースの表示や管理は Explorer 設定ページから行えます。

Q: Explorer は OpsCenter とどのように関連していますか?
Explorer によって表示されるデータのタイプの 1 つに、OpsCenter からの OpsItems があります。OpsItems は、オペレーション上の問題の管理、調査、修復に役立ちます。Explorer は、全アカウントやリージョンで関連する他のオペレーションデータと共に、OpsItems を集約して表示します。もちろん、OpsItems は OpsCenter 経由で管理や修復をすることも可能です。

Q: 全アカウントやリージョンの OpsData を見るにはどうすればよいですか?
Explorer 設定ページからリソースデータ同期を設定することで、全アカウントやリージョンの OpsData を閲覧することができます。リソースデータ同期では、指定したアカウントおよびリージョンから全 OpsData データが収集され、それがシングルビューに集約されます。

Q: AWS Systems Manager と AWS Security Hub はいつ使用しますか?
AWS Systems Manager は、クラウドとハイブリッドインフラストラクチャを簡単に管理できるようにする AWS のオペレーションハブです。Systems Manager を使用すると、(Systems Manager OpsCenter を使用して) AWS 上およびマルチクラウドやハイブリッド環境内のリソースに関連する運用上の問題を一元的に診断して解決し、(Systems Manager Explorer を使用して) AWS アカウントとリージョン全体の運用データのダッシュボードを表示できます。AWS Security Hub は、セキュリティとコンプライアンスの専門家および DevOps エンジニアが、AWS アカウントとリソースのセキュリティ体制を継続的にモニタリングおよび改善するために使用します。ほとんどのお客様は、セキュリティの問題 (例えば、Amazon S3 バケットが公開されている、Amazon EC2 インスタンスでクリプトマイニングが検出された) と運用上の問題 (例えば、Amazon Redshift インスタンスが十分に活用されていない、または Amazon EC2 インスタンスが過剰に利用されている) を切り分けています。これは、セキュリティの問題の機密性が他かっく、通常はアクセス要件が異なるためです。そのため、これらのお客様は、Security Hub を使用してセキュリティの問題を理解、管理、および是正し、Systems Manager を使用して運用上の問題を理解、管理、および是正しています。また、セキュリティ体制に関するより詳しい情報を得るために Security Hub を使用することをお勧めします。

同じエンジニアがセキュリティの問題と運用上の問題の両方に取り組む場合、それらを 1 か所に統合すると便利です。これを行うには、検出結果が Systems Manager OpsCenter および Explorer に送信されるようにオプトインします。エンジニアは、Systems Manager Automation ランブックを使用して、運用上の問題とともにセキュリティの問題を調査および是正できます。

OpsCenter

Q: AWS Systems Manager OpsCenter とは何ですか?
OpsCenter は、運用エンジニアや IT プロフェッショナルなどが自分の環境に関連する運用上の問題を一元的に表示、調査、および解決できる場所を提供する Systems Manager の機能です。OpsCenter は、影響を受ける AWS およびハイブリッドクラウドリソースの解決までの平均時間 (MTTR) を短縮するように設計されています。OpsCenter では、運用上の問題 (OpsItem といいます) が集約および標準化され、問題の診断と是正に役立つコンテキスト上関連性の高いデータが提供されます。この情報には、設定変更、AWS CloudTrail のログ、リソースの説明、AWS CloudWatch アラーム、関連する OpsItem、および関連するリソースが含まれます。AWS のパブリック API を使用して任意のソースから OpsItem を作成したり、Amazon CloudWatch Events と統合された OpsItem を使用したりできます。 つまり、CloudWatch Events にイベントを発行するすべての AWS のサービスに対して OpsItem を自動的に作成するように CloudWatch を設定することができます。

手動設定または自動設定を利用して、以下の種類の OpsItem を作成できます。

  • Amazon EC2 Auto Scaling グループのインスタンス起動失敗や Systems Manager Automation の実行失敗などのリソース障害

  • Amazon DynamoDB のスロットリングイベントや Amazon EBS ボリュームのパフォーマンスの低下などの、リソースパフォーマンスの問題

  • Amazon Relational Database Service (RDS) インスタンスまたは EC2 インスタンスの定期メンテナンスなど、さまざまな AWS のサービスからの正常性アラート

  • AWS Security Hub のセキュリティアラート

  • Amazon EC2 インスタンスの実行から停止への状態変更など、リソースの状態の変更

  • 対応が必要なその他のあらゆる作業項目

Q: OpsItem とは何ですか?
OpsItem は、ユーザーの対応が必要な、さらに調査と解決が必要な場合もある AWS のリソース関連の運用イベントです。たとえば、リソース関連の障害、メンテナンス通知、セキュリティアラート、またはパフォーマンスの問題が考えられます。OpsItem には、影響を受けたリソース、過去にあった同様のイベント、推奨されるランブックなど、基礎となるイベントの調査と解決に役立つ関連情報が含まれます。一般的な OpsItem の例としては、EC2 インスタンスの高い CPU 使用率、AWS CodeDeploy デプロイの失敗、EC2 自動化の実行の失敗などがあります。

Q: OpsCenter を使用することの利点は何ですか?
OpsCenter を使用すると、運用上の問題解決に要する MTTR を 50% 以上短縮できます。また、さまざまなリソースにまたがる運用上の問題 (OpsItem) を 一元的に標準化および集計できるようになります。さらに、問題の調査と修正に必要なコンテキスト情報と運用上のツールがまとまっています。これにより、エンジニアがさまざまなツールをナビゲートして関連情報を取得するのにかかる時間が短縮されます。一元的に作業することで、手作業によるミスの可能性も最小限に抑えられ、新しく採用されたエンジニアのトレーニング時間も短縮されます。

Q: OpsCenter はどのようなユーザー向けですか?
インフラストラクチャのニーズに合わせて複数の AWS のサービスを使用する中規模から大規模の企業は、OpsCenter を利用して日常業務を管理することができます。さらに、マネージドサービスプロバイダー (MSP) パートナーは、OpsCenter を利用してほかの AWS のお客様に代わってインフラストラクチャを管理できます。MSP のお客様は、MSP の日常業務の透明性を高めるために読み取り専用の役割を果たすことができます。

サービスの主なユーザーは、DevOps エンジニアや IT サービスデスクの専門家などのオペレーションエンジニアです。 

Q: OpsCenter はケースマネジメントシステムとどう違いますか?
OpsCenter は、既存のケースマネジメントシステムを補完するように設計されています。パブリック API アクションを使用して、OpsCenter を既存のケースマネジメントシステムに統合できます。現在のシステムで手動のライフサイクルワークフローを維持し、OpsCenter を調査と修復のハブとして使用することもできます。

Q: OpsCenter にはどのくらいの費用がかかりますか?
OpsCenter の料金は、AWS Systems Manager料金表ページに記載されています

Q: OpsCenter の使用を開始するにはどうすればよいですか?
AWS Systems Manager コンソールを使用して、わずか数クリックで OpsCenter を有効にできます。

Q: OpsCenter では、AWS Systems Manager Agent を使用する必要はありますか?
OpsCenter の使用を開始するために、Systems Manager Agent を使用する必要はありません。

Incident Manager

Q: Incident Manager とは何ですか?
Incident Manager は、自動化された対応計画でインシデントの準備を支援します。対応計画は、ランブックアクションを実行し、インシデントの更新を追跡し、チャットベースのコラボレーションを可能にすると同時に、該当する人が対応するように自動的に通知します。

Q: 対応計画とは何ですか?
対応計画には、通知する連絡先 (オンコールのアプリケーションチームなど) と、アラーム (または一連のアラーム) に対応して調査および軽減するために従う一連の手順が規定されています。手順のステップは、手動化または自動化することができ、Systems Manager Automation ドキュメントとして表現されます。

Q: インシデントとは何ですか?
インシデントとは、サービスの品質の計画外の中断または低下です。対応計画は、Amazon CloudWatch アラームまたは Amazon EventBridge イベントに基づいてインシデントが自動的に開始される方法をコントロールします。また、Incident Manager で手動でインシデントを開始することもできます。

Q: 分析とは何ですか?
分析とは、インシデント (または一連のインシデント) に関連付けられたインシデント後の記録文書です。分析は、テキストによる要約、主要なイベントやメトリクスによるタイムライン、インシデント後の分析プロセスを通じて作成者をガイドする一連の質問、および改善のための運用アクション項目のリストなど、いくつかのセクションで構成されます。

Q: Incident Manager は、インシデントに関するメッセージをどのように配信しますか?
Incident Manager は、構成された対応計画を使用して、目的の連絡先に順番に通知します (必要に応じて次の連絡先にエスカレーションします)。連絡先は、共有電話番号などのデバイス、またはデバイスのリストを持っている人を順番に表すことができます。Incident Manager は、SMS、音声通話、E メール、Slack 通知 (AWS Chatbot 経由) をサポートしています。

Q: Incident Manager は他の AWS のサービスとどのように連携しますか?
Incident Manager を使用すると、Amazon CloudWatch アラームまたは Amazon EventBridge イベントによって重大な問題が検出されたときに自動的にアクションを実行できます。Incident Manager は、事前に設定された対応計画を即座に実行して、SMS と電話で対応担当者を関与させ、AWS Chatbot を使用して指定されたチャットチャネルにリンクし、AWS Systems Manager Automation のランブックを実行します。Incident Manager コンソールは AWS Systems Manager OpsCenter と統合されており、Jira Service DeskServiceNow などの一般的なサードパーティーのインシデント管理ツールとも同期する一元的な場所からインシデントとインシデント後のアクションアイテムを追跡するのに役立ちます

Q: Incident Manager の使用を開始するにはどうすればよいですか?
使用を開始するには、AWS コンソールから [Incident Manager] を選択するか、AWS Systems Manager に移動して、左側のナビゲーションペインの [Operations Management] (オペレーション管理) の下にある [Incident Manager] を見つけてください。

Q: アカウントと AWS リージョン間で Incident Manager を使用できますか?
はい。Incident Manager は、Resource Access Manager を使用して、メンバーアカウント間でインシデント、対応計画、連絡先を共有します。メンバーアカウントは、AWS Organizations を使用して個別に選択または識別できます。Incident Manager は、より高い可用性を実現するために、インシデントのクロスリージョンレプリケーションも提供します。

CloudWatch ダッシュボード

Q: Amazon CloudWatch ダッシュボードとは何ですか?
Amazon CloudWatch ダッシュボードでは、自分の AWS 上およびマルチクラウドやハイブリッド環境内のリソースを 1 か所でモニタリングできる、再利用可能なダッシュボードを作成できます。メトリクスデータは 15 か月保持されます。これにより、最新のデータと履歴データを表示できます。

Q: Amazon CloudWatch ダッシュボードと AWS Systems Manager はどのように統合されていますか?
既存の CloudWatch ダッシュボードは、AWS Systems Manager から直接利用できるようになりました。また、新しい CloudWatch ダッシュボードを Systems Manager から直接作成することもできます。CloudWatch ダッシュボードを使用してカスタムの運用ダッシュボードを独自に構築し、アプリケーションのコンポーネントの健全性、アプリケーション層、運用権限の一般領域を反映できます。

Application Manager

Q: AWS Systems Manager Application Manager とは何ですか?
AWS Systems Manager Application Manager は、DevOps エンジニアがアプリケーションのコンテキストで AWS 上およびマルチクラウドやハイブリッド環境内のリソースの問題を調査および修正する際に役に立ちます。

Q: Application Manager の使用を開始するにはどのようにすればよいですか?
AWS Systems Manager Application Manager の使用を開始するには、AWS Systems Manager コンソールに移動し、左側のナビゲーションペインから [Application Management] カテゴリに移動します。開始するには、Application Manager リンクを選択します。

Q: Application Manager は他の AWS のサービスとどのように連携しますか?
AWS Systems Manager Application Manager は、モニタリング用の Amazon CloudWatch、監査用の AWS CloudTrail、インフラストラクチャ設定を追跡するための AWS Config、CloudFormation スタックをプロビジョニングするための AWS CloudFormation、Runbook のオートメーションなど他の AWS Systems Manager 機能を含む複数の AWS のサービスと統合されています。

Q: Application Manager のアプリケーションとは何ですか?
AWS Systems Manager Application Manager では、アプリケーションは、ユニットとして動作するリソースの論理グループを表します。論理グループは、ビジネスアプリケーション、オペレーターの所有権の境界、またはステージングや実稼働環境などのデベロッパー環境の場合があります。

Q: Application Manager はどのようにアプリケーションを検出しますか?
タグ付け、リソースグループ、AWS CloudFormation スタック定義などの既存のメカニズムを使用して、AWS Systems Manager Application Manager でアプリケーションを検出できます。

Q: Application Manager で運用タスクを実行できますか、それともデータを表示するだけですか?
AWS Systems Manager Application Manager では、運用タスクを実行してデータを表示できます。運用データの表示に加えて、Runbook を開始して、アプリケーションリソースの運用上の問題を修正する際に役に立てることができます。 また、AWS CloudFormation テンプレートを管理し、CloudFormation スタックにプロビジョニングすることができます。

Q: Application Manager は、異なるアカウントと AWS リージョンに分散されているアプリケーションを処理しますか?
現在、単一の AWS アカウントおよびリージョン内のアプリケーションに AWS Systems Manager Application Manager を使用できます。

Q: Application Manager でアプリケーションを編集できますか?
AWS Systems Manager Application Manager 内でアプリケーションを編集できます。アプリケーションがオンボーディングされた後、アプリケーションから新しいリソースグループや CloudFormation スタックを追加または削除することができます。さらに、Application Manager は、アプリケーションに加えられた変更をそれぞれのサービスコンソールに自動的に反映します。

Q: Application Manager は、AWS Systems Manager コンソールの Resource Group とどのように異なりますか?
AWS Systems Manager Application Manager は、AWS Systems Manager コンソールの既存のリソースグループ機能に基づいて構築され、特定のアプリケーションのアラーム、OpsItem、Runbook ログなどのコンテキスト情報と運用情報を提供します。アプリケーションをオンボーディングするために、Application Manager は、Launch Wizard や CloudFormation スタックなどの他の構成に加えて、リソースグループをソース構成の 1 つとして使用できます。

Q: AWS CloudFormation スタックを使用して、各アプリケーションのインフラストラクチャをプロビジョニングします。Application Manager は CloudFormation スタックと統合されていますか?
AWS Systems Manager Application Manager は、CloudFormation スタックと統合されます。Application Manager コンソールから開始するには、アプリケーションを表すスタックを選択して、管理を開始します。イベント、パラメータ、リソースなどのスタックの詳細を表示し、Application Manager がスタックのコンテキストで提供するすべての運用データを一元的に把握することができます。 さらに、Application Manager コンソール内から、アプリケーション用の CloudFormation テンプレートをオーサリング、保存、バージョン管理、検証、共有、プロビジョニングすることができます。お客様は、テンプレートを新規または既存の CloudFormation スタックにプロビジョニングし、スタックでテンプレートのどのバージョンが現在使用されているかを追跡できます。

Q: 現在、タグ付けソリューションを使用してアプリケーションリソースを管理しています。Application Manager を使用するメリットは何ですか?
AWS Systems Manager Application Manager を使用してアプリケーションをオンボーディングする場合、リソースをアプリケーションにグループ化するための基準としてタグを使用できます。Application Manager を使用すれば、グループおよびサブグループの階層内のすべてのリソースを表示してから、運用データを表示し、グループおよびサブグループレベルで運用アクションを実行できます。

Q: Application Manager は Amazon Elastic Kubernetes Service (Amazon EKS) および Amazon Elastic Container Service (Amazon ECS) と統合されていますか?
AWS Systems Manager Application Manager は Amazon EKS および Amazon ECS と統合して、コンテナクラスターの正常性に関する情報と、クラスター内のリソースのコンポーネントランタイムビューを提供します。クラスター内のリソースの OpsItems を作成および表示し、Runbook を使用してリソースの問題をすばやく修正できます。

AppConfig

Q: AWS AppConfig とは何ですか?
AWS AppConfig は AWS Systems Manager の機能であり、あらゆるサイズのアプリケーションにわたって、Amazon EC2 インスタンス、コンテナー、AWS Lambda 関数、モバイルアプリまたは IoT デバイスでホストされているかどうかにかかわらず、コントロールされ、モニタリングされた方法で、素早く検証とロールアウトができるようにします。AWS AppConfig は、構成データを検証して、アプリケーションでデプロイする前に、定義に従って構成データが構文的および意味的に正しいことを確認できるようにします。AWS AppConfig を使用すると、エラーを監視しながら定義したペースで構成をロールアウトすることにより、デプロイのベストプラクティスに従うことができます。エラーの場合、AWS AppConfig は変更をロールバックして、アプリケーションのユーザーへの影響を最小限に押さえます。

Q: AWS AppConfig はどのような人が使うべきですか?
AWS AppConfig は、コードを管理する方法に似ていますが、構成値が変更されたときにコードをデプロイする必要がなく、結果としてサービス停止のリスクが軽減したいシステム管理者、DevOps チーム、開発者向けに設計されています。AWS AppConfig は、構成のターゲット (ホスト、サーバー、AWS Lambda 関数、コンテナ、モバイルデバイス、IoT デバイスなど) を持つ任意の規模またはタイプの企業または組織を対象にしています。

Q: 構成とは?
構成とは、アプリケーションがランタイムにアプリケーションの動作を修正するために使用する 1 つ以上のアプリケーション設定の集合です。AWS Systems Manager のドキュメントまたはパラメータとして構成を保存できます。

Q: バリデータとは?
バリデータとは、AWS AppConfig が構成が定義に従って構文または意味の上で正しいことをテストすることができる AWS Lambda 関数です。

Q: デプロイ戦略とは?
デプロイ戦略は、構成データがアプリケーションに伝搬する方法のための計画です。デプロイ戦略には、構成がロールアウトする速度、さまざまな間隔で更新された構成を受け取るアプリケーションインスタンスの割合 (%)、および AWS AppConfig がアプリケーション全体を監視して構成の変更が悪影響を与えていなかったことを確認する上で支援する時間の定義のためのコントロールを含みます。

Q: AWS AppConfig が AWS CodeDeploy と異なる点は?
アプリケーション構成は、アプリケーションの動作に影響するデータであり、コンパイルを必要としません。構成は、ランタイムに変更できる抽象化です。たとえば、特定の日時に構成値を自動入力することにより、機能のリリースを制御できます。値を変更する必要がある場合、たとえば新しい日時を変更する必要がある場合、管理者はコンパイルを必要とせずに構成値を変更でき、アプリケーションはランタイムに新しい構成を適用します。アプリケーション構成とコードの両方に、本番環境でのエラーを防ぐための安全メカニズムを含める必要があります。AWS AppConfig を使用して、新しい構成をデプロイするときに安全性メカニズムを適用するために AWS App Config を、また新しいコードをデプロイするときに AWS CodeDeploy を使用ことをお薦めします。

Q: AWS Systems Manager のパラメータストアと AWS AppConfig はそれぞれいつ使用すべきですか?
AWS Systems Manager のパラメータストアは、秘密またはプレーンテキスト構成値を保存、取得、および管理する能力を提供する機能です。パラメータストアの一般的な使用には、データベース文字列とライセンスコードをパラメータ値として保存することが含まれます。セルフマネージドの方法で値を保存、取得する必要がある場合は、パラメータストアを使用してください。AWS AppConfig はランタイムに更新されたアプリケーションを安全にリリースし、構成をパラメータとして保存することができるようにするアプリケーション構成管理サービスです。特定の状況で変更をロールバックすることができる制御された環境で安全に検証してデプロイできる複雑なセットのアプリケーション構成をモデル化する必要がある場合、AWS AppConfig を使用する必要があります。

Q: AWS AppConfig が AWS Config と異なる点は?
AWS Config では、AWS リソースをアセスメント、監査、評価することっができる一方、AWS AppConfig ではアプリケーションの構成を管理できます。AWS Config を使用してアカウントの AWS リソースの構成の詳細なビューを取得し、リソースが過去にどのように構成されたか、また構成が時間をかけてどのように変化したかを識別します。AWS AppConfig は、AWS リソースまたはオンプレミスサーバーで実行するアプリケーションを対象としています。AWS AppConfig を使用して、アプリケーション構成の変更を検証し、デプロイ戦略を設定してランタイムにアプリケーションに更新された構成を安全にデプロイします。

パラメータストア

Q: AWS Systems Manager のパラメータストアとは何ですか?
AWS Systems Manager では、データベース文字列のようなプレーンテキストデータや、パスワードのような秘密データなど、設定データを一元的に管理するストアを利用できます。これにより、秘密データと設定データをコードから分離できます。パラメータにはタグを付けることができ、階層別に整理できるため、より簡単にパラメータを管理できます。例えば、"db-string" という同じパラメータ名を "dev/db-string " や "prod/db-string" などの異なる階層パスで使用して、異なる値を保存できます。Systems Manager は AWS Key Management Service (KMS) と統合されているため、保存したデータを自動的に暗号化できます。また、AWS Identity and Access Management (IAM) を使用して、ユーザーとリソースによるパラメータへのアクセスを制御できます。パラメータは、Amazon Elastic Container Service (ECS)AWS LambdaAWS CloudFormation などの AWS の他のサービスからも参照できます。

Q: AWS Systems Manager のパラメータストアの使用が推奨されるのはなぜですか?
ベストプラクティスとして、設定データや秘密データはコードと分離して保存しておくことをお勧めします。AWS Systems Manager のパラメータストアを使用すれば、設定情報や機密性のある情報の保存と参照をすばやく実行できます。データを設定ファイルに保存したりプレーンテキストで参照したりする代わりに、その情報をアプリケーションやスクリプトで保存および取得できます。さらに、パラメータにアクセスできるユーザーを制限できるため、特定の情報に適切なユーザーのみがアクセスできるよう設定できます。

Q: 機密性のあるデータはどのように保存されますか?
保存や参照に機密性が求められるデータはすべて、安全な文字列となります。ユーザーがクリアテキストとして参照しないようにするデータ、または改ざんや悪用の可能性があるデータには、AWS Systems Manager のパラメータストアの安全な文字列を使用する必要があります。機密性のあるデータは、独自の AWS KMS キーまたは AWS KMS で提供されるユーザーアカウントのデフォルトキーを使用して暗号化できます。

Q: どのようなサービスでパラメータを参照できますか?
Amazon ECS、AWS Lambda、AWS Systems Manager などの AWS のサービス、または AWS Systems Manager のパラメータストアの API を使用できるサービスでパラメータを簡単に参照できます。

Q: 特定のパラメータを対象とした使用状況の追跡やアクセスコントールは実行できますか?
はい。AWS IAM を使用してユーザーやリソース (インスタンスなど) にパラメータへのアクセス許可をカスタマイズすることで、きめ細かにアクセスを制御できます。 つまり、どのリソースのどのパラメータに誰がアクセスできるかをすべて制御できます。また、パラメータの変更イベントに基づいて Amazon CloudWatch Events のルールも設定できます。さらに、パラメータ API コールを AWS CloudTrail で追跡し、監査することもできます。

Q: パラメータへの変更を追跡できますか?
はい。パラメータ変更の履歴を確認できます。また、変更の際に自動的に実装されるバージョンを使用して、バージョンに応じた特定のパラメータの値を確認できます。

Q: パラメータとして階層式のデータを保存できますか?
はい。階層構造を使用してパラメータを保存できます。また、階層のすべてのレベルでアクセスを制御および監査できます。

Q: パラメータの値が変更された際に通知を受信することはできますか?
はい。各パラメータの値に Amazon CloudWatch と Amazon Simple Notification Service (SNS) の通知を設定し、変更された際に通知を受信できます。

Q: Secrets Manager と Parameter Store の違いは何ですか?
AWS シークレットマネージャーは、ローテーション、監査、アクセスコントロールと言った組織でのシークレットのライフサイクルを中央で管理するためのサービスです。Secrets Manager を使うと、シークレットを自動的にローテーションできるようになるので、セキュリティとコンプライアンスの要件を満たすのに役立ちます。シークレットマネージャーは MySQL、PostgreSQL、Amazon Aurora on Amazon RDS への統合を組み込むことができ、これは Lambda 関数のカスタマイズで他のタイプのシークレットにも拡張できます。

AWS Systems Manager Parameter Store には、設定データ管理のためのセキュアで、階層的なストレージがあり、これにはシークレットも含みます。データベース接続タイプ、文字れる、パスワードとライセンスコードはパラメータ値として保存され、監査とアクセスコントロールが可能です。保存された値はプレーンテキストでも暗号化されたデータでも構いません。値はパラメータ固有の名前で参照できます。システムマネージャーパラメータを参照してジェネリック設定と自動化スクリプトを構築して、Amazon ECS や AWS CloudFormation など様々な AWS サービスにわたって使用できます。

Q: Parameter Store と Secrets Manager のどちらを使えば良いですか?
設定とシークレットにひとつのストアが欲しい場合、パラメータストアをお使いください。ライフサイクル管理を備えたシークレット専用のストアが欲しい場合、シークレットマネージャーをお使いください。パラメータストアは追加料金なしで、パラメータ数 10,000 個の制限でお使いいただけます。詳細については、Secrets Manager の料金ページを参照してください。

Q: Parameter Store と Secrets Manager のセキュリティモデルには違いはありますか?
ありません。シークレットマネージャーとパラメータストアは両方とも同じように安全です。これらのサービスは両方ともカスタマーの所有する KMS キーを用いて保管中の暗号化をサポートしています。Parameter Store でどのように KMS を使用するかの詳細については、KMS デベロッパーガイドの Parameter Store での AWS KMS の使用方法を参照してください。

Q: Secrets Manager を Parameter Store と共に使えますか?
はい。Secrets Manager のシークレットを Parameter Store で参照できます。

Q: アドバンストパラメータとは何ですか?
アドバンスドパラメータでは、10,000 個を超えるパラメータを保存する機能、大きなパラメータ値サイズ (最大 8 KB)、有効期限や変更なしの通知といったパラメータポリシーなどの拡張機能を利用できます。有効期限切れポリシーを使用すると、有効期限の日次を指定できます。変更なし通知ポリシーを使用すると、指定した期間変更されていないパラメータを把握できます。アドバンスドパラメータの使用料金は、ストレージごと、および API インタラクションごとに月単位で課金されます。詳細については、料金ページをご覧ください。

Q: スタンダード/アドバンストのパラメータタイプを相互に変換できますか?
スタンダードパラメータはアドバンスドパラメータにいつでも変換できます。アドバンスドパラメータをスタンダードパラメータに変換することはできません。アドバンストパラメータの拡張機能が不要になった場合、またはアドバンスドパラメータの課金を停止させたい場合は、アドバンスドパラメータを削除してから、新しいパラメータをパラメータとして作成する必要があります。

Q: Parameter Store の API スループットを向上させることはできますか?
はい。API スループットはパラメータストアの設定タブで設定した上限値まで引き上げることができます。API スループットの制限はアカウント内でリージョンごとに適用されます。スループット制限の引き上げにより料金が発生します。詳細については、料金ページをご覧ください。スループットに引き上げが不要になった場合は、設定タブからいつでも制限をリセットできます。

Change Manager

Q: AWS Systems Manager Change Manager とは何ですか?
AWS Systems Manager Change Manager は、変更管理機能です。Change Manager では、インフラストラクチャおよびアプリケーションの構成に対する運用上の変更のリクエスト、承認、実行、報告できます。Change Manager は、事前に承認された変更ワークフローと自動承認により、変更プロセスを合理化します。AWS Systems Manager Automation と統合して変更を加え、実装を変更リクエストに直接結び付けます。Change Manager は、AWS Systems Manager Change Calendar と統合して、指定した期間中の変更をブロックし、Amazon CloudWatch は、アラームに基づいて変更を自動的にロールバックします。Change Manager から、組織全体で行われた変更を確認して、承認待ちの変更を特定し、完了した変更の結果を監査することができます。

Q: Change Manager を使用することの利点は何ですか?
AWS Systems Manager Change Manager を使用すれば、アプリケーション構成とインフラストラクチャへの変更の安全性とガバナンスを向上させ、サービスを中断するリスクを軽減できます。Change Manager は、必要な承認を追跡し、承認された変更のみを実装することにより、運用上の変更をより安全にすることができます。最後に、Change Manager は、組織全体で行われた変更、変更の意図、およびそれらの変更を誰が承認および実装したかを記録して監査するための一貫した方法を提供し、説明責任を高めます。

Q: 変更リクエストとは何ですか?
AWS Systems Manager Change Manager を使用して、運用上の変更ごとに変更リクエストを作成できます。変更リクエストには、インテント、使用する Runbook、指定されたロールバック手順など、変更に関する情報を含めることができます。変更リクエストは、送信、承認、実装、完了などのライフサイクルイベントのタイムラインも維持します。

Q: 変更テンプレートとは何ですか?
各変更リクエストは、変更リクエストが通過しなければならない承認ワークフローを定義する、指定された変更テンプレートから作成されます。コンソールまたは API を使用して変更テンプレートを作成できます。また、変更リクエストを作成するために使用する前に、変更テンプレートの確認と承認を要求することもできます。テンプレートを使用して、標準、メジャー、マイナー、緊急などの一般的な変更タイプ、またはパッチや証明書のローテーションなどのより具体的な変更タイプをモデル化できます。

Q: Change Manager を使用するには、どれくらいの費用がかかりますか?
AWS Systems Manager Change Manager の料金は、AWS Systems Manager の料金ページにあります

Q: Change Manager の使用を開始するにはどうすればよいですか?
AWS Systems Manager コンソールを使用すると、数回クリックするだけで AWS Systems Manager Change Manager を有効にすることができます。

Q: アカウントと AWS リージョン間で Change Manager を使用できますか?
AWS Systems Manager Change Manager を使用すれば、AWS Organizations を使用して AWS アカウントおよびリージョン全体の運用上の変更を管理できます。組織内のアカウントを委任された管理者として指定できます。その委任されたアカウントから、AWS アカウントとリージョン全体で変更をリクエスト、承認、実装、確認できます。詳細については、ユーザーガイドを参照してください。

Q: シングルサインオン ID を使用して変更リクエストを承認できますか?
AWS Systems Manager Change Manager は AWS IAM アイデンティティセンターと統合されているため、既存の ID ソースを使用して運用上の変更を簡単に管理できます。

オートメーション

Q: AWS Systems Manager Automation とは何ですか?
AWS Systems Manager の機能である Automation では、ランブックを使用して運用を体系化できるため、Amazon EC2、Amazon RDS、Amazon Redshift、Amazon S3 などの AWS サービスの一般的なメンテナンス、デプロイ、および修正タスクが簡素化されます。Systems Manager Automation のローコードのビジュアルデザイナーを使用すると、特定のタスクリストを指定するカスタムランブックを作成したり、AWS が作成した事前定義済みのランブックを使用できます。これらのランブックは AWS マネジメントコンソールCLISDK を使用して直接実行したり、メンテナンスウィンドウでスケジュールできます。また、Amazon CloudWatch Events を使用して AWS 上およびマルチクラウドやハイブリッド環境内のリソースへの変更に基づいてトリガーすることもできます。ランブックにおける各ステップの実行は追跡でき、各ステップで承認を必要とするよう設定することもできます。また、段階的に変更を実行し、エラーが発生した場合に自動的に停止することもできます。

Q: どのようなタスクを自動化できますか?
AWS リソースやオンプレミスのリソースとやり取りするタスクであれば、いかなるタスクでも自動化できます。組み込みのアクションタイプによって、Amazon EC2 インスタンスや AWS CloudFormation スタックなどと簡単にやり取りできます。アクションタイプは、AWS Systems Manager ランコマンド、Python および PowerShell スクリプト、AWS Lambda 関数を呼び出すために使用できます。

Q: 事前定義された AWS Systems Manager Automation ランブックはありますか?
事前定義された AWS Systems Manager ランブックは、370 種類以上あります。これらを実行することで、Golden AMI の作成、Amazon EC2 インスタンスへのパッチ適用、インスタンスの状態管理など、幅広いタスクを完了できます。

Q: 独自の AWS Systems Manager Automation ランブックを作成することはできますか?
コンソールから Automation のローコードのビジュアルデザイナーを使用して、独自のカスタムランブックを作成できます。 ビジュアルデザイナーを使用すると、ドメイン固有の言語構文を気にすることなく、シンプルなドラッグアンドドロップのインターフェイスを使用してランブックのビジネスロジックの定義に集中できます。ただし、ランブックをコーディングしたい場合、ビジュアルデザイナーには JSON または YAML をサポートするコードエディターもあります。また、他のアカウントによって共有される AWS Systems Manager Automation ランブックを使用したり、自身のランブックを共有することも可能です。

Q: AWS Systems Manager Automation は承認プロセスに役立ちますか?
はい。組み込みの承認アクションタイプを AWS Systems Manager Automation ランブックに含めることができます。 承認者は、1 人または複数の AWS IAM ユーザーとすることができます。ランブックは、必要な最低承認数に達するかまたはそれが拒否されるまで待機状態になり、その後実行が開始されます。

Q: AWS Systems Manager Automation ランブックをリソースグループ全体に実行できますか?
はい。リソースグループをターゲットとして、特定のリソースタイプに対して AWS Systems Manager Automation ランブックを実行できます。また、安全制御を指定してグループ内でランブックを同時に実行するリソースの数を指定したり、ランブックの実行を停止するエラーのしきい値を追加できます。

Q: AWS Systems Manager Automation ランブックのステップを一度に 1 つずつ実行できますか?
はい。AWS Systems Manager Automation ランブック全体を一度に実行するか、または一度に 1 ステップずつ実行するマニュアル実行モードにするかを選択できます。

Q: AWS Systems Manager Automation ランブックの実行をスケジュールに従って、またはその他のイベントに基づいてトリガーできますか?
はい。Amazon CloudWatch Events のターゲットとしてトリガーされるように AWS Systems Manager Automation ランブックの実行をスケジュールするか、AWS Systems Manager Maintenance Windows もしくは AWS Systems Manager State Manager を使用してスケジュールに従いランブックの実行をトリガーできます。また、Amazon CloudWatch Events を使用して、AWS 上およびマルチクラウドやハイブリッド環境内のリソースへの変更に基づいてランブックの実行をトリガーすることもできます。

Q: ユーザーは Automation ランブックのスクリプトをどのように指定しますか?
Automation でスクリプトを実行する方法は 2 種類あります。スクリプトインラインをランブックの 1 ステップとして含めることができます。または、スクリプトをアタッチメントとしてランブックに追加し、ランブックのステップからの参照によりそれらを実行できます。

Q: Automation ランブックでは複数のスクリプトがサポートされていますか?
はい。複数のスクリプトを Automation ランブックにアタッチし、ステップからスクリプトを参照できます。スクリプトはファイルまたはフォルダとしてランブックにアップロード可能です。他のスクリプトを呼び出すスクリプトなどのスクリプト依存関係も、それらのスクリプトがすべて同じランブックの一部である場合はサポートされます。CloudFormation またはサーバーレスアプリケーションモデル (SAM) テンプレートなど、スクリプト実行に必要な他のアーティファクトもランブックにアタッチできます。

Q: スクリプトのステップの Automation ではどのスクリプト言語がサポートされていますか?
Automation では PowerShell Core および Python3 がサポートされています。 事前提供されている環境は Python with Boto (AWS API により事前提供) です。ビジュアルデザイナーを使用してランブックを作成する場合、Python スクリプトでセキュリティスキャンを実行できます。 セキュリティスキャンにより、コード内のセキュリティ上の脆弱性が特定され、コードのセキュリティを向上させるための修復方法が提案されます。 セキュリティスキャンは Amazon CodeGuru Security セキュリティによって提供されます。 Amazon CodeGuru Security スキャンの Automation のサポートは現在プレビュー中です。

Q: スクリプトステップにおけるスクリプトの要件は何ですか?
Automation は、ランブックで指定される入力をサポートしています。スクリプトが必要とするパラメータは、Automation ランブックの入力パラメータ、前のステップからの出力として収集されるか、データベースなど他のソースからランタイム中に収集されます。スクリプト出力は、JSON オブジェクトとして後続のステップで利用できます。ステップ出力の参照や Automation 変数、Systems Manager Parameter Store パラメータといった既存の Automation の機能は、ランブックで利用するための出力を渡す際に使用できます。

メンテナンスウィンドウ

Q: AWS Systems Manager のメンテナンスウィンドウとは何ですか?
AWS Systems Manager では、管理やメンテナンスのタスクを複数のインスタンスに対して実行するための時間枠をスケジュールできます。これにより、パッチやアップデートのインストール、その他の設定変更を行うのに便利で安全な時間を選択できるため、サービスとアプリケーションの可用性と信頼性を向上できます。

Q: AWS Systems Manager のメンテナンスウィンドウの使用が推奨されるのはなぜですか?
AWS Systems Manager のメンテナンスウィンドウを使用し、特定のタスクを適切な時間枠で自動的に実行することで、オペレーションやインフラストラクチャの障害による悪影響を大幅に抑制し、ワークロードの可用性と信頼性を向上できます。

Q: AWS Systems Manager のメンテナンスウィンドウを使用してどのようなタスクを実行できますか?
以下に挙げるタスクを実行できます。

  • アプリケーションのインストール、パッチの更新、AWS Systems Manager エージェントのインストールまたはアップデート、PowerShell コマンドと Linux シェルスクリプトの実行。
  • Amazon マシンイメージ (AMI) の構築、ソフトウェアのブートストラップ、インスタンスの設定。
  • インスタンスをスキャンしてパッチ更新を探すなどの追加アクションをトリガーする AWS Lambda 関数の実行。
  • インスタンスを Elastic Load Balancing (ELB) 環境から削除し、インスタンスにパッチを適用してから ELB 環境に戻すなどのタスクを実行する、AWS StepFunctions ステートマシンの実行。

Q: AWS Systems Manager のメンテナンスウィンドウではどのようなタスクをスケジュールできますか?
任意の AWS Systems Manager の Run Command の実行、AWS Systems Manager Automation ドキュメントの実行、AWS Step Functions、AWS Lambda 関数をタスクとして作成してスケジュールできます。

Q: AWS Systems Manager のメンテナンスウィンドウとして、どのようなスケジュールを選択できますか?
AWS Systems Manager のメンテナンスウィンドウのスケジュールは、毎月の特定の日や毎週の特定の曜日に設定できます (毎週火曜日 22:00:00 や毎月第 1 日曜日 22:00:00 など)。cron 式または rate 式でスケジュールを指定できます。

Fleet Manager

Q: AWS Systems Manager Fleet Manager とは何ですか?
AWS Systems Manager Fleet Manager を使用すれば、リモートサーバー管理プロセスを合理化できます。Fleet Manager を使用すると、AWS およびオンプレミスで実行されているサーバーのフリートを簡単に管理およびトラブルシューティングできます。仮想マシンにリモート接続しなくても、個々のサーバーにドリルダウンして、ディスクとファイルの探索、ログ管理、Windows レジストリ操作、ユーザー管理など、さまざまなシステム管理タスクを実行できます。

Q: Fleet Manager を使用する利点は何ですか?
AWS Systems Manager Fleet Manager は、次の方法でリモートサーバー管理プロセスを合理化します。

  • Fleet Manager の一元化されたグラフィカルユーザーインターフェイス (GUI) を使用すると、AWS およびオンプレミスで実行されているサーバーのフリートを簡単に管理できます。
  • Fleet Manager は、オペレーティングシステム (OS) に依存しません。Fleet Manager を使用して、Windows、Linux、および Mac ベースのサーバーで一般的な OS 操作を実行できます。 
  • Fleet Manager を使用すれば、ビルド済みの自動化 Runbook を選択するか、独自の自動化 Runbook を持ち込むことにより、Systems Manager コンソールからこれらの OS 操作をシームレスに実行できます。

Q: Fleet Manager はどのような機能を提供しますか?
AWS Systems Manager Fleet Manager は、サーバーをリモートで管理するために次の機能を提供します。

  • ファイルシステムとログの調査: Systems Manager コンソールを使用して、サーバー上のディスク、フォルダ、およびファイル (ファイルベースのログを含む) を参照する。 
  • パフォーマンスカウンターの監視: CPU 使用率、ネットワークトラフィック、ディスク使用率、メモリ使用率などの一般的なサーバーパフォーマンスのメトリックを監視する。
  • Windows イベント管理: 追加のエージェントをインストールすることなく、Windows イベントログを表示およびトラブルシューティングする。 
  • ユーザーとグループの管理: サーバーにアクセスできるユーザーやグループのリストを表示し、権限を変更する。
  • レジストリ操作: Windows サーバーのレジストリ値を表示および変更する。

Q: Fleet Manager を使用して管理できる環境の種類には何がありますか?
AWS およびオンプレミス環境全体で AWS Systems Manager Fleet Manager を使用して、Windows、Linux、および Mac ベースの仮想マシンを管理します。

Q: Fleet Manager の使用を開始するにはどうすればよいですか?
AWS Systems Manager Fleet Manager を開始するには、AWS マネジメントコンソールを使用するのが最も簡単です。数回クリックするだけで Fleet Manager を起動することができます。詳細については、ご利用開始にあたってドキュメントをご覧ください。

Q: Fleet Manager の利用料金はいくらですか?
AWS Systems Manager Fleet Manager は、AWS で実行されているサーバーで追加料金なしで利用できます。AWS Systems Manager エージェントを使用したオンプレミスインスタンス管理の場合、パブリック料金に基づいて請求が行われます

コンプライアンス

Q: AWS Systems Manager の設定コンプライアンスとは何ですか?
AWS Systems Manager では、マネージドインスタンスをスキャンしてパッチのコンプライアンスと設定の不一致を確認できます。複数の AWS アカウントやリージョンからデータを収集および集約し、コンプライアンスに違反している特定のリソースにドリルダウンできます。AWS Systems Manager には、デフォルトでパッチ適用と関連付けに関するデータが表示されます。サービスをカスタマイズし、要件に基づいて独自のコンプライアンスタイプを作成することもできます。 

Q: 設定内容の変更を経時的に追跡できますか?
AWS Config との統合を利用すれば、AWS Config のルールによって、必要な設定内容に対するインスタンスのコンプライアンス状況をモニタリングできます。セキュリティの専門家やコンプライアンス監査者は、この機能を使用してインスタンス設定変更の完全な監査証跡を得ることができ、コンプライアンス違反発見時に予防的通知を受け取ることもできます。

Q: インスタンスのコンプライアンスレベルを表示するにはどうすればよいですか?
AWS Systems Manager を使用して、パッチ適用プロセスの詳細な結果を示した、パッチのコンプライアンス情報を表示できます。インスタンスごとに集約したコンプライアンスの詳細を簡単に取得できます。さらに、各インスタンスについての情報をより詳細に掘り下げ、インストールされたパッチ、欠落しているパッチ、適用外のパッチ、インストールに失敗したパッチを特定できます。

Q: 自分でコンプライアンスのチェック項目を作成できますか?
はい。独自のコンプライアンスタイプを作成して、API で記録できます。ビジネスの要件に基づいて独自のチェック項目を作成し、AWS Systems Manager でコンプライアンスを記録して、コンプライアンスに違反しているインスタンスを追跡できます。また、リソースデータ同期を作成することで、複数のアカウントやリージョンに対してこのコンプライアンス情報を表示できます。

インベントリ

Q: AWS Systems Manager インベントリとは何ですか?
AWS Systems Manager では、インスタンスとそこにインストールされたソフトウェアに関する情報が収集されるため、システムの設定とインストールされたアプリケーションを把握するのに役立ちます。アプリケーション、ファイル、ネットワーク設定、Windows サービス、レジストリ、サーバーロール、アップデート、およびその他のシステムプロパティに関するデータを収集できます。収集したデータを利用して、アプリケーションアセットの管理、ライセンスの追跡、ファイル整合性のモニタリング、従来のインストーラによってインストールされてないアプリケーションの検出などを行えます。

Q: Amazon EC2 インスタンスまたはオンプレミスのインスタンスから、カスタマイズした情報を収集できますか?
はい。カスタムインベントリのタイプを作成して、追加のシステムプロパティを収集できます。これは、インスタンス自体によって収集されるようにすることも、API を使用して記録することもできます。PowerShell などのアプリケーションによる JSON 形式の結果はこの一例です。この場合、情報は rack-info などの JSON ファイルに静的に保存されます。

Q: 設定内容の変更を経時的に追跡するにはどうすればよいですか?
AWS Config を使用すれば、AWS Config Rules によって、必要な設定内容に対するインスタンスのコンプライアンス状況をモニタリングできます。セキュリティの専門家やコンプライアンス監査者は、この機能を使用してインスタンス設定変更の完全な監査証跡を得ることができ、コンプライアンス違反発見時に予防的通知を受け取ることもできます。

Q: 複数の AWS アカウントやリージョンのインベントリデータを表示することや、クエリを実行することはできますか?
はい。複数のアカウントやリージョンに対してインベントリデータを同期して、同じ Amazon S3 バケットに保存できます。その後、Amazon AthenaAmazon QuickSight、または独自のビジネスインテリジェンス (BI) ツールを使用して、複数のアカウントやリージョンに対してインベントリデータのクエリを実行できます。

Q: インベントリデータで分析と可視化を実行できますか?
はい。組み込みのインベントリダッシュボードに加えて、Amazon Athena と Amazon QuickSight を使用してインベントリデータに対する高度な分析とビジュアルの構築を行えます。

セッションマネージャー

Q: セッションマネージャーとは何ですか?
セッションマネージャーは、ブラウザベースのシェルとCLIのインタラクティブな体験を提供する、完全に管理されたサービスです。また、このサービスでは、安全で監査可能なインスタンス管理を行うのに役立ちます。ポートを開くほか、踏み台ホストを管理したり Secure Shell (SSH) キーを管理したりする必要はありません。セッションマネージャーは、インスタンスへの制御されたアクセスを必要とする企業ポリシーに準拠し、インスタンスアクセスのセキュリティと監査性を向上させると同時に、エンドユーザーにシンプルでクロスプラットフォームのインスタンスアクセスを提供します。

Q: セッションマネージャーを使用することの利点は何ですか?
セッションマネージャーを使用することで、インバウンドポートを開いたり、インスタンス上で SSH キーや証明書を管理したりする必要がないため、セキュリティ体制は向上します。また、AWS IAM を使用して、インスタンスへのアクセスを一元化することができます。セッションマネージャーを有効にすると、Linux または Windows の EC2 インスタンスに接続して、各インスタンスのセッションを開始したユーザーを追跡することができます。インスタンスにアクセスしたユーザーや、AWS CloudTrail の使用日時だけでなく、インスタンス上で実行したすべてのコマンドを Simple Storage Service (Amazon S3) または Amazon CloudWatch Logs に記録することができます。さらに、セッションマネージャーでは、踏み台ホストを操作および管理するための先行投資は不要です。

Q: セッションマネージャーはどのような利用者に適していますか?
インスタンスへのアクセス制御を一元化することで、セキュリティと監査の体制を強化して、運用のオーバーヘッドを削減し、インバウンドのインタンスアクセスを抑える AWS のお客様に適しています。インスタンスのアクセスとアクティビティをモニタリングおよび追跡してインスタンスのインバウンドポートを閉じるか、パブリック IP なしでインスタンスに接続することを可能にする情報セキュリティの専門家は、セッションマネージャーによるメリットがあるといえます。単一の場所からアクセス権の付与や取り消しを行う管理者や、Windows および Linux インスタンスに対してユーザーに 1 つのソリューションを提供する管理者にとっても同様に効果的です。最後に、ブラウザを使用してセッションを開始し、インスタンスを選択するか、SSH キーを指定することなく、CLI を使用してオペレータを素早く開始できます。

Q: セッションマネージャーにはどのような機能がありますか?
セッションは、AWS マネジメントコンソール、AWS CLI、またはほかの AWS SDK から Linux または Windows EC2 インスタンスで起動することができます。AWS IAM のタグベースのアクセス許可を使用してインスタンスへのユーザーアクセスの許可および取り消しだけでなく、AWS CloudTrail を使用したセッションの開始または終了を行うことができます。インスタンスで実行されたアクションはすべて、Amazon S3 または Amazon CloudWatch Logs に記録して、後で分析することができます。

Q: セッションマネージャーを使用するには、どれくらいの費用がかかりますか?
セッションマネージャーでは、追加料金をかけることなく、Amazon EC2 インスタンスを管理することができます。

Q: 使用を開始するにはどうすればよいですか?
セッションマネージャーを開始するには、AWS マネジメントコンソールを使用するのが最も簡単です。数回クリックするだけでセッションマネージャーを起動することができます。詳細については、ご利用開始にあたってをご覧ください。

Q: セッションマネージャーでは、AWS Systems Manager Agent を使用する必要はありますか?
はい。セッションマネージャーを開始するには、最新バージョンの SSM Agent を使用する必要があります。SSM Agent は、オープンソースです。また、GitHub より入手できます。

Q: アカウント全体で記録をオンにすることはできますか?
はい。アカウント全体のログ記録をオンにするには、セッションマネージャーの設定を行います。

実行コマンド

Q: AWS Systems Manager の実行コマンドとは何ですか?
AWS Systems Manager では、サーバーにログインしなくても安全でセキュアに大規模なインスタンスをリモートで管理できるため、踏み台ホスト、SSH、リモート PowerShell が不要になります。レジストリの編集、ユーザー管理、ソフトウェアやパッチのインストールなど、インスタンスのグループ全体における一般的な管理タスクを簡単に自動化できます。AWS IAM との統合により、詳細なアクセス許可を適用し、インスタンスに対してユーザーが実行できるアクションを制御できます。Systems Manager で実行されたアクションはすべて AWS CloudTrail で記録されるため、環境全体の変化を監査できます。

Q: AWS では事前定義されたコマンドを利用できますか?
はい。よく使用される管理タスクを実行するため事前定義されたコマンドを利用できます。Windows では、PowerShell、シェルのコマンド、スクリプトの実行、Windows アップデートの設定、MSI アプリケーションのデプロイなどを行えます。Linux では、任意のシェルのコマンドまたはスクリプトの実行、およびインストール済みエージェントのリモートでの更新を行えます。また、カスタムコマンドを作成して環境に必要な一般タスクを実行することもできます。

Q: 環境全体に一括で変更を適用できますか?
はい。タグベースのクエリを使用したターゲット設定によって、大規模なインスタンスのグループに対してアクションを実行できます。エラーしきい値のある同時実行バッチを指定できるレート制御を設定することで、環境全体に変更を安全にプロパゲートできます。

Q: コマンドを実行できるユーザーを制御できますか?
はい。公開済みの AWS IAM のアクセス許可とポリシーを使用して、タグベースの許可によって特定のインスタンスでコマンドやドキュメントを操作できるユーザーを制御できます。例えば、ある IAM ユーザーに PowerShell コマンドの実行を許可するものの、インスタンスのドメインへの参加は許可しないように指定できます。また、別の IAM ユーザーにはサービスの再開といった特定のコマンドの実行権限のみを与えるなど、特定のユーザーに付与するアクセス権限を柔軟に指定できます。

ステートマネージャー

Q: AWS Systems Manager のステートマネージャーとは何ですか?
AWS Systems Manager の設定管理は、Amazon EC2 インスタンスまたはオンプレミスインスタンスの設定の一貫性を維持するのに役立ちます。また Systems Manager では、サーバーの設定、アンチウイルス定義、ファイアウォール設定などの詳細な設定内容を制御できます。サーバーの設定ポリシーは、AWS マネジメントコンソール、既存のスクリプト、PowerShell モジュールを使用して、または GitHub か Amazon S3 バケットから直接 Ansible ランブックを使用して定義できます。Systems Manager では、設定は複数のインスタンスに対して一度に、定義した頻度で自動的に適用されます。Systems Manager のクエリを実行すれば、いつでもインスタンス設定の状態を表示できるため、コンプライアンスの状態をオンデマンドで確認できます。

Q: AWS Systems Manager のステートマネージャーの使用が推奨されるのはなぜですか?
アプリケーションを動作させるためのインフラストラクチャを一貫した状態に保つことは簡単ではありません。AWS Systems Manager を使用することで、ポリシーを作成して再適用することにより、設定の変動を防止し、意図した状態になっているかをモニタリングできます。

Q: ポリシーはどのように作成しますか?
ポリシーは AWS Systems Manager ドキュメントによって簡単に作成できます。また、アプリケーションのインストールやインスタンスのドメインへの参加などに使用できる、事前定義された設定もあります。

Q: 設定できるターゲットはどのようなものですか?
インスタンスまたはタグをターゲットとして柔軟に設定できます。つまり、ウェブサーバーグループのようなインスタンスのグループに対して特定の設定を柔軟に行えます。

Q: 既存の設定管理ツールを AWS Systems Manager のステートマネージャーと併用できますか?
はい。AWS では、Ansible ランブックまたは Salt State を実行するための事前定義された AWS Systems Manager ドキュメントを提供しています。また、AWS Systems Manager のステートマネージャーを使用して PowerShell DSC をインスタンスで使用することで、設定の変動を軽減できます。さらに、パブリックまたはプライベートの GitHub リポジトリから任意の設定スクリプトを直接実行することもできます。

パッチマネージャー

Q: AWS Systems Manager のパッチマネージャーとは何ですか?
AWS Systems Manager により、選択したオペレーティングシステムとソフトウェアのパッチを、Amazon EC2 またはオンプレミスの大規模なインスタンスグループに自動的にデプロイできます。パッチベースラインによって、オペレーティングシステムパッチや重要度の高いパッチなど、インストールする特定のパッチのカテゴリを自動承認するためのルールを設定できます。また、これらのルールよりも優先され、自動的に承認または拒否されるパッチのリストを指定できます。さらに、パッチのメンテナンスウィンドウをスケジュールして、事前に設定した時間にのみ適用されるようにできます。Systems Manager を使用すると、ソフトウェアが常に最新状態となり、コンプライアンスポリシーを満たすことができます。

Q: インスタンスにパッチを適用するタイミングはどのように指定しますか?
AWS Systems Manager のメンテナンスウィンドウを使用してパッチ適用のタイミングを定義できます。AWS Systems Manager では、繰り返し実行される 1 つまたは複数の時間枠を定義できます。この時間枠内で、独自のメンテナンスを実行できます。このような期間を設定してインスタンスと関連付けることで、ワークロードの可用性に影響するインスタンスのメンテナンスアクティビティを適切な時間枠内で実行できます。

Q: パッチ適用プロセスはどのようにカスタマイズしますか?
AWS Systems Manager では、完全に自動化されたパッチ適用プロセスを利用できます。独自の AWS Systems Manager コマンドまたはオートメーションドキュメントを作成することで、簡単にパッチ適用プロセスをカスタマイズできます。

Q: どのようなタイプのパッチをインストールできますか?
AWS Systems Manager では、Windows と Linux ベースのインスタンスのパッチ適用をサポートしています。現在サポートされているバージョンについては、AWS のドキュメントを参照してください。

Q: インストールするパッチはどのように選択しますか?
パッチベースラインによって、インスタンスへのデプロイを承認またはブロックしたパッチのセットが定義されます。パッチベースラインでは、製品別 (Windows Server 2008、Windows Server 2012 など)、カテゴリ別 (重要なアップデート、セキュリティアップデート)、デプロイのために確認するパッチの重要度別に、パッチを選択できます。その後、選択されたカテゴリごとに、カテゴリに含まれるパッチのデプロイが自動的に承認されるスケジュールを定義できます。ルールに加えて、ホワイトリストやブラックリストを指定し、インストールまたはブロックするパッチをそれぞれ選択することもできます。パッチ適用の際は、その時点より前に承認されたパッチについてのみ、AWS Systems Manager によってターゲットとなるインスタンスの評価が実行されます。

Q: インスタンスのコンプライアンスレベルを表示するにはどうすればよいですか?
パッチ適用プロセスの詳細な結果を示した、パッチのコンプライアンス情報を表示できます。AWS Systems Manager のコンソールまたは API から、インスタンスごとに集約したコンプライアンスの詳細を簡単に取得できます。さらに、各インスタンスについての情報をより詳細に掘り下げ、インストールされたパッチ、欠落しているパッチ、適用外のパッチ、インストールに失敗したパッチを特定できます。

ディストリビューター

Q: AWS Systems Manager Distributor とは何ですか?
ディストリビューターは、組織でソフトウェアパッケージを安全に保存、配布することができる AWS Systems Manager の機能です。ディストリビューターは、Run Command やステートマネージャーなど既存の Systems Manager の機能と併用して、インスタンスで実行中のパッケージのライフサイクルを管理できます。

Q: ディストリビューターを使用する利点は何ですか?
ディストリビューターを使用すると、パッケージ配信の標準化を可能にして、ソフトウェアパッケージをスケールできます。ディストリビューターを AWS Systems Manager の Run Command とステートマネージャーと併用することで、独自のパッケージ配信およびインストールツールを構築、維持する必要がなくなります。また、ディストリビューターはすべてのパッケージに対して一元化されたレポジトリを使用して、ソフトウェアパッケージの管理を簡略化します。ディストリビューターは IAM ポリシーの使用をサポートするため、パッケージを作成および更新できるユーザーを完全に管理できます。また、ディストリビューターはソフトウェアパッケージの配信をセキュリティで保護するうえで役立ちます。これは、パッケージはストレージで暗号化され、ディストリビューターとインスタンス間のすべての通信が署名および暗号化されるためです。

Q: ディストリビューターはどのようなユーザーに適していますか?
定期的にソフトウェアパッケージを配信し、パッケージ管理をスケールするためのセキュアな方法が必要である、パッケージ用の一元化されたレポジトリが必要である、またはご自身で維持する配信ツールをなくしたいと考えているすべての AWS のお客様が、ディストリビューターを使用できます。ソフトウェアパッケージを作成または更新できるユーザーや、各 AWS アカウントに配信されるバージョンを管理したいと考えている IT プロフェッショナルの方も、ディストリビューターを使用すると利点が得られます。

Q: ディストリビューターにはどれくらいのコストがかかりますか?
ディストリビューターの料金は、Systems Manager の料金表ページに記載されています。

Q: 使用を開始するにはどうすればよいですか?
AWS マネジメントコンソールを使用して、わずか数クリックでディストリビューターを有効にできます。詳細については、開始方法のドキュメントを参照してください。

Q: ディストリビューターでは、SSM Agent を使用する必要はありますか?
はい。ディストリビューターを開始するには、最新バージョンの SSM Agent を使用する必要があります。SSM エージェントはオープンソースで、GitHub で利用できます。また、SSM Agent はデフォルトで Amazon Linux、Amazon Linux 2、Windows、および Ubuntu AMI にインストールされます。

AWS Systems Manager パートナーの詳細

パートナーページをご覧ください。
始める準備はできましたか?
ログイン
ご不明な点がおありですか?
お問い合わせ