全般

Q: AWS Systems Manager とは何ですか?
AWS Systems Manager を使用することで、複数の AWS のサービスの運用データを一元化し、AWS リソース全体のタスクを自動化できます。アプリケーション、アプリケーションスタックのさまざまなレイヤー、本番環境と開発環境といったリソースの論理グループを作成できます。Systems Manager では、リソースグループを選択し、その最新の API アクティビティ、リソース設定の変更、関連する通知、運用アラート、ソフトウェアインベントリ、パッチコンプライアンス状況を表示できます。運用ニーズに応じて、各リソースグループに対してアクションを実行することもできます。Systems Manager により、AWS リソースを一元的に表示および管理でき、運用を完全に可視化して制御できます。

Q: AWS Systems Manager はどのような利用者に適していますか?
複数の AWS のサービスを利用しているお客様は、AWS Systems Manager によって一元的かつ一貫性のある方法で運用に関するインサイトを収集し、ルーチンの管理タスクを実行できます。また、AWS Systems Manager を使用することで、ルーチンの操作の実行や、開発、テスト、本番環境の追跡、イベントなどの運用インシデントに対する積極的なアクションが可能になります。AWS Systems Manager によって、コードエディタや統合開発環境 (IDE) など、お客様が使用する開発者に焦点を当てたツールの運用を補完できます。IDE と同様に、AWS Systems Manager にも幅広い運用ツールが統合されています。

Q: 使用を開始する方法を教えてください。
AWS Systems Manager の開始方法は簡単です。AWS マネジメントコンソールを使用して、AWS Systems Manager コンソールに進みます。シンプルなタグクエリを使用してリソースグループを作成したら、AWS Systems Manager で統合型の運用ツールのセットを利用できます。

Q: AWS Systems Manager ではどのオペレーティングシステムがサポートされていますか?
AWS Systems Manager は同一の操作感で Windows と Linux の両プラットフォームを管理できるよう最適化されています。オンプレミスシステムの管理の詳細については、ドキュメントをご覧ください。

Q: AWS Systems Manager ではオンプレミスで実行されているインスタンスも管理されますか?
はい。AWS Systems Manager では、オンプレミスデータセンターで実行されているインスタンスの管理がサポートされます。詳細については、AWS Systems Manager の前提条件を参照してください。

Q: AWS Systems Manager では、EC2 インスタンスとオンプレミスサーバーをどのように管理できますか?
AWS Systems Manager では、インスタンスまたはサーバー内でアクションを実行するエージェントを利用できます。エージェントは完全にオープンソースで、GitHub で利用できます。

Q: パブリック IP アドレスを使用せずに、VPC から AWS Systems Manager の API にプライベートにアクセスすることはできますか?
はい。VPC エンドポイントを作成すると、VPC (Amazon Virtual Private Cloud を使用して作成) から AWS Systems Manager の API にプライベートにアクセスできます。VPC エンドポイントを使用すると、VPC と AWS Systems Manager の間のルーティングが AWS ネットワークによって処理されます。インターネットゲートウェイ、NAT ゲートウェイ、VPN 接続は必要ありません。AWS Systems Manager で使用される最新世代の VPC エンドポイントでは、AWS PrivateLink が使用されています。AWS PrivateLink は、VPC でのプライベート IP アドレスと Elastic Network Interface (ENI) を使用することにより、AWS のサービス間でのプライベート接続を実現するテクノロジーです。PrivateLink の詳細については、PrivateLink のドキュメントをご覧ください。

Q: AWS Systems Manager はどのリージョンで利用できますか?
AWS Systems Manager を利用できるリージョンについては、AWS のリージョン表をご覧ください。

Q: Amazon EC2 Systems Manager は引き続き EC2 コンソールからも使用できますか?
はい。EC2 コンソールで EC2 Systems Manager を使用することに慣れているユーザー向けに、AWS Systems Manager へのリンクが用意されています。このため、Amazon EC2 Systems Manager のサービスは、引き続き簡単に見つけて使用できます。AWS Systems Manager では、これらのツールにおける新しいユーザー環境を提供しています。

Q: AWS Systems Manager ではどのようなインサイトを収集できますか?
AWS Systems Manager では複数の AWS のサービスからの情報を集めます。これらのサービス全体に対するインサイトは、複数のネイティブダッシュボードに表示されます。また、AWS Systems Manager には Amazon CloudWatch ダッシュボードも組み込まれているため、既存のダッシュボードを再利用することも、新しく作成することもできます。

Q: 組み込みのインサイトとは何ですか?
AWS Systems Manager の組み込みのインサイトは、AWS CloudTrail による最近の API コール、AWS Config による最近の設定変更、インスタンスのソフトウェアインベントリのリスト、インスタンスのパッチコンプライアンスビュー、インスタンスの設定コンプライアンスビューを表示したダッシュボードです。これらのアカウントレベルのインサイトには、特定のリソースグループのメンバーを反映するようにフィルターを適用できます。これらのダッシュボードには、AWS Personal Health Dashboard による最近のイベントログと AWS Trusted Advisor による最適化の推奨事項も表示されます。

Q: マネージドインスタンスとは何ですか?
マネージドインスタンスは、AWS Systems Manager によって管理可能なオンプレミスサーバーまたは Amazon EC2 インスタンスです。マネージドインスタンスには、お客様のオンプレミスデータセンターまたは他のクラウドプロバイダーにおける物理サーバーや仮想マシンなどがあります。

Q: マネージドインスタンスはどのように設定しますか?
EC2 インスタンスをマネージドインスタンスとして設定するには、Systems Manager エージェントをインストールし、AWS Identity and Access Management (IAM) のインスタンスプロファイルをインスタンスにアタッチします。これにより、インスタンスに対してアクションを実行する許可が Systems Manager に与えられます。Amazon EC2 以外のサーバーまたは仮想マシンを登録するには、アクティベーションを作成します。

Q: 一部のオペレーティングシステムには、既に Systems Manager エージェントが含まれていますか?
AWS Windows AMI と Amazon Linux AMI にはデフォルトで Systems Manager エージェントがインストールされており、Amazon Linux リポジトリで利用できます。サポートされる別のオペレーティングシステムにエージェントをインストールすることもできます。

Q: AWS Systems Manager のアクティベーションとは何ですか?
AWS Systems Manager のアクティベーションにより、ハイブリッドなクラウド間の管理が実現します。AWS Systems Manager のアクティベーションを使用すれば、物理と仮想を問わずあらゆるサーバーを簡単に登録して、AWS Systems Manager で管理できます。

Q: AWS Systems Manager のアクティベーションを使用してインスタンスを登録するにはどうすればよいですか?
AWS Systems Manager コンソールまたは API で AWS Systems Manager のアクティベーションを作成すると、アクティベーションコードと ID が提供されます。このアクティベーションコードと ID を使用してサーバーにコマンドを実行することで、インスタンスを Systems Manager に登録できます。

Q: AWS Systems Manager ドキュメントとは何ですか?
AWS Systems Manager ドキュメントは、大規模なリソース管理に向けたコードとしての設定を可能にします。AWS Systems Manager ドキュメントによって一連のアクションが定義されるため、インスタンスのリモート管理、理想的な状態の維持、運用の自動化が可能です。AWS Systems Manager ドキュメントはクロスプラットフォームで、Windows と Linux のインスタンスに使用できます。

Q: AWS Systems Manager ドキュメントはどこで使用できますか?
Systems Manager ドキュメントは実行コマンド、ステートマネージャー、オートメーション機能で使用できます。

Q: 事前定義された AWS Systems Manager ドキュメントはありますか?
はい。インベントリの収集、アプリケーションのインストール、インスタンスのドメインへの参加、インスタンスの運用、メトリクスの収集などの一般的なタスクを自動化する、事前定義済みのさまざまな AWS Systems Manager ドキュメントから選択できます。

Q: 独自の AWS Systems Manager ドキュメントを作成するにはどうすればよいですか?
定義されたドキュメントのスキーマに合わせ、AWS Systems Manager コンソールまたは API から、JSON または YAML で AWS Systems Manager ドキュメントを作成できます。

リソースグループ

Q: AWS Systems Manager と AWS Resource Groups にはどのような関係がありますか?
AWS Systems Manager コンソールは AWS Resource Groups と統合されているため、その他のネイティブな統合に加えてグループ化機能を利用できます。

Q: AWS Systems Manager からリソースグループを作成できますか?
AWS Systems Manager コンソールでタグクエリを使用することで、独自の異種混合なリソースグループを作成できます。このクエリには、特定のタグクエリに一致するようタグ付けされた、すべての AWS リソースが含まれます。独自のリソースグループを作成することで、リソースに対する独自の考え方を反映した AWS Systems Manager ビューを作成できます。例えば、アプリケーションのコンポーネント、アプリケーション層、運用権限の領域ごとにリソースグループを作成できます。

Q: AWS Systems Manager におけるリソースグループのインサイトとは何ですか?
AWS Systems Manager では、リソースグループ固有のインサイトが収集されます。これらのインサイトには、AWS CloudTrail による最近の API コール、AWS Config による最近の設定変更、インスタンスのソフトウェアインベントリのリスト、インスタンスのパッチコンプライアンスビュー、インスタンスの設定コンプライアンスビューなどがあります。これらのアカウントレベルのインサイトには、特定のリソースグループのメンバーを反映するようにフィルターを適用できます。

Q: AWS Systems Manager のリソースグループアクションとは何ですか?
AWS Systems Manager では、AWS Systems Manager オートメーションドキュメントを直接リソースグループに実行できます。リソースグループのメンバー自体が、インプットとして AWS Systems Manager オートメーションドキュメントに渡されます。AWS Systems Manager オートメーションドキュメントでは、承認後にリソースグループにあるインスタンスを再起動することや、一度に 3 つの Amazon EC2 インスタンスにパッチ適用することなど、さまざまなアクションの実例を使用できます。

CloudWatch ダッシュボード

Q: Amazon CloudWatch ダッシュボードとは何ですか?
Amazon CloudWatch ダッシュボードでは、自分の AWS リソースを 1 か所でモニタリングできる、再利用可能なダッシュボードを作成できます。メトリクスデータは 15 か月保持されます。これにより、最新のデータと履歴データを表示できます。

Q: Amazon CloudWatch ダッシュボードと AWS Systems Manager はどのように統合されていますか?
既存の CloudWatch ダッシュボードは、AWS Systems Manager から直接できるようになりました。また、新しい CloudWatch ダッシュボード を Systems Manager から直接作成することもできます。CloudWatch ダッシュボード を使用してカスタムの運用ダッシュボードを独自に構築し、アプリケーションのコンポーネントの健全性、アプリケーション層、運用権限の一般領域を反映できます。

インベントリ

Q: AWS Systems Manager インベントリとは何ですか?
AWS Systems Manager では、インスタンスとそこにインストールされたソフトウェアに関する情報が収集されるため、システムの設定とインストールされたアプリケーションを把握するのに役立ちます。アプリケーション、ファイル、ネットワーク設定、Windows サービス、レジストリ、サーバーロール、アップデート、およびその他のシステムプロパティに関するデータを収集できます。収集したデータを利用して、アプリケーションアセットの管理、ライセンスの追跡、ファイル整合性のモニタリング、従来のインストーラによってインストールされてないアプリケーションの検出などを行えます。

Q: Amazon EC2 インスタンスまたはオンプレミスのインスタンスから、カスタマイズした情報を収集できますか?
はい。カスタムインベントリのタイプを作成して、追加のシステムプロパティを収集できます。これは、インスタンス自体によって収集されるようにすることも、API を使用して記録することもできます。PowerShell などのアプリケーションによる JSON 形式の結果はこの一例です。この場合、情報は rack-info などの JSON ファイルに静的に保存されます。

Q: 設定内容の変更を経時的に追跡するにはどうすればよいですか?
AWS Config を使用すれば、AWS Config Rules によって、必要な設定内容に対するインスタンスのコンプライアンス状況をモニタリングできます。セキュリティの専門家やコンプライアンス監査者は、この機能を使用してインスタンス設定変更の完全な監査証跡を得ることができ、コンプライアンス違反発見時に予防的通知を受け取ることもできます。

Q: 複数の AWS アカウントやリージョンのインベントリデータを表示することや、クエリを実行することはできますか?
はい。複数のアカウントやリージョンに対してインベントリデータを同期して、同じ Amazon S3 バケットに保存できます。その後、Amazon AthenaAmazon QuickSight、または独自のビジネスインテリジェンス (BI) ツールを使用して、複数のアカウントやリージョンに対してインベントリデータのクエリを実行できます。

Q: インベントリデータで分析と可視化を実行できますか?
はい。組み込みのインベントリダッシュボードに加えて、Amazon AthenaAmazon QuickSight を使用してインベントリデータに対する高度な分析と可視化の構築を行えます。

設定コンプライアンス

Q: AWS Systems Manager の設定コンプライアンスとは何ですか?
AWS Systems Manager では、マネージドインスタンスをスキャンしてパッチのコンプライアンスと設定の不一致を確認できます。複数の AWS アカウントやリージョンからデータを収集および集約し、コンプライアンスに違反している特定のリソースにドリルダウンできます。AWS Systems Manager には、デフォルトでパッチ適用と関連付けに関するデータが表示されます。サービスをカスタマイズし、要件に基づいて独自のコンプライアンスタイプを作成することもできます。

Q: 設定内容の変更を経時的に追跡できますか?
AWS Config との統合を利用すれば、Config Rules によって、必要な設定内容に対するインスタンスのコンプライアンス状況をモニタリングできます。セキュリティの専門家やコンプライアンス監査者は、この機能を使用してインスタンス設定変更の完全な監査証跡を得ることができ、コンプライアンス違反発見時に予防的通知を受け取ることもできます。

Q: インスタンスのコンプライアンスレベルを表示するにはどうすればよいですか?
AWS Systems Manager を使用して、パッチ適用プロセスの詳細な結果を示した、パッチのコンプライアンス情報を表示できます。インスタンスごとに集約したコンプライアンスの詳細を簡単に取得できます。さらに、各インスタンスについての情報をより詳細に掘り下げ、インストールされたパッチ、欠落しているパッチ、適用外のパッチ、インストールに失敗したパッチを特定できます。

Q: 自分でコンプライアンスのチェック項目を作成できますか?
はい。独自のコンプライアンスタイプを作成して、API で記録できます。ビジネスの要件に基づいて独自のチェック項目を作成し、AWS Systems Manager でコンプライアンスを記録して、コンプライアンスに違反しているインスタンスを追跡できます。また、リソースデータ同期を作成することで、複数のアカウントやリージョンに対してこのコンプライアンス情報を表示できます。

オートメーション

Q: AWS Systems Manager のオートメーションとは何ですか?
AWS Systems Manager では、AWS リソース全体における一般的な反復 IT オペレーションや管理タスクを安全に自動化できます。Systems Manager を使って、特定のタスクリストを指定する JSON ドキュメントを作成するか、コミュニティで公開済みのドキュメントを使用できます。これらのドキュメントは AWS マネジメントコンソールCLISDK によって直接実行することも、メンテナンスウィンドウでスケジュールすることも、Amazon CloudWatch Events を使用して AWS リソースへの変更に基づいてトリガーすることもできます。ドキュメントの各ステップの実行は追跡できます。各ステップに承認を必要とするように設定することもできます。また、段階的に変更を実行し、エラーが発生した場合に自動的に停止することもできます。

Q: 自動化できるタスクはどれですか?
AWS リソースやオンプレミスのリソースとやり取りするタスクであれば、いかなるタスクでも自動化できます。組み込みのアクションタイプによって、Amazon EC2 インスタンスや AWS CloudFormation スタックなどと簡単にやり取りできます。アクションタイプは、AWS Systems Manager の実行コマンド、PowerShell スクリプト、AWS Lambda 関数を呼び出すために使用できます。

Q: 事前定義された AWS Systems Manager オートメーションドキュメントはありますか?
20 種類を超える事前定義された AWS Systems Manager オートメーションドキュメントがあり、クリックして実行することで、Golden AMI の作成、Amazon EC2 インスタンスへのパッチ適用、インスタンスの状態管理など、幅広いタスクを完了できます。

Q: 独自の AWS Systems Manager オートメーションドキュメントを作成できますか?
既存の AWS Systems Manager オートメーションドキュメントをカスタマイズするか、JSON または YAML を使用して独自に作成できます。また、他のアカウントによって共有される AWS Systems Manager オートメーションドキュメントを使用することや、自身のドキュメントを共有することも可能です。

Q: AWS Systems Manager のオートメーションは承認プロセスに役立ちますか?
はい。組み込みの承認アクションタイプを AWS Systems Manager オートメーションドキュメントに含めることができます。承認者は、1 人以上の AWS Identity and Access Management (IAM) ユーザーに設定できます。AWS Systems Manager オートメーションドキュメントは、必要な最低承認数に達するか拒否されるまで待機状態になります。必要な最低承認数に達するか拒否されると、実行が開始されます。

Q: AWS Systems Manager オートメーションドキュメントをリソースグループ全体に対して実行できますか?
はい。リソースグループをターゲットとして、特定のリソースタイプに対して AWS Systems Manager オートメーションドキュメントを実行できます。また、安全制御を指定してグループ内で AWS Systems Manager オートメーションドキュメントを同時に実行するリソースの数を指定することも、ドキュメントの実行を停止するエラーのしきい値を追加することもできます。

Q: AWS Systems Manager オートメーションドキュメントを一度に 1 つずつ実行できますか?
はい。AWS Systems Manager オートメーションドキュメント全体を 1 つのアクションで実行することも、一度に 1 つずつ実行することもできます。

Q: AWS Systems Manager オートメーションドキュメントの実行をスケジュールに従って、またはその他のイベントに基づいてトリガーできますか?
はい。Amazon CloudWatch Events のターゲットとしてトリガーされるように AWS Systems Manager オートメーションドキュメントをスケジュールするか、AWS Systems Manager のメンテナンスウィンドウを使用して AWS Systems Manager オートメーションドキュメントの実行をスケジュールに従ってトリガーできます。また、Amazon CloudWatch Events を使用して、AWS リソースへの変更に基づいて AWS Systems Manager オートメーションドキュメントの実行をトリガーすることもできます。

実行コマンド

Q: AWS Systems Manager の実行コマンドとは何ですか?
AWS Systems Manager では、サーバーにログインしなくても安全でセキュアに大規模なインスタンスをリモートで管理できるため、踏み台ホスト、SSH、リモート PowerShell が不要になります。レジストリの編集、ユーザー管理、ソフトウェアやパッチのインストールなど、インスタンスのグループ全体における一般的な管理タスクを簡単に自動化できます。AWS Identity and Access Management (IAM) との統合により、詳細なアクセス権限を適用し、インスタンスに対してユーザーが実行できるアクションを制御できます。Systems Manager で実行されたアクションはすべて AWS CloudTrail で記録されるため、環境全体の変化を監査できます。

Q: AWS では事前定義されたコマンドを利用できますか?
はい。よく使用される管理タスクを実行するため事前定義されたコマンドを利用できます。Windows では、PowerShell、シェルのコマンド、スクリプトの実行、Windows アップデートの設定、MSI アプリケーションのデプロイなどを行えます。Linux では、任意のシェルのコマンドまたはスクリプトの実行、およびインストール済みエージェントのリモートでの更新を行えます。また、カスタムコマンドを作成して環境に必要な一般タスクを実行することもできます。

Q: 環境全体に一括で変更を適用できますか?
はい。タグベースのクエリを使用したターゲット設定によって、大規模なインスタンスのグループに対してアクションを実行できます。エラーしきい値のある同時実行バッチを指定できるレート制御を設定することで、環境全体に変更を安全にプロパゲートできます。

Q: コマンドを実行できるユーザーを制御できますか?
はい。公開済みの AWS Identity and Access Management (IAM) のアクセス許可とポリシーを使用して、タグベースの許可によって特定のインスタンスでコマンドやドキュメントを操作できるユーザーを制御できます。例えば、ある IAM ユーザーに PowerShell コマンドの実行を許可するものの、インスタンスのドメインへの参加は許可しないように指定できます。また、別の IAM ユーザーにはサービスの再開といった特定のコマンドの実行権限のみを与えるなど、特定のユーザーに付与するアクセス権限を柔軟に指定できます。

パッチマネージャー

Q: AWS Systems Manager のパッチマネージャーとは何ですか?
AWS Systems Manager により、選択したオペレーティングシステムとソフトウェアのパッチを、Amazon EC2 またはオンプレミスの大規模なインスタンスグループに自動的にデプロイできます。パッチベースラインによって、オペレーティングシステムパッチや重要度の高いパッチなど、インストールする特定のパッチのカテゴリを自動承認するためのルールを設定できます。また、これらのルールよりも優先され、自動的に承認または拒否されるパッチのリストを指定できます。さらに、パッチのメンテナンスウィンドウをスケジュールして、事前に設定した時間にのみ適用されるようにできます。Systems Manager を使用すると、ソフトウェアが常に最新状態となり、コンプライアンスポリシーを満たすことができます。

Q: インスタンスにパッチを適用するタイミングはどのように指定しますか?
AWS Systems Manager のメンテナンスウィンドウを使用してパッチ適用のタイミングを定義できます。AWS Systems Manager では、繰り返し実行される 1 つまたは複数の時間枠を定義できます。この時間枠内で、独自のメンテナンスを実行できます。このような期間を設定してインスタンスと関連付けることで、ワークロードの可用性に影響するインスタンスのメンテナンスアクティビティを適切な時間枠内で実行できます。

Q: パッチ適用プロセスはどのようにカスタマイズしますか?
AWS Systems Manager では、完全に自動化されたパッチ適用プロセスを利用できます。独自の AWS Systems Manager コマンドまたはオートメーションドキュメントを作成することで、簡単にパッチ適用プロセスをカスタマイズできます。

Q: どのようなタイプのパッチをインストールできますか?
AWS Systems Manager では、Windows と Linux ベースのインスタンスのパッチ適用をサポートしています。現在サポートされているバージョンについては、AWS のドキュメントをご覧ください。

Q: インストールするパッチはどのように選択しますか?
パッチベースラインによって、インスタンスへのデプロイを承認またはブロックしたパッチのセットが定義されます。パッチベースラインでは、製品別 (Windows Server 2008、Windows Server 2012 など)、カテゴリ別 (重要なアップデート、セキュリティアップデート)、デプロイのために確認するパッチの重要度別に、パッチを選択できます。その後、選択されたカテゴリごとに、カテゴリに含まれるパッチのデプロイが自動的に承認されるスケジュールを定義できます。ルールに加えて、ホワイトリストやブラックリストを指定し、インストールまたはブロックするパッチをそれぞれ選択することもできます。パッチ適用の際は、その時点より前に承認されたパッチについてのみ、AWS Systems Manager によってターゲットとなるインスタンスの評価が実行されます。

Q: インスタンスのコンプライアンスレベルを表示するにはどうすればよいですか?
パッチ適用プロセスの詳細な結果を示した、パッチのコンプライアンス情報を表示できます。AWS Systems Manager のコンソールまたは API から、インスタンスごとに集約したコンプライアンスの詳細を簡単に取得できます。さらに、各インスタンスについての情報をより詳細に掘り下げ、インストールされたパッチ、欠落しているパッチ、適用外のパッチ、インストールに失敗したパッチを特定できます。

メンテナンスウィンドウ

Q: AWS Systems Manager のメンテナンスウィンドウとは何ですか?
AWS Systems Manager では、管理やメンテナンスのタスクを複数のインスタンスに対して実行するための時間枠をスケジュールできます。これにより、パッチやアップデートのインストール、その他の設定変更を行うのに便利で安全な時間を選択できるため、サービスとアプリケーションの可用性と信頼性を向上できます。

Q: AWS Systems Manager のメンテナンスウィンドウの使用が推奨されるのはなぜですか?
AWS Systems Manager のメンテナンスウィンドウを使用し、特定のタスクを適切な時間枠で自動的に実行することで、オペレーションやインフラストラクチャの障害による悪影響を大幅に抑制し、ワークロードの可用性と信頼性を向上できます。

Q: AWS Systems Manager のメンテナンスウィンドウを使用してどのようなタスクを実行できますか?
以下に挙げるタスクを実行できます。

  • アプリケーションのインストール、パッチの更新、AWS Systems Manager エージェントのインストールまたはアップデート、PowerShell コマンドと Linux シェルスクリプトの実行。
  • Amazon Machine Images (AMI) の構築、ソフトウェアのブートストラップ、インスタンスの設定。
  • インスタンスをスキャンしてパッチ更新を探すなどの追加アクションをトリガーする AWS Lambda 関数の実行。
  • インスタンスを Elastic Load Balancing 環境から削除し、インスタンスにパッチを適用してから Elastic Load Balancing 環境に戻すなどのタスクを実行する、AWS Step Functionステートマシンの実行。

Q: AWS Systems Manager のメンテナンスウィンドウではどのようなタスクをスケジュールできますか?
任意の AWS Systems Manager の実行コマンドの実行、AWS Systems Manager オートメーションドキュメントの実行、AWS Step FunctionsAWS Lambda 関数をタスクとして作成してスケジュールできます。

Q: AWS Systems Manager のメンテナンスウィンドウとして、どのようなスケジュールを選択できますか?
AWS Systems Manager のメンテナンスウィンドウのスケジュールは、毎月の特定の日や毎週の特定の曜日に設定できます (毎週火曜日 22:00:00 や毎月第 1 日曜日 22:00:00 など)。cron 式または rate 式でスケジュールを指定できます。

ステートマネージャー

Q: AWS Systems Manager のステートマネージャーとは何ですか?
AWS Systems Manager の設定管理は、Amazon EC2 インスタンスまたはオンプレミスインスタンスの設定の一貫性を維持するのに役立ちます。また Systems Manager では、サーバーの設定、アンチウイルス定義、ファイアウォール設定などの詳細な設定内容を制御できます。サーバーの設定ポリシーは、AWS マネジメントコンソール、既存のスクリプト、PowerShell モジュールを使用して、または GitHub か Amazon S3 バケットから直接 Ansible プレイブックを使用して定義できます。Systems Manager では、設定が複数のインスタンスに対して一度に、定義した頻度で自動的に適用されます。Systems Manager のクエリを実行すれば、いつでもインスタンス設定の状態を表示できるため、コンプライアンスの状態をオンデマンドで確認できます。

Q: AWS Systems Manager のステートマネージャーの使用が推奨されるのはなぜですか?
アプリケーションを動作させるためのインフラストラクチャを一貫した状態に保つことは簡単ではありません。AWS Systems Manager を使用することで、ポリシーを作成して再適用することにより、設定の変動を防止し、意図した状態になっているかをモニタリングできます。

Q: ポリシーはどのように作成しますか?
ポリシーは AWS Systems Manager ドキュメントによって簡単に作成できます。また、アプリケーションのインストールやインスタンスのドメインへの参加などに使用できる、事前定義された設定もあります。

Q: 設定できるターゲットはどのようなものですか?
インスタンスまたはタグをターゲットとして柔軟に設定できます。つまり、ウェブサーバーグループのようなインスタンスのグループに対して特定の設定を柔軟に行えます。

Q: 既存の設定管理ツールを AWS Systems Manager のステートマネージャーと併用できますか?
はい。AWS では、Ansible プレイブックまたは Salt State を実行するための事前定義された AWS Systems Manager ドキュメントを提供しています。また、AWS Systems Manager のステートマネージャーを使用して PowerShell DSC をインスタンスに使用することで、設定の変動を軽減できます。さらに、パブリックまたはプライベートの GitHub リポジトリから任意の設定スクリプトを直接実行することもできます。

パラメータストア

Q: AWS Systems Manager のパラメータストアとは何ですか?
AWS Systems Manager では、データベース文字列のようなプレーンテキストデータや、パスワードのような秘密データなど、設定データを一元的に管理するストアを利用できます。これにより、秘密データと設定データをコードから分離できます。パラメータにはタグを付けることができ、階層別に整理できるため、より簡単にパラメータを管理できます。例えば、"db-string" という同じパラメータ名を "dev/db-string " や "prod/db-string" などの異なる階層パスで使用して、異なる値を保存できます。Systems Manager は AWS Key Management Service (KMS) と統合されているため、保存したデータは自動的に暗号化されます。また、AWS Identity and Access Management (IAM) を使用して、ユーザーとリソースによるパラメータへのアクセスを制御できます。パラメータは、Amazon Elastic Container ServiceAWS LambdaAWS CloudFormation などの AWS の他のサービスからも参照できます。

Q: AWS Systems Manager のパラメータストアの使用が推奨されるのはなぜですか?
ベストプラクティスとして、設定データや秘密データはコードと分離して保存しておくことをお勧めします。AWS Systems Manager のパラメータストアを使用すれば、設定情報や機密性のある情報の保存と参照をすばやく実行できます。データを設定ファイルに保存したりプレーンテキストで参照したりする代わりに、その情報をアプリケーションやスクリプトで保存および取得できます。さらに、パラメータにアクセスできるユーザーを制限できるため、特定の情報に適切なユーザーのみがアクセスできるよう設定できます。

Q: 機密性のあるデータはどのように保存されますか?
保存や参照に機密性が求められるデータはすべて、安全な文字列となります。ユーザーがクリアテキストとして参照しないようにするデータ、または改ざんや悪用の可能性があるデータには、AWS Systems Manager のパラメータストアの安全な文字列を使用する必要があります。機密性のあるデータは、独自の AWS Key Management Service (KMS) キーまたは AWS KMS で提供されるユーザーアカウントのデフォルトキーを使用して暗号化できます。

Q: どのようなサービスでパラメータを参照できますか?
Amazon Elastic Container ServiceAWS Lambda、AWS Systems Manager などの AWS のサービス、または AWS Systems Manager のパラメータストアの API を使用できるサービスでパラメータを参照できます。

Q: 特定のパラメータを対象とした使用状況の追跡やアクセスコントールは実行できますか?
はい。AWS Identity and Access Management (IAM) を使用してユーザーやリソース (インスタンスなど) にパラメータへのアクセス許可をカスタマイズすることで、詳細にアクセスを制御できます。つまり、どのリソースのどのパラメータに誰がアクセスできるかをすべて制御できます。また、パラメータの変更イベントに基づいて Amazon CloudWatch Events のルールも設定できます。さらに、パラメータ API コールを AWS CloudTrail で追跡し、監査することもできます。

Q: パラメータへの変更を追跡できますか?
はい。パラメータ変更の履歴を確認できます。また、変更の際に自動的に追加されるバージョンを使用して、バージョンに応じた特定のパラメータの値を確認できます。

Q: パラメータとして階層データを保存できますか?
はい。階層構造を使用してパラメータを保存できます。また、階層のすべてのレベルでアクセスを制御および監査できます。

Q: パラメータの値が変更された際に通知を受信することはできますか?
はい。各パラメータの値に Amazon CloudWatchAmazon Simple Notification Service (SNS) の通知を設定し、変更された際に通知を受信できます。

AWS Systems Manager パートナーの詳細

パートナーページにアクセスする
始める準備はできましたか?
ログイン
ご不明な点がおありですか?
お問い合わせ