AWS Systems Manager の特徴

AWS Systems Manager は、複数の AWS のサービスからの運用データを一元化し、AWS 上およびマルチクラウドやハイブリッド環境内のリソース全体のタスクを自動化します。アプリケーション、アプリケーションスタックのさまざまなレイヤー、本番環境と開発環境といったリソースの論理グループを作成できます。Systems Manager では、リソースグループを選択し、その最新の API アクティビティ、リソース設定の変更、関連する通知、運用アラート、ソフトウェアインベントリ、パッチコンプライアンス状況を表示できます。運用ニーズに応じて、各リソースグループに対してアクションを実行することも可能にします。 Systems Manager により、AWS 上およびマルチクラウドやハイブリッド環境内のリソースを一元的に表示および管理でき、運用を完全に可視化して制御できます。

AWS Systems Manager Explorer は、AWS 環境の運用の健全性とパフォーマンスについての主要なインサイトおよび分析を提供する、カスタマイズ可能なダッシュボードです。Explorer では、AWS アカウントと AWS リージョン全体の運用データを集約して優先順位を付けることで、アクションが必要な箇所を特定できるようにします。

Jira Service Desk などの IT サービスマネジメント (ITSM) ツールは、AWS Systems Manager と接続して、ITSM プラットフォームのユーザーが AWS リソースを容易に管理できるようにします。これらの AWS Service Management コネクタは AWS 製品のガバナンスと監視を Jira Service Desk 管理者に提供します。

OpsCenter を利用すると、オペレーションエンジニアや IT プロフェッショナルは、AWS 上およびマルチクラウドやハイブリッド環境内のリソースに関連した運用上の問題の確認、調査、および解決を一元的に行うことができます。 OpsCenter では、運用上の問題 (OpsItem といいます) が集約および標準化され、問題の診断と是正に役立つコンテキスト上関連性の高いデータが提供されます。OpsItem に対応するエンジニアは以下の情報を入手できます。

• イベント、リソース、アカウントの詳細情報
• 類似した特徴を持つ過去の OpsItem
• 関連する AWS Config の変更
• AWS CloudTrail のログ
• Amazon CloudWatch アラーム
• スタックの情報
• ログやメトリクスにアクセスできるクイックリンク
• ランブックのリストと推奨されるランブック
• AWS のサービスから OpsCenter に渡されたその他の情報

エンジニアはこの情報を活用することで、運用上の問題をより迅速に調査、対処できます。また、Systems Manager コンソールや Systems Manager OpsCenter API を使用して、OpsCenter で問題を確認したり対応したりすることもできます。

AWS Systems Manager Incident Manager を使用すると、重要なアプリケーションの可用性とパフォーマンスの問題をより迅速に解決できます。これは、適切な担当者を関与させ、適切な情報を提供する自動対応計画を使用して、インシデントに備えるのに役立ちます。Incident Manager を使用すると、Amazon CloudWatch アラームまたは Amazon EventBridge イベントによって重大な問題が検出されたときに自動的にアクションを実行できます。Incident Manager は、事前に設定された対応計画を即座に実行して、SMS と電話で対応担当者をエンゲージし、AWS Chatbot を使用して指定チャットチャネルをリンクし、AWS Systems Manager Automation ランブックを実行します。Incident Manager は、Amazon のインシデント後の分析テンプレートに基づいて、ランブックステップの自動化や新しいアラームの追加など、インシデント後のアクションアイテムを提案することにより、サービスの信頼性を向上させるのに役立ちます。詳細については、Incident Manager の機能ページを参照し、使用を開始するにはSystems Manager コンソールをご覧ください。

AWS Systems Manager Application Manager は、アプリケーションのコンテキストで AWS 上およびマルチクラウドやハイブリッド環境内のリソースの問題を調査および修正する際に役に立ちます。Application Manager を使用すれば、アプリケーションコンポーネントを検出または定義したり、アプリケーションのコンテキストで操作データ (デプロイステータス、Amazon CloudWatch アラーム、リソース設定、運用上の問題など) を表示したり、Automation Runbook のパッチ適用や実行などの修正アクションを実行したりすることができます。これにより、アプリケーションの運用ワークフローが合理化され、運用上の問題を調査および修正するためにさまざまなコンソールを使用する必要がなくなります。Application Manager は、データとアラームを表示し、Amazon Elastic Container Service (ECS) および Amazon Elastic Kubernetes Service (EKS) 環境の既存のコンテナクラスターに対してアクションを実行します。 さらに、Application Manager コンソール内で、AWS CloudFormation のテンプレートやスタックの全ライフサイクルを管理することができます。

AWS AppConfig は、管理およびモニタリングされた方法でアプリケーション設定をデプロイするのに役立ちます。これはコードのデプロイと同様ですが、設定値が変更された場合にコードをデプロイする必要はありません。AWS AppConfig はインフラストラクチャに合わせてスケールするため、任意の数の Amazon Elastic Compute Cloud (EC2) インスタンス、コンテナ、AWS Lambda 関数、モバイルアプリケーション、IoT デバイス、またはオンプレミスインスタンスに設定をデプロイできます。AWS AppConfig では、API または AWS マネジメントコンソールを通じて変更を入力することにより、設定を更新できます。AWS AppConfig を使用すると、これらの変更を意味論的および構文的に検証して、設定がそれぞれのアプリケーションに期待される内容に沿うようにできます。これは、潜在的なサービス停止を防ぐのに役立ちます。コードのデプロイと同様のベストプラクティスを使用して、ロールアウトのステージング、アラームのモニタリング、エラーが発生した場合の変更のロールバックなどのアプリケーション設定をデプロイできます。 詳細については、AWS AppConfig の特徴のページをご覧ください。

AWS Systems Manager では、データベース文字列のようなプレーンテキストデータや、パスワードのような秘密データなど、設定データを一元的に管理するストアを利用できます。これにより、秘密データと設定データをコードから分離できます。パラメータにはタグを付けることができ、階層別に整理できるため、より簡単にパラメータを管理できます。例えば、"db-string" という同じパラメータ名を "dev/db-string " や "prod/db-string" などの異なる階層パスで使用して、異なる値を保存できます。Systems Manager は AWS Key Management Service (KMS) と統合されているため、保存したデータを自動的に暗号化できます。また、AWS Identity and Access Management (IAM) を使用して、ユーザーとリソースによるパラメータへのアクセスを制御できます。 パラメータは、Amazon ECS、AWS Lambda、AWS CloudFormation などの他の AWS のサービスを通じて参照できます。

AWS Systems Manager Change Manager では、AWS およびオンプレミスでのインフラストラクチャおよびアプリケーションの設定に対する運用上の変更のリクエスト、承認、実行、および報告の方法を簡素化します。Change Manager では、運用上の変更を行う際に、事前に承認された変更ワークフローを使用して、望まない結果を回避できます。また、Change Manager は、重要なビジネスイベントのスケジュールの競合を検出し、影響を受ける承認者に自動で通知を送信することで、安全に変更するのをサポートします。Change Manager から変更レポートを使用して、変更の進捗状況をモニタリングし、組織全体の運用上の変更を監査できます。また、可視性と相互運用性を向上させることができます。

AWS Systems Manager では、一般的な反復 IT オペレーションや管理タスクを安全に自動化できます。Systems Manager Automation では、複数のアカウントおよび AWS リージョンにわたる AWS リソースの管理を可能とするために、事前定義されたプレイブックを使用し、または Wiki スタイルの自動プレイブックを構築、実行、および共有します。承認、AWS API コール、EC2 インスタンスでのコマンド実行といった他のオートメーションアクションと組み合わせて、Python または PowerShell スクリプトをプレイブックの一部として実行できます。プレイブックは、メンテナンス期間にスケジュール設定できます。また、Amazon CloudWatch Events で AWS 上およびマルチクラウドやハイブリッド環境内のリソースの変更に応じてトリガーさせることも、AWS マネジメントコンソール、CLI、SDK から直接実行することもできます。オートメーションは、プレイブックで各ステップの実行を追跡し、承認を要求し、変更を増分的にロールアウトし、エラーが発生した場合にロールアウトを自動的に停止できます。

AWS Systems Manager では、管理やメンテナンスのタスクを複数のインスタンスで実行するための時間枠をスケジュールできます。これにより、パッチやアップデートのインストール、その他の設定変更を行うのに便利で安全な時間が確実に選択されるようになり、サービスとアプリケーションの可用性と信頼性が向上します。

AWS Systems Manager Fleet Manager は、サーバーとエッジデバイスのリモート管理プロセスを合理化します。Fleet Manager を使用すると、クラウド上で、またはオンプレミスで実行されているフリートを管理およびトラブルシューティングすることで、時間と費用を節約できます。リモートでの接続が無くても可能です。個々のノード (サービス、デバイス、または他のリソース) にドリルダウンして、ディスクとファイルの探索、ログ管理、Windows レジストリオペレーション、ユーザー管理などの一般的なシステム管理タスクをコンソールから実行できます。 ブレークグラスのシナリオでは、コンソールからインスタンスへのセキュアシェル、CLI、およびコンソールベースの Remote Desktop Protocol (RDP) アクセスをすばやく取得して、問題に迅速に対応できます。

AWS Systems Manager では、ダッシュボードでそれぞれのリソースグループの運用データを自動的に集計し、表示します。Systems Manager では、運用データを見るために複数の AWS コンソールを操作する必要がありません。Systems Manager を使用すると、AWS CloudTrail の API コールログ、AWS Config のリソース設定の変更、ソフトウェアインベントリ、リソースグループごとのパッチコンプライアンスの状況を確認できます。また、AWS CloudWatch ダッシュボード、AWS Trusted Advisor の通知、AWS Personal Health Dashboard のパフォーマンスと可用性のアラートを Systems Manager ダッシュボードと統合します。Systems Manager では、関連するすべての運用データが一元化されるため、インフラストラクチャのコンプライアンスとパフォーマンスの状態をより良く確認できます。

AWS Systems Manager では、インスタンスとそこにインストールされたソフトウェアに関する情報が収集されるため、システムの設定とインストールされたアプリケーションを把握するのに役立ちます。アプリケーション、ファイル、ネットワーク設定、Windows サービス、レジストリ、サーバーロール、アップデート、およびその他のシステムプロパティに関するデータを収集できます。収集したデータを利用して、アプリケーションアセットの管理、ライセンスの追跡、ファイル整合性のモニタリング、従来のインストーラによってインストールされてないアプリケーションの検出などを行えます。

AWS Systems Manager は、クラウド上のインスタンス、またはオンプレミスおよびエッジデバイスを管理するための、ブラウザベースのインタラクティブシェル、CLI、およびブラウザベースのリモートデスクトップアクセスを提供します。インバウンドポートを開いたり、Secure Shell (SSH) キーを管理したり、要塞ホストを使用したりする必要はありません。管理者は、AWS Identity and Access Management (IAM) ポリシーを使用することにより、単一の場所からインスタンスへのアクセス権の付与および取り消しを行うことができます。これにより各インスタンスにアクセスできるユーザーを管理し、特定のユーザーに非ルートのアクセス権を付与することもできます。アクセスが提供されると、AWS CloudTrail を使用して、どのユーザーがインスタンスにアクセスしたのかを監査し、各コマンドを Amazon Simple Storage Service (S3) や Amazon CloudWatch Logs にログ記録できます。

AWS Systems Manager では、サーバーにログインしなくても安全でセキュアに大規模なインスタンスをリモートで管理できるため、踏み台ホスト、SSH、リモート PowerShell が不要になります。レジストリの編集、ユーザー管理、ソフトウェアやパッチのインストールなど、インスタンスのグループ全体における一般的な管理タスクを簡単に自動化できます。AWS Identity and Access Management (IAM) との統合により、詳細なアクセス許可を適用し、インスタンスに対してユーザーが実行できるアクションを制御できます。Systems Manager で実行されたアクションはすべて AWS CloudTrail で記録されるため、環境全体の変化を監査できます。

AWS Systems Manager の設定管理は、Amazon EC2 インスタンスまたはオンプレミスインスタンスの設定の一貫性を維持するのに役立ちます。また Systems Manager では、サーバーの設定、アンチウイルス定義、ファイアウォール設定などの詳細な設定内容を制御できます。サーバーの設定ポリシーは、AWS マネジメントコンソール、既存のスクリプト、PowerShell モジュールを使用して、または GitHub か Amazon S3 バケットから直接 Ansible プレイブックを使用して定義できます。Systems Manager では、設定が複数のインスタンスに対して一度に、定義した頻度で自動的に適用されます。Systems Manager のクエリを実行すれば、いつでもインスタンス設定の状態を表示できるため、コンプライアンスの状態をオンデマンドで確認できます。

AWS Systems Manager は、オペレーティングシステムとソフトウェアのパッチを自動的に選択し、クラウドまたはオンプレミスのインスタンスおよびエッジデバイスの大規模なグループに自動的にデプロイするのに役立ちます。パッチベースラインによって、オペレーティングシステムパッチや重要度の高いパッチなど、インストールする特定のパッチのカテゴリを自動承認するためのルールを設定できます。また、これらのルールよりも優先され、自動的に承認または拒否されるパッチのリストを指定できます。さらに、パッチのメンテナンスウィンドウをスケジュールして、事前に設定した時間中にのみ適用されるようにできます。Systems Manager を使用すると、ソフトウェアが常に最新状態となり、コンプライアンスポリシーを満たすことができます。

AWS Systems Manager は、ソフトウェアエージェントなどのソフトウェアパッケージを安全に配信およびインストールするのに役立ちます。Systems Manager Distributor を使用すると、ソフトウェアパッケージを一元的に保存し、システムで配信しながら、バージョニング管理することができます。ソフトウェアパッケージを作成および配信するにはディストリビューター、ソフトウェアパッケージをインストールするには Systems Manager の Run Command とステートマネージャーを使用します。また、ディストリビューターでは、IAM ポリシーを使用して、アカウントのパッケージを作成または更新できるユーザーを制御することもできます。ホストにパッケージをインストールすることができるユーザーを定義するには、Systems Manager Run Command およびステートマネージャーの既存の IAM ポリシーサポートを使用することができます。