運用管理

AWS Systems Manager によるフリート管理 - パッチ適用・インベントリ・ Run Command の自動化

Patch Manager でパッチ適用を自動化し、Run Command でリモート操作を効率化する。Session Manager による SSH 不要のシェルアクセスも紹介します。

約 2 分で読めます

Systems Manager の主要機能

Systems ManagerEC2 インスタンスとオンプレミスサーバーの運用管理を統合するサービスです。SSM Agent がインストールされたインスタンスをマネージドノードとして管理し、パッチ適用、コマンド実行、セッション接続、インベントリ収集、パラメータ管理などの機能を提供します。SSM Agent は Amazon Linux 2、Amazon Linux 2023、Ubuntu、Windows Server の AMI にプリインストールされています。Systems Manager 自体の利用料金は無料で、EC2 インスタンスの料金のみが発生します。

Patch Manager によるパッチ管理

Patch Manager は OS とアプリケーションのパッチ適用を自動化します。パッチベースラインで適用するパッチの分類 (セキュリティ、バグ修正、機能強化) と重要度 (Critical、Important、Medium、Low) を定義し、承認ルール (リリース後 7 日で自動承認など) を設定します。メンテナンスウィンドウでパッチ適用のスケジュール (毎週日曜 2:00 AM など) を定義し、業務時間外に自動実行します。パッチコンプライアンスダッシュボードでフリート全体のパッチ適用状況を一覧でき、未適用のインスタンスを特定できます。パッチ適用前にスナップショットを自動取得する設定も可能で、パッチ適用後の問題発生時にロールバックできます。

Run Command と Session Manager

Run Command は SSM ドキュメント (定義済みのコマンドセット) をマネージドノードにリモート実行する機能です。 AWS-RunShellScript でシェルコマンドを実行し、 AWS-RunPowerShellScript で PowerShell コマンドを実行します。ターゲットはタグ、リソースグループ、手動選択で指定でき、数千台のインスタンスに同時にコマンドを送信できます。 Session Manager はブラウザベースのシェルアクセスを提供し、 SSH キーの管理やセキュリティグループでの SSH ポート開放が不要になります。セッションのログは S3 や CloudWatch Logs に自動記録され、誰がいつどのコマンドを実行したかを監査できます。 Systems Manager に関する詳しい解説はAmazon の関連書籍でも確認できます。

Systems Manager の料金

Systems Manager の主要機能 (Patch Manager、Run Command、Session Manager、Inventory) は無料で利用できます。SSM Agent のインストールと実行にも追加料金は発生しません。コストが発生するのは、Advanced パラメータ (Parameter Store の 8 KB 超パラメータ、月額約 0.05 ドル/パラメータ)、OpsCenter の OpsItem (1,000 件あたり約 2.97 ドル)、Change Manager の変更リクエスト (1,000 件あたり約 0.326 ドル) などの高度な機能のみです。EC2 を運用するすべての環境で、無料の基本機能を有効化しない理由はありません。

まとめ

Systems Manager は EC2 フリートの運用管理を統合・自動化するサービスです。Patch Manager でパッチ適用を自動化し、Run Command でリモート操作を効率化し、Session Manager で安全なシェルアクセスを提供します。無料で利用でき、EC2 を運用するすべての環境で導入を推奨します。

関連するサービス

AWS Systems ManagerAWS リソースとオンプレミスサーバーを一元管理できる運用管理サービスAmazon EC2クラウド上で仮想サーバーを提供するコンピュートサービスAmazon CloudWatchAWS リソースとアプリケーションの監視・ログ管理・アラームを提供するサービス

関連する記事

AWS Secrets Manager によるシークレット管理 - 自動ローテーションとアプリケーション統合RDS・Aurora のパスワードを Lambda 関数で自動ローテーションし、SDK キャッシュライブラリでアプリケーションからシームレスに取得する。Parameter Store との使い分けも紹介します。AWS AppConfig で実装するフィーチャーフラグ - 安全な設定デプロイとロールバックコードデプロイとは独立した設定変更を、Linear・Exponential 戦略で段階的にロールアウトする。CloudWatch アラーム連動の自動ロールバックで安全性を確保します。EC2 Instance Connect で SSH キー管理を不要に - ブラウザと CLI からの安全な接続EC2 Instance Connect によるキーレス SSH 接続、IAM ベースのアクセス制御、Endpoint の活用を解説します。

同じテーマの記事

AWS の内部時刻同期の仕組み - Amazon Time Sync Service とうるう秒スミアリングの設計AWS が独自に運用する Amazon Time Sync Service の仕組み、GPS と原子時計による高精度時刻源、うるう秒をスミアリングで吸収する設計判断、分散システムにおける時刻同期の重要性を解説します。AWS AppFabric で SaaS 監査ログを集約 - OCSF 標準化と Security Lake 統合AppFabric による SaaS アプリケーションの監査ログ収集、OCSF 形式への標準化、分析パイプラインの構築を解説します。AWS AppConfig で実装するフィーチャーフラグ - 安全な設定デプロイとロールバックコードデプロイとは独立した設定変更を、Linear・Exponential 戦略で段階的にロールアウトする。CloudWatch アラーム連動の自動ロールバックで安全性を確保します。アーキテクチャレビュー - AWS Well-Architected Tool でワークロードを体系的に評価するAWS Well-Architected Tool を使ったワークロードのアーキテクチャレビューを解説。6 つの柱に基づく評価、改善計画の策定、カスタムレンズの活用を紹介します。監査ログの設計と運用 - CloudTrail による API アクティビティの完全記録AWS CloudTrail を活用した監査ログの設計手法を解説し、API アクティビティの記録、S3 への長期保存、Config との連携によるコンプライアンス対応を紹介します。AWS の障害報告書 (COE) から学ぶ分散システムの教訓 - 過去の大規模障害が変えた設計原則AWS が公開した Correction of Errors (COE) と障害報告書から、S3 障害、us-east-1 の DNS 障害、Kinesis 障害など過去の大規模インシデントの根本原因と、それが AWS の設計原則をどう変えたかを解説します。タグの設計が運用を決める - AWS リソースタグ戦略の雑学と実践的な命名規則AWS リソースタグが単なるラベルではなくコスト配分、アクセス制御、自動化の基盤である理由、タグキーの命名規則、タグの上限 50 個の使い方、タグポリシーによるガバナンスを解説します。AWS のサービスクォータはなぜ存在するのか - 共有インフラを守るマルチテナント設計AWS のサービスクォータ (旧サービス制限) が単なる制約ではなく、マルチテナント環境で他の顧客を守るための設計であることを、ノイジーネイバー問題、ソフトリミットとハードリミットの違い、引き上げ申請の裏側から解説します。

内容が近い記事・サービス

AWS Systems ManagerEC2 インスタンスやオンプレミスサーバーの運用管理を一元化するサービスで、パッチ適用、コマンド実行、パラメータ管理、セッション接続などを SSH なしで安全に実行できるシステム運用管理の効率化 - Systems Manager による統合運用基盤の構築AWS Systems Manager を活用したシステム運用管理の設計手法を解説し、パッチ管理、パラメータストア、Run Command による運用自動化の実現方法を紹介します。AWS Systems Manager の運用自動化 - パッチ管理からセッション管理まで統合する運用基盤AWS Systems Manager のパッチ管理、インベントリ、Run Command、Session Manager を中心に、運用自動化の統合基盤としての優位性を Azure Automation と比較して解説します。AWS Systems Manager Parameter Store で管理する設定と秘密情報 - 階層構造と暗号化Parameter Store による設定値と秘密情報の管理、階層構造の設計、Secrets Manager との使い分けを解説します。