運用管理

AWS Systems Manager

EC2 インスタンスやオンプレミスサーバーの運用管理を一元化するサービスで、パッチ適用、コマンド実行、パラメータ管理、セッション接続などを SSH なしで安全に実行できる

約 2 分で読めます

概要

AWS Systems Manager (SSM) は、AWS リソースとオンプレミスサーバーの運用管理を統合するサービス群です。SSM Agent をインストールしたインスタンスに対して、SSH ポートを開放せずにシェルアクセス (Session Manager)、リモートコマンド実行 (Run Command)、OS パッチの自動適用 (Patch Manager)、ソフトウェアインベントリの収集 (Inventory)、設定パラメータの安全な保存 (Parameter Store) などを提供します。Parameter Store は設定値や接続文字列を一元管理し、SecureString タイプでは KMS による暗号化が適用されます。無料枠が大きく、Parameter Store の標準パラメータは無料で最大 10,000 個まで保存できます。

Session Manager - SSH を不要にする

Session Manager は、EC2 インスタンスへのシェルアクセスを IAM 認証で提供する機能です。SSH キーの管理が不要になり、セキュリティグループでポート 22 を開放する必要もありません。セッションのすべての入出力は CloudTrail と S3/CloudWatch Logs に記録されるため、誰がいつ何を実行したかの完全な監査証跡が残ります。SSH ではこのレベルの監査は困難です。Session Manager はブラウザベースのコンソールからも、AWS CLI からも使用できます。ポートフォワーディング機能を使えば、プライベートサブネットの RDS に対してローカルの DB クライアントから接続することも可能です。踏み台サーバー (Bastion Host) を廃止し、Session Manager に移行する組織が増えています。

Parameter Store と Secrets Manager の使い分け

Parameter Store と Secrets Manager はどちらも設定値やシークレットを保存するサービスですが、用途が異なります。Parameter Store は設定値の一元管理が主目的で、無料枠が大きく (標準パラメータ 10,000 個まで無料)、階層構造 (/app/prod/db-host のようなパス) でパラメータを整理できます。Secrets Manager はシークレットのローテーションが主目的で、RDS、RedshiftDocumentDB のパスワードを自動ローテーションする組み込み機能を持ちます。料金はシークレット 1 件あたり月額 0.40 USD + API 呼び出し 10,000 件あたり 0.05 USD です。自動ローテーションが不要なシークレットは Parameter Store の SecureString で十分であり、コストを抑えられます。Azure の対応サービスは Azure Automation と Azure Key Vault の組み合わせです。

実務での活用パターン

Systems Manager の Patch Manager は、EC2 インスタンスの OS パッチを自動適用する機能です。パッチベースラインでどのパッチを適用するかを定義し、メンテナンスウィンドウで適用スケジュールを設定します。パッチコンプライアンスレポートで、各インスタンスのパッチ適用状況を一覧できます。Run Command は、複数のインスタンスに対して同時にコマンドを実行する機能です。タグベースでターゲットを指定できるため、Environment=Production タグを持つすべてのインスタンスに対して一括でコマンドを実行できます。Automation は、運用タスクをランブック (手順書) として定義し、自動実行する機能です。インスタンスの再起動、AMI の作成、EBS スナップショットの取得などの定型作業を自動化できます。Systems Manager の基礎から応用まで、書籍 (Amazon)で体系的に学べます。

共有するXB!

関連する用語

Amazon EC2AWS IAMAWS KMSAmazon CloudWatch

関連するサービス

Amazon EC2AWS KMS

関連する記事

機密コンピューティング - AWS Nitro Enclaves で処理中のデータを隔離保護するAWS Nitro Enclaves を使った機密データの隔離処理を解説。暗号化アテステーション、KMS 統合、PII 処理・暗号鍵管理のユースケースを紹介します。Amazon EBS の暗号化とスナップショット共有 - クロスアカウント・クロスリージョンの設計デフォルト暗号化の有効化からスナップショットのクロスアカウント共有、クロスリージョンコピーによる DR 設計までを一貫して紹介します。AWS Nitro Enclaves で実現する機密データ処理 - 隔離環境での暗号化と認証Nitro Enclaves の隔離環境で機密データを処理し、KMS との統合とアテステーションで暗号鍵のアクセスを制御する手法を紹介します。Auto Scaling はなぜスケールアウトは速く、スケールインは慎重なのか - 非対称な判断ロジックの設計意図EC2 Auto Scaling がスケールアウトを即座に実行する一方でスケールインに冷却期間を設ける非対称な設計の理由、フラッピング防止の仕組み、ターゲット追跡スケーリングの内部ロジックを解説します。AWS Auto Scaling で実現する需要追従型インフラ - スケーリングポリシーの設計と最適化ターゲット追跡・予測・スケジュールドの 3 種類のポリシーを使い分け、混合インスタンスポリシーでスポットを活用したコスト最適化を実現する手法を紹介します。

内容が近い用語・記事

AWS Systems Manager によるフリート管理 - パッチ適用・インベントリ・ Run Command の自動化Patch Manager でパッチ適用を自動化し、Run Command でリモート操作を効率化する。Session Manager による SSH 不要のシェルアクセスも紹介します。AWS Systems ManagerAWS リソースとオンプレミスサーバーを一元管理できる運用管理サービスシステム運用管理の効率化 - Systems Manager による統合運用基盤の構築AWS Systems Manager を活用したシステム運用管理の設計手法を解説し、パッチ管理、パラメータストア、Run Command による運用自動化の実現方法を紹介します。AWS Systems Manager の運用自動化 - パッチ管理からセッション管理まで統合する運用基盤AWS Systems Manager のパッチ管理、インベントリ、Run Command、Session Manager を中心に、運用自動化の統合基盤としての優位性を Azure Automation と比較して解説します。AWS Systems Manager Parameter Store で管理する設定と秘密情報 - 階層構造と暗号化Parameter Store による設定値と秘密情報の管理、階層構造の設計、Secrets Manager との使い分けを解説します。