5分でわかった気になるSystemsManager

5分でわかった気になる Systems Manager 2023.2.15 JAWS-UG朝会 #42 98lerr

皆さんへの質問 Systems Managerって何ができるか把握できてますか？ 2

今日の目標やりたいことを聞いて、 “あ、それ Systems Manager でできるかも？” と言えるようになる。 3

お品書き • Systems Manager の機能全体 • 最初に忘れちゃいけないSystems Manager Agent •
機能カットでそれぞれ 4

Systems Manager? AWS Systems Manager は、AWS クラウドで実行されるアプリケーションとインフラストラクチャの管理に役立つ一連の機能です。
Systems Manager により、アプリケーションとリソースの管理が簡略化され、オペレーション上の問題の検出と解決にかかる時間が短縮されるほか、AWS リソースを大規模かつ安全に管理できるようになります。 5 マニュアルより抜粋 https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/what-is-systems-manager.html

ちなみに Systems Manager の機能いくつあるでしょう？ 6

Systems Manager のサービス群ノード管理変更管理共有リソース運用管理アプリケーション管理 Fleet Manager
Session Manager Inventory RunCommand State Manager Patch Manager Distributor Complience Change Manager Change Calendar Maintenance Window Automation Document Explorer OpsCenter Incident Manager CW Dashboard Application Manager AWS AppConﬁg Parameter Store 全19種類！ 7

Systems Manager のサービス群 (98式カット) ノード管理変更管理共有リソース運用管理アプリケーション管理 Fleet
Manager Session Manager Inventory Change Manager Change Calendar Maintenance Window Explorer OpsCenter Incident Manager Application Manager AWS AppConﬁg ソフトウェア管理 State Manager Patch Manager Distributor 自動処理 RunCommand Automation Document 共有情報 Parameter Store (一旦忘れる) CW Dashboard コンプライアンス Complience 今日はこの8カテゴリで！ 8

おことわり • この情報は 2023年2月14日時点の情報に基づきます。 • 個人の理解に基づくものですので、公式と相違があれば公式を正としてください。 • 1/23開催 AWS
Expoert Online for JAWS-UG #25 に素敵な講演がありますので、是非ご参照ください。 ◦ 運用を効率化するための AWS Systems Manager Automationの紹介 ◦ https://www.youtube.com/watch?v=dXb1ZSGw-Uk • 以降、Systems Manager のことを SSMと表記する場合があります。 ◦ 旧称 Amazon Simple Systems Manager の名残。 ◦ https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/service-namin g-history.html 9

最初に忘れちゃいけないSystems Manager Agent だから、インバウンドが閉じててもOK! 通らない時は以下を確認 1. SSM Agent 入ってる？
2. Endpoint 繋がる？ 3. IAM Role ついてる？ 4. Metadata 見える？ 10

ここから順番に機能紹介、行きます！ 11

ノード管理 Fleet Manager : インベントリ情報の可視化 Session Manager: CLIアクセスの提供 Inventory: 環境内のインスタンス可視化
Fleet Manager ※ Fleet Manager のアイコンはマニュアルより。 State Manager と見分けがつかない。 https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/what-is-systems-manager.html 12

Fleet Manager 13 インスタンスの情報は、中に入らずともここで！ファイル情報も！ (中身見るには要Session ManagerのKMS暗号化) Windows イベントログも！中にも入れます。

Session Manager 14 ※ Session Managerで使うKMS、ここで設定してても削除できてしまいました。 Linux も Windows もOK!
S3 や Logs への操作ログ保存もできる。 KMSで通信暗号化も可能。

Inventory 15 収集インベントリはターゲットごとに設定できる。

自動処理 RunCommand : マネージドノードのリモート管理 Automation : AWS上の一連のタスクを自働化 Document : 諸々の処理を定義してまとめたもの
16 Done

Run Command 17 Command Document を選んで、Run Command を実行。できることの例 •
ShellScript を流す • モジュールのインストール • 情報の取得などなど

Automation 18 Automation Document (Automation RunBook) で自動処理を定義する。スクリプト実行 AWS API
呼び出しリソース待機一時停止などなどステップで定義できる入力パラメータも定義できる AWSサポート問い合わせの RunBook (AWSSupport-*) もあるので、IAM 設定要注意!

Document 19 様々な SSM 操作の定義ドキュメントの例ドキュメントタイプ用途 Command Document
Run Command実行用。 Automation Runbook Automationの定義。 Policy Document Inventory でソフトウェア情報を取得し、State Manager に関連づける。 Session Document Session Manager からのアクセスなどに使用する。 Package Document Distributorからの配布用。 https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-ssm-docs.html

運用管理 20 Explorer N/A Explorer: AWSリソースのオペレーションダッシュボード OpsCenter: 運用作業の表示、解決のボード (Explorerが前提) Incident
Manager: インシデントを管理 (OpsCenterが前提) Done Done

Explorer 21 ダッシュボードを提供 OpsItemを作るEventBridgeルールが用意されている。(デフォルト自動生成)

OpsCenter 22 運用イベントの一覧、対応などができる。運用イベントのオープンクローズ管理や、 Automation の起動をここで行う。

Incident Manager 23 インシデントの一覧、対応履歴、自動対応の設定ができる。タイムラインイベントも記録できる。

変更管理 Change Manager: 承認フローを実現できる Change Calendar: 作業可能日/不可日を定義 Maintenance Window: ノードへの変更適用
24 Maintenance Window の話は、後述の State Manager と合わせて。 Done Done Done

Change Manager 25 承認フローを回せる！最大5段階の承認フロー。 2023/2/6 のアップデートで「5人中3人承認したらOK」のようなパターンも作れるようになった。 https://aws.amazon.com/jp/about-aws/whats-new/2023/02/aws-systems-manager-change-manager-ﬂexible-approving-change-requests/

Change Calendar 26 作業していい日/いけない日を設定できる。他と連動して計画されたイベントがここで、一望できる。この和訳はどうにかしてほしい。

アプリケーション管理 Application Manager: アプリケーションのAWS利用を可視化 AWS AppConﬁg: アプリケーションのデプロイ、管理、切替 27 Application Manager
N/A Done Done Done Done

Application Manager 28 アプリケーションカットで金額、リソース情報、Conﬁgルール準拠などまとめて見れる。

AWS AppConﬁg 29 アプリケーションを用意して設定プロファイル、環境を用意し、デプロイ。機能フラグも使える。デプロイ戦略もカスタマイズ！

ソフトウェア管理 State Manager: ノードを特定の状態に保つ Patch Manager: パッチ適用を管理 Distributor: アプリケーションをパッケージング管理 30
Distributor N/A Done Done Done Done Done

State Manager & Maintenance Window 31 マニュアルにも、使い分けの話。 > どちらを選択するかは、システムコンプライアンスを自動化する必要があるか、指定した期間中に優先度の高い、時間的制約のあるタスクを実行するかによって異なります。
https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/state-manager-vs-maintenance-windows.html State Manager: 状態キープ Maintenance Window: 時間実行

Patch Manager 32 パッチ適用状況を確認パッチ即時適用も

Distributor 33 自分でパッケージも作れる

その他 Parameter Store: 構成データとシークレット管理 Complience: ポリシー準拠をチェック 34 Done Done Done
Done Done Done

Parameter Store 35 Parameter Store v.s. Secrets Manager の一例 Parameter
Store Standard Parameter Store Standard Secrets Manager 料金無料有料($0.05) 有料($0.4) 最大サイズ 4KB 8KB 64KB 最大秒間応答標準30, 条件付きで3,000 10,000 バージョン管理もできる値も、シークレットもここに格納

Compliance 36 各ポリシーへの準拠が一望できる

37 まとめ

5分でわかった気になるSystemsManager

5分でわかった気になるSystemsManager

More Decks by 98lerr

Other Decks in Technology

Featured

Transcript