Upgrade to Pro — share decks privately, control downloads, hide ads and more …

マルチアカウントな環境でパッチ適用をしたい

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for mogro mogro
July 21, 2024
Technology
860
2

 マルチアカウントな環境でパッチ適用をしたい

JAWS-UG東京 ランチタイムLT会 #13 (20240722)登壇資料になります。
AWS Systems Manager Patch Managerのお話です。

Avatar for mogro

mogro

July 21, 2024

Other Decks in Technology

See All in Technology
関西に縁あるMicrosoft MVPsが語るCopilotの未来
Avatar for Kaz Asada | しがない情シス kasada
0
1k
OpenID Connectによるサービス間連携
Avatar for Shigeki Shoji takesection
0
160
TypeScript Compiler APIとPHP-Parserを活用し、TypeScriptとPHPで型を共有する
Avatar for did0es shuta13
0
350
Gradle×GitHub_ActionsでCI時間を約50%短縮 ジョブ分割の設計と落とし穴 / Cutting CI Time by ~50% with Gradle and GitHub Actions: Job-Splitting Design and Pitfalls
Avatar for 冨澤宝斗 takatty
0
620
「気づいたら仕事が終わっている」バクラクAIエージェント本番運用の裏側 / layerx-bakuraku-aie2026
Avatar for Yuya Matsumura yuya4
18
9.1k
サイバーセキュリティ概論 / Introduction to Cybersecurity
Avatar for Kenji Saito ks91
PRO
0
130
ルールやカスタム機能、どう使う?理想の出力を引き出すために今知りたいIBM Bob 5つの機能
Avatar for mu (Mizuho Uehara) muehara
1
310
地元にいないローカルオーガナイザーの立ち回り
Avatar for uvb_76 uvb_76
1
450
JJUG CCC 2026 Spring AI時代の開発こそ標準化を武器に! ― 方式・プロセス・プラットフォームの標準化
Avatar for WatanabeShun s27watanabe
2
690
個人最適 から 全体最適 へ AI情報共有会・AIギルド・AI-DLC で進める カンリーの組織展開
Avatar for ふくだ(fukuda ryu) rfdnxbro
0
1.1k
オンコールの負荷軽減のためのBits Assistant 活用方法 / How to Use Bits Assistant to Reduce the Workload on On-Call Staff
Avatar for SMS tech sms_tech
1
380
Platform engineering for developers, architects & the rest of us (AI agents)
Avatar for danielbryantuk danielbryantuk
0
180

Featured

See All Featured
Have SEOs Ruined the Internet? - User Awareness of SEO in 2025
Avatar for Akash Hashmi akashhashmi
0
360
Winning Ecommerce Organic Search in an AI Era - #searchnstuff2025
Avatar for Aleyda Solis aleyda
1
2k
Visual Storytelling: How to be a Superhuman Communicator
Avatar for David Neal reverentgeek
2
550
Large-scale JavaScript Application Architecture
Avatar for Addy Osmani addyosmani
515
110k
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
45
9.1k
16th Malabo Montpellier Forum Presentation
Avatar for AKADEMIYA2063 akademiya2063
PRO
0
140
Color Theory Basics | Prateek | Gurzu
Avatar for Gurzu gurzu
0
320
Fireside Chat
Avatar for paigeccino paigeccino
42
3.9k
Marketing Yourself as an Engineer | Alaka | Gurzu
Avatar for Gurzu gurzu
0
210
Navigating the Design Leadership Dip - Product Design Week Design Leaders+ Conference 2024
Avatar for Andy Polaine apolaine
1
340
Lightning Talk: Beautiful Slides for Beginners
Avatar for Ines Montani inesmontani
PRO
2
570
Joys of Absence: A Defence of Solitary Play
Avatar for Sebastian Deterding codingconduct
1
380

Transcript

  1. マルチアカウントな環境で パッチ運用をしたい JAWS-UG東京 ランチタイムLT会 #13 mogro

  2. 業務 興味 名前 好きなAWSサービス お客様システムの設計/構築をしています mogro 自己紹介 @mogro04 ・旅 小黒

    水樹(Mizuki Oguro) インフラエンジニア ・日本酒(推しは御湖鶴) ・メダカ Step Functions, SSM

  3. アジェンダ ある案件の運用設計にて… 検証 まとめ

  4. アジェンダ ある案件の運用設計にて… 検証 まとめ

  5.  各アカウントのEC2インスタンスに対してパッチ適用を行いたいです。  AWS Systems ManagerのPatch Managerを使えば、Organizationsの  管理アカウントから配下のアカウントに対してパッチ適用が行えると認識しています。 お客様 インフラ担当者 設計チーム  最近アカウントも増えてきているのでOrganisationsの管理アカウントから一元的に

     管理ができるのが理想です!  現状、AWSのマネージドサービスについてはサービスごとの機能を利用してパッチ  適用やセキュリティアップデートを実施していますが、各アカウントにあるEC2  インスタンスについてはパッチ管理ができていません。  実際に検証を行った上で提案させてください!

  6. お客様のAWS アカウント組織構造イメージ

  7. 各環境がOUで分かれている。 (Test, Staging, Production, etc…) AWSアカウントはお客様が提供する サービスごとに切られている。 お客様のAWS アカウント組織構造イメージ Test,

    Staging, Production OUには それぞれのサービス用のAWSアカウ ントが存在している。

  8. Run Command Automation Change Calendar Run Command Session Manager Documents

    Incident Manager Maintenance Windows Parameter Store Change Manager Patch Manager State Manager AWS Systems Manager (SSM)とは? AWSやその他の環境(オンプレミスや他クラウド)のリソ ースを管理し、安全に運用するためのソリューションを提 供するサービスです 他にも色々… (参考)Black Belt 今回はPatch Managerについてお話します

  9. 管理アカウントからのパッチ適用イメージ

  10. アジェンダ ある案件の運用設計にて… 検証 まとめ

  11. その前に、EC2インスタンスを SSM Patch Managerでマネージドノードとして 管理するための準備が必要です!!

  12. EC2インスタンスの準備  1. SSM AgentとPythonのバージョン確認 SSM Agent: バージョン2.0.834.0以降 Python: OSによって異なります (参考)Patch

    Manager の前提条件 AWSが提供するAMIなどには、デフォルトでSSM Agentが導入済みのものもあります Amazon Linux 2での例

  13. ① ② EC2インスタンスの準備  2. パッチリポジトリに接続できることを確認 yum upgrade的なコマンドが通る必要があるというイメージです ①EC2のSecurity Group (out)でS3の

     プレフィックスリスト宛の443を開く ②EC2が属するサブネットに紐づくルート  テーブルに、VPCエンドポイント(S3 GW)  へのルートがあるか確認する Amazon Linux 2での例

  14. 今回は Private Subnet からなので EC2インスタンスの準備  3. Private SubnetからSSM(VPC外のサービス)   にアクセスできるようにVPC Endpointを設定します

    ① ② ③ (参考) Systems Manager のために VPC エンドポイントを使用して EC2 インス タンスのセキュリティを強化する ②com.amazonaws.{region}.ssm  SSM サービスのエンドポイント ①com.amazonaws.{region}.ssmmessages  Session Manager を使用して安全なデータチャネルを経由し  インスタンスに接続する場合に必要 ③com.amazonaws.{region}.ec2messages  SSMが、SSM AgentからSSMサービスへの呼び出しを行う  エンドポイント

  15. EC2インスタンスの準備  4. 対応するOSであることを確認 (参考)Patch Manager の前提条件

  16. 管理アカウントで、 SSMの「高速セットアップ」から パッチポリシーを作成します

  17. ①OU(環境)の制御 ②アカウント(サービス)の制御 ③OSの制御 再録 管理アカウントからのパッチ適用イメージ 考慮事項

  18. パッチポリシー作成 まだ「高速セットアップ」できないリージョン結構多い (大阪リージョンもまだ)

  19. パッチベースラインの設定 ①OU(環境)の制御 ③OSの制御

  20. パッチベースライン OSを選択して作成 「当てるパッチの種類」や 「リリースされてどれくらい経ったら承認するか」など 環境(OU)ごとにベースラインを作って、 承認までの日数をずらしてテストを行うというような運用も…! なに?

  21. パッチベースライン どこ? SSMコンソールの「パッチマネージャー」→「パッチベースライン」

  22. ①OU(環境)の制御 ②アカウント(サービス)の制御 ターゲットの設定 ターゲットOUの指定が可能 リージョンの指定 インスタンスタグで対象の指定が可能

  23. パッチスキャン/適用確認 それぞれのアカウントで管理インスタンスとして認識され、パッチスキャンの状況を確 認することができました! (検証環境を再構築したタイミングで適用対象のパッチがなく、パッチ適用についてキ ャプチャがありません。 )

  24. 注意点

  25. 1つのインスタンスに対して複数のパッチポリシーが紐づく状態は避ける 「環境ごとに複数のパッチポリシーを作成する」はOK パッチマネージャーの「今すぐパッチ適用」も併用するのはよろしくない パッチスキャンや適用の結果は個別アカウントのPatch Managerコンソ ールから確認をする必要がある 「マネージドインスタンスが何台で、アンマネージドインスタンスが何台」くらい の情報であれば管理アカウントから確認できる(SSMのエクスプローラーから) 注意点

  26. アジェンダ ある案件の運用設計にて… 検証 まとめ

  27. まとめ 管理アカウントで、SSMの「高速セットアップ」から配下のOU向けの パッチポリシーを作成することが可能。 パッチベースラインを環境ごとに分けてポリシーを作成することで、パ ッチがリリースされてから適用までの期間を環境で分けるような実装も 可能。 パッチ運用は要件の数だけパターンが存在します。様々なパターンを実 現するために検討→検証のサイクルが重要だと感じました。