5分でわかった気になる Systems Manager 2023.2.15 JAWS-UG朝会 #42 98lerr

皆さんへの質問 Systems Managerって 何ができるか把握できてますか？ 2

今日の目標 やりたいことを聞いて、 “あ、それ Systems Manager で できるかも？” と言えるようになる。 3

お品書き ● Systems Manager の機能全体 ● 最初に忘れちゃいけないSystems Manager Agent ● 機能カットでそれぞれ 4

Systems Manager? AWS Systems Manager は、AWS クラウド で実行される アプリケーションとインフラストラクチャの管理に役立つ 一連の機能です。 Systems Manager により、アプリケーションとリソースの管理が簡略化され、 オペレーション上の問題の検出と解決にかかる時間が短縮されるほか、AWS リソースを大規模かつ安全に管理できるようになります。 5 マニュアルより抜粋 https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/what-is-systems-manager.html

ちなみに Systems Manager の機能 いくつあるでしょう？ 6

Systems Manager のサービス群 ノード管理 変更管理 共有リソース 運用管理 アプリケーション管理 Fleet Manager Session Manager Inventory RunCommand State Manager Patch Manager Distributor Complience Change Manager Change Calendar Maintenance Window Automation Document Explorer OpsCenter Incident Manager CW Dashboard Application Manager AWS AppConfig Parameter Store 全19種類！ 7

Systems Manager のサービス群 (98式カット) ノード管理 変更管理 共有リソース 運用管理 アプリケーション管理 Fleet Manager Session Manager Inventory Change Manager Change Calendar Maintenance Window Explorer OpsCenter Incident Manager Application Manager AWS AppConfig ソフトウェア管理 State Manager Patch Manager Distributor 自動処理 RunCommand Automation Document 共有情報 Parameter Store (一旦忘れる) CW Dashboard コンプライアンス Complience 今日はこの8カテゴリで！ 8

おことわり ● この情報は 2023年2月14日時点の情報に基づきます。 ● 個人の理解に基づくものですので、 公式と相違があれば公式を正としてください。 ● 1/23開催 AWS Expoert Online for JAWS-UG #25 に素敵な 講演がありますので、是非ご参照ください。 ○ 運用を効率化するための AWS Systems Manager Automationの紹介 ○ https://www.youtube.com/watch?v=dXb1ZSGw-Uk ● 以降、Systems Manager のことを SSMと表記する場合があります。 ○ 旧称 Amazon Simple Systems Manager の名残。 ○ https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/service-namin g-history.html 9

最初に忘れちゃいけないSystems Manager Agent だから、インバウンドが 閉じててもOK! 通らない時は以下を確認 1. SSM Agent 入ってる？ 2. Endpoint 繋がる？ 3. IAM Role ついてる？ 4. Metadata 見える？ 10

ここから順番に機能紹介、行きます！ 11

ノード管理 Fleet Manager : インベントリ情報の可視化 Session Manager: CLIアクセスの提供 Inventory: 環境内のインスタンス可視化 Fleet Manager ※ Fleet Manager のアイコンはマニュアルより。 State Manager と 見分けがつかない。 https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/what-is-systems-manager.html 12

Fleet Manager 13 インスタンスの情報は、中に入らずともここで！ ファイル情報も！ (中身見るには要Session ManagerのKMS暗号化) Windows イベントログも！ 中にも入れます。

Session Manager 14 ※ Session Managerで使うKMS、ここで設定してても削除できてしまいました。 Linux も Windows もOK! S3 や Logs への 操作ログ保存もできる。 KMSで 通信暗号化も可能。

Inventory 15 収集インベントリは ターゲットごとに設定できる。

自動処理 RunCommand : マネージドノードのリモート管理 Automation : AWS上の一連のタスクを自働化 Document : 諸々の処理を定義してまとめたもの 16 Done

Run Command 17 Command Document を選んで、Run Command を実行。 できることの例 ● ShellScript を流す ● モジュールのインストール ● 情報の取得 などなど

Automation 18 Automation Document (Automation RunBook) で自動処理を定義する。 スクリプト実行 AWS API 呼び出し リソース待機 一時停止などなど ステップで定義できる 入力パラメータも定義できる AWSサポート問い合わせの RunBook (AWSSupport-*) もあるので、IAM 設定要注意!

Document 19 様々な SSM 操作の定義 ドキュメントの例 ドキュメントタイプ 用途 Command Document Run Command実行用。 Automation Runbook Automationの定義。 Policy Document Inventory でソフトウェア情報を 取得し、State Manager に関連 づける。 Session Document Session Manager からのアクセ スなどに使用する。 Package Document Distributorからの配布用。 https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-ssm-docs.html

運用管理 20 Explorer N/A Explorer: AWSリソースのオペレーションダッシュボード OpsCenter: 運用作業の表示、解決のボード (Explorerが前提) Incident Manager: インシデントを管理 (OpsCenterが前提) Done Done

Explorer 21 ダッシュボードを提供 OpsItemを作るEventBridgeルールが 用意されている。(デフォルト自動生成)

OpsCenter 22 運用イベントの一覧、対応などができる。 運用イベントのオープンクローズ管理や、 Automation の起動をここで行う。

Incident Manager 23 インシデントの一覧、対応履歴、自動対応の設定ができる。 タイムラインイベントも記録できる。

変更管理 Change Manager: 承認フローを実現できる Change Calendar: 作業可能日/不可日を定義 Maintenance Window: ノードへの変更適用 24 Maintenance Window の話は、後述の State Manager と合わせて。 Done Done Done

Change Manager 25 承認フローを回せる！ 最大5段階の承認フロー。 2023/2/6 のアップデートで 「5人中3人承認したらOK」のようなパターンも作れるようになった。 https://aws.amazon.com/jp/about-aws/whats-new/2023/02/aws-systems-manager-change-manager-flexible-approving-change-requests/

Change Calendar 26 作業していい日/いけない日を設定できる。 他と連動して 計画されたイベントが ここで、一望できる。 この和訳はどうにか してほしい。

アプリケーション管理 Application Manager: アプリケーションのAWS利用を可視化 AWS AppConfig: アプリケーションのデプロイ、管理、切替 27 Application Manager N/A Done Done Done Done

Application Manager 28 アプリケーションカットで金額、リソース情報、Configルール準拠など まとめて見れる。

AWS AppConfig 29 アプリケーションを用意して 設定プロファイル、環境を用意し、デプロイ。 機能フラグも使える。 デプロイ戦略もカスタマイズ！

ソフトウェア管理 State Manager: ノードを特定の状態に保つ Patch Manager: パッチ適用を管理 Distributor: アプリケーションをパッケージング管理 30 Distributor N/A Done Done Done Done Done

State Manager & Maintenance Window 31 マニュアルにも、使い分けの話。 > どちらを選択するかは、システムコンプライアンスを自動化する必要があるか、指定した期間中に優先度の高い、時間 的制約のあるタスクを実行するかによって異なります。 https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/state-manager-vs-maintenance-windows.html State Manager: 状態キープ Maintenance Window: 時間実行

Patch Manager 32 パッチ適用状況を確認 パッチ即時適用も

Distributor 33 自分でパッケージも作れる

その他 Parameter Store: 構成データとシークレット管理 Complience: ポリシー準拠をチェック 34 Done Done Done Done Done Done

Parameter Store 35 Parameter Store v.s. Secrets Manager の一例 Parameter Store Standard Parameter Store Standard Secrets Manager 料金 無料 有料($0.05) 有料($0.4) 最大サイズ 4KB 8KB 64KB 最大秒間応答 標準30, 条件付きで3,000 10,000 バージョン管理もできる 値も、シークレットも ここに格納

Compliance 36 各ポリシーへの準拠が一望できる

37 まとめ