Slide 1
Slide 1 text
ここがすごいよ!
AWS Systems Manager!
2024.7.18
AWS事業本部 コンサルティング部 さいちゃん
Slide 2
Slide 2 text
⾃⼰紹介
サイード ラティファ栄美里(さいちゃん)
● 所属
○ AWS事業本部 コンサルティング部
○ 普段はAWSの構築支援や運用設計支援等を担当
● 好きなAWSサービス
○ AWS IAM、AWS Systems Manager
● ブログ
2
Slide 3
Slide 3 text
Xへの投稿の際は、
ハッシュタグ
#cm_odyssey
でお願いいたします。
3
お願い
Slide 4
Slide 4 text
本セッションで伝えたいこと
● AWS Systems Managerとは?
● AWS Systems Manager の使⽤⽅法
● AWS Systems Manager各機能のここがすごい!
● 今後の運⽤のヒント
4
Slide 5
Slide 5 text
AWS Systems Managerとは?
5
Slide 6
Slide 6 text
AWS Systems Managerとは? 6
”AWS Systems Manager は、AWS アプリケーションおよびリソースのオペレーションハブであり、
ハイブリッドおよびマルチクラウド環境向けのセキュアなエンドツーエンドの管理ソリューション
です。これにより、安全でセキュアなオペレーションを⼤規模に実現できます。”
https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/what-is-systems-manager.html
SystemsManagerはシステム運⽤を
楽にする機能がたくさん詰まった、
スーパーヒーローなんです!!
使わないなってもったいなすぎる‧‧
Slide 7
Slide 7 text
AWS Well-Architected フレームワーク 7
Well-Architected Frameworkとは、
AWSが行ってきたサポートで
得られた知見を集約・整理した
ベストプラクティス集のようなもの
【AWSドキュメント】AWS Well-Architected Framework
https://docs.aws.amazon.com/ja_jp/wellarchitected/20
22-03-31/framework/welcome.html
Slide 8
Slide 8 text
使⽤⽅法は?
8
Slide 9
Slide 9 text
1.SSM Agentの導⼊
● SSM Agentが対象インスタンスにインストールされている
必要がある
● SSM Agent を使⽤すると、Systems Manager でこれらの
リソースを更新、管理、設定できるようになる
● AmazonLinuxやWindows、Ubuntu ServeにはSSM Agent
はプリインストール済み
○ その他SSM Agent がプリインストールされている AMIはこちら
○ https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/ami-preinstalled-agent.html
9
Slide 10
Slide 10 text
2.SSM APIへの経路確保
● SSM Agentからのアウトバウンド経路確保
10
インターネット経由 VPCエンドポイント経由
Slide 11
Slide 11 text
3.IAMロールの付与
● EC2にアタッチするIAMロールを作製
○ 「AmazonSSMManagedInstanceCore」
ポリシーをアタッチ(必須)
○ 必要に応じてS3などの ポリシーをアタッチ
11
Slide 12
Slide 12 text
AWS Systems Managerの
ここがすごい!
12
Slide 13
Slide 13 text
クラウドだけじゃない
Systems Manager がサポートしているマシンタイプ
● EC2インスタンス
● ⾃社構築サーバー(オンプレミスサーバー)
● 他のクラウド環境内の VM を含む仮想マシン (VM)
● AWS IoT Greengrass コアデバイス
● AWS IoT および⾮ AWS エッジデバイス
13
Slide 14
Slide 14 text
ハイブリッドクラウドや
マルチクラウド運⽤をしている場合でも、
⼀括で運⽤に必要な作業の実施が可能。
14
Slide 15
Slide 15 text
具体的に何ができるの?
15
Slide 16
Slide 16 text
機能⼀覧
● アプリケーション管理
○ Application Manager
○ AppConfig
○ Parameter Store
● 変更管理
○ Change Manager
○ Automation
○ Change Calendar
○ Maintenance Windows
16
● ノード管理
○ Compliance
○ Fleet Manager
○ Inventory
○ Session Manager
○ Run Command
○ State Manager
○ Patch Manager
○ Distributor
○ Hybrid Activations
● オペレーション管理
○ Incident Manager
○ Explorer
○ OpsCenter
○ CloudWatch Dashboards
● 共有リソース
○ Documents
Slide 17
Slide 17 text
機能⼀覧
● アプリケーション管理
○ Application Manager
○ AppConfig
○ Parameter Store
● 変更管理
○ Change Manager
○ Automation
○ Change Calendar
○ Maintenance Windows
17
● ノード管理
○ Compliance
○ Fleet Manager
○ Inventory
○ Session Manager
○ Run Command
○ State Manager
○ Patch Manager
○ Distributor
○ Hybrid Activations
● オペレーション管理
○ Incident Manager
○ Explorer
○ OpsCenter
○ CloudWatch Dashboards
● 共有リソース
○ Documents
Slide 18
Slide 18 text
Session Manager
18
Slide 19
Slide 19 text
Session Manager
AWS Systems Manager Session Manager
19
ブラウザベースのシェルを通じてインスタンスの管理が可能。
EC2インスタンスやオンプレミスサーバーへのセキュアな
リモートアクセスを提供。
Slide 20
Slide 20 text
Session Managerの
ここがすごい!
20
Slide 21
Slide 21 text
Session Manager
IAMポリシーを使ったインスタンスのアクセス制御
21
● インスタンスへのアクセス
許可や拒否をIAMポリシー
のみを利⽤して管理可能
● IAMユーザーやグループごと
にアクセス出来るインスタ
ンスを制御
https://docs.aws.amazon.com/ja_jp/systems-manager/lates
t/userguide/getting-started-restrict-access-quickstart.html
Slide 22
Slide 22 text
Session Manager
SSHキーや踏み台ホストの管理、インバウンド
ポート設定の必要がない
22
● インバウンドSSHポートやリモートPowerShellポートを開いたま
まにしておくと悪意のあるコマンドや、許可していないコマンド
がインスタンス上で⾏われるリスクも
● ポートを開く必要がない為よりセキュアにEC2へ接続可能
● SSHキーや踏み台ホストの管理も必要ないため、管理不⾜が引き
⾦となるセキュリティリスクの可能性も軽減
Slide 23
Slide 23 text
Session Manager
ログの記録
23
● AWS Systems Manager による AWS CloudTrail API コールのログ記録
● S3もしくはCloudWatch Logsへのセッションデータログを記録
● Amazon EventBridgeとの連携
Slide 24
Slide 24 text
Run Command
24
Slide 25
Slide 25 text
Run Command 25
EC2インスタンスやオンプレミスサーバーに対して、リモート
で管理タスクを実⾏するためのツール。コマンドを記載するこ
とで、複数のインスタンスで⼀括でコマンド実⾏が可能。
AWS Systems Manager Run Command
Slide 26
Slide 26 text
Run Commandの
ここがすごい!
26
Slide 27
Slide 27 text
Run Command
コマンドドキュメントが⽤意されている
27
● 実⾏時にパラメータを指定して使⽤できる事前設定済みのドキュメント
が⽤意されている
● よく使われるコマンドについては、⼀から毎回コマンドを⽤意する必要
がないので運⽤の効率化を計ることが出来る
(例)AWS-ConfigureAWSPackage、AWS-ConfigureCloudWatch
AWSFleetManager-CreateGroup、AWSFIS-Run-CPU-Stress など
Slide 28
Slide 28 text
Run Command 28
コマンドの⾃動実⾏はうれしいけど、実際に使⽤す
る場合は、複数のコマンドを順番に実⾏したいな。
例えばOSユーザーを作製してから、ミドルウェアの
インストールを⾏い、作製したユーザーに実⾏権限
を付与するみたいな‧‧
Slide 29
Slide 29 text
【番外編】Automation 29
Automationとの連携で複数のフローを制御
● ⾃分たちの運⽤にあった複数の処理を
カスタムしてドキュメントを作成可能
● フロー内に認証ステップを設ける事が
可能
● 重要な処理の前にIAMユーザーや
ロールに承認を求める
Slide 30
Slide 30 text
Patch Manager
30
Slide 31
Slide 31 text
パッチ管理の課題 31
インスタンスの量が増えれ
ば増えるほど管理が複雑化
してしまい⼤変‧‧‧
● 考慮事項が多い
○ OS、バージョン
○ セキュリティ要件
○ 適⽤のタイミング
● 管理の複雑化
○ 適⽤状況の管理
○ どのインスタンスにパッチ適⽤が必要
なのかの洗い出し
○ 定期的なパッチ適⽤
○ 緊急パッチへの対応
Slide 32
Slide 32 text
Patch Manager 32
OSやアプリケーションのセキュリティパッチやその他の
種類の更新プログラムの適⽤プロセスを⾃動化する機能。
AWS Systems Manager Patch Manager
Slide 33
Slide 33 text
Patch Managerの
ここがすごい!
33
Slide 34
Slide 34 text
Patch Manager 34
Slide 35
Slide 35 text
Patch Managerのここがすごい! 35
○ Patch ManagerからSecurity Hubへパッチ関連の⾮標準ノードの検出結果を
送信できる
○ セキュリティ分析にパッチ関連の検出結果を含めることが出来る
○ Patch ManagerとSecurity Hubの両⽅が有効化されている場合、統合は⾃動
的に有効化されている
SecurityHubとの連携でよりセキュリティ強化
Slide 36
Slide 36 text
Parameter Store
36
Slide 37
Slide 37 text
Parameter Store 37
設定データやシークレット情報を安全に保存、管理、取得する
ための機能。アプリケーションの設定、APIキー、パスワード
などを暗号化して保存可能。
AWS Systems Manager Parameter Store
Slide 38
Slide 38 text
Parameter Storeの
ここがすごい!
38
Slide 39
Slide 39 text
Parameter Store
○ セキュリティ的メリット
○ 暗号化可能(SecureString)
○ 運⽤ & 開発 の負荷を下げる
○ パラメータ値の変更をパラメータストアから⾏うこと
が可能
39
パラメータをコードに記載しなくてよい
Slide 40
Slide 40 text
Parameter StoreとSecrets Manager 40
Secrets Manager Parameter Store
利用料金 有料
シークレットあたり 0.40USD/月
無料(Standard)
アドバンスパラメータあたり 0.05USD/月
(Advanced)
暗号化 可能(KMS) 可能(KMS)
自動ローテーション 可能 不可
連携可能なサービス RDS for MySQL、PostgreSQL、Auroraの認証情
報保存を標準サポート。
AWS CLIやSDKを通じてEC2やECS、Labmda等
と連携可能。
多数(参照)
アクセス制御 IAM IAM
Slide 41
Slide 41 text
Parameter Store
○ Run Commandとの連携
○ ⽂字列パラメータの実⾏
(例)CloudWatch設定ファイル
⼀括で複数インスタンスに設定を反
映させる
41
様々な機能との連携
Slide 42
Slide 42 text
まとめ
42
Slide 43
Slide 43 text
まとめ
● 運⽤、⾃動化、⼀括管理、このフレーズが出てきたら
Systems Managerの導⼊を検討してみよう
● ハイブリット、マルチクラウドの場合でも、Systems
Managerを使えば運⽤が楽に管理できる
● クイックセットアップ機能等も多く⽤意されているので
まずは気軽に使ってみよう
43
Slide 44
Slide 44 text
No content