ここがすごいよ！ AWS Systems Manager！

Transcript

1. ここがすごいよ！ AWS Systems Manager！ 2024.7.18 AWS事業本部 コンサルティング部 さいちゃん

2. ⾃⼰紹介 サイード ラティファ栄美里（さいちゃん） • 所属 ◦ AWS事業本部 コンサルティング部 ◦ 普段はAWSの構築支援や運用設計支援等を担当

   • 好きなAWSサービス ◦ AWS IAM、AWS Systems Manager • ブログ 　 2

3. Xへの投稿の際は、 ハッシュタグ #cm_odyssey でお願いいたします。 3 お願い

4. 本セッションで伝えたいこと • AWS Systems Managerとは？ • AWS Systems Manager の使⽤⽅法

   • AWS Systems Manager各機能のここがすごい！ • 今後の運⽤のヒント 4

5. AWS Systems Managerとは？ 5

6. AWS Systems Managerとは？ 6 ”AWS Systems Manager は、AWS アプリケーションおよびリソースのオペレーションハブであり、 ハイブリッドおよびマルチクラウド環境向けのセキュアなエンドツーエンドの管理ソリューション

   です。これにより、安全でセキュアなオペレーションを⼤規模に実現できます。” https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/what-is-systems-manager.html SystemsManagerはシステム運⽤を 楽にする機能がたくさん詰まった、 スーパーヒーローなんです！！ 使わないなってもったいなすぎる‧‧

7. AWS Well-Architected フレームワーク 7 Well-Architected Frameworkとは、 AWSが行ってきたサポートで 得られた知見を集約・整理した ベストプラクティス集のようなもの 【AWSドキュメント】AWS

   Well-Architected Framework https://docs.aws.amazon.com/ja_jp/wellarchitected/20 22-03-31/framework/welcome.html

8. 使⽤⽅法は？ 8

9. １.SSM Agentの導⼊ • SSM Agentが対象インスタンスにインストールされている 必要がある • SSM Agent を使⽤すると、Systems

   Manager でこれらの リソースを更新、管理、設定できるようになる • AmazonLinuxやWindows、Ubuntu ServeにはSSM Agent はプリインストール済み ◦ その他SSM Agent がプリインストールされている AMIはこちら ◦ https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/ami-preinstalled-agent.html 9

10. ２.SSM APIへの経路確保 • SSM Agentからのアウトバウンド経路確保 10 インターネット経由 VPCエンドポイント経由

11. ３.IAMロールの付与 • EC2にアタッチするIAMロールを作製 ◦ 「AmazonSSMManagedInstanceCore」 ポリシーをアタッチ（必須） ◦ 必要に応じてS3などの ポリシーをアタッチ 11

12. AWS Systems Managerの ここがすごい！ 12

13. クラウドだけじゃない Systems Manager がサポートしているマシンタイプ • EC2インスタンス • ⾃社構築サーバー（オンプレミスサーバー） • 他のクラウド環境内の

    VM を含む仮想マシン (VM) • AWS IoT Greengrass コアデバイス • AWS IoT および⾮ AWS エッジデバイス 13

14. ハイブリッドクラウドや マルチクラウド運⽤をしている場合でも、 ⼀括で運⽤に必要な作業の実施が可能。 14

15. 具体的に何ができるの？ 15

16. 機能⼀覧 • アプリケーション管理 ◦ Application Manager ◦ AppConfig ◦ Parameter

    Store • 変更管理 ◦ Change Manager ◦ Automation ◦ Change Calendar ◦ Maintenance Windows 16 • ノード管理 ◦ Compliance ◦ Fleet Manager ◦ Inventory ◦ Session Manager ◦ Run Command ◦ State Manager ◦ Patch Manager ◦ Distributor ◦ Hybrid Activations • オペレーション管理 ◦ Incident Manager ◦ Explorer ◦ OpsCenter ◦ CloudWatch Dashboards • 共有リソース ◦ Documents

17. 機能⼀覧 • アプリケーション管理 ◦ Application Manager ◦ AppConfig ◦ Parameter

    Store • 変更管理 ◦ Change Manager ◦ Automation ◦ Change Calendar ◦ Maintenance Windows 17 • ノード管理 ◦ Compliance ◦ Fleet Manager ◦ Inventory ◦ Session Manager ◦ Run Command ◦ State Manager ◦ Patch Manager ◦ Distributor ◦ Hybrid Activations • オペレーション管理 ◦ Incident Manager ◦ Explorer ◦ OpsCenter ◦ CloudWatch Dashboards • 共有リソース ◦ Documents

18. Session Manager 18

19. Session Manager AWS Systems Manager Session Manager 19 ブラウザベースのシェルを通じてインスタンスの管理が可能。 EC2インスタンスやオンプレミスサーバーへのセキュアな

    リモートアクセスを提供。

20. Session Managerの ここがすごい！ 20

21. Session Manager IAMポリシーを使ったインスタンスのアクセス制御 21 • インスタンスへのアクセス 許可や拒否をIAMポリシー のみを利⽤して管理可能 • IAMユーザーやグループごと

    にアクセス出来るインスタ ンスを制御 https://docs.aws.amazon.com/ja_jp/systems-manager/lates t/userguide/getting-started-restrict-access-quickstart.html

22. Session Manager SSHキーや踏み台ホストの管理、インバウンド ポート設定の必要がない 22 • インバウンドSSHポートやリモートPowerShellポートを開いたま まにしておくと悪意のあるコマンドや、許可していないコマンド がインスタンス上で⾏われるリスクも •

    ポートを開く必要がない為よりセキュアにEC2へ接続可能 • SSHキーや踏み台ホストの管理も必要ないため、管理不⾜が引き ⾦となるセキュリティリスクの可能性も軽減

23. Session Manager ログの記録 23 • AWS Systems Manager による AWS

    CloudTrail API コールのログ記録 • S3もしくはCloudWatch Logsへのセッションデータログを記録 • Amazon EventBridgeとの連携

24. Run Command 24

25. Run Command 25 EC2インスタンスやオンプレミスサーバーに対して、リモート で管理タスクを実⾏するためのツール。コマンドを記載するこ とで、複数のインスタンスで⼀括でコマンド実⾏が可能。 AWS Systems Manager Run

    Command

26. Run Commandの ここがすごい！ 26

27. Run Command コマンドドキュメントが⽤意されている 27 • 実⾏時にパラメータを指定して使⽤できる事前設定済みのドキュメント が⽤意されている • よく使われるコマンドについては、⼀から毎回コマンドを⽤意する必要 がないので運⽤の効率化を計ることが出来る

    （例）AWS-ConfigureAWSPackage、AWS-ConfigureCloudWatch    AWSFleetManager-CreateGroup、AWSFIS-Run-CPU-Stress  など

28. Run Command 28 コマンドの⾃動実⾏はうれしいけど、実際に使⽤す る場合は、複数のコマンドを順番に実⾏したいな。 例えばOSユーザーを作製してから、ミドルウェアの インストールを⾏い、作製したユーザーに実⾏権限 を付与するみたいな‧‧

29. 【番外編】Automation 29 Automationとの連携で複数のフローを制御 • ⾃分たちの運⽤にあった複数の処理を カスタムしてドキュメントを作成可能 • フロー内に認証ステップを設ける事が 可能 •

    重要な処理の前にIAMユーザーや ロールに承認を求める

30. Patch Manager 30

31. パッチ管理の課題 31 インスタンスの量が増えれ ば増えるほど管理が複雑化 してしまい⼤変‧‧‧ • 考慮事項が多い ◦ OS、バージョン ◦

    セキュリティ要件 ◦ 適⽤のタイミング • 管理の複雑化 ◦ 適⽤状況の管理 ◦ どのインスタンスにパッチ適⽤が必要 なのかの洗い出し ◦ 定期的なパッチ適⽤ ◦ 緊急パッチへの対応

32. Patch Manager 32 OSやアプリケーションのセキュリティパッチやその他の 種類の更新プログラムの適⽤プロセスを⾃動化する機能。 AWS Systems Manager Patch Manager

33. Patch Managerの ここがすごい！ 33

34. Patch Manager 34

35. Patch Managerのここがすごい！ 35 ◦ Patch ManagerからSecurity Hubへパッチ関連の⾮標準ノードの検出結果を 送信できる ◦ セキュリティ分析にパッチ関連の検出結果を含めることが出来る

    ◦ Patch ManagerとSecurity Hubの両⽅が有効化されている場合、統合は⾃動 的に有効化されている SecurityHubとの連携でよりセキュリティ強化

36. Parameter Store 36

37. Parameter Store 37 設定データやシークレット情報を安全に保存、管理、取得する ための機能。アプリケーションの設定、APIキー、パスワード などを暗号化して保存可能。 AWS Systems Manager Parameter

    Store

38. Parameter Storeの ここがすごい！ 38

39. Parameter Store ◦ セキュリティ的メリット ◦ 暗号化可能（SecureString） ◦ 運⽤ & 開発

    の負荷を下げる ◦ パラメータ値の変更をパラメータストアから⾏うこと が可能 39 パラメータをコードに記載しなくてよい

40. Parameter StoreとSecrets Manager 40 Secrets Manager Parameter Store 利用料金 有料

    シークレットあたり 0.40USD/月 無料（Standard） アドバンスパラメータあたり 0.05USD/月 （Advanced） 暗号化 可能（KMS） 可能（KMS） 自動ローテーション 可能 不可 連携可能なサービス RDS for MySQL、PostgreSQL、Auroraの認証情 報保存を標準サポート。 AWS CLIやSDKを通じてEC2やECS、Labmda等 と連携可能。 多数（参照） アクセス制御 IAM IAM

41. Parameter Store ◦ Run Commandとの連携 ◦ ⽂字列パラメータの実⾏ （例）CloudWatch設定ファイル ⼀括で複数インスタンスに設定を反 映させる

    41 様々な機能との連携

42. まとめ 42

43. まとめ • 運⽤、⾃動化、⼀括管理、このフレーズが出てきたら Systems Managerの導⼊を検討してみよう • ハイブリット、マルチクラウドの場合でも、Systems Managerを使えば運⽤が楽に管理できる • クイックセットアップ機能等も多く⽤意されているので

    まずは気軽に使ってみよう 43
44. None