AWS Systems Manager を使用してインスタンスに STIG 設定を適用する - Amazon Elastic Compute Cloud
AWSEC2-ConfigureSTIG 入力パラメータAWSEC2-ConfigureSTIG コマンドドキュメントを実行します。

AWS Systems Manager を使用してインスタンスに STIG 設定を適用する

AWSEC2-ConfigureSTIG Systems Manager コマンドドキュメントを使用すると、STIG 設定を既存の EC2 インスタンスに 適用できます。コマンドドキュメントは更新するインスタンスから実行する必要があります。コマンドドキュメントは、オペレーティングシステムと、実行されるインスタンスの設定に基づいて、適切な設定を適用します。

このページでは AWSEC2-ConfigureSTIG コマンドドキュメントの詳細について、入力パラメータや、Systems Manager コンソールでの実行方法または AWS CLI で send-command を使用して実行する方法などを含めて説明します。

AWSEC2-ConfigureSTIG 入力パラメータ

次の入力パラメータを指定すると、コマンドドキュメントがインスタンスに STIG 設定を適用する方法を指定できます。

レベル (文字列、必須)

適用する STIG 重要度のカテゴリを指定します。有効な値には次のようなものがあります。

  • 中程度

値を指定しない場合、システムによるデフォルトは High になります。

InstallPackages (文字列、オプション – Linux のみ)

値が No である場合、スクリプトは追加のソフトウェアパッケージをインストールしません。値が Yes である場合、スクリプトはコンプライアンスを最大化するために必要な追加のソフトウェアパッケージをインストールします。デフォルト値は No です。

SetDoDConsentBanner (文字列、オプション – Linux のみ)

値が No である場合、Linux STIG スクリプトがインストールされているインスタンスにアタッチすると DoD の同意バナーは表示されません。値が Yes である場合、STIG Linux スクリプトのいずれかがインストールされているインスタンスに接続すると、ログインする前に DoD 同意バナーが表示されます。バナーはログインする前に確認する必要があります。デフォルト値は No です。

同意バナーの例については、DLA ドキュメントサービスのウェブサイトにアクセスしたときに表示される Disclaimer Department of Defense Privacy and Consent Notice を参照してください。

AWSEC2-ConfigureSTIG コマンドドキュメントを実行します。

AWSEC2-ConfigureSTIG ドキュメントを実行するには、ご希望の環境に応じた手順に従ってください。

Console

  1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。

  2. ナビゲーションペインから [コマンドの実行] をクリックします。該当する場合、アカウントで現在実行されているコマンドのリストが表示されます。

  3. [Run command] を選択してください。これにより、[コマンドの実行] ダイアログが開き、アクセスできるコマンドドキュメントのリストが表示されます。

  4. コマンドドキュメントのリストから AWSEC2-ConfigureSTIG を選択します。結果を効率化するために、ドキュメント名の全体または一部を入力できます。所有者、プラットフォームタイプ、またはタグでフィルタリングすることもできます。

    コマンドドキュメントを選択すると、詳細がリストの下に表示されます。

  5. [ドキュメントバージョン] リストから Default version at runtime を選択します。

  6. コマンドパラメータを設定し、AWSEC2-ConfigureSTIG がスクリプトパッケージをインストールして実行し、インスタンスを更新する方法を定義します。パラメータの詳細については、「AWSEC2-ConfigureSTIG 入力パラメータ」を参照してください。

  7. [ターゲットの選択] で、タグを指定するか、手動でインスタンスを選択して、この操作を実行するインスタンスを特定します。

    注記

    インスタンスを手動で選択することにしたが、そのインスタンスがリストに表示されない場合は、「インスタンスの場所」でトラブルシューティングのヒントを参照してください。

  8. [レート制御] などの Systems Manager Run Command の動作を定義する追加パラメータについては、「コンソールからのコマンドの実行」の説明に従って値を入力します。

  9. [Run] (実行) を選択します。

    正常に実行されると、コマンドドキュメントはスクリプトをインストールし、インスタンスを設定します。コマンドの実行が失敗した場合、Systems Manager コマンド出力で、実行が失敗した理由の詳細を確認してください。

AWS CLI
例 1: デフォルト値で実行する

次のコマンドを実行して STIG スクリプトをインストールし、デフォルト値でこれを実行します。入力パラメータの詳細については、「AWSEC2-ConfigureSTIG 入力パラメータ」を参照してください。

aws ssm send-command \
	--document-name "AWSEC2-ConfigureSTIG" \
	--instance-ids "i-1234567890abcdef0"'
例 2: インスタンスで中レベルの STIG 設定を構成する

次のコマンドを実行して STIG スクリプトをインストールし、Level 入力パラメータを Medium に設定して実行します。入力パラメータの詳細については、「AWSEC2-ConfigureSTIG 入力パラメータ」を参照してください。

aws ssm send-command \
	--document-name "AWSEC2-ConfigureSTIG" \
	--instance-ids "i-1234567890abcdef0"
	--parameters '{"Level":"Medium"}'

正常に実行されると、コマンドドキュメントはスクリプトをインストールし、インスタンスを設定します。コマンドの実行が失敗した場合、 コマンド出力で、実行が失敗した理由の詳細を確認してください。

PowerShell
例 1: デフォルト値で実行する

次のコマンドを実行して STIG スクリプトをインストールし、デフォルト値でこれを実行します。入力パラメータの詳細については、「AWSEC2-ConfigureSTIG 入力パラメータ」を参照してください。

Send-SSMCommand -DocumentName "AWSEC2-ConfigureSTIG" -InstanceId "i-1234567890abcdef0"}
例 2: インスタンスで中レベルの STIG 設定を構成する

次のコマンドを実行して STIG スクリプトをインストールし、Level 入力パラメータを Medium に設定して実行します。入力パラメータの詳細については、「AWSEC2-ConfigureSTIG 入力パラメータ」を参照してください。

Send-SSMCommand -DocumentName "AWSEC2-ConfigureSTIG" -InstanceId "i-1234567890abcdef0" -Parameter @{'Level'='Medium'}

正常に実行されると、コマンドドキュメントはスクリプトをインストールし、インスタンスを設定します。コマンドの実行が失敗した場合、 コマンド出力で、実行が失敗した理由の詳細を確認してください。