翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # AMS Accelerate の自動インスタンス設定 自動インスタンス設定 AMS Accelerate は、自動インスタンス設定サービスを提供します。このサービスにより、AMS がインスタンスを適切に管理するための正しいログとメトリクスがインスタンスから出力されます。自動インスタンス設定には、このセクションで後述するオンボーディングのための独自の前提条件と手順があります。 **Topics** + [ # Accelerate での自動インスタンス設定の仕組み ](inst-auto-config-how-works.md) + [ # SSM エージェントの自動インストール ](ssm-agent-auto-install.md) + [ # インスタンス設定の自動変更 ](inst-auto-config-changes-made.md) # Accelerate での自動インスタンス設定の仕組み 仕組み 自動インスタンス設定により、AMS Accelerate は特定のエージェントとタグを追加して指定したインスタンスに対して、特定の設定を毎日実行できます。 # Accelerate の自動インスタンス設定の前提条件 前提条件 AMS Accelerate がマネージドインスタンスで前述の自動アクションを実行できるようにするには、これらの条件を満たす必要があります。 **SSM エージェントがインストールされている** AMS Accelerate 自動インスタンス設定では、 AWS Systems Manager SSM エージェントがインストールされている必要があります。 AMS SSM エージェントの自動インストール機能の使用については、「」を参照してください[SSM エージェントの自動インストール](ssm-agent-auto-install.md)。 SSM エージェントを手動でインストールする方法については、以下を参照してください。 + Linux: [ Linux 用の Amazon EC2 インスタンスに SSM エージェントを手動でインストールする - AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-manual-agent-install.html) + Windows: [ Windows Server 用の Amazon EC2 インスタンスに SSM エージェントを手動でインストールする - AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-win.html) **SSM エージェントは マネージド状態です** AMS Accelerate 自動インスタンス設定には、運用可能な SSM エージェントが必要です。SSM エージェントをインストールし、Amazon EC2 インスタンスが マネージド状態である必要があります。詳細については、 AWS ドキュメント[「SSM エージェントの使用](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent.html)」を参照してください。 # インスタンス設定の自動設定 前提条件が満たされていると仮定して、特定の Amazon EC2 インスタンスタグを追加すると、AMS Accelerate 自動インスタンス設定が自動的に開始されます。このタグを追加するには、次のいずれかの方法を使用します。 1. (強く推奨) AMS Accelerate Resource Tagger を使用する アカウントのタグ付けロジックを設定するには、「」を参照してください[タグ付けの仕組み](acc-tag-intro.md#acc-tag-how-works)。タグ付けが完了すると、タグと自動インスタンス設定が自動的に処理されます。 1. タグを手動で追加する Amazon EC2 インスタンスに手動で次のタグを追加します。 Key:**ams:rt:ams-managed**、Value:**true**。 **注記** インスタンス設定サービスは、**ams:rt:ams マネージド**タグがインスタンスに適用されると、必要な AMS 設定を適用しようとします。サービスは、インスタンスが起動されるたびに、および AMS の毎日の設定チェックが発生するときに、AMS に必要な設定をアサートします。 # SSM エージェントの自動インストール SSM エージェントの自動インストール AMS で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理するには、各インスタンスに AWS Systems Manager SSM エージェントをインストールする必要があります。インスタンスに SSM Agent がインストールされていない場合は、AMS SSM Agent 自動インストール機能を使用できます。 **注記** 6/03/2024 以降にアカウントが AMS Accelerate にオンボーディングされている場合、この機能はデフォルトで有効になっています。この機能をオフにするには、CA または CSDM にお問い合わせください。 6/03/2024 より前にオンボーディングされたアカウントでこの機能を有効にするには、CA または CSDM にお問い合わせください。 この機能は、Auto Scaling グループになく、AMS でサポートされている Linux オペレーティングシステムを実行する EC2 インスタンスでのみ使用できます。 ## SSM エージェント使用の前提条件 前提条件 + ターゲットインスタンスに関連付けられたインスタンスプロファイルに、次のいずれかのポリシー (またはそれらに許可リストされている同等のアクセス許可) があることを確認します。 + AmazonSSMManagedEC2InstanceDefaultPolicy + AmazonSSMManagedInstanceCore + 上記のポリシーにリストされているアクセス許可を明示的に拒否するサービスコントロールポリシーが AWS Organizations レベルにないことを確認します。 詳細については、「[Systems Manager に必要なインスタンスのアクセス許可を設定する](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-permissions.html)」を参照してください。 + アウトバウンドトラフィックをブロックするには、ターゲットインスタンスが存在する VPC で次のインターフェイスエンドポイントが有効になっていることを確認します (URL の「リージョン」を適切に置き換えます)。 + ssm..amazonaws.com + ssmmessages..amazonaws.com + ec2messages..amazonaws.com 詳細については、「[Systems Manager のために VPC エンドポイントを使用して EC2 インスタンスのセキュリティを強化する](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-create-vpc.html)」を参照してください。 マネージドノードの可用性の有効化またはトラブルシューティングに関する一般的なヒントについては、[「解決策 2: インスタンスに IAM インスタンスプロファイルが指定されていることを確認する (EC2 インスタンスのみ)](https://docs.aws.amazon.com/systems-manager/latest/userguide/troubleshooting-managed-instances.html#instances-missing-solution-2)」を参照してください。 **注記** AMS は、自動インストールプロセスの一環として各インスタンスを停止および開始します。インスタンスが停止すると、インスタンスストアボリュームに保存されているデータと RAM に保存されているデータは失われます。詳細については、[「インスタンスを停止するとどうなるか](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Stop_Start.html#what-happens-stop)」を参照してください。 ## インスタンスへの SSM エージェントの自動インストールをリクエストする SSM エージェントの自動インストールをリクエストする アカウントが AMS Accelerate Patch アドオンにオンボードされている場合は、インスタンスのパッチメンテナンスウィンドウ (MW) を設定します。パッチプロセスを完了するには、作業中の SSM エージェントが必要です。インスタンスに SSM エージェントがない場合、AMS はパッチメンテナンスウィンドウ中に自動的にインストールしようとします。 **注記** AMS は、自動インストールプロセスの一環として各インスタンスを停止および開始します。インスタンスが停止すると、インスタンスストアボリュームに保存されているデータと RAM に保存されているデータは失われます。詳細については、[「インスタンスを停止するとどうなるか](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Stop_Start.html#what-happens-stop)」を参照してください。 ## SSM Agent 自動インストールの仕組み SSM Agent 自動インストールの仕組み AMS は EC2 ユーザーデータを使用して、インスタンスでインストールスクリプトを実行します。ユーザーデータスクリプトを追加してインスタンスで実行するには、AMS が各インスタンスを停止して起動する必要があります。 インスタンスに既存のユーザーデータスクリプトがすでにある場合、AMS は自動インストールプロセス中に次の手順を実行します。 1. 既存のユーザーデータスクリプトのバックアップを作成します。 1. 既存のユーザーデータスクリプトを SSM エージェントのインストールスクリプトに置き換えます。 1. インスタンスを再起動して SSM エージェントをインストールします。 1. インスタンスを停止し、元のスクリプトを復元します。 1. 元のスクリプトを使用してインスタンスを再起動します。 # インスタンス設定の自動変更 インスタンス設定の自動変更 AMS Accelerate インスタンス設定の自動化は、アカウントで次の変更を行います。 1. IAM 許可 AMS Accelerate によってインストールされたエージェントを使用するためのアクセス許可をインスタンスに付与するために必要な IAM 管理ポリシーを追加します。 1. エージェント 1. Amazon CloudWatch エージェントは、OS ログとメトリクスの出力を担当します。インスタンス設定の自動化により、CloudWatch エージェントがインストールされ、AMS Accelerate の最小バージョンが実行されます。 1. AWS Systems Manager SSM エージェントは、インスタンスでリモートコマンドを実行する責任があります。インスタンス設定の自動化により、SSM エージェントが AMS Accelerate の最小バージョンを実行していることが保証されます。 1. CloudWatch 設定 1. 必要なメトリクスとログを確実に出力するために、AMS Accelerate は CloudWatch 設定をカスタマイズします。詳細については、次の「[CloudWatch 設定変更の詳細](inst-auto-config-details-cw.md)」セクションを参照してください。 自動インスタンス設定は、IAM インスタンスプロファイルと CloudWatch 設定を変更または追加します。 # IAM アクセス許可の変更の詳細 各マネージドインスタンスには、次の管理ポリシーを含む AWS Identity and Access Management ロールが必要です。 + arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore + arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy + arn:aws:iam::aws:policy/AMSInstanceProfileBasePolicy 最初の 2 つは AWS管理ポリシーです。AMS 管理ポリシーは次のとおりです。 **AMSInstanceProfileBasePolicy** ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": [ "secretsmanager:CreateSecret", "secretsmanager:UpdateSecret" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:/ams/byoa/*" ], "Effect": "Allow" }, { "Action": [ "kms:Encrypt" ], "Resource": [ "*" ], "Effect": "Allow" } ] } ``` ------ インスタンスに既に IAM ロールがアタッチされているが、これらのポリシーのいずれかが欠落している場合、AMS は欠落しているポリシーを IAM ロールに追加します。インスタンスに IAM ロールがない場合、AMS は **AMSOSConfigurationCustomerInstanceProfile** IAM ロールをアタッチします。**AMSOSConfigurationCustomerInstanceProfile** IAM ロールには、AMS Accelerate に必要なすべてのポリシーがあります。 **注記** デフォルトのインスタンスプロファイル制限である 10 に達すると、AMS は制限を 20 に引き上げて、必要なインスタンスプロファイルをアタッチできるようにします。 # CloudWatch 設定変更の詳細 CloudWatch 設定に関する追加の詳細。 + インスタンス上の CloudWatch 設定ファイルの場所: + Windows: %ProgramData%\$1Amazon\$1AmazonCloudWatchAgent\$1amazon-cloudwatch-agent.json + Linux: /opt/aws/amazon-cloudwatch-agent/etc/amazon-cloudwatch-agent.d/ams-accelerate-config.json + Amazon S3 の CloudWatch 設定ファイルの場所: Amazon S3 + Windows: https://ams-configuration-artifacts-*REGION\$1NAME*.s3.*REGION\$1NAME*.amazonaws.com/configurations/cloudwatch/latest/windows-cloudwatch-config.json + Linux: https://ams-configuration-artifacts-*REGION\$1NAME*.s3.*REGION\$1NAME*.amazonaws.com/configurations/cloudwatch/latest/linux-cloudwatch-config.json + 収集されるメトリクス: + Windows: + AWS Systems Manager SSM エージェント (CPU\$1Usage) + CloudWatch エージェント (CPU\$1Usage) + すべてのディスクのディスク容量使用率 (% 空き容量) + メモリ (使用中のコミットバイト数の割合) + Linux: + AWS Systems Manager SSM エージェント (CPU\$1Usage) + CloudWatch エージェント (CPU\$1Usage) + CPU (cpu\$1usage\$1idle、cpu\$1usage\$1iowait、cpu\$1usage\$1user、cpu\$1usage\$1system) + ディスク (used\$1percent、inodes\$1used、inodes\$1total) + Diskio (io\$1time、write\$1bytes、read\$1bytes、writes、reads) + Mem (mem\$1used\$1percent) + スワップ (swap\$1used\$1percent) + 収集されるログ: + Windows: + AmazonSSMAgentLog + AmazonCloudWatchAgentLog + AmazonSSMErrorLog + AmazonCloudFormationLog + ApplicationEventLog + EC2ConfigServiceEventLog + MicrosoftWindowsAppLockerEXEAndDLLEventLog + MicrosoftWindowsAppLockerMSIAndScriptEventLog + MicrosoftWindowsGroupPolicyOperationalEventLog + SecurityEventLog + SystemEventLog + Linux: + /var/log/amazon/ssm/amazon-ssm-agent.log + /var/log/amazon/ssm/errors.log + /var/log/audit/audit.log + /var/log/cloud-init-output.log + /var/log/cloud-init.log + /var/log/cron + /var/log/dpkg.log + /var/log/maillog + /var/log/messages + /var/log/secure + /var/log/spooler + /var/log/syslog + /var/log/yum.log + /var/log/zypper.log