パッチオーケストレーターの使用 - AMS Advanced ユーザーガイド
パッチオーケストレーターの前提条件パッチオーケストレーターの予約済みタグ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

パッチオーケストレーターの使用

以下の詳細を含むサービスリクエストを送信して、アカウントの AMS パッチオーケストレーターを有効にします。

  • カテゴリ: その他

  • 件名: パッチオーケストレーターへのオンボード

  • CC E メール: このオンボーディング RFC のステータスが変更されたときに CC E メールアドレスに通知を受け取る

  • 詳細: 次の情報を E メールに貼り付け、値を指定します。ThirdTagKey はオプションであることに注意してください。推奨事項と例については、次の表を参照してください。

    Default maintenance window Schedule:
Default Maintenance Window Schedule TimeZone:
Default Maintenance Window Duration:
Default Maintenance Window Cutoff:
Default Patch Backup Retention In Days:
Default Maintenance Window Notification Emails:
First Tag Key:
Second Tag Key:
Third Tag Key:

次の表に、指定した値の形式と推奨事項を示します。

パッチオーケストレーターのタグベースのパッチ適用設定
パラメータの名前 情報 推奨事項または例

デフォルトのメンテナンスウィンドウのスケジュール

cron 式または rate 式形式のデフォルトのメンテナンスウィンドウのスケジュール。例:

  • cron(0 3 ? * 6L *): 毎月最終金曜日の午前 3 時

  • rate(7 days): 7 日ごと

cron 式の作成、および cron および rate 式のリソースへのリンクの詳細については、「メンテナンスウィンドウの Cron および rate 式」を参照してください。

ウィンドウは少なくとも 1 か月に 1 回、一貫した平日に実行することをお勧めします。

デフォルトのメンテナンスウィンドウのスケジュールタイムゾーン

デフォルトのメンテナンスウィンドウが実行されるタイムゾーンは、Internet Assigned Numbers Authority (IANA) 形式で基づいています。

例:

  • America/Los_Angeles

  • その他/UTC

デフォルトのメンテナンスウィンドウの期間

デフォルトのメンテナンスウィンドウの時間単位の期間。

50 インスタンスごとに少なくとも 1 時間、カットオフには 2 時間。

デフォルトのメンテナンスウィンドウのカットオフ

新しいパッチ適用コマンドが開始されないデフォルトメンテナンスウィンドウの終了までの時間数。この間隔は、ウィンドウが終了する前にパッチ適用が完了するのに十分な時間を確保するために存在します。

少なくとも 2 時間。

デフォルトのパッチバックアップ保持日数 (オプション)

インスタンスにパッチを適用する前に作成された EBS 復元ポイントを保持するデフォルトの日数。

デフォルトは 60 のままにすることをお勧めします。

デフォルトのメンテナンスウィンドウ通知 E メール

デフォルトのメンテナンスウィンドウのパッチ適用ステータスに関する通知を受け取るための 1~5 つの E メールアドレスまたはディストリビューションリスト。

個々の E メールではなく、グループディストリビューションリストを使用することをお勧めします。

最初のタグキー

パッチグループのタグ値の作成に使用する最初のタグキー。

例えば、AppId などです。パッチグループタグを使用して独自のパッチグループを既に定義している場合は、null を指定します。

2 番目のタグキー

パッチグループのタグ値の作成に使用する 2 番目のタグキー。

例えば、環境などです。パッチグループタグを使用して独自のパッチグループを既に定義している場合は、null を指定します。

3 番目のタグキー (オプション)

パッチグループのタグ値の作成に使用するオプションの 3 番目のタグキー。

例えば、Group などです。

新しいパッチオーケストレーターパッチ適用サービスモデルにオンボーディングされると、アカウント内の適切にタグ付けされたすべてのインスタンスは、パッチグループタグを持つパッチグループに属します。パッチオーケストレーターは、既存のパッチグループタグ、またはパッチオーケストレーターのオンボーディング中に指定した 2 つまたは 3 つの連結タグ値で構成される AMS 作成タグを使用します。たとえば、{Tag Value 1}-{Tag Value 2}-{Tag Value 3} です。AMS は、これらの AMS 適用パッチグループのタグを 12 時間ごとに更新します。必要に応じて、タグ | 更新 (レビュー必須) またはタグ | 更新 (レビュー必須) の変更タイプを使用してパッチグループのタグ値を更新できます。

たとえば、Amazon EC2 インスタンスに次のタグキーと値のペアがある場合です。

  • AppId:MyApplication

  • Environment:Production

  • Group:1

オンボーディング中に、次のタグキーを指定しました。

  • First Tag Key = AppId

  • Second Tag Key = Environment

  • Third Tag Key = Group

AMS は、次のパッチグループタグを作成し、インスタンスに適用します: Patch Group:MyApplication-Production-1

注記

サポートされていないオペレーティングシステムを持つインスタンス、またはメンテナンスウィンドウ中に停止されたインスタンスでは、パッチ失敗アラートは作成されません。

パッチオーケストレーターの前提条件

パッチオーケストレーターワークフローは、System Manager Automation Document: AWSManagedServices-PatchInstanceFromMaintenanceWindow の最新バージョンによってパッチが適用された Amazon EC2 インスタンスを対象としています。

ドキュメントワークフローの一部として、実行コマンドドキュメント「AWS-RunPatchBaseline」は、パッチグループメンバーから各 Amazon EC2 インスタンスに対して実行されます。詳細については、「AWS-RunPatchBaseline SSM ドキュメントについて」を参照してください。

要件:

  • AMS が提供する Amazon マシンイメージ (AMI) からデプロイされた Amazon EC2 インスタンス、または「移行パートナー移行インスタンスからのスタック」CT (ct-257p9zjk14ija) を介して AMI にデプロイされた Amazon EC2 インスタンス。

  • Egress インターネット接続が有効になりました。ファイアウォール/プロキシソリューションの場合、Windows 更新エンドポイントや Linux リポジトリミラーエンドポイント、AWS システムマネージャープロキシ設定、メタデータプロキシ設定を許可する必要があります。詳細については、「プロキシを使用するように SSM エージェントを設定する」および「HTTP プロキシを使用する」を参照してください。

  • IAM ロールの SSM サービスの最小アクセス許可に一致する IAM customer-mc-ec2-instance-profile ロール。

  • 使用可能なルートパーティション容量は 10 GB にすることをお勧めします。Linux OS の場合、/varパーティションで少なくとも 2 GB を使用できます。

  • 更新のダウンロードのための有効な認証機関の使用。

  • Windows Server Update Services (WSUS) - DisableWindowsUpdateAccess、NoWindowsUpdate などのレジストリ。自動更新によって Windows Update プロセスのオペレーションが損なわれないようにする必要があります。

検証

  • yum パッケージマネージャーを使用する Linux OS インスタンスの場合、 を実行して更新の可用性を検証できます。 #yum check-update

  • Linux OS RedHat 5.7 以降、6.1 以降、および 7.0 以降では、Amazon EC2 インスタンスは「移行パートナー移行インスタンスからのスタック」 CT (ct-257p9zjk14ija) を介して AMS アカウントに移行され、更新パフォーマンスについてサブスクリプションマネージャーのステータスを検証する必要があります。

  • Windows OS で、Windows Server Update Services (WSUS) を有効にします。更新をスキャンまたはインストールする WSUS 機能をブロックするローカルポリシーはありません。管理者としてログインしたら、Windows Update Service コンソールから利用可能な更新をスキャンして検証できます。2012R2、2016、2019 を含む Windows Server OS リリースには、ダウンロードしてインストールするためのデフォルトの Windows Update 設定があります。スキャン前に必要な設定を構成できます。OS のそれ以降のリリースでは、このオペレーションによってインストールがトリガーされます。必要な動作を事前に設定してください。

  • AWSManagedServices-CheckPatchingPrerequisites Automation document to run against Amazon EC2 instance for assessment of patch readiness」というサービスリクエストを送信して、AMS Operations チームから検証をリクエストします。

注記

サポートされていないオペレーティングシステムを持つインスタンス、またはメンテナンスウィンドウ中に停止されたインスタンスでは、パッチ失敗アラートは作成されません。

パッチオーケストレーターの予約済みタグ

パッチオーケストレーターは、変更できない次のタグも生成します。

  • AMSPatchGroup – このタグはパッチグループのタグ値の生成に使用されます。AMSPatchGroup を変更しないでください。カスタムの「Patch Group」値を使用する場合は、「Patch Group」タグを変更できます。パッチオーケストレーターは、オンボーディング中に提供されたタグキーに基づいて AMSPatchGroup の値を生成し続けますが、カスタム値に設定されている場合、「パッチグループ」タグ値は変更されません。カスタムの「パッチグループ」値の使用を停止するには、「パッチグループ」の値を AMSPatchGroup タグ値と一致するように設定できます。

  • AMSDefaultPatchGroup – このタグは、インスタンスがデフォルトのメンテナンスウィンドウの一部であるかどうかを示し、値は True または False のいずれかです。インスタンスのパッチグループがメンテナンスウィンドウに割り当てられていない場合、この値は True に設定されます。