翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AMS SSP を使用して AMS アカウントに AWS Systems Manager オートメーションをプロビジョニングする
AMS セルフサービスプロビジョニング (SSP) モードを使用して、AMS マネージドアカウントで AWS Systems Manager オートメーション機能に直接アクセスします。 AWS Systems Manager Automation は、ランブック、アクション、サービスクォータを使用して、Amazon Elastic Compute Cloud インスタンスおよびその他の AWS リソースの一般的なメンテナンスおよびデプロイタスクを簡素化します。これにより、自動化を大規模に構築、実行、モニタリングできます。Systems Manager Automation は、Systems Manager がマネージドインスタンスで実行するアクションを定義する Systems Manager ドキュメントの一種です。マネージドインスタンス内でコマンドやオートメーションスクリプトを実行するなど、一般的なメンテナンスおよびデプロイタスクを実行するために使用されるランブック。Systems Manager には、Amazon Elastic Compute Cloud タグを使用してインスタンスの大規模なグループをターゲットにするのに役立つ機能と、定義した制限に従って変更をロールアウトするのに役立つ速度制御が含まれています。ランブックは、JavaScript Object Notation (JSON) または YAML を使用して記述されます。ただし、Systems Manager Automation コンソールの [Document Builder (ドキュメントビルダー)] を使用すると、ネイティブの JSON または YAML で作成しなくても、ランブックを作成できます。または、Systems Manager が提供するランブックを、ニーズに合った事前定義されたステップで使用することもできます。詳細については、 AWS Systems Manager ドキュメントの「ランブックの使用」を参照してください。
注記
Systems Manager Automation は、ランブックで使用できる 20 のアクションタイプをサポートしていますが、AMS Advanced アカウントで使用するランブックの作成時に使用できるアクションの数は限られています。同様に、Systems Manager が提供するランブックは、限られた数だけ、直接使用することも、独自のランブック内から使用することもできます。詳細については、次の FAQ の制限を参照してください。
AWS Systems Manager AWS Managed Services での自動化に関するよくある質問
一般的な質問と回答:
Q: AMS アカウントの Systems Manager Automation へのアクセスをリクエストするにはどうすればよいですか?
Management | AWS service | Self-provisioned service | Add change type (ct-1w8z66n899dct) を使用して RFC を送信して、 AWS Systems Manager オートメーションへのアクセスをリクエストします。この RFC は、アカウントに次の IAM ロールをプロビジョニングします: customer_systemsmanager_automation_console_role。アカウントにプロビジョニングされたら、フェデレーションソリューションでロールをオンボードする必要があります。
Q: AMS アカウントでの AWS Systems Manager オートメーションの使用にはどのような制限がありますか?
マネージドインスタンス内でコマンドやスクリプトを実行するためだけに、自動化のために Systems Manager がサポートするアクションのセットを制限してランブックを作成する必要があります。使用できるアクションと制限の概要は次のとおりです。
| アクション | 説明 | 制限 |
|---|---|---|
aws:assertAwsResourceProperty – |
AWS リソースの状態またはイベントの状態をアサートする |
EC2 インスタンスのみ |
aws:aws:branch – |
条件付きオートメーションステップを実行する |
制限なし |
aws:createTags – |
AWS リソースのタグを作成する |
作成した SSM オートメーションランブックのみ |
aws:executeAutomation – |
別のオートメーションを実行する |
作成したオートメーションランブックのみ |
aws:executeScript – |
スクリプトを実行する |
サービスに対して API コールを行わないスクリプトのみ |
aws:pause – |
オートメーションを一時停止する |
制限なし |
aws:runCommand – |
マネージドインスタンスでコマンドを実行する |
System Manager が提供するドキュメントのみを使用する - AWS-RunShellScript および AWS-RunPowerShellScript |
aws:sleep – |
オートメーションの遅延 |
制限なし |
aws:waitForAwsResourceProperty – |
AWS リソースプロパティを待機する |
EC2 インスタンスのみ |
Systems Manager コンソール内から「Run Command」機能を使用して、Systems Manager が提供するランブック AWS-RunShellScript および AWS-RunPowerShellScript でコマンドまたはスクリプトを直接実行することもできます。これらのランブックをランブック内にネストして、追加の検証前や検証後、または複雑な自動化ロジックに対応することもできます。
ロールは最小特権の原則に従い、マネージドインスタンス内でコマンドやスクリプトを実行することを目的としたランブックの実行の詳細を作成、実行、取得するために必要なアクセス許可のみを提供します。 AWS Systems Manager サービスが提供する他の機能に対するアクセス許可は付与されません。この機能を使用すると自動化ランブックを作成できますが、ランブックの実行を AMS 所有リソースの対象にすることはできません。
Q: AMS アカウントで AWS Systems Manager オートメーションを使用するための前提条件または依存関係は何ですか?
前提条件はありませんが、ランブックの作成中は、内部プロセスやコンプライアンスコントロールが準拠していることを確認する必要があります。また、本番稼働用リソースに対してランブックを実行する前に、ランブックを徹底的にテストすることをお勧めします。
Q: Systems Manager ポリシーを他の IAM ロールにアタッチcustomer_systemsmanager_automation_policyできますか?
いいえ。他のセルフプロビジョニング対応サービスとは異なり、このポリシーはプロビジョニングされたデフォルトロール にのみ割り当てることができますcustomer_systemsmanager_automation_console_role。
他の SSPS ロールのポリシーとは異なり、この SSM SSPS ポリシーは他のカスタム IAM ロールと共有できません。これは、この AMS サービスがマネージドインスタンス内でコマンドまたはオートメーションスクリプトを実行する場合のみであるためです。これらのアクセス許可を他のカスタム IAM ロールにアタッチすることが許可され、他の のサービスに対するアクセス許可がある場合、許可されるアクションの範囲はマネージドサービスにまで及ぶ可能性があり、アカウントのセキュリティ体制が低下する可能性があります。
AMS 技術標準に照らして変更リクエスト (RFCs「RFC セキュリティレビュー」を参照してください。
注記
AWS Systems Manager では、 アカウントと共有されているランブックを使用できます。共有ランブックを使用する場合は注意を払い、デューディリジェンスチェックを実行することをお勧めします。ランブックを実行する前に、必ずコンテンツを確認して、それらが実行するコマンド/スクリプトを理解してください。詳細については、「共有 SSM ドキュメントのベストプラクティス」を参照してください。
