ミュータブル EC2 インスタンスのパッチソリューション設計
ミュータブルインスタンスのパッチ適用プロセスには、以下のチームとアクションが含まれます。
-
アプリケーション (DevOps) チームは、アプリケーション環境、OSタイプ、またはその他の基準に基づいて、サーバーのパッチグループを定義します。また、各パッチグループ固有のメンテナンスウィンドウも定義します。この情報は EC2 アプリケーションインスタンスのパッチグループとメンテナンスウィンドウタグに保存されます。各パッチサイクル中、アプリケーションチームはパッチ適用の準備、パッチ適用後のアプリケーションのテスト、パッチ適用中のアプリケーションと OS の問題のトラブルシューティングを行います。
-
セキュリティ運用チームは、アプリケーションチームが使用するさまざまな OS タイプのパッチベースラインを定義し、パッチを承認して、Systems Manager Patch Manager を通じてパッチを利用できるようにします。
-
自動パッチソリューションは定期的に実行され、ユーザー定義のパッチグループとメンテナンスウィンドウに基づいて、パッチベースラインに定義されているパッチを配布します。パッチコンプライアンス情報は Systems Manager インベントリ内のリソースデータ同期によって取得され、Amazon Quick Suite ダッシュボードによるパッチコンプライアンスレポートに使用されます。
-
ガバナンスチームとコンプライアンスチームは、パッチガイドラインを定義し、例外プロセスとメカニズムを定義し、Quick Suite からコンプライアンスレポートを取得します。
OS パッチ管理ソリューションを成功に導いた主要な利害関係者とその責任の詳細については、本ガイドの後半にある主要な利害関係者、役割、責任セクションを参照してください。
自動化プロセス
自動パッチソリューションでは、連携して動作する複数の AWS サービスを使用して EC2 インスタンスにパッチをデプロイします。このプロセスには、AWS Config、AWS Lambda、Systems Manager、Amazon Simple Storage Service (Amazon S3)、および Quick Suite が含まれます。以下の図は、リファレンスアーキテクチャとワークフローを示しています。
ワークフローには以下のステップが含まれており、ステップ番号は図のコールアウトと一致しています。
-
AWS Config は以下を継続的に監視し、準拠していないインスタンスの詳細と必要な設定を含む通知を送信します。
EC2 インスタンスでのパッチタグ付けコンプライアンス。AWS Config は パッチグループとメンテナンスウィンドウタグがないインスタンスをチェックします。
AWS Identity and Access Management (IAM) インスタンスプロファイルに Systems Manager ロールを設定し、Systems Manager がインスタンスを管理できます。
-
Lambda 関数 (ここでは
automate-patchと呼びます) は、あらかじめ定義されたスケジュールで実行され、すべてのサーバーのパッチグループとメンテナンスウィンドウの情報を収集します。 -
次に
automate-patch機能は、適切なパッチグループとメンテナンスウィンドウを作成または更新し、パッチグループとパッチベースラインを関連付け、パッチスキャンを設定し、パッチタスクを展開します。オプションで、automate-patch関数は Amazon CloudWatch Events にイベントを作成して、差し迫ったパッチをユーザーに通知します。 -
メンテナンスウィンドウに基づき、イベントはアプリケーションチームに、間近に迫ったパッチ処理の詳細を示すパッチ通知を送信します。
-
パッチマネージャーは、定義されたスケジュールとパッチグループに基づいてシステムパッチを実行します。
-
Systems Manager Inventory のリソースデータ同期が、パッチの詳細を収集し、S3 バケットにパブリッシュします。
-
パッチコンプライアンスレポートとダッシュボードは、S3 バケット情報から Quick Suite に組み込まれています。
