Systems Manager 設定の調整 - AWS Systems Manager
アカウントセットアップ設定組織のセットアップの設定機能設定[診断および修復] の設定

Systems Manager 設定の調整

Systems Manager 統合コンソールで [設定] ページのオプションを使用して、各種機能を有効にして設定できます。表示されるオプションは、ログインに使用しているアカウントと、Systems Manager を既にセットアップしているかどうかによって異なります。

注記

[設定] ページのオプションが Systems Manager のツール (これまで機能と呼ばれていたもの) に影響を与えることはありません。

アカウントセットアップ設定

Systems Manager が有効になっている場合に、Organizations のメンバーでないアカウントでログインするか、委任管理者が Organizations アカウントを Systems Manager に追加していないと、[アカウント設定] ページに [Systems Manager を無効にする] オプションが表示されます。Systems Manager を無効にすると、Systems Manager に統合コンソールが表示されなくなります。Systems Manager ツールはいずれも引き続き機能します。

組織のセットアップの設定

[組織のセットアップ] タブの [ホームリージョン] セクションに、セットアップ時にホームリージョンとして選択された AWS リージョンが表示されます。AWS Organizations を使用するマルチアカウントとマルチリージョンの環境で、Systems Manager がすべてのアカウントとリージョンからホームリージョンにノードデータを自動的に集約します。このようにデータを集約すると、アカウントとリージョン全体のノードデータを 1 か所に表示できます。

注記

ホームリージョンを変更する場合は、Systems Manager をいったん無効にしてから再度有効にする必要があります。Systems Manager を無効にするには、[無効化] を選択します。

[組織のセットアップ] セクションに、セットアップ時に選択した AWS 組織単位と AWS リージョンが表示されます。Systems Manager にノードデータを表示する組織単位とリージョンを変更するには、[編集] を選択します。組織に Systems Manager をセットアップする方法の詳細については、「AWS Systems Manager を設定する」を参照してください。

機能設定

[Feature configurations] セクションでは、組織全体のノード管理を強化する主要な Systems Manager 機能を有効にして設定できます。これらの機能は連携して、マネージドノードの自動管理、コンプライアンスモニタリング、メンテナンスを提供します。

これらの機能は、Systems Manager の初期設定時に設定するか、後で [設定] ページから変更することができます。各機能は、組織の要件に応じて個別に有効化または無効化することができます。

デフォルトのホスト管理設定

デフォルトのホスト管理設定 (DHMC) は、Systems Manager によって管理されるように、組織内の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを自動的に設定します。有効にすると、DHMC は、Systems Manager サービスと通信するために必要な AWS Identity and Access Management (IAM) アクセス許可と設定が新規および既存の EC2 インスタンスにあることを確認します。

DHMC には次の利点があります。

  • 自動 IAM ロール割り当て – EC2 インスタンスにマネージドノードとして機能するために必要な IAM ロールとポリシーがあることを確認します。

  • ドリフト修復 – インスタンスがマネージドノードのステータスを失うと、設定ドリフトを自動的に修正します。

  • オンボーディングの簡素化 – 新しいインスタンスの手動設定手順を削減します。

  • 一貫した設定 – EC2 フリート全体で統一された設定を維持します。

ドリフト修復頻度の設定

ドリフト修復は、EC2 インスタンスがマネージドノード設定を失ったときに自動的に検出して修正します。Systems Manager が設定ドリフトをチェックして修正する頻度を設定できます。

デフォルトのホスト管理設定を無効にするには

  1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。

  2. ナビゲーションペインで [設定] を選択します。

  3. [Feature configurations]セクションで、[デフォルトのホスト管理設定]を見つけます。

  4. DHMC を有効にするには、トグルスイッチをオンにします。

  5. [Drift remediation frequency] で、Systems Manager で設定ドリフトをチェックして修正する頻度を選択します。

    • 毎日 – ドリフトを 1 日に 1 回チェックして修復します。

    • 毎週 – ドリフトを週に 1 回チェックして修復します。

    • 毎月 – ドリフトを 1 か月に 1 回チェックして修復します。

  6. [保存] を選択します。

注記

DHMC を有効にすると、Systems Manager は必要な IAM ロールとポリシーをアカウントに作成します。これらのロールにより、EC2 インスタンスは Systems Manager サービスと通信できます。DHMC によって作成される IAM ロールの詳細については、「Systems Manager を利用した EC2 インスタンスの管理」を参照してください。

インベントリメタデータの収集

インベントリメタデータの収集は、インストールされたアプリケーション、ネットワーク設定、システム更新、その他のシステムメタデータなど、マネージドノードに関する詳細情報を自動的に収集します。この情報は、コンプライアンスの維持、セキュリティ分析の実行、インフラストラクチャ構成の理解に役立ちます。

インベントリの収集には、次の利点があります。

  • コンプライアンスモニタリング – インストール済みのソフトウェアと設定をコンプライアンスレポートの目的で追跡します。

  • セキュリティ分析 – 古いソフトウェアと潜在的なセキュリティ脆弱性を特定します。

  • アセット管理 – インフラストラクチャの最新インベントリを維持します。

  • クエリ機能 – Amazon Q Developer で収集されたデータを自然言語クエリに使用します。

収集されるインベントリデータのタイプ

インベントリメタデータの収集を有効にすると、Systems Manager はマネージドノードから次のタイプの情報を収集します。

  • アプリケーション – インストール済みのソフトウェアパッケージとアプリケーション

  • ネットワーク設定 – ネットワークインターフェイス、IP アドレス、ネットワーク設定

  • システム更新 – インストール済みのパッチと利用可能な更新

  • システムプロパティ – ハードウェア仕様、オペレーティングシステムの詳細、システム設定

  • サービス – 実行中のサービスとその設定

インベントリ収集頻度の設定

Systems Manager がマネージドノードからインベントリメタデータを収集する頻度を設定できます。収集頻度が高いほど、より最新の情報が得られますが、AWS サービスの使用量が増加する可能性があります。

インベントリメタデータの収集を有効にするには

  1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。

  2. ナビゲーションペインで [設定] を選択します。

  3. [Feature configurations] セクションで、[Inventory metadata collection] を見つけます。

  4. インベントリの収集を有効にするには、トグルスイッチをオンにします。

  5. [データ収集の頻度] で、Systems Manager でインベントリデータを収集する頻度を選択します。

    • 毎日 – インベントリデータを 1 日に 1 回収集します。

    • 毎週 – インベントリデータを週に 1 回収集します。

    • 毎月 – インベントリデータを 1 か月に 1 回収集します。

  6. [保存] を選択します。

重要

インベントリの収集では、マネージドノードにシステム情報を収集するために必要なアクセス許可が必要です。マネージドノードに適切な IAM ロールとポリシーがあることを確認します。必要なアクセス許可の詳細については、「AWS Systems Manager インベントリ」を参照してください。

SSM Agent の更新

SSM Agent の自動更新により、マネージドノードが最新バージョンの SSM Agent を実行していることが保証されます。エージェントを最新状態に保つことで、最新の機能、セキュリティ強化、バグ修正にアクセスできます。

SSM Agent の自動更新には以下の利点があります。

  • 最新の機能 – Systems Manager 新機能と機能向上へのアクセス

  • セキュリティ更新 – セキュリティパッチと修正の自動インストール

  • 信頼性の向上 – バグ修正と安定性の向上

  • メンテナンスの削減 – エージェントを手動で更新する必要がなくなります。

エージェントの自動更新の設定

Systems Manager がマネージドノードで SSM Agent の更新をチェックしてインストールする頻度を設定できます。定期的に更新することで、最適なパフォーマンスとセキュリティが保証されます。

SSM Agent の更新を設定するには

  1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。

  2. ナビゲーションペインで [設定] を選択します。

  3. [Feature configurations] セクションで、[SSM Agent updates] を見つけます。

  4. 自動更新を有効にするには、トグルスイッチをオンにします。

  5. [更新頻度] で、Systems Manager でエージェントの更新をチェックしてインストールする頻度を選択します。

    • 毎日 – 1 日に 1 回更新を確認します。

    • 毎週 – 1 週間に 1 回更新をチェックします。

    • 毎月 – 1 か月に 1 回更新を確認します。

  6. [保存] を選択します。

[診断および修復] の設定

[診断および修復] の設定によって、Systems Manager でノードを自動的にスキャンしてノードが Systems Manager と通信できるようにするかどうかが決まります。この機能を有効にすると、定義したスケジュールに従って機能が自動的に実行されます。これにより、Systems Manager に接続できないノードとその理由を特定できます。この機能には、ネットワークの問題のほか、ノードをマネージドノードとして設定することを阻害しているその他の問題を修復するのに適したお勧めのランブックも用意されています。

定期診断スキャンのスケジューリング

Systems Manager は、複数のタイプのデプロイ障害やドリフトした設定を診断することができ、それらをユーザーが修復するのに役立ちます。また、Systems Manager は、アカウント内または組織内の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのうち、マネージドノードとして扱うことができないインスタンスを特定することもできます。EC2 インスタンス診断プロセスでは、仮想プライベートクラウド (VPC)、ドメインネームサービス (DNS) 設定、または Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループの設定ミスに関連する問題を特定できます。

[定期診断のスケジューリング] 機能を使用して定期診断スキャンを自動化することで、Systems Manager に接続できないノードを特定するタスクを簡単に実行できます。このスキャンにより、Systems Manager に接続できないノードとその理由を特定できます。ノードの定期診断スキャンを有効にして設定するには、以下の手順に従います。

定期診断スキャンをスケジューリングするには

  1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。

  2. ナビゲーションペインで、[設定][診断および修復] タブの順に選択します。

  3. [定期診断のスケジューリング] オプションを有効にします。

  4. [スキャン期間] でスキャンの実行頻度を選択します。

  5. (オプション) [開始時刻] に、診断を開始する時刻を 24 時間形式で入力します。例えば、午後 8:15 の場合は 20:15 と入力します。

    入力する時刻は、現在のローカルタイムゾーンの時刻です。

    時刻を指定しない場合、診断スキャンは即時に実行されます。Systems Manager は、今後のスキャンも現在時刻に実行されるようにスケジュールします。時刻を指定すると、Systems Manager は指定された時刻まで待ってから診断スキャンを実行します。

  6. [保存] を選択します。

  7. スキャンが完了したら、左側のナビゲーションで [診断および修復] を選択して詳細を表示します。

[診断および修復] 機能の詳細については、「診断と修復」を参照してください。

S3 バケット暗号化の更新

Systems Manager をオンボーディングすると、AWS Organizations セットアップ用の委任管理者アカウントに Quick Setup によって Amazon Simple Storage Service (Amazon S3) バケットが作成されます。シングルアカウントセットアップの場合、バケットはセットアップされるアカウントに保存されます。このバケットは、診断スキャン中に生成されたメタデータを保存するために使用されます。

Systems Manager の統合コンソールのセットアップ方法については、「AWS Systems Manager を設定する」を参照してください。

デフォルトでは、バケット内のデータは AWS がユーザーに代わって所有および管理する AWS Key Management Service (AWS KMS) キーを使用して暗号化されます。

これとは別の AWS KMS キーをバケットの暗号化に使用することもできます。例えば、カスタマーマネージドキー (CMK) を使用して、AWS KMS keysによるサーバー側の暗号化 (SSE-KMS) を使用するという方法があります。詳細については、「Systems Manager での Amazon S3 バケットとバケットポリシーの使用」を参照してください。

S3 バケットの暗号化に別の AWS KMS キーを使用するには

  1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。

  2. ナビゲーションペインで、[設定][診断および修復] タブの順に選択します。

  3. [S3 バケットの暗号化の更新] 領域で、[編集] を選択します。

  4. [暗号化設定のカスタマイズ (高度)] チェックボックスを選択します。

  5. [AWS KMS キーの選択] でそのキーの Amazon リソースネーム (ARN) を選択または入力します。

    ヒント

    新しいキーを作成するには、[AWS KMS キーを作成] を選択します。

  6. [保存] を選択します。