• AWS Systems Manager CloudWatch ダッシュボードは、2026 年 4 月 30 日以降は利用できなくなります。お客様は、これまでと同様に Amazon CloudWatch コンソールを使用して、Amazon CloudWatch ダッシュボードの表示、作成、管理を継続できます。詳細については、「[Amazon CloudWatch ダッシュボードのドキュメント](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)」を参照してください。 # ユースケースとベストプラクティス このトピックでは、AWS Systems Manager ツールの一般的ユースケースやベストプラクティスを示します。使用可能な場合は、他にも、関連するブログの投稿や技術文書へのリンクが含まれます。 **注記** 次の各セクションのタイトルは、技術ドキュメントの該当セクションへの有効なリンクです。 **[オートメーション](systems-manager-automation.md)** + インフラストラクチャ用のセルフサービス Automation ランブックを作成します。 + AWS Systems Manager のツールである Automation を使用して、パブリック Systems Manager ドキュメント (SSM ドキュメント) を使用して、または独自のワークフローを作成して、AWS Marketplace またはカスタム AMIs から Amazon Machine Images (AMIs) を簡単に作成できます。 + [AMIs を構築および維持するには](automation-tutorial-update-ami.md)、`AWS-UpdateLinuxAmi` および `AWS-UpdateWindowsAmi` Automation ランブック、または作成したカスタムの Automation ランブックを使用します。 **[コンプライアンス](systems-manager-compliance.md)** + セキュリティのベストプラクティスとして、マネージドノードで使用される AWS Identity and Access Management (IAM) ロールを更新して、ノードが [PutComplianceItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html) API アクションを使用する機能を制限することをお勧めします。この API アクションは、Amazon EC2 インスタンスやマネージドノードなど、指定されたリソースにコンプライアンスタイプやその他のコンプライアンスの詳細を登録します。詳細については、「[Compliance のアクセス許可の設定](compliance-permissions.md)」を参照してください。 **[インベントリ](systems-manager-inventory.md)** + AWS Systems Manager のツールである Inventory と AWS Config を使用して、時間をかけてアプリケーション設定を監査します。 **[Maintenance Windows](maintenance-windows.md)** + ノードで破壊的になり得るアクション (オペレーティングシステム (OS) のパッチ適用、ドライバーの更新、ソフトウェアのインストール) を実行するスケジュールを定義します。 + AWS Systems Manager のツールである State Manager と Maintenance Windows の違いについては、「[State Manager または Maintenance Windows の選択](state-manager-vs-maintenance-windows.md)」を参照してください。 **[Parameter Store](systems-manager-parameter-store.md)** + AWS Systems Manager のツールである Parameter Store を使用して、グローバル設定を一元的に管理します。 + [AWS Systems ManagerParameter Store で AWS KMS を使用する方法](https://docs.aws.amazon.com/kms/latest/developerguide/services-parameter-store.html) + [Parameter Store パラメータから AWS Secrets Manager シークレットを参照](integration-ps-secretsmanager.md)します。 **[Patch Manager](patch-manager.md)** + AWS Systems Manager のツールである Patch Manager を使用してパッチを大規模にロールアウトし、フリートコンプライアンスの可視性をノード全体で強化します。 + [Patch Manager を AWS Security Hub CSPM](patch-manager-security-hub-integration.md) と統合して、フリートのノードがコンプライアンス違反になったときにアラートを受け取ったり、セキュリティの観点からフリートのパッチ適用ステータスを監視したりします。Security Hub CSPM の使用には料金が発生します。詳細については、「[料金](https://aws.amazon.com/security-hub/pricing/)」を参照してください。 + パッチコンプライアンス用のマネージドノードのスキャンでは、[コンプライアンスデータが意図せず上書きされることを防ぐ](patch-manager-compliance-data-overwrites.md)ため、一度に 1 つの方法のみを実行します。 **[Run Command](run-command.md)** + [EC2 Run Command を使用して、SSH アクセスなしで大規模なインスタンスを管理します](https://aws.amazon.com/blogs/aws/manage-instances-at-scale-without-ssh-access-using-ec2-run-command/)。 + AWS CloudTrail を使用して、AWS Systems Manager のツールである Run Command によって、またはそのために行われたすべての API コールを監査します。 + Run Command を使用してコマンドを送信する場合は、パスワード、設定データ、その他のシークレットなどの機密情報をプレーンテキスト形式で含めないでください。アカウント内のすべての Systems Manager API アクティビティは、AWS CloudTrail ログの S3 バケットにログ記録されます。つまり、その S3 バケットへのアクセス権を持つユーザーは、これらの秘密のプレーンテキスト値を表示できます。このため、Systems Manager オペレーションで使用する機密データを暗号化するために、`SecureString` パラメータを作成して使用することをお勧めします。 詳細については、「[IAM ポリシーを使用して Parameter Store パラメータへのアクセスを制限する](sysman-paramstore-access.md)」を参照してください。 **注記** デフォルトでは、CloudTrail によってバケットに配信されるログファイルは、Amazon の [Amazon S3 で管理された暗号化キーによるサーバー側の暗号化 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) によって暗号化されます。直接管理可能なセキュリティレイヤーを提供するには、代わりに CloudTrail ログファイルの[AWS KMS によって管理されたキー (SSE-KMS) を使用したサーバー側の暗号化](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) を使用できます。 詳細については、「AWS CloudTrail ユーザーガイド」の「[AWS KMS マネージドキー (SSE-KMS) による CloudTrail ログファイルの暗号化](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/encrypting-cloudtrail-log-files-with-aws-kms.html)」を参照してください。 + [Run Command のターゲットおよびレート制御機能を使用して、ステージングされたコマンドオペレーションを実行します](send-commands-multiple.md)。 + [AWS Identity and Access Management (IAM) ポリシーを使用して、Run Command (およびすべての Systems Manager ツール) にきめ細かいアクセス許可を適用します](security_iam_id-based-policy-examples.md#customer-managed-policies)。 **[Session Manager](session-manager.md)** + [AWS CloudTrail を使用して、AWS アカウントのセッションアクティビティをログに記録します。](session-manager-auditing.md) + [Amazon CloudWatch Logs または Amazon S3 を使用して、AWS アカウント にセッションデータをログ記録します。](session-manager-logging.md) + [インスタンスへのユーザーセッションアクセスを制御します](session-manager-getting-started-restrict-access.md)。 + [セッションでコマンドへのアクセスを制限します](session-manager-restrict-command-access.md)。 + [ssm-user アカウントの管理権限をオフにしたり、オンにしたりします](session-manager-getting-started-ssm-user-permissions.md)。 **[State Manager](systems-manager-state.md)** + [事前設定済みの `AWS-UpdateSSMAgent` ドキュメントを使用して、少なくとも 1 か月に 1 回、SSM Agent をアップデートします](state-manager-update-ssm-agent-cli.md)。 + (Windows の場合) PowerShell または DSC モジュールを Amazon Simple Storage Service (Amazon S3) にアップロードして、`AWS-InstallPowerShellModule` を使用します。 + タグを使用して、ノードのアプリケーショングループを作成します。個々のノード ID を指定するのではなく、`Targets` パラメータを使用してターゲットノードを作成します。 + [Systems Manager を使用して、Amazon Inspector によって生成された結果を自動的に修復します](https://aws.amazon.com/blogs/security/how-to-remediate-amazon-inspector-security-findings-automatically/)。 + [一元化された設定のリポジトリに SSM ドキュメントを保存し、組織全体でドキュメントを共有します](documents-ssm-sharing.md)。 + State Manager と Maintenance Windows との違いについては、「[State Manager または Maintenance Windows の選択](state-manager-vs-maintenance-windows.md)」を参照してください。 **[マネージドノード](fleet-manager-managed-nodes.md)** + Systems Manager では、オペレーションを実行するために正確な時間の参照が必要です。ノードの日時が正しく設定されていない場合、その日時は API リクエストの署名の日付と一致しないことがあります。これにより、エラーが発生したり、機能が不完全になったりする可能性があります。例えば、時刻設定が正しくないノードは、マネージドノードのリストには含まれません。 ノードの時刻設定の詳細については、「[Amazon EC2 インスタンスの時刻を設定する](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/set-time.html)」を参照してください。 + Linux 管理対象ノードでは、[SSM Agent の署名を確認します](verify-agent-signature.md)。 **詳細情報** + [Systems Manager のセキュリティに関するベストプラクティス](security-best-practices.md)