パッチグループ - AWS Systems Manager

パッチグループ

重要

パッチグループは、パッチポリシーに基づくパッチ適用オペレーションでは使用されません。パッチポリシーの使用については、「Quick Setup でのパッチポリシー設定 」を参照してください。

パッチグループを使用して、AWS Systems Manager の一機能である Patch Manager でマネージドノードを特定のパッチベースラインに関連付けることができます。パッチグループは、正しい一連のノードに、関連するパッチベースラインのルールに基づいて、適切なパッチをデプロイしていることを確認するのに役立ちます。パッチグループを使用すると、適切なテストの完了前にパッチがデプロイされることも回避できます。たとえば、環境別 (開発、テスト、実稼働など) にパッチグループを作成して、適切なパッチベースラインに各パッチグループを登録できます。

AWS-RunPatchBaseline を実行する場合は、ノード ID やタグを使用して、マネージドインスタンスをターゲットにすることができます。SSM Agent とPatch Manager は、マネージドノードに追加したパッチグループの値に基づいて、使用するパッチベースラインを評価します。

パッチグループは、Amazon Elastic Compute Cloud (Amazon EC2) タグを使用して作成します。Systems Manager における他のタグ付けシナリオとは異なり、パッチグループを定義するにはタグキー Patch Group または PatchGroup を使用する必要があります。キーでは大文字と小文字が区別されます。グループのリソースを特定し対象としやすくするために任意の値 (「Web サーバー」や「US-EAST-PROD」など) を指定できますが、キーは Patch Group または PatchGroup でなければなりません。

パッチグループを作成してマネージドノードにタグを付けたら、パッチグループをパッチベースラインに登録できます。パッチグループをパッチベースラインに登録することで、パッチグループ内のノードは、関連付けられたパッチベースラインで定義されているルールを使用します。

パッチグループを作成する方法とパッチグループをパッチベースラインに関連付ける方法の詳細については、「パッチグループの作成と管理」および「パッチグループをパッチベースラインに追加する」を参照してください。

AWS Command Line Interface (AWS CLI)を使用したパッチベースラインとパッチグループの作成例については、「チュートリアル: AWS CLI を使用してサーバー環境にパッチを適用する」を参照してください。Amazon EC2 タグの詳細については、「Amazon EC2 ユーザーガイド」の「Amazon EC2 リソースのタグ付け」を参照してください。

使用方法

システムでタスクを実行してマネージドノードにパッチベースラインを適用するときに、SSM Agent はそのノードにパッチグループの値が定義されているかどうかを確認します。ノードがパッチグループに割り当てられている場合、Patch Manager はそのパッチグループにどのパッチベースラインが登録されているかを確認します。そのグループにパッチベースラインがある場合、Patch Manager は関連付けられているパッチベースラインを使用するように SSM Agent に通知します。ノードにパッチグループが設定されていない場合、Patch Manager は現在設定されているデフォルトのパッチベースラインを使用するように SSM Agent に自動的に通知します。

重要

マネージドノードは 1 つのパッチグループのみ所属できます。

パッチグループは、オペレーティングシステムタイプごとに 1 つのパッチベースラインのみに登録できます。

インスタンスで [Allow tags in instance metadata] (インスタンスメタデータ内のタグを許可する) オプションを有効にした場合は、Amazon EC2 インスタンスに Patch Group タグ (スペースなし) を適用することはできません。インスタンスメタデータでタグを許可すると、タグキー名にスペースが含まれなくなります。EC2 インスタンスのメタデータでタグを許可している場合は、スペースなしでタグキー PatchGroup を使用する必要があります。

図 1: パッチ適用オペレーションのプロセスの流れの一般的な例

次の図は、Run Command タスクをサーバーのフリートに送信し、Patch Manager を使用してパッチを適用する場合に、Systems Manager が実行するプロセスの一般的な例を示しています。これらのプロセスは、パッチ適用オペレーションで使用するパッチベースラインを決定します。(コマンドを送信して Patch Manager を使用してパッチを適用するようにメンテナンスウィンドウを設定した場合にも、同様のプロセスが使用されます。)

完全なプロセスについては、以下の図で説明します。

パッチ適用オペレーションの実行時に使用するパッチベースラインを決定するための Patch Manager ワークフロー。

この例では、次のタグが適用される、Windows Server 用の 3 つの EC2 インスタンスのグループがあります。

EC2 インスタンスグループ タグ

グループ 1

key=OS,value=Windows

key=PatchGroup,value=DEV

グループ 2

key=OS,value=Windows

グループ 3

key=OS,value=Windows

key=PatchGroup,value=QA

この例では、これら 2 つの Windows Server パッチベースラインも用意されています。

パッチベースライン ID デフォルト 関連するパッチグループ

pb-0123456789abcdef0

はい

Default

pb-9876543210abcdef0

不可

DEV

AWS Systems Manager の一機能である Run Command、および Patch Manager を使用してパッチをスキャンまたはインストールする一般的な手順は次のとおりです。

  1. パッチにコマンドを送信する: ドキュメント AWS-RunPatchBaseline を使用して Run Command タスクを送信するには、Systems Manager コンソール、SDK、AWS Command Line Interface (AWS CLI)、または AWS Tools for Windows PowerShell を使用します。key=OS,value=Windows タグをターゲットにして、マネージドインスタンスにパッチを適用する Run Command タスクを図に示します。

  2. パッチベースラインの確認: SSM Agentは、EC2 インスタンスに適用されているパッチグループタグを確認し、対応するパッチベースラインを Patch Manager に問い合わせます。

    • パッチベースラインに関連付けられている一致するパッチグループの値:

      1. グループ 1 の EC2 インスタンスにインストールされている SSM Agent は、ステップ 1 で発行されたコマンドを受け取ってパッチ適用オペレーションを開始します。SSM Agentは、EC2 インスタンスのパッチグループタグの値に DEV が適用されていることを確認し、関連付けられているパッチベースラインをPatch Managerに問い合わせます。

      2. Patch Managerは、パッチベースラインの pb-9876543210abcdef0 がパッチグループの DEV に関連付けられていることを確認し、SSM Agentに通知します。

      3. SSM Agent は、pb-9876543210abcdef0 で設定されている承認ルールと例外に基づいてPatch Managerからパッチベースラインのスナップショットを取得して、次のステップに進みます。

    • インスタンスに追加されたパッチグループタグはありません。

      1. グループ 2 の EC2 インスタンスにインストールされている SSM Agent は、ステップ 1 で発行されたコマンドを受け取ってパッチ適用オペレーションを開始します。SSM Agent は、EC2 インスタンスに Patch Group または PatchGroup タグが適用されていないことを確認します。そのため、SSM Agent はデフォルトの Windows のパッチベースラインを Patch Manager に問い合わせます。

      2. Patch Managerは、デフォルトの Windows Server のパッチベースラインが pb-0123456789abcdef0 であることを確認し、SSM Agentに通知します。

      3. SSM Agent は、デフォルトのパッチベースラインの pb-0123456789abcdef0 で設定されている承認ルールと例外に基づいてPatch Managerからパッチベースラインのスナップショットを取得して、次のステップに進みます。

    • パッチベースラインに一致するパッチグループの値が関連付けられていません。

      1. グループ 3 の EC2 インスタンスにインストールされている SSM Agentは、ステップ 1 で発行されたコマンドを受け取ってパッチ適用オペレーションを開始します。SSM Agentは、EC2 インスタンスのパッチグループタグの値に QA が適用されていることを確認し、関連付けられているパッチベースラインをPatch Managerに問い合わせます。

      2. Patch Manager は、パッチグループの QA に関連付けられているパッチベースラインを見つけられません。

      3. Patch Managerは、デフォルトの Windows のパッチベースラインの pb-0123456789abcdef0 を使用するように SSM Agentに通知します。

      4. SSM Agent は、デフォルトのパッチベースラインの pb-0123456789abcdef0 で設定されている承認ルールと例外に基づいてPatch Managerからパッチベースラインのスナップショットを取得して、次のステップに進みます。

  3. パッチのスキャンまたはインストール。使用する適切なパッチベースラインを決定したら、SSM Agent は、ステップ 1 で指定されたオペレーションの値に基づいてスキャンまたはインストールのいずれかを開始します。スキャンまたはインストールするパッチは、Patch Managerによって提供されるパッチベースラインのスナップショットで定義されている承認ルールとパッチの例外に基づいて決定されます。