Amazon EC2 ホスト管理
AWS Systems Manager の一機能である Quick Setup を利用することで、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスで必要なセキュリティロールと一般的に使用される Systems Manager 機能をすばやく設定できます。AWS Organizations と統合することで、個々のアカウントで、または複数のアカウントと AWS リージョン にまたがって Quick Setup を使用できます。これらの機能は、使用を開始するために必要な最小限のアクセス許可を提供しながら、インスタンスの正常性を管理およびモニタリングするのに役立ちます。
Systems Manager のサービスと機能に慣れていない場合は、Quick Setup の設定を作成する前に AWS Systems Manager ユーザーガイドを確認するようお勧めします。Systems Manager の詳細については、「AWS Systems Manager とは」を参照してください。
重要
次のいずれかに当てはまる場合、Quick Setup は EC2 管理には適切なツールではない可能性があります。
-
初めて EC2 インスタンスを作成して、AWS 機能を試してみようとしている。
-
EC2 インスタンス管理にまだ慣れていない。
次の内容から始めることをお勧めします。
-
「Amazon EC2 ユーザーガイド」の「新しいインスタンス起動ウィザードを使用してインスタンスを起動する」
-
「Amazon EC2 ユーザーガイド」の「新しいインスタンス起動ウィザードを使用してインスタンスを起動する」
-
「Amazon EC2 ユーザーガイド」の「チュートリアル: Amazon EC2 Linux インスタンスの開始方法」
すでに EC2 インスタンス管理に慣れていて、複数の EC2 インスタンスの設定と管理を効率化したい場合は、Quick Setup を使用してください。組織の EC2 インスタンスが数十、数千、数百万のいずれであっても、次の Quick Setup 手順を使用して、複数のオプションを一度に設定してください。
前提条件
Quick Setup のホームリージョンは、以下のタスクを完了する前に、あらかじめ指定しておく必要があります。詳細については、ホーム AWS リージョン を設定するには を参照してください。
注記
この設定タイプでは、AWS Organizations で定義されている組織全体、一部の組織アカウントとリージョンのみ、または単一のアカウントに複数のオプションを設定できます。これらのオプションの 1 つは、2 週間ごとに SSM Agent への更新を確認して適用することです。組織管理者の場合は、デフォルトのホスト管理設定タイプを使用して、2 週間ごとに組織内のすべての EC2 インスタンスをエージェントアップデートで更新するように選択することもできます。詳細については、組織のデフォルトのホスト管理 を参照してください。
EC2 インスタンスのホスト管理オプションの設定
ホスト管理を設定するには、AWS Systems Manager Quick Setup コンソールで次のタスクを実行します。
ホスト管理設定ページを開くには
AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/
) を開きます。 ナビゲーションペインで、[Quick Setup] を選択します。
-
[ホスト管理] カードで、[作成] を選択します。
ヒント
アカウントにすでに 1 つ以上の設定がある場合は、まず[設定] セクションで [ライブラリ] タブまたは [作成] ボタンを選択し、カードを表示します。
Systems Manager のホスト管理オプションを設定するには
-
Systems Manager 機能を設定するには、[設定オプション] セクションで、設定で有効にする Systems Manager グループの次のオプションを選択します。
- Systems Manager (SSM) エージェントを 2 週間ごとに更新する
-
エージェントの新しいバージョンがあるかどうか Systems Manager が 2 週間ごとに確認できるようにします。新しいバージョンがある場合、Systems Manager はマネージドノード上のエージェントを最新のリリースバージョンに自動的に更新します。Quick Setup は、エージェントがまだ存在しないインスタンスにエージェントをインストールすることはありません。どの AMIs に SSM Agent がプリインストールされているかについては、「SSM Agent がプリインストールされている AMIs を見つける」を参照してください。
ノードが常に最新バージョンの SSM Agent を実行できるように、このオプションを選択することをお勧めします。エージェントを手動でインストールする方法など SSM Agent の詳細については、「SSM Agent の使用」を参照してください。
- 30 分ごとにインスタンスからインベントリを収集する
-
次のタイプのメタデータの収集を Quick Setup が設定できるようにします。
-
AWS コンポーネント – EC2 ドライバー、エージェント、バージョンなど。
-
アプリケーション – アプリケーション名、発行元、バージョンなど。
-
ノードの詳細 – システム名、オペレーティングシステム (OS) 名、OS バージョン、最終起動、DNS、ドメイン、ワークグループ、OS アーキテクチャなど。
-
ネットワーク設定 – IP アドレス、MAC アドレス、DNS、ゲートウェイ、サブネットマスクなど。
-
サービス – 名前、表示名、ステータス、依存サービス、サービスタイプ、スタートタイプなど (Windows Server ノードのみ)。
-
Windows ロール – 名前、表示名、パス、特徴タイプ、インストールされている状態など (Windows Server ノードのみ)。
-
Windows 更新 – Hotfix ID、インストール者、インストール日など (Windows Server ノードのみ)。
AWS Systems Manager の機能であるインベントリの詳細については、「 AWS Systems Manager インベントリ 」を参照してください。
注記
[Inventory collection] (インベントリ収集) オプションは、数個のノードのみを選択した場合でも、完了までに最大 10 分かかることがあります。
-
- 欠落しているパッチを毎日スキャンする
-
Systems Manager の一機能である Patch Manager によって、ノードを毎日スキャンし、[コンプライアンス] ページでレポートを生成できるようにします。このレポートには、デフォルトのパッチベースラインに従って、パッチに準拠しているノードの数が表示されます。このレポートには、各ノードとそのコンプライアンス ステータスのリストが含まれます。
パッチ適用オペレーションとパッチベースラインについては、「AWS Systems Manager Patch Manager」を参照してください。
パッチコンプライアンスについては、Systems Manager の [Compliance]
(コンプライアンス) ページを参照してください。 1 つの設定で複数のアカウントとリージョンのマネージドノードにパッチを適用する方法については、「Quick Setup パッチポリシーの使用」と「Patch Manager 組織パッチ適用設定」を参照してください。
重要
Systems Manager では、パッチコンプライアンスに関してマネージドノードをスキャンするいくつかの方法がサポートされています。これらの方法を一度に複数実施した場合、表示されるパッチコンプライアンス情報は常に最新のスキャンの結果です。以前のスキャンの結果は上書きされます。スキャン方法によって異なるパッチベースラインと異なる承認ルールが使用されている場合、パッチコンプライアンス情報が予期せず変化する可能性があります。詳細については、「パッチコンプライアンスデータに対する意図しない上書きの回避」を参照してください。
Amazon CloudWatch ホスト管理オプションを設定するには
-
CloudWatch 機能を設定するには、[設定オプション] セクションで、設定で有効にする Amazon CloudWatch グループの次のオプションを選択します。
- CloudWatch エージェントをインストールして設定する
-
統合 CloudWatch エージェントの基本的な設定が、Amazon EC2 インスタンスにインストールされます。エージェントは、Amazon CloudWatch のインスタンスからメトリクススとログファイルを収集します。この情報は統合されているため、インスタンスの正常性をすばやく判断できます。CloudWatch エージェントのベーシック 設定の詳細については、[CloudWatch agent predefined metric sets] (CloudWatch エージェントの定義済みメトリクス セット) を参照してください。追加コストが発生する場合があります。詳細については、「Amazon CloudWatch の料金
」を参照してください。 - CloudWatch エージェントを 30 日に 1 回更新する
-
CloudWatch エージェントの新しいバージョンがあるかどうか Systems Manager が 30 日ごとに確認できるようにします。新しいバージョンがある場合、Systems Manager はインスタンスのエージェントを更新します。インスタンスで常に最新バージョンの CloudWatch エージェントが実行されるように、このオプションを選択することをお勧めします。
Amazon EC2 起動エージェントのホスト管理オプションを設定するには
-
Amazon EC2 起動エージェント機能を設定するには、[設定オプション] セクションで、設定で有効にする Amazon EC2 起動エージェントグループの次のオプションを選択します。
- EC2 起動エージェントを 30 日に 1 回更新する
-
インスタンスにインストールされている起動エージェントの新しいバージョンを Systems Manager が 30 日ごとに確認できるようにします。新しいバージョンが利用可能である場合、Systems Manager はインスタンスのエージェントを更新します。インスタンスで常に最新バージョンの適切な起動エージェントが実行されるように、このオプションを選択することをお勧めします。Amazon EC2 Windows インスタンスの場合、このオプションは EC2Launch、EC2Launch v2、および EC2Config をサポートします。Amazon EC2 Linux インスタンスの場合、このオプションは
cloud-initをサポートします。Amazon EC2 Mac インスタンスの場合、このオプションはec2-macos-initをサポートします。Quick Setup は、起動エージェントによってサポートされていないオペレーティングシステムまたは AL2023 にインストールされている起動エージェントの更新をサポートしていません。これらの初期化エージェントの詳細については、次のトピックを参照してください。
ホスト管理設定によって更新する EC2 インスタンスを選択するには
-
[ターゲット] セクションで、設定をデプロイするアカウントとリージョンを決定する方法を選択します。
注記
同じ AWS リージョン を対象に複数の Quick Setup ホスト管理設定を作成することはできません。
インスタンスプロファイルオプションを指定するには
-
[組織全体] と [カスタム] ターゲットのみ。
[インスタンスプロファイルのオプション] セクションで、インスタンスにアタッチされた既存のインスタンスプロファイルに必要な IAM ポリシーを追加するか、選択した設定に必要なアクセス許可を持つ IAM ポリシーとインスタンスプロファイルを Quick Setup で作成できるようにするか選択します。
設定の選択肢をすべて指定したら、[作成] を選択します。
