[EC2 Systems Manager]Windowsのパッチ適用状況を可視化する

アイキャッチ AWS EC2

コンニチハ、千葉です。

Systems Managerを利用するとWindowsのパッチ適用を可視化したり、自動適用することができます。

今回は、手始めにWindowsのパッチ適用状況を可視化してみました。

作業サマリ

  • EC2インスタンスをSSM管理対象にする
  • パッチベースラインの作成:どのようなパッチを適用するか
  • メンテナンスウィンドウの作成:何時からパッチ適用を実行するか
  • パッチ適用のターゲットを登録:EC2個別指定または、タグでの指定
  • タスクの登録:実際に実行するパッチ適用タスクを登録

やってみた

操作は、マネージメントコンソールのEC2より行っていきます。

前提

対象のWindowsがSSMの管理下にある状態をにしておきます。 こちらを確認し、サーバが対象になっていることを確認してください。

20170619-systems-manager-patch-0

パッチベースラインの作成

パッチベースラインを作成します。パッチベースラインでは、適用するパッチの種類(クリティカルとか)を指定します。

20170619-systems-manager-patch-1

対象のOS、パッチのカテゴリ、パッチレベルを選択します。また、Waitを利用するとパッチが出てから何日後に適用みたいな設定ができます。例へば、開発環境はすぐ適用し、本番環境への適用を遅らせるようなことができます。

20170619-systems-manager-patch-2

メンテナンスウィンドウを作成

メンテナンスウィンドウを作成し、パッチ適用のタイミングを指定します。EC2のマネージメントコンソールからメンテナンスウィンドウをクリックします。

20170619-systems-manager-patch-3

次に、ターゲットの登録を行います。

20170619-systems-manager-patch-6

タグまたは、特定のインスタンスで指定できます。

20170619-systems-manager-patch-7

次にメンテナンスウィンドウ中に実行するタスクを登録します。ここで登録するタスクは、「AWS-ApplyPatchBaseline」になります。

タスクを登録します。

20170619-systems-manager-patch-4

ここで、Scanを選択すると読み取りになります。今回は可視化を目的としているのでScanを選択しました。実際に適用する場合は、「Install」を選択します。 また、ロールには「AmazonSSMFullAccess」をアタッチしています。

20170619-systems-manager-patch-5

確認してみる

以上で設定は完了です。パッチコンプライアンスより状況を確認できるようになりました。

20170619-systems-manager-patch-8

インスタンス別に詳細を確認することもできます。

20170619-systems-manager-patch-9

最後に

パッチ適用という視点でSystems Managerを使ってみました。Windowsにログインせずに適用状況を把握し、実際にパッチを適用することもできます。まずは、スキャンからやってみて適用の自動化までできると幸せになれそうです。

参考

http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/sysman-patch-walkthrough.html#sysman-patch-passrole