AWS Systems Manager 統合コンソールの設定でカスタマイズオプションが追加されました
はじめに
AWS Systems Manager 統合コンソールの設定でカスタマイズオプションが追加されました。
統合コンソールを利用すると、複数の AWS アカウントやリージョンにまたがる SSM 管理ノードを一元的に把握・管理できます。
従来は「有効化するリージョンの選択」しか行えませんでしたが、今回のアップデートにより次の設定も選択できるようになりました。
- Default Host Management Configuration(DHMC)の有効 / 無効 および ドリフトの修復頻度
- IAM ロールを自動作成し、アカウント内すべての EC2 インスタンスがマネージドインスタンスとして Systems Manager に接続できるようになります。
- インベントリメタデータ収集の有効 / 無効 および 収集間隔
- インストール済みソフトウェアやネットワーク設定などのメタデータを定期的に収集し、コンプライアンスチェックやクエリに活用できます。
- SSM Agent の自動更新の有効 / 無効 および 更新間隔
- すべてのマネージドノードにインストールされている SSM Agent を自動で最新バージョンへ更新します。
これにより、以下のようなケースで柔軟な構成が可能になりました。
- EC2 インスタンスの SSM 用 IAM 権限を自ら管理したい場合は、DHMC を無効化し独自ポリシーを適用する
- 運用ポリシーに合わせてインベントリ取得やエージェント更新のスケジュールを調整する
初期セットアップ時
ここでは、シングルアカウント環境で統合コンソールを有効化する際の挙動を確認します。
-
「統合コンソールを有効化」のトグルをクリックにすると、「設定をカスタマイズ」が現れます。クリックして詳細設定へ進みます。
-
カスタマイズ画面では、今回追加された 3 つのオプション(DHMC、インベントリ収集、SSM Agent 自動更新)を、組織の要件に合わせて有効/無効や実行間隔を設定できます。
注意点として、「設定をカスタマイズ」を開かずにそのまま[Systems Manager を有効にする]をクリックすると、以下のデフォルト値で有効化されます。
- DHMC: 有効 (1日ごと)
- インベントリ収集: 有効(12 時間ごと)
- SSM Agent 自動更新: 有効(14日ごと)
数十秒後、以下の画面に遷移します。
既存環境での設定変更
すでに統合コンソールをセットアップ済みの場合も、あとから同じ項目を変更できます。以下では、AWS Organizations 環境で SSM の委任管理者に設定されたアカウントを例に説明します。
-
Systems Manager で[設定]→[組織のセットアップ]を開くと、現在の設定が確認できます。初期状態は次のとおりです。
- DHMC: 有効 (1日ごと)
- インベントリ収集: 有効(12 時間ごと)
- SSM Agent 自動更新: 有効(14日ごと)
-
[編集]をクリックすると、初回セットアップ時と同じカスタマイズ画面が表示されます。ここで各項目を変更し、[保存]すれば組織全体に新しい設定が反映されます。
最後に
今回のアップデートで、統合コンソールのオンボーディング時に DHMC、インベントリ収集、SSM Agent 自動更新の有効/無効と実行間隔を自由に選択できるようになりました。
カスタマイズ画面を開かずに有効化すると、この3項目はいずれも有効のデフォルト設定が自動で適用されるため注意が必要です。
すでに統合コンソールを利用している環境でも[設定 → 組織のセットアップ → 編集]から同じ項目を変更でき、組織や運用要件に合わせた柔軟な管理が可能です。