AWS Systems Manager に始めるの前に必要な情報

2022.08.26

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

すべてのユーザーインフラのより良い可視性と制御を持つことができるサービス群です。これに色々なAWS Systems Manager 機能です。

  • Run Command 
  • Parameter Store
  • Session Manager
  • Patch Manager

Systems Manager を利用するには、すべてのEC2インスタンス にSystems Manager の agent がインストールされている必要があります。ただし、Parameter Store のように、システムにSSM Agentをインストールする必要がない例外もあります。

Fleet Managerという名前の別の機能であり、1つのダッシュボードで全てのインスタンスを見ることができます、各インスタンスとその詳細を参照できます。

さらに、インスタンスに関連するグループとユーザーを確認することもできます。ここで一つ重要なことは、これらのグループとユーザはIAMに関連したものではなく、インスタンス自身のユーザとグループであることです。

AWS Session Manager

AWS Sessions Managerは、アクティブなセッションとAWSインフラへのアクセスを管理する。ユーザーやサービスがAWSのサービスにアクセスする場合、サービス側がすべての認証情報を持っているのは安全かつ効率的ではありません。これにより、開発者はインフラストラクチャのセキュリティをよりよく管理することができます。

IAMポリシーによる集中アクセス制御

これは、アプリケーション/ユーザーが使用するサービスに対するIAMポリシーを使用した集中アクセス制御です。インバウンドポートを解放は不要で、セッションのログと監査が可能かつ簡単に実行できます。このサービスは、VPNを使用せずにインスタンスに1クリックでアクセスできる便利なサービスです。

セッションヒストリでは、インスタンスとのすべてのセッションと、どのユーザーがインスタンスに接続したか、セッションのステータス、セッションのタイムラインなどの詳細を見ることができます。

ログを有効にすると、セッション中にインスタンスで実行されたすべてのコマンドのログを見ることができます。これを行うには、cloudwatchコンソールでロググループを定義する必要があります。また、EC2インスタンスがログをCloudWatch Logsにエクスポートできるように、IAMロールを追加します。

これらのログは、暗号化することもできます。

いくつかの説明をしましたが、もっと詳しく知りたい方は、ぜひご自身で検証することをお勧めいたします。

 

EC2 Instance ConnectとEC2 Sessions Managerの相違点

EC2 Instance Connect and Sessions Manager Differences

さいごに

SSMは面白いなサービスです、学ぶは大いに役立ちます。