Systems Manager Quick Setup のパッチポリシーで AWS Organizations 配下のアカウントとリージョン全体に簡単にパッチ適用ができるようになりました

こんにちは、森田です。

先日のアップデートで AWS Organizations 配下の AWSアカウントとリージョン全体にパッチを適用できるパッチポリシーが発表されました。

このパッチポリシーは、AWS Systems Managerの高速セットアップ（Quick Setup）より作成できるようです。

本記事では、実際にパッチポリシーを作成して、AWS Organizations 配下のメンバーアカウントのEC2に対してパッチ適用をやってみます。

やってみた

前提条件

AWS Organizations にて、Systems Manager の統合を有効化済みとします。

（有効化しないと「"the defined assume role is unable to be assumed."」のエラーが発生します。）

AWS Organizations 配下のメンバーアカウント

パッチ適用させるためのEC2を1台起動しておきます。

また、「IAM インスタンスプロファイル」は選択なしで作成します。

AWS Organizations の管理アカウント

まずは、Systems Managerのダッシュボードに移動し「高速セットアップ」→「Patch Manager」の作成を選択します。

以下のように「設定名」や「パッチオペレーション」の選択を行います。

「パッチベースライン」については、推奨される規定値を使用します。 「ログストレージにパッチ適用」で S3バケットへパッチ適用時のログの設定を行います。 「ターゲット」は組織全体としていますが、組織単位 (OU) での設定も可能です。

「インスタンスプロファイルのオプション」を有効化することでパッチ適用に必要な権限を付与を行ってくれます。

上記を入力後、「作成」を押下し、パッチポリシーを作成します。

作成後、しばらく待つと設定が対象のアカウントへデプロイされます。

そして、実際にパッチ適用のオペレーションを行うと以下のように「リソースのコンプライアンス」に結果が表示されます。

なお、対象のノード（インスタンス）のコンプライアンスの詳細は各アカウントで確認する必要があり、管理側からは、コンプライアンスの結果のみが確認できます。

AWS Organizations 配下のメンバーアカウントで確認

メンバーアカウントのPatch Manager コンソールの「コンプライアンスレポート」より以下のように確認できます。

また、EC2 作成時にはインスタンスプロファイルを選択していませんでしたが、以下のように自動で追加されていました。

まとめ

AWS Systems Managerの高速セットアップ（Quick Setup）のパッチポリシーを利用することで簡単にパッチ適用ができました。

今まで各アカウントで Patch Manager の設定が必要だったものが、要件さえ合えば、パッチポリシーを利用して一括で導入できそうです。

ただ、一括導入の注意点などもありそうなので、またの機会にまとめてみようと思います。