【Workshop】 AWS Systems Manager を活用してパッチ管理やコンプライアンスの自動化、OS メタデータ収集して可視化に挑戦 #COP302-R #AWSreInvent
こんにちは。AWS事業本部の Yoshi です。
re:Invent 2024 でラスベガスに来ています。
AWS Systems Manager を活用してパッチ管理やコンプライアンスを自動化、OS のメタデータを収集して可視化を学べる Workshop があったので参加してみました。
セッションの概要
タイトル
COP302-R | Automate patch management and compliance
説明
In this workshop, learn how to automate patch management and compliance. See how you can quickly enable patching at scale across your AWS accounts and Regions within your AWS organization using AWS Systems Manager. Gain hands-on experience with how to use AWS Systems Manager to enable patching operations and maintain compliance. You must bring your laptop to participate.
スピーカー
- Jim Grabinski, Sr. Technical Account Manager, Amazon Web Services
- Ravindra Kori, Solutions Architect, Amazon
内容
Systems Manager の機能のひとつ Patch manager を使用して 管理対象の EC2 インスタンス(Linux、Windows)をスキャンして不足している更新を探したり、不足している更新をインストール。パッチポリシーを使用して、アカウントとリージョン全体でパッチスキャンとインストールをスケジュールしたり、組織全体のパッチ管理状況を QuickSight にて可視化する内容でした。
アジェンダ
- パッチマネージャーでパッチ基準を定義
- 管理対象ノードをスキャン
- パッチのコンプライアンスを確認して不足しているアップデートをインストール
- パッチ操作のスケジュール
- 組織全体のパッチコンプライアンスを報告
- 組織全体のパッチ管理とインベントリレポート作成
- 対象ノードのメタデータから QuickSight で可視化
パッチマネージャーでパッチ基準を定義
パッチベースラインを OS タイプ別に作成して、重大度が高いセキュリティやバグに対するアップデートを実施する内容で設定。
管理対象ノードをスキャン
ベースラインで定義された基準に基づいて不足している更新を Patch manager でスキャンして、パッチ適用。
実行 ID をクリックすると個々のインスタンスでの操作状況がわかります。
パッチのコンプライアンスを確認して不足しているアップデートをインストール
スキャン操作を実行すると管理対象ノードでパッチコンプライアンス情報が生成され、 Patch manager に報告される。さらにパッチが不足しているインスタンスとパッチを確認することができ、さらに不足分をインストールできる。
パッチコンプライアンス情報を確認してみるとこんな感じ
不足している更新をインストール。必要な依存パッケージ取得やインスタンス再起動等実施しているで全てのインスタンス更新まで20分位かかりました。
パッチ操作のスケジュール
パッチポリシーを作成して定期的なパッチスキャンとパッチインストールを実施。
組織全体のパッチコンプライアンスを報告
Resource Data Syncs によって、Systems Manager のデータが S3 バケットに同期され、毎日定期実行の Glue クローラーにて S3 の JSON ファイルから Athena でクエリするテーブルを作成。
リソースデータの同期
Glue クローラー
Atena でクエリ
組織全体のパッチ管理とインベントリレポート作成
Run Command を使用してスキャン、不足している更新の特定、インベントリを設定して OS メタデータを収集。その後 Glue クローラーを実行して S3 バケットからデータをクロールし、データカタログ内のテーブルを更新。QuickSight で可視化
しかし、この時点で Workshop 時間ぎれ! QuickSight で可視化したイメージ図は以下になります。
おわりに
この Workshop で感じたのは、 Patch manager による管理対象インストールのスキャンからパッチ更新は便利なのはもちろんですが、インベントリを設定して OS メタデータを収集、Glue クローラーにて取得データからテーブルを作成しておけば、 Athena でレポート出力したり QuickSight にて可視化が可能であり、日々の運用が楽になるのかなと感じました。
また、テーブル情報を Amazon Q と絡めることで組織全体のインスタンスの運用状況について直ぐに回答してくれそうだなと感じました。日本にもどったら色々試してみたいと思います。
このブログがどなたかの参考になれば幸いです。
以上、Yoshi でした!