SSM Patch Manager で対象マネージドノードが存在しない/停止中の場合、S3 バケットへのログ出力はどうなるのか確認してみた
はじめに
テクニカルサポートの 片方 です。
パッチ適用対象のマネージドノードが存在しない、または停止中の状態で、Patch Manager (AWS-RunPatchBaseline) を実行した場合、ログ出力として設定している S3 バケットには何が保存されるか確認してみました。
先に結論から
パッチ適用対象のマネージドノードが存在しない、または停止中の状態ではログ出力先の S3 バケットへは何も保存されません。
事前準備
S3 バケットを作成します。なお、オブジェクトが空の状態です。
EC2 インスタンスをマネージドノードとして登録させるように起動させます。
なお、対象の EC2 インスタンスの IAM ロールには以下のポリシーをアタッチしているので、S3 バケットへのログ出力は問題なくされます。
- AmazonSSMManagedInstanceCore
- カスタマー管理ポリシー
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PutRunCommandLog",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:GetEncryptionConfiguration"
],
"Resource": "arn:aws:s3:::test-ssm-patch-manager-s3-log/*"
}
]
}
確認してみた
マネージドは起動中ではあるものの、存在しないタグを指定して実行します。
※ 作成した S3 バケットを、パッチ適用オペレーションログを保存する先として選択
停止させます。
停止中の マネージドノードをタグで選択して実行します。
では、S3 バケット側でログが保存されているか確認します。
結果、何も保存されていませんでした。
もちろん、起動中であれば適切に保存されます。
まとめ
本ブログが誰かの参考になれば幸いです。
参考資料
AWS Systems Manager Patch Manager - AWS Systems Manager
クラスメソッドオペレーションズ株式会社について
クラスメソッドグループのオペレーション企業です。
運用・保守開発・サポート・情シス・バックオフィスの専門チームが、IT・AIをフル活用した「しくみ」を通じて、お客様の業務代行から課題解決や高付加価値サービスまでを提供するエキスパート集団です。
当社は様々な職種でメンバーを募集しています。
「オペレーション・エクセレンス」と「らしく働く、らしく生きる」を共に実現するカルチャー・しくみ・働き方にご興味がある方は、クラスメソッドオペレーションズ株式会社 コーポレートサイト をぜひご覧ください。※2026年1月 アノテーション㈱から社名変更しました
