【アップデート】SSM Patch Manager からパッチ適用状況の可視化とレポート作成が可能になりました
以下 AWS Systems Manager(SSM) Patch Manager のアップデートを紹介します。
何ができるようになったか
▼ Patch Managerの [ダッシュボード] からパッチ適用状況の概要を確認できるようになりました。
▼ また、 [レポート] から各インスタンスのパッチ適用状況概要のリスト、およびCSVレポートが可能になりました。
詳しく見てみる
今回はいくつかのインスタンスのパッチ適用状況をスキャンしている環境で見てみます。
ダッシュボード
- インスタンスパッチコンプライアンスの概要
- コンプライアンスレポートの期間
- インスタンスパッチの状態
- 最近のパッチオペレーション
- 定期的なパッチ適用タスク
上記 5項目を見ることができます。
▼ インスタンスパッチコンプライアンスの概要
各インスタンスのパッチ適用の 準拠/非準拠状況を把握できます。
▼ コンプライアンスレポートの期間
7日以内に Patch Manager によるスキャン(or インストール) がされているかどうか、確認できます。
▼ インスタンスパッチの状態
パッチに失敗したインスタンスや、再起動が必要なインスタンスを把握できるのは便利ですね。 各 項目の数字のリンクから詳細をたどれます。
▼ 最近のパッチオペレーション, 定期的なパッチ適用タスク
パッチタスクの実施記録とスケジュールを見ることができます。 「Patch Manager によるパッチスキャン/インストール」の実態は SSMメンテナンスウィンドウ という機能で実装されており スケジュールをトラッキングするのが難しかったです。この情報も地味に嬉しいですね。
レポート
各インスタンスの「セキュリティ非準拠のリンク」 から 各インスタンスの詳細情報 を見ることができます。
以下のような画面です。インストール必要なパッケージをさっと把握できるのは素敵ですね。 更に 重要度などでフィルタリング可能です。
次は S3へのレポート出力機能を試してみます。 [S3へエクスポート] を選択します。
以下のように、出力レポート名と S3バケットを選択します。 オンデマンド出力、およびスケジュール出力が可能。SNS通知も設定できます。
オンデマンドで出力すると、以下のようなレポート一覧の画面へ遷移します。
レポート生成が完了、S3バケットを見ると [レポート名].csv ファイルが置かれていました。
▼ CSV中身
各インスタンスごとの以下サマリを取得することができます。
- インスタンス基本情報 (ID, Name, IP, OS)
- SSMエージェントのバージョン
- 適用しているパッチベースライン
- パッチグループ
- コンプライアンス状況(ステータス, 重要度)
- 非準拠なパッチの数 (Critical, High, Medium, Low, Informational, Unspecified)
おわりに
以上、SSM Patch Manager のアップデート紹介でした。
パッチタスクの可視化や管理が容易になり、より Patch Manager を活用しやすくなりました。 パッチ運用は必要不可欠ですが、終わりがなく辛いものです。自動化できる範囲は Patch Manager でどんどん自動化してしまいましょう。
参考
- AWS
- DevelopersIO
- ▼ SSM Patch Manager の理解
- ▼ SSM Patch Manager を使ったパッチ戦略
