![[アップデート] Systems Manager Quick Setup が Organizationsと連携!簡単に可視化/管理を行えるようになりました](https://devio2023-media.developers.io/wp-content/uploads/2019/04/aws-organizations.png)
[アップデート] Systems Manager Quick Setup が Organizationsと連携!簡単に可視化/管理を行えるようになりました
はじめに
Organizations 連携で、簡単に Systems Manager(SSM) Quick Setupができるようになりました。
なにが嬉しいか
以下のようなSSM周りの設定を数クリックでできちゃいます。
SSM Explorer はEC2, SSM(OpsItems), Trusted Advisor の情報を取り込み、ダッシュボードに表示する運用サービスです。 この Quick Setup で マルチアカウント・マルチリージョンに集約したダッシュボード を見ることができます。
SSM State Manager は EC2、オンプレのインスタンスの設定管理サービスです。 この Quick Setup で SSMエージェント/CloudWatch(CW)エージェント更新や、インベントリ収集、パッチ適用状況スキャンの自動実行 の設定がされます。
上記を OU単位で行えるようになりました。すごく便利です。
やってみる
設定
Organizations のマスターアカウントでAWSにログインします。
SSMの画面 左上から [高速セットアップ] に遷移すると Setup type: Organization が選べるようになっていました。
Organization を選択して、以降の設定を見ていきます。
▼ Configuration options
以下項目の有効/無効を選択します。
- 2週間ごとに SSMエージェントをアップデートする
- 30分ごとにインスタンスからインベントリを収集する
- 日時でパッチ適用状況のスキャンを行う
- CloudWatchエージェントのインストールと設定を行う
- 30日ごとに CloudWatchエージェントのアップデートを行う
▼ Targeted OUs
Quick Setup を行う対象のOUを選択します。 (入れ子のリスト構造になっていて見やすい、StackSets にも欲しいUIです)
▼ Target Regions
対象のリージョンを選択します。
以上が設定項目です。
確認(Quick Setup)
You successfully completed... のバナーが出たら設定完了です。
[Organization Setup] > [Configuration summary] に設定内容が表示されています。
ほか QuickSetup ダッシュボードの内容を見てみます。
▼ Filter results
QuickSetup展開に関する情報を確認できます。 リージョンやアカウントIDでフィルタ、確認できます。
▼ Filter results > Configuration deployment status
Quick Setup の設定のデプロイステータスです。
内部的には CloudFormation(CFn) StackSets(SSMQuickSetup)を展開しているので、
Total = 展開アカウント数 × 展開リージョン数 のようです。
実際の CFnスタックを確認したところ、下記リソースが展開されていました。
| 論理ID | タイプ |
|---|---|
| AmazonSSMRoleForAutomationAssumeQuickSetup | AWS::IAM::Role |
| CreateRoleAndAttachIAMToInstance | AWS::SSM::Document |
| SystemAssociationForEnablingExplorer | AWS::SSM::Association |
| SystemAssociationForInstallAndConfigureCloudWatchAgent | AWS::SSM::Association |
| SystemAssociationForInventoryCollection | AWS::SSM::Association |
| SystemAssociationForManagingInstances | AWS::SSM::Association |
| SystemAssociationForScanningPatches | AWS::SSM::Association |
| SystemAssociationForSsmAgentUpdate | AWS::SSM::Association |
| SystemAssociationForUpdateCloudWatchAgent | AWS::SSM::Association |
| enableExplorerDocument | AWS::SSM::Document |
| installDocument | AWS::SSM::Document |
| updateDocument | AWS::SSM::Document |
▼ Filter results > Configuration association status
ステートマネージャーの関連付けの状況(成功/失敗/保留)です。
SSMエージェントアップデートやCloudWatchエージェントインストールなど、 各メンバーアカウントにデプロイされた関連付けのステータスを集約しています。
確認(Explorer)
マスターアカウントのExplorerを見てみます。
[OpsDataフィルタ] に SSMQuickSetupResourceDataSync_xxx ができていました。それを選択してみます。
捗りそうなダッシュボードが出てきました。
デフォルトのダッシュボードの情報(ウィジェット)を一部紹介します。
- インスタンス数 :: アカウント/リージョン/特定のタグごとのインスタンス、 リソースのスペック評価(余裕あり or なし)が表示されます
- マネージドインスタンス :: SSM管理下であるマネージドインスタンスと、 そうでない非マネージドインスタンスの情報です
- AMI別インスタンス :: AMIIDごとのインスタンスの情報です
- Trusted Advisor のチェック :: Trusted Advisor のチェック結果を カテゴリごと、アカウントIDごとに見ることができます
- パッチ適用の非準拠インスタンス :: 過去 XX日間のパッチ適用の非準拠インスタンスの情報です
他 OpsItem (OpsCenter で取り扱う運用対象) に関するウィジェットなどがありました。
おわりに
Organizations 連携の Systems Manager Quick Setupを試してみました。
簡単に全アカウントのEC2インスタンスの把握、Trusted Advisorの指摘項目を 俯瞰できるのはとても便利に感じました。
これを機に SSM入門、活用していきましょう。
![[アップデート]待望!管理アカウントでメンバーアカウントのルートユーザ操作禁止などが設定できるRoot access managementがリリースされました!](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-2eddd7f989fa67416ea2d27b4223cc32/8f5b157eb82ee11cc288225119e0c290/aws-organizations)
