[アップデート] Systems Manager Quick Setup が Organizationsと連携!簡単に可視化/管理を行えるようになりました

とても便利
2020.07.28

はじめに

Organizations 連携で、簡単に Systems Manager(SSM) Quick Setupができるようになりました。

なにが嬉しいか

以下のようなSSM周りの設定を数クリックでできちゃいます。

img

SSM Explorer はEC2, SSM(OpsItems), Trusted Advisor の情報を取り込み、ダッシュボードに表示する運用サービスです。 この Quick Setup で マルチアカウント・マルチリージョンに集約したダッシュボード を見ることができます。

SSM State Manager は EC2、オンプレのインスタンスの設定管理サービスです。 この Quick Setup で SSMエージェント/CloudWatch(CW)エージェント更新や、インベントリ収集、パッチ適用状況スキャンの自動実行 の設定がされます。

上記を OU単位で行えるようになりました。すごく便利です。

やってみる

設定

Organizations のマスターアカウントでAWSにログインします。 SSMの画面 左上から [高速セットアップ] に遷移すると Setup type: Organization が選べるようになっていました。

img

Organization を選択して、以降の設定を見ていきます。

▼ Configuration options

img

以下項目の有効/無効を選択します。

  • 2週間ごとに SSMエージェントをアップデートする
  • 30分ごとにインスタンスからインベントリを収集する
  • 日時でパッチ適用状況のスキャンを行う
  • CloudWatchエージェントのインストールと設定を行う
  • 30日ごとに CloudWatchエージェントのアップデートを行う

▼ Targeted OUs

img

Quick Setup を行う対象のOUを選択します。 (入れ子のリスト構造になっていて見やすい、StackSets にも欲しいUIです)

▼ Target Regions

img

対象のリージョンを選択します。

以上が設定項目です。

確認(Quick Setup)

You successfully completed... のバナーが出たら設定完了です。 [Organization Setup] > [Configuration summary] に設定内容が表示されています。

img

ほか QuickSetup ダッシュボードの内容を見てみます。

▼ Filter results

img

QuickSetup展開に関する情報を確認できます。 リージョンやアカウントIDでフィルタ、確認できます。

▼ Filter results > Configuration deployment status

Quick Setup の設定のデプロイステータスです。 内部的には CloudFormation(CFn) StackSets(SSMQuickSetup)を展開しているので、 Total = 展開アカウント数 × 展開リージョン数 のようです。

img

実際の CFnスタックを確認したところ、下記リソースが展開されていました。

論理ID タイプ
AmazonSSMRoleForAutomationAssumeQuickSetup AWS::IAM::Role
CreateRoleAndAttachIAMToInstance AWS::SSM::Document
SystemAssociationForEnablingExplorer AWS::SSM::Association
SystemAssociationForInstallAndConfigureCloudWatchAgent AWS::SSM::Association
SystemAssociationForInventoryCollection AWS::SSM::Association
SystemAssociationForManagingInstances AWS::SSM::Association
SystemAssociationForScanningPatches AWS::SSM::Association
SystemAssociationForSsmAgentUpdate AWS::SSM::Association
SystemAssociationForUpdateCloudWatchAgent AWS::SSM::Association
enableExplorerDocument AWS::SSM::Document
installDocument AWS::SSM::Document
updateDocument AWS::SSM::Document

▼ Filter results > Configuration association status

ステートマネージャーの関連付けの状況(成功/失敗/保留)です。

SSMエージェントアップデートやCloudWatchエージェントインストールなど、 各メンバーアカウントにデプロイされた関連付けのステータスを集約しています。

確認(Explorer)

マスターアカウントのExplorerを見てみます。

[OpsDataフィルタ]SSMQuickSetupResourceDataSync_xxx ができていました。それを選択してみます。

img

捗りそうなダッシュボードが出てきました。

デフォルトのダッシュボードの情報(ウィジェット)を一部紹介します。

  • インスタンス数 :: アカウント/リージョン/特定のタグごとのインスタンス、 リソースのスペック評価(余裕あり or なし)が表示されます
  • マネージドインスタンス :: SSM管理下であるマネージドインスタンスと、 そうでない非マネージドインスタンスの情報です
  • AMI別インスタンス :: AMIIDごとのインスタンスの情報です
  • Trusted Advisor のチェック :: Trusted Advisor のチェック結果を カテゴリごと、アカウントIDごとに見ることができます
  • パッチ適用の非準拠インスタンス :: 過去 XX日間のパッチ適用の非準拠インスタンスの情報です

他 OpsItem (OpsCenter で取り扱う運用対象) に関するウィジェットなどがありました。

おわりに

Organizations 連携の Systems Manager Quick Setupを試してみました。

簡単に全アカウントのEC2インスタンスの把握、Trusted Advisorの指摘項目を 俯瞰できるのはとても便利に感じました。

これを機に SSM入門、活用していきましょう。

参考