SSM を利用して Organizations 配下のアカウントのパッチ適用状況を一括で確認する方法を教えてください
困っていること
管理 AWS アカウントから配下の AWS アカウントに Patch Manager を適用しました。
Organizations や Patch Manager の標準機能として、Organizations 配下のアカウントのパッチ適用状況を一括で確認する方法を教えてください。
どう対応すればいいの?
Organizations や Patch Manager の標準機能として、Organizations 配下のアカウントのパッチ適用状況を一括で確認する方法はございません。
一方で、代替案としましては以下の方法が考えられます。
- Systems Manager Explorer
- Systems Manager Inventory
Systems Manager Explorer を用いる方法
Systems Manager Explorer では、マネージドノードのパッチコンプライアンスを含む情報をダッシュボード形式で表示することが可能です。
Explorer において、特定の OU のデータを集約するようご設定いただくことで、管理アカウントより複数のアカウント配下の EC2 インスタンスのパッチコンプライアンス(パッチ適用状況)をダッシュボード上でご確認いただくことは可能です。
Systems Manager Inventory を使用する方法
Systems Manager Inventory では、複数のアカウント配下のマネージドノードに関する情報の収集を行うことが可能です。
Organization のリソースデータの同期 (resource data sync) を作成後、特定の OU 配下から管理アカウント上の S3 バケットにデータを収集するよう設定してください。
管理アカウント上の S3 バケットにパッチコンプライアンスの状態を含む情報を集約することが可能になります。
補足
設定完了後は、Amazon Athena や Amazon QuickSight を使用して、データを可視化することも可能です。
そのため、例として、Amazon Athena を使用してパッチコンプライアンスのデータをクエリすることで、複数のアカウント配下のインスタンスのパッチ適用状況を一覧で表示するといったことが可能です。
