この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちは 園部です。
Systems Manager 使っていますか??
とりあえずエージェントはインストールしたけど、設定はまだ...というみなさんに、オススメの機能が登場しました!
Quick Setup は ssm-agent インストール後のステップを支援する機能となっています。この点は注意が必要です。 プリインストールされていないOSは、事前にインストールが必要です。
Systems Manager Quick Setup とは?
Quick Setup を利用して、以下の設定をすばやく行うことが出来ます。
- AWS Identity and Access Management (IAM) instance profile roles for Systems Manager.
- SSM 用 IAM ロールの設定・作成
- A scheduled, bi-monthly update of SSM Agent.
- 隔週での SSM agent の定期更新
- A scheduled collection of Inventory metadata every 30 minutes.
- 30分間隔でのインベントリ収集
- A daily scan of your instances to identify missing patches.
- 日次でのパッチ適用状況のスキャン実行
- A one-time installation and configuration of the Amazon CloudWatch agent.
- CloudWatch agent インストールと設定
- A scheduled, monthly update of the CloudWatch agent.
- 月次での CloudWatch agent 定期更新
参照元: 公式ドキュメント( AWS Systems Manager Quick Setup )
各設定内容について、公式ドキュメントを元に紹介していきたいと思います。
SSM 用 IAM ロールの設定・作成
- SSM 用 IAM ロールを設定します。
- 新規ロールを作成することが可能です。(既存ロールの利用も可能) 詳細な権限は 公式ドキュメント をご確認ください。
- AmazonSSMRoleForInstancesQuickSetup
- AmazonSSMRoleForAutomationAssumeQuickSetup
隔週での SSM agent の定期更新
- Systems Manager は、2週間ごとにエージェントの新しいバージョンを自動的にチェックします。
- 新しいバージョンがある場合、 Systems Manager はインスタンス上のエージェントを自動的に最新のリリースバージョンに更新します。
30分間隔でのインベントリ収集
- 次の種類のメタデータのコレクションを構成します。
- AWS コンポーネント: EC2 ドライバー、エージェント、バージョンなど。
- アプリケーション: アプリケーション名、発行元、バージョンなど。
- インスタンスの詳細: システム名、オペレーティングシステム( OS )名、OS バージョン、最後のブート、DNS、ドメイン、ワークグループ、OS アーキテクチャなど。
- ネットワーク構成: IP アドレス、MAC アドレス、DNS、ゲートウェイ、サブネットマスクなど。
- サービス: 名前、表示名、ステータス、依存サービス、サービスタイプ、開始タイプなど( Windows インスタンスのみ)。
- Windowsの役割: 名前、表示名、パス、機能の種類、インストール状態など( Windows インスタンスのみ)。
- Windows更新プログラム: 修正プログラム ID、インストール元、インストール日など( Windows インスタンスのみ)。
日次でのパッチ適用状況のスキャン実行
- Patch Manager を使用して毎日インスタンスをスキャンし、コンプライアンス ページで簡単なレポートを生成します。
CloudWatch agent インストールと設定
- CloudWatch agent をインストールします。
- 設定は 基本部分 のみです。
- Mem: mem_used_percent
- Swap: swap_used_percent
月次での CloudWatch agent 定期更新
- CloudWatch エージェントの新しいバージョンを4週間ごとに自動的にチェックします。
- 新しいバージョンがある場合、 Systems Manager はインスタンス上のエージェントを自動的に最新のリリースバージョンに更新します。
やってみた
それでは、早速やってみます。
インスタンス作成( & ssm-agent インストール)
今回、 2種類の AMI からインスタンスを作成します。
| OS | AMI | Name | Tag |
|---|---|---|---|
| Amazon Linux2 | ami-0c3fd0f5d33134a76 | ssm-quick-setup-al2 | ssm-quick-setup |
| CentOS7 | ami-045f38c93733dd48d | ssm-quick-setup-centos7 | ssm-quick-setup |
CentOS7 は、 SSM agent はプリインストールされていないため、ユーザーデータに下記を記載してインストールします。
#!/bin/bash
sudo yum install -y https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.rpm
sudo systemctl status amazon-ssm-agentQuick Setup 実行
AWS Systems Manager >>> マネージドインスタンス
現在は、今回作成したインスタンスは表示されていません。
AWS Systems Manager >>> クイックセットアップ
Permissions (Required) は、今回 default role (新規作成) を選択します。
Quick Setup options は、全てチェックします。(デフォルトは上3つがチェック済み)
Targets は、付与していた ssm-quick-setup タグ を指定します。
Set up Systems Manager を選択します。
実行結果の確認
実行結果一覧が表示されます。
各設定単位で確認することも可能です。
View details を選択すると詳細が表示されます。
Edit を選択すると実行された内容が表示されます。
Delete を選択すると設定されている関連付けが削除されます。
マネージドインスタンスに、今回対象のインスタンスが追加されています。
設定編集と再実行
AWS Systems Manager >>> クイックセットアップ >>> Edit all を選択
初回に設定した画面が表示されるため再設定します。
Reset を選択します。
処理が再実行されます。
さいごに
駆け足ではありましたが、一通りの機能を試してみました。
個人的には、 SSM agent と CloudWatch agent の定期更新と IAM ロール作成部分がとても有益ではないかと感じました。
この記事がどなたかのお役に立てれば幸いです。
2
