[新機能] Systems Manager Quick Setup ですばやく設定可能になりました!

こんにちは 園部です。

Systems Manager 使っていますか??
とりあえずエージェントはインストールしたけど、設定はまだ...というみなさんに、オススメの機能が登場しました!

Quick Setup は ssm-agent インストール後のステップを支援する機能となっています。この点は注意が必要です。 プリインストールされていないOSは、事前にインストールが必要です。

Systems Manager Quick Setup とは?

Quick Setup を利用して、以下の設定をすばやく行うことが出来ます。

  • AWS Identity and Access Management (IAM) instance profile roles for Systems Manager.
    • SSM 用 IAM ロールの設定・作成
  • A scheduled, bi-monthly update of SSM Agent.
    • 隔週での SSM agent の定期更新
  • A scheduled collection of Inventory metadata every 30 minutes.
    • 30分間隔でのインベントリ収集
  • A daily scan of your instances to identify missing patches.
    • 日次でのパッチ適用状況のスキャン実行
  • A one-time installation and configuration of the Amazon CloudWatch agent.
    • CloudWatch agent インストールと設定
  • A scheduled, monthly update of the CloudWatch agent.
    • 月次での CloudWatch agent 定期更新

参照元: 公式ドキュメント( AWS Systems Manager Quick Setup )

各設定内容について、公式ドキュメントを元に紹介していきたいと思います。

SSM 用 IAM ロールの設定・作成

  • SSM 用 IAM ロールを設定します。
  • 新規ロールを作成することが可能です。(既存ロールの利用も可能) 詳細な権限は 公式ドキュメント をご確認ください。
    • AmazonSSMRoleForInstancesQuickSetup
    • AmazonSSMRoleForAutomationAssumeQuickSetup

隔週での SSM agent の定期更新

  • Systems Manager は、2週間ごとにエージェントの新しいバージョンを自動的にチェックします。
  • 新しいバージョンがある場合、 Systems Manager はインスタンス上のエージェントを自動的に最新のリリースバージョンに更新します。

30分間隔でのインベントリ収集

  • 次の種類のメタデータのコレクションを構成します。
    • AWS コンポーネント: EC2 ドライバー、エージェント、バージョンなど。
    • アプリケーション: アプリケーション名、発行元、バージョンなど。
    • インスタンスの詳細: システム名、オペレーティングシステム( OS )名、OS バージョン、最後のブート、DNS、ドメイン、ワークグループ、OS アーキテクチャなど。
    • ネットワーク構成: IP アドレス、MAC アドレス、DNS、ゲートウェイ、サブネットマスクなど。
    • サービス: 名前、表示名、ステータス、依存サービス、サービスタイプ、開始タイプなど( Windows インスタンスのみ)。
    • Windowsの役割: 名前、表示名、パス、機能の種類、インストール状態など( Windows インスタンスのみ)。
    • Windows更新プログラム: 修正プログラム ID、インストール元、インストール日など( Windows インスタンスのみ)。

日次でのパッチ適用状況のスキャン実行

  • Patch Manager を使用して毎日インスタンスをスキャンし、コンプライアンス ページで簡単なレポートを生成します。

CloudWatch agent インストールと設定

  • CloudWatch agent をインストールします。
  • 設定は 基本部分 のみです。
    • Mem: mem_used_percent
    • Swap: swap_used_percent

月次での CloudWatch agent 定期更新

  • CloudWatch エージェントの新しいバージョンを4週間ごとに自動的にチェックします。
  • 新しいバージョンがある場合、 Systems Manager はインスタンス上のエージェントを自動的に最新のリリースバージョンに更新します。

やってみた

それでは、早速やってみます。

インスタンス作成( & ssm-agent インストール)

今回、 2種類の AMI からインスタンスを作成します。

OS AMI Name Tag
Amazon Linux2 ami-0c3fd0f5d33134a76 ssm-quick-setup-al2 ssm-quick-setup
CentOS7 ami-045f38c93733dd48d ssm-quick-setup-centos7 ssm-quick-setup

CentOS7 は、 SSM agent はプリインストールされていないため、ユーザーデータに下記を記載してインストールします。

#!/bin/bash
sudo yum install -y https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.rpm
sudo systemctl status amazon-ssm-agent

Quick Setup 実行

AWS Systems Manager >>> マネージドインスタンス

現在は、今回作成したインスタンスは表示されていません。

AWS Systems Manager >>> クイックセットアップ

Permissions (Required) は、今回 default role (新規作成) を選択します。

Quick Setup options は、全てチェックします。(デフォルトは上3つがチェック済み)

Targets は、付与していた ssm-quick-setup タグ を指定します。
Set up Systems Manager を選択します。

実行結果の確認

実行結果一覧が表示されます。

各設定単位で確認することも可能です。

View details を選択すると詳細が表示されます。

Edit を選択すると実行された内容が表示されます。

Delete を選択すると設定されている関連付けが削除されます。

マネージドインスタンスに、今回対象のインスタンスが追加されています。

設定編集と再実行

AWS Systems Manager >>> クイックセットアップ >>> Edit all を選択

初回に設定した画面が表示されるため再設定します。

Reset を選択します。

処理が再実行されます。

さいごに

駆け足ではありましたが、一通りの機能を試してみました。
個人的には、 SSM agent と CloudWatch agent の定期更新と IAM ロール作成部分がとても有益ではないかと感じました。

この記事がどなたかのお役に立てれば幸いです。