この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
2022年12月末からAWS Systems Manager Patch Managerにパッチポリシーという機能がリリースされ、パッチの設定・パッチ処理・レポートといったパッチ運用の集約を簡単に行えるようになりました。SSM高速セットアップのPatch Managerからウィザード形式で設定完了です。AWSのドキュメント冒頭でも、このパッチポリシーを使ったパッチ運用が推奨されています。特に、AWS Organizationsを利用しているなら、より大きな恩恵を受けるでしょう。
従来の「パッチ適用を設定(Configure patching)」をより使いやすくしたのが高速セットアップのパッチポリシー方式とみなせ、画面からは「パッチ適用を設定」が削除され、代わりに「パッチポリシーを作成」のリンクから新しい高速セットアップに誘導されています。
本ブログでは、パッチポリシーは何が嬉しくて、従来方式とどう違うのかについて解説します。
パッチポリシーとは?
Amazon Systems Manager(以下SSM)にはSSMの主要機能をベストプラクティスに則って簡単にセットアップする高速セットアップという機能があり、EC2インスタンスをマネージドインスタンス化したり、AWS Configを設定できます。
パッチポリシーはこのSSM Patch Manager版で利用され
- ベースライン
- スケジュール
- パッチのスキャン・適用アクションの選択
などをウィザード形式で一括設定できます。これらパッチ運用に必要な設定を束ねたものがパッチポリシーとお考えください。
AWS SSMは機能が最も豊富にあるAWSサービスの一つです。
パッチマネージャーに限定しても多くの概念が登場します。アプリケーションエンジニアがウィザードを使わずにAmazon VPCを構築するような敷居の高さがあり、設定するだけでも一苦労でした。
SSM Patch Managerでユーザーが実現したいことは、運用しているAWSアカウントにあるEC2インスタンス全体にしてパッチ適用状況を確認し、場合によってはパッチ適用できれば十分ではないでしょうか?
SSM高速セットアップのPatch Manager(パッチポリシー)を利用すると、ウィザードに従って数カ所設定するだけで、多くの利用者にとって必要十分な設定が完了します。しかも、組織全体で。
導入方法
高速セットアップの名前の通り、SSM Patch Managerの諸々の概念を理解していなくても直感的に設定できます。SSM内のサブメニューを行き来する必要もありません。
具体的な導入方法は以下のブログの通りです。
- Systems Manager Quick Setup のパッチポリシーで AWS Organizations 配下のアカウントとリージョン全体に簡単にパッチ適用ができるようになりました | DevelopersIO
- Centrally deploy patching operations across your AWS Organization using Systems Manager Quick Setup | AWS Cloud Operations & Migrations Blog
裏では、StackSetsを使って各アカウント・リージョンにデプロイされます。
パッチ・コンプライアンス情報の詳細を集約するには、リソースのデータ同期が必要なのは、Host Managementの高速セットアップと同じです。
パッチ設定方法の違い
SSM Patch Managerの利用方法は高速セットアップに限定しても
- Host Management(=ホスト)
- Patch Manager(=パッチポリシー)
の2通りがあります。
旧式の「パッチ適用を設定(Configure Patching)」ボタンは「パッチポリシーを作成」ボタンに置き換わり、パッチポリシー方式の高速セットアップに誘導されるようになりました。
主要機能をこれら3方式間で比較します。
| 機能 | パッチポリシー | ホスト | パッチ適用を設定 |
|---|---|---|---|
| マルチアカウント | 1 | 1 | 0 |
| マルチリージョン指定 | 1 | 1 | 0 |
| スキャン | 1 | 1 | 1 |
| パッチ適用 | 1 | 0 | 1 |
| オンデマンドパッチ適用 | 0 | 0 | 1 |
| レポート | 1 | 1 | 1 |
| スケジュール指定 | 1 | 0 | 1 |
| ベースライン指定 | 1 | 0 | 1 |
| インスタンスプロファイル自動適用 | 1 | 1 | 0 |
※1:対応、0:未対応
ホスト方式のパッチ管理に関連する実質的なオプションはスキャンを有効・無効するチェックボックスだけであり
- スケジュール
- ベースライン
- パッチ適用
といったことはできず、機能は限定的です。
複数のパッチ設定が共存でき、後勝ちのスキャン結果がレポートされます。混乱するだけなので、設定は一つにしましょう。
最後に
SSM高速セットアップのPatch Managerを利用すると、パッチ設定・レポーティングの一元管理をパッチポリシーという形で簡単に行なえるようになりました。
AWSが推奨するSSM Patch Managerの運用方式であり
- 組織全体・OU
- リージョン
- スケジュール
- スキャン・パッチ適用の選択
- パッチベースライン指定
など主要なユースケースに対して設定可能です。SSM Patch Managerの各種概念を学ぶ必要もありません。 とりわけ、AWS Organizations への一括導入が非常にシームレスです。
本機能は、「高速セットアップHost Management」で提供されていた限定的なパッチ管理機能と「パッチ適用を設定(Configure patching)」の複雑な設定・一括導入への敷居の高さを補完するような機能と思います。
それでは。
参考
- Systems Manager Quick Setup のパッチポリシーで AWS Organizations 配下のアカウントとリージョン全体に簡単にパッチ適用ができるようになりました | DevelopersIO
- Centrally deploy patching operations across your AWS Organization using Systems Manager Quick Setup | AWS Cloud Operations & Migrations Blog
- Automate organization-wide patching using a Quick Setup patch policy - AWS Systems Manager
- Introducing patch policies - AWS Systems Manager
8
