SSM DHMCについて
SSM DHMC(AWS Systems Manager Default Host Management Configuration)
2023年2月にリリースされたサービスですが
今後のEC2管理はこの機能を使っていくことになると筆者は予想しております。
というのも、この機能が実装されたことで
EC2にIAMロール(インスタンスプロフィール)を付与しなくても
デフォルトでSystemsManagerからEC2が管理できるようになるという優れものです。
なんでそれが優れているかって?
EC2に付与できるIAMロール(インスタンスプロフィール)は1つのため
今までは1つのIAMロールに複数のIAMポリシーを付与して運用が煩雑化していました。
- インフラ視点で必要なSystems Manager(SSM)のアクセス
- 業務アプリ視点で必要なS3やEFSへのアクセス
1つのIAMロールに上記のような複数のIAMポリシーをエントリすることで
簡単に権限の変更ができず、各方面への調整等に無駄な労力を使っていました。
ところがDHMCを利用することにより、EC2に付与するIAMロールには
インフラ視点で必要なSSM権限を付与する必要がなくなったのです!
これで業務アプリ要件でのポリシー変更にも柔軟に対応しやすくなったというお話です。
今回はそんなSSM DHMCについてのメリットと設定方法についてご紹介します。
メリット
- EC2がSystemsManager管理下になるためプライベートサブネットに設置しているEC2に対してフリートマネージャ経由でのアクセスが可能になる
- SSM Agentのバージョンアップが自動化される
などがあげられます。
設定方法
設定もすごく簡単!以下2点のみ。
1.IAMロール作成
2.デフォルトのホスト管理設定の有効化
では順に説明します。
1.IAMロール作成
1.IAMロール作成
マネジメントコンソールよりIAMを選択し
[ロール]画面より「ロールを作成」を押下します。
2.信頼されたエンティティを選択
ユースケースより「Systems Manager」と入力し
出てきた選択肢から「Systems Manager」を選択して「次へ」を押下
3.許可ポリシーの選択
DHMC用にAWSが用意してくれている
「AmazonSSMManagedEC2InstanceDefaultPolicy」を選択して「次へ」を押下
4.ロール名入力
適当にわかりやすいロール名を付けて「ロールを作成」を押下
2.デフォルトのホスト管理設定の有効化
1.Systems Managerへ遷移
マネジメントコンソールより「Systems Manager」を選択し
Systems Managerの画面へ遷移
2.フリートマネージャ画面よりデフォルトのホスト管理画面を起動
[アカウント管理]を選択し「デフォルトのホスト管理設定の構成」を押下
3.デフォルトのホスト管理設定を有効にする
デフォルトのホスト管理設定を有効にするをクリックして
バーを右へスライドさせ、IAMロールのプルダウンより先ほど作成した
IAMロールを選択して「設定」を押下
以上でSSM DHMCの設定は完了です。
注意:SSM DHMCの前提条件として
SSM エージェント バージョン 3.2.582.0 以降である必要があります。
上記よりも古いバージョンではご利用できない点に注意が必要です。
その場合は別途SSMエージェントバージョンアップを実施してから
DHMC戦略を利用する必要があります。
コメントやいいねをいただけると励みになりますのでお願いいたします。