AWS System Managerについて
https://aws.amazon.com/jp/systems-manager/
...ここでAWS System Managerなのに、略称SSMになっているのはなぜか?ASMじゃないのか?と思われた方はNRIネットコムさんのブログで紹介されているので、ご覧になるとよいと思います。
この記事では取り扱いませんが、EC2の管理だけではなく、
アラート通知システムがマネージドに展開されているIncident Managerが個人的にすごい!と思う一方で、
SSMに関する個人的なメモリがキャパオーバーしました😣
ハンズオンセッション
https://pages.awscloud.com/JAPAN-event-OE-Hands-on-for-Beginners-systems-manager-2022-reg-event.html
このセッション内で取り扱われている機能
SSM Agent
SSMでインスタンスを管理するためにはSSM Agentがインストールされている必要があります。
- AWSが提供する標準のAMIにはプリインストール済みです
- Amazon Linux
- Amazon Linux 2
- Amazon Linux 2 ECS に最適化されたベース AMIs
- SUSE Linux Enterprise Server(SLES) 12 と 15
- Ubuntu Server 16.04、18.04 および 20.04
上記以外にサポートされるオペレーティングシステムにて詳細なバージョンも記載があります。
- Linux
- macOS
- Raspberry Pi OS (旧称: Raspbian)
- Windows Server
AWS上にあるインスタンスだけではなく、オンプレミスにあるサーバにも導入することが管理が可能となります。
少しトリッキー(VPCエンドポイントを使って完全にプライベートな通信にするのか、といった設計は必要です)な構成になります。
- Systems Manager を使用してインターネットアクセスなしでプライベート EC2 インスタンスを管理できるように、VPC エンドポイントを作成するにはどうすればよいですか?
- ステップ 6: (オプション) Virtual Private Cloud エンドポイントの作成
Fleet Manager
- マネージドインスタンスにインストールされているSSMのバージョン管理
- マネージドインスタンスにインストールされているソフトウェアのインベントリ収集
Session Manager
- SSHを使うことなくマネージドインスタンスに接続
- 接続した際の証跡もCloudWatch Logsに出力 ※要設定
Run Command
- 一括ですべてのマネージドインスタンス、特定のインスタンスにコマンドを実行
実際に触ってみて触らずにいて後悔した機能
- SSM Agentの自動更新機能
- ワンクリックで設定完了
- インベントリ収集
- 数クリックで完了
- Session Managerのアクセスログ
- EC2にアタッチしているIAM Roleの修正(Cloud WatchへのPUT権限)
- CloudWatchのロググループ作成
- Run Commandのログ出力
- 台数が多くなければコンソールでOK
- Linuxで実行時にはrootで実行されていることも確認
- S3に出力も可能
- 台数が多くなければコンソールでOK
まとめ
昔は、今ほどSSMが多機能になる前、ちょうどSession Managerがリリースされるかされないかぐらいのときに存在を認識していたこともあり、
EC2にはCloudWatch Agentを入れて、メトリックスで検知するなどの設計をしていた時期からだいぶ間隔を開けて触ったので、
完全に自分の知識はガラパゴス状態でした...
基礎的なことから知識をアップデートするためにも、このハンズオンセッションは実施してよかったなと思います。
EC21台、常時起動して運用の経験積まないとダメな気がしてきました。
何を載せようかな...