主要な機能
- Run Command
- Session Manager
- Patch Manager
- Parameter Store
他にもたくさんある。
上記でParameter Store以外はSSM Agentを利用している。
SSM Agent
amazon linux1,2,Ubuntu Serverはdefaultでインストールされている。
EC2で利用するためにはIAM Role(SSM Manag instance core)が必須
オンプレにも導入可能
SSM AgentがインストールされたインスタンスはManaged Instanceと呼ばれ、Fleet Managerから確認できる。
Session Manager
オンプレで使用するにはアドバンスインスタンス層にする必要がある。https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/systems-manager-managed-instances-tiers.html
IamRoleが必須だが、SGの穴あけ不要でPublicIPも不要。
ec2 connectionではIamRoleが不要だが、SG(22)とPublicIPが必要
session managerの接続ログが確認できる。
session managerで実行したコマンドログもCloud Watch logsに出力可能(EC2インスタンスにIamRoleでCWlogs用の権限が必要)
Patch Manager
インスタンスをスキャンし、未適用のパッチを検索する
未適用パッチのリストを作成する
リストからパッチを適用していく(選択可能)
ベースライン(セキュリティやバグなどのカテゴリ、クリティカルなどのseverityなど)を選択できる
メンテナンスウィンドウで適用するタイミングを指定
Parameter Store
string, securestringのタイプを選択
aws ssmコマンドで操作可能
aws ssm get-parameterで見るとsecurestringは暗号化されている。(--with-decreptionをつけると平文になる)
SSM Automation
カテゴリ(Instance management,Patch,Security等)からレシピを選択して実行する
Approvers, SNSTopicArnを指定する
SSM Inventory
マネージドインスタンスで実行されているアプリが確認できる。
複数のアカウントのInventoryにあるデータをS3に集約できる
30min,30hour,30dayのスケジュールでデータを自動で保管できる
State Managerで状態を確認できる