はじめに
どーも!shihopowerです!
今回はAWS Systems Managerの機能をまとめてみました。
きっかけは**AWS認定ソリューションアーキテクト – プロフェッショナル(SAP)**の対策をしていたときのこと。問題文に「Systems Manager Patch Manager」というワードが出てきて、
「あれ、Systems Managerってパラメータ管理とかに使うものじゃなかったっけ。。?」
と頭の中が「?」だらけに。どうやら自分は氷山の一角しか知らなかったようです。
そこで、Systems Managerには他にどんな機能があるのか、AWS公式ドキュメントをもとに調べてまとめてみました。同じように「パラメータストアくらいしか使ったことないかも…」という方の参考になれば嬉しいです!
目次
1. Systems Managerとは何か
AWS Systems Managerは、AWS、オンプレミス、マルチクラウド環境にあるノードを、大規模に一元的に表示・管理・運用するためのサービスです。
公式ドキュメントによると、Systems Managerは「Run Command」「Session Manager」「Automation」「Parameter Store」といった個別のツール(機能)の集合体として構成されています。つまりSystems Managerという1つの大きなサービスがあるのではなく、運用管理に役立つツール群がパッケージ化されたものというイメージが近いです。
そのため、「Parameter Storeしか使ったことがない」というのも実は自然な話で、用途に応じて必要なツールだけを利用することができる作りになっています。
2. Systems Managerの機能
ここからが本題です。Systems Managerには多数の機能(ツール)がありますが、ここでは用途別にカテゴリ分けして紹介します。
🖥 ノードの運用・管理
Fleet Manager
AWSまたはオンプレミスで実行されているノードをリモートで管理するための統合UIです。1つのコンソールからサーバーフリート全体の正常性とパフォーマンスステータスを表示できます。
- 個々のノードからデータを収集し、コンソールから一般的なトラブルシューティングや管理タスクを実行可能
- RDPを使ったWindowsインスタンスへの接続
- フォルダ・ファイル内容の表示、Windowsレジストリ管理、OSユーザー管理
- マネージドノードのステータス表示(running / stopped、IoT Greengrassの online / offline など)
- インスタンス上で実行中のプロセスの表示・管理(リアルタイムのリソース消費の確認、start/stopアクション)
※ Fleet Managerは内部的にSession Managerを利用してパフォーマンスデータの取得などを行うため、マネージドインスタンスのインスタンスプロファイルにSession Managerの権限が必要です。
「管理対象サーバーの一覧を眺めて、気になるノードをクリック→中身を見てトラブルシュート」みたいな使い方ができるので、運用管理の入口になるツールという印象です。
Run Command
マネージドノードの設定をリモートかつセキュアに管理するツールです。
- 一般的な管理タスクを自動化し、大規模に1回限りの設定変更を実行可能
- AWSマネジメントコンソール、AWS CLI、PowerShell、AWS SDKから利用可能
- 追加料金なしで提供される
たとえば「複数のEC2インスタンスに対して、SSHで1台ずつ入らずに一括でコマンドを実行したい」というときに使えます。アプリケーションのインストールやログファイルのキャプチャ、Windowsドメインへの参加などに活用されます。
Session Manager
SSHキーを使わずに、ブラウザやAWS CLIからワンクリックでマネージドノードに接続できるツールです。
- Windows Server、Linux、macOSをサポート
- EC2インスタンス、エッジデバイス、オンプレミスサーバー、VMに接続可能
- パブリックIPを持たないノードにもAWS PrivateLinkを使って接続できる
セキュリティ的にも嬉しいポイントが多く、踏み台サーバーの代替として使われることも多いツールです。
Automation
事前定義済みのランブックを使ったり、独自のランブックを作成したりして運用タスクを自動化するツールです。
- AWSが用意した多数の事前定義ランブックが利用可能
-
aws:executeScriptアクションでPythonやPowerShellの関数を直接実行可能 - Amazon EventBridgeと統合してイベント駆動型の自動化が可能
⚠️ 注意:2025年8月14日以降に新規利用する場合、Automationの無料利用枠は提供されません。既存顧客の無料枠も2025年12月31日に終了します。
State Manager
AWSリソース全体の構成ドリフト(あるべき状態からのズレ)を管理するツールです。
Automationと組み合わせることで、以下のようなタスクを実行できます。
- EC2インスタンスへのSystems Managerロールのアタッチ
- セキュリティグループのingress/egressルールの強制
- DynamoDBバックアップやEBSスナップショットの作成・削除
- マネージドノードやRDSインスタンスの起動・停止
- Linux/macOS/Windows AMIへのパッチ適用
「常にこの状態を維持したい」という要件に強い機能です。
🔧 パッチ管理・メンテナンス
Patch Manager
私がSAP対策中に出会った、きっかけのツールです。
マネージドノードへのセキュリティ更新やその他の更新によるパッチ適用プロセスを自動化します。
- Quick Setupでパッチポリシーを設定する方法が推奨
- 単一のパッチポリシーで、組織全体・選択したアカウント・単一アカウントなど柔軟な適用範囲を定義可能
「数百台のEC2を毎月手作業でパッチ当てるなんて無理!」というときの救世主ですね。
Maintenance Windows
OSパッチ適用、ドライバー更新、ソフトウェアインストールなど、中断を伴う可能性のあるアクションを実行するスケジュールを定義するツールです。
- ノード以外にも、S3バケット、SQSキュー、KMSキーなど多くのAWSリソースに対するアクションをスケジュール可能
- Run Commandタスク、Step Functionsステートマシン、Lambda関数、Automationワークフローなどを実行可能
「業務時間外にだけ実行したい」というニーズに応えるツールです。
📦 構成・パッケージ管理
Distributor
自社ソフトウェアのパッケージ化や、AWS提供のエージェントソフトウェアをマネージドインスタンスにインストールできるツールです。
- バージョン管理されたパッケージの更新とロールバックをサポート
- Run CommandやState Managerと組み合わせて配布を制御可能
-
AmazonCloudWatchAgentやAWSPVDriverなどのAWS提供パッケージも利用可能
Inventory
マネージドノードに関するメタデータを収集し、運用データを一元化する機能です。インストール済みアプリケーションやネットワーク設定など、ノードの「中身」を可視化できます。
🔐 構成データ管理
Parameter Store
おそらく最もよく知られている機能ですね。
- バージョニング、IAMによるアクセス制御をサポート
- EC2、Lambda、CloudFormationなどとシームレスに統合
-
String、StringList、SecureStringの3つのパラメータタイプをサポート -
SecureStringはAWS KMSを使って値を暗号化
設定値や機密情報の一元管理に使われます。「あ、これは知ってる!」となった方も多いのではないでしょうか。
📊 運用管理・可視化
Explorer
AWSリソースに関する情報をレポートする、カスタマイズ可能な運用ダッシュボードです。
- アカウント・リージョン横断で運用データ(OpsData)を集約表示
- EC2インスタンスのメタデータ、パッチコンプライアンス、OpsItem(運用作業項目)を表示
- ビジネスユニットやアプリケーション間での分散状況や時系列トレンドを可視化
OpsCenter
運用エンジニアやIT担当者が、AWSリソースに関連するOpsItemを表示・調査・解決するための中央コンソールです。
- 平均解決時間(MTTR)の短縮を目的に設計
- サービス間でOpsItemを集約・標準化
- 問題解決のためのAutomationランブックも提供
🆕 統合コンソール(2024年11月リリース)
2024年11月21日にリリースされた統合Systems Managerコンソールにより、以下のような機能が追加されました。
- ノードがSystems Managerに接続できない理由(ネットワーク設定の誤りなど)を特定する機能
- 問題修復のための推奨ランブックの提供
- OS、リージョン、アカウント、SSMエージェントのバージョンによるフィルタリング
- 古いOSを実行しているノードのドリルダウン表示
⚠️ 提供終了・変更されている機能
公式ドキュメントを見ていて気づいたのですが、いくつかの機能には提供状況に変更があります。
- Change Manager:新規顧客への提供は終了。既存顧客は引き続き利用可能
- CloudWatchダッシュボード(Systems Manager内):2026年4月30日以降利用不可(Amazon CloudWatchコンソールで継続利用可能)
- Automation無料利用枠:新規顧客は2025年8月14日以降提供なし、既存顧客も2025年12月31日で終了
SAPなどの試験対策で古い教材を使っている方は、最新情報を公式ドキュメントで確認することをおすすめします!
3. まとめ
Systems Managerは、調べてみると本当にたくさんの機能を持つ「運用管理のツール箱」のようなサービスでした。
| カテゴリ | 主な機能 |
|---|---|
| ノードの運用・管理 | Fleet Manager、Run Command、Session Manager、Automation、State Manager |
| パッチ管理・メンテナンス | Patch Manager、Maintenance Windows |
| 構成・パッケージ管理 | Distributor、Inventory |
| 構成データ管理 | Parameter Store |
| 運用管理・可視化 | Explorer、OpsCenter |
私のように「Parameter Storeしか知らなかった」という方は、ぜひ他の機能も覗いてみてください。特にSession Managerは踏み台サーバー不要でセキュアにEC2にアクセスできるので、明日からでも使えるはず。
SAP対策で「Patch ManagerとMaintenance Windowsって何が違うの?」「State ManagerとAutomationの使い分けは?」みたいな問題が出てきても、今回の整理で「あ、これはあのカテゴリの機能ね」と冷静に対応できそうです。
最後まで読んでいただきありがとうございました!
間違いや補足があればコメントで教えていただけると嬉しいです 🙌