はじめに
AWS Systems Manager のサービスの1つの Fleet Managerを触る機会がありました。
その設定にある「デフォルトのホスト管理設定を設定する」を有効化すると、すべての Amazon EC2 インスタンスが自動的にSystems Manager のマネージドインスタンス(ystems Manager の管理対象)となり、管理が楽になります。
この記事では、マネージドインスタンス化することで得られる5つ利点について調べてみました。
■参考サイト
「デフォルトのホスト管理設定」の有効化の方法
まず「デフォルトのホスト管理設定」の有効化の方法について記載します。
Systems Manager > フリートマネージャー > デフォルトのホスト管理設定を設定する をクリックします。
デフォルトのホスト管理設定を有効にするをクリックします。
IAMロールに「AWSSystemsManagerDefaultEC2InstanceManagementRole(推奨)」を選択し「設定」をクリックすれば完了です。
■参考サイト
5つのメリット
この「デフォルトのホスト管理設定」を有効化しマネージドインスタンスとなることで挙げられている5つのメリットについて調べました。
1.Session Manager を使用してインスタンスに安全に接続します。
2.Patch Manager を使用して毎日の自動パッチスキャンを実行します。
3.インベントリを使用してインスタンスの完全なビューを取得します。
4.Fleet Manager を使用してインスタンスを追跡します。
5.SSM Agent を自動的に更新します。
1.Session Manager を使用してインスタンスに安全に接続する
| 有効化の影響 | 利用できる機能 |
|---|---|
| インバウンドSSH/RDPポートの開放が不要になります。 | ブラウザまたはAWS CLIから、認証情報(秘密鍵など)なしでEC2に接続できます。 |
従来、EC2インスタンスへのアクセスにはSSHキーペアやRDPが必要で、セキュリティグループでポートを開放する必要がありました。
しかし、Session Managerのマネージドインスタンスになることで、インバウンドポートを開けずに安全にアクセスできるようになります。
※プライベートサブネットのインスタンスに接続するには、別途VPCエンドポイントの用意などが必要になります。
【参考サイト】
2.Patch Manager を使用して毎日の自動パッチスキャンを実行する
| 有効化の影響 | 利用できる機能 |
|---|---|
| OSおよびアプリケーションのパッチ適用状況が毎日自動でスキャンされます。 | パッチ適用の有無や、不足しているパッチをAWSコンソールから一元的に確認できます。 |
※パッチ適用の自動化は、別途Patch Managerの設定が必要です
マネージドインスタンスになることで、すべてのEC2インスタンスのパッチ適用状況を確認できるようになります。
この情報を元に計画的なパッチ適用作業などを実施することで、インスタンスをより安全に保つ事ができます。
■参考サイト
3.インベントリを使用してインスタンスの完全なビューを取得する
| 有効化の影響 | 利用できる機能 |
|---|---|
| EC2インスタンスのソフトウェア、設定、システム情報が自動的に収集・集約されます。 | インストールされているアプリケーション、AWSコンポーネント、ネットワーク設定、ファイル情報などを収集できます。 |
Systems Manager > インベントリ で確認ができます。
マネージドインスタンスのインベントリ機能により、対象のEC2の構成情報が最新の状態でAWSコンソールに集められるため、一元的な資産管理や構成監査が非常に容易になります。
4. Fleet Manager を使用してインスタンスを追跡する
| 有効化の影響 | 利用できる機能 |
|---|---|
| すべてのマネージドインスタンスを単一のコンソール(Fleet Manager)で確認・操作できるようになります。 | インスタンスの再起動、ディスクの使用状況確認、ファイルシステムの閲覧、パフォーマンスデータの取得などが可能です。 |
マネージドインスタンス化することで、インスタンスへのリモート接続(Session Manager)だけでなく、OSレベルのメンテナンスや監視をGUIから一貫して行えるようになります。
5.SSM Agent を自動的に更新する
| 有効化の影響 | 利用できる機能 |
|---|---|
| EC2インスタンス上のSystems Manager Agent (SSM Agent)が常に最新バージョンに保たれます。 | SSM Agentの新しい機能やセキュリティパッチを、手動操作なしで享受できます。 |
※Agentの自動化には別途設定が必要です。
System Manager > 設定 で自動アップデートを有効化することができます。
マネージドインスタンスになることにより、Agentのアップデート作業が不要となり、常に最新かつ最も安全な状態で管理機能を利用できるようになります。
■参考サイト
まとめ
デフォルトのホスト管理設定を有効化することで、EC2 インスタンスが自動的にマネージドインスタンスとして扱われ、さまざまなメリットが得られることが分かりました。
この設定をオンにしただけですべての機能が即時に使えるわけではありませんが、SSM による管理を自動的に行うための基盤が整う点は大きな利点だと感じました。
■参考サイト