AWS Systems Manager を試してみた

はじめに

12月１日よりオープンストリームに JOIN させて頂きました。
「オープンストリーム Advent Calendar 2017」5日目として先日開催された「AWS re:Invent 2017」で発表された「AWS Systems Manager」を試してみた感想を紹介したいと思います。

AWS Systems Manager とは

「AWS re:Invent 2017」で発表された管理系の新サービスです。
内容としては以前からあった「EC2 systems manager」や「AWS config」、「AWS CloudTrail」等の管理系のサービスを統合したインターフェースで利用できるイメージです。

AWS Systems ManagerはクラウドとハイブリッドIT環境を管理する新しい方法です。AWS Systems Managerは、リソースとアプリケーション管理を簡素化し、運用の問題を検知して解決する時間を短くし、セキュアに大規模なインフラを運用および管理することを容易にします。こちらのサービスは機能のすべてが含まれています。

なお、AWSとしては「EC2 systems manager」は旧サービスという扱いであり、「EC2 systems manager」を拡張させたのが「AWS Systems Manager」ということの様です。

EC2 Systems Manager (SSMと時々呼ばれます）は以前使用していたものです。aws ssmコマンドは引き続き呼び出し可能です。しかしAWS Systems ManagerはEC2 Systems Managerによって提供されるたくさんのツールの上に構築され、強化されています。

利用料金

AWS Systems Manager自体の利用料金は無料となっています。

開始方法

マネジメントコンソールのサービスから「開発者用ツール」のカテゴリー下で提供されているサービスとなっています。

リージョン

リージョン別のサービスとなっている様です。
そのため、東京リージョンのリソースは東京リージョン以外のAWS Systems Managerでは管理できない様なので注意が必要です。

サービスメニュー

以下のサービスメニューが選択できます。

リソースグループ

リソースグループは簡単にいうと　AWSのリソースをグルーピングできる機能となっています。
今までも「リソースグループ」自体はありましたが、今までのリソースグループからアップデートされた内容となっており、後述しますがリソースグループを利用して「AWS config」等の他の管理サービスが利用できる様になっています。¹

Find Resources

リソースグループの新規登録画面です。リソースグループは「リソースタイプ」と「タグ」の組み合わせで定義し、複数の条件を　AND 条件で複数指定する事もできます。ここらへんは今までのリソースグループと同じですね。
また、指定条件のクエリ結果も確かめる事ができます。

リソースグループの保存時には「グループ名」「グループの説明」「タグ」を指定できます。
なお、タグについてはリソースグループに所属しているリソースにタグを付けられるのではなく、リソースグループ自体にタグを付与する様です。

Saved Resource Groups

保存したリソースグループの一覧とリソースグループに所属しているリソースを確認できます。

インサイト

「AWS Config」「CloudTrail」「EC2 systems manager」等の管理系機能の情報を俯瞰的に参照できる機能です。
また、リソースグループを設定しておくことでグルーピング毎の情報の参照やフィルタリングする事も可能になっており、各々の機能で情報を参照するより利便性が高まった様な印象です。

Built-In Insights

Built-In Insights では以下の情報が参照できます。

• Config
  • リソースグループ毎のAWS　Config Rule の準拠状況のグラフ表示（compliment数／non compliment数）
  • リソースグループ紐付けの各リソースのAWS　Config Ruleの準拠状況
  • リソースグループ紐付けの変更されたリソース及び変更回数
• CloudTrail
  • リソースグループ紐付けの各リソースの最終イベント日時及びイベント内容
• Personal Health Dashboard
  • 　Personal Health Dashboardの問題の一覧
  • 　リソースグループによるフィルタリングは不可
• 　Trusted Advisor
  • 　Trusted Advisor　のオーバービュー
  • 　(問題なしの項目/推奨される調査/推奨されるアクションの総数)

Dashboard by CloudWatch

保存した　cloudwatch ダッシュボードの一覧とダッシュボードを表示できます。
また、新規でダッシュボードを作成する事も可能です。
ただし、リソースグループによるメトリクスのフィルタリングはできない様です。

Inventory

「EC2 systems manager」で取得したインベントリ情報を元にインベントリデータをグラフ表示で俯瞰的に確認する事ができます。

• トップ 5 の OS バージョン
• トップ 5 のアプリケーション
• トップ 5 のサーバーロール (Windows のみ)
• トップ 5 のサービス
• インベントリ取得対象のインスタンス一覧

また、フィルタリング機能も要しており、リソースグループによるフィルタリングも可能ですが、リソースグループでフィルタするにはIAMサービスロールを作成する必要がある様です。

Compliance

「EC2 systems manager」の設定コンプライアンスの状況を棒グラフにより俯瞰的に確認することができます。
こちらもフィルタリング機能も要しており、リソースグループによるフィルタリングも可能ですが、リソースグループでフィルタするにはIAMサービスロールを作成する必要がある様です。

また、個々のインスタンスの設定コンプライアンス状況も一覧で確認することができます。

アクション/共有リソース

「アクション」及び「共有リソース」は「EC2 systems manager」の機能している様です。
「EC2 systems manager」からUIが一部変更されており、「Automation」の機能ではリソースグループを利用して入力パラメータの指定を行う事が可能になった様です。

尚、個々の機能の説明は「EC2 systems manager」の説明となるため、割愛します。

まとめ

結局、サービス紹介となってしまいましたが、別機能として独立していた管理系の機能を同一機能上で確認できる様になった点は便利になったのかなという印象です。
また、リソースグループの機能もグルーピングの情報を他のサービスで利用できる様になったのも良いアップデート内容であったと感じました。
今後、本機能についてより良い利用方法を考えていきたいと思います。

1. 今までのリソースグループはClassic グループとして継続利用できます。 ↩