AWS Systems Manager : Run コマンド、PatchマナジャーとParameterストア

Run Command

SSM Agentがインストールされているインスタンスに対して、コマンドを実行できるようにします。 「コマンドドキュメント」 機能により、きめ細かい機能を提供します。 アクションを実行できる定義済みのコマンド文書がいくつか用意されています。そのいくつかを紹介します。 AWS-RunAnsiblePlaybook AWS-ConfigureDocker AWS-InstallMissingWindowsUpdates AWS-RunShellScript Runコマンドはオンラインになっているインスタンスでのみ動作し、オフラインになっているインスタンスでは動作しないことを忘れないでください。

すべてのコマンドは、リストアップされたプラットフォームでのみ動作します。 コマンドは、コマンド・パラメータ・ボックスに記述されます。 インスタンスは、タグ、ターゲットグループ、または手動で選択することができます。

Patch Manager

管理対象インスタンスにパッチを適用するプロセスを自動化します。 インスタンスに不足しているパッチをスキャンし、不足しているパッチをすべてリストアップしたら、不足しているパッチをすべて適用することができます。 Patch Baseline : このサービスは、EC2インスタンスにインストールする必要がある、不足しているパッチのリストを決定する。 パッチベースラインは、インスタンスへのインストールを承認するパッチを定義し、パッチを1つずつ承認または拒否することができる。 Maintenance Window : その名の通り、特定のターゲットに特定のアクティビティをスケジュールするためのメカニズムを提供し、パッチ適用がmaintenance windowで行われるようにします。 これは、cronコマンドで指定する。コンソールでは、パッチがプッシュされる次のmaintenance windowを確認することもできます。 Compliance Dashboard では、パッチの適用に準拠していないインスタンスの数も確認でき、さらにこれらのインスタンスは準拠していないパッチと一緒にリストアップされます。

Parameter Store

主な焦点は、設定データを管理するための一元化されたストアを提供することです。 私たちはリポジトリを使用したバージョン管理システムを使用している場合、リポジトリにアクセスできる人は誰でも秘密にもアクセスできるので、パラメータストアは秘密を保存するための非常に良い基盤を提供しています。 パラメータは、String、StringList、SecureStringの3種類をサポートしています。 SecureString : SecureStringは、私たちが指定したKMSキーの助けを借りて、機密データを暗号化します。コンソールでこの秘密を表示するには、ユーザーは秘密の暗号化に使用された特定の KMS キーに対する権限を持っている必要があり、これにより秘密に別のセキュリティ層が追加されます。 CLI では、SecureStrings を表示するために --with-decrypt オプションを使用する必要があります。

さいごに

AWS SSMは面白いなサービスです、学ぶは大いに役立ちます。