JAWS-UG CLI専門支部 #81 EC2 Systems Manager 入門

1. JAWS-UG CLI #81
Amazon EC2 Systems Manager入門
2017/4/3 Mon
Nobuhiro Nakayama

2. {
"name":"Nobuhiro Nakayama",
"company":"UCHIDAYOKO CO., LTD.",
"favorite aws services":[
"Directory Service",
"IAM",
"AWS CLI"
],
"certifications":[
"AWS Certified Solutions Architect-Associate",
"AWS Certified Solutions Architect-Professional",
"AWS Certified SysOps Administrator-Associate",
"AWS Certified DevOps Engineer - Professional",
"Microsoft Certified Solutions Expert Server Infrastructure",
"Microsoft Certified Solutions Expert SharePoint",
"IPA Network Specialist",
"IPA Information Security Specialist"
]
}2017/4/2 2

3. EC2の運用
2017/4/2 3

4. 考えることがいろいろ・・・
• 監視
• リソース（サーバ内部）
• ログ
• パッチ管理
• 脆弱性
• 構成管理
• AWSコンポーネント
• サードパーティーアプリケーション
• ネットワーク
• 認証情報
• 管理者パスワード
• 秘密鍵
2017/4/2 4

5. Amazon EC2 Systems Managerとは？
2017/4/2 5

6. 概要
• EC2インスタンスにログインすることなく、いろんな管理作業を実施できる神サービス
• 各種タスクを”Document”として定義
• AWSからデフォルトのドキュメントが複数提供されている（以下、一部抜粋）
• Windows Updateの設定
• パフォーマンスカウンタの取得設定（カスタムメトリック）
• CloudWatch Logsの設定（収集するイベントログ、テキストログの指定）
• Windows Updateの実行
• ソフトウェアインベントリの収集（AWS Configとの連携）
• ec2config (SSM Agent) の更新
• タスクを制御
• State Manager（定期的にドキュメントの内容を実行）
• Maintenance Windows（指定した時間帯にドキュメントの内容を実行）
• タスクの実行を補助する機能
• Patch Baseline（適用対象のパッチを定義）
• Parameter Store（ドキュメントの変数をパラメータとして管理できる・単独利用も可能）
• オンプレミスのサーバも管理可能
• SSM Agentおよびインターネットへのアクセスが可能なことが条件
2017/4/2 6

7. 概要（その他機能）
• Automation
• カスタムAMIを自動作成する機能
2017/4/2 7

8. ハンズオン
2017/4/2 8

9. ハンズオンの流れ
2017/4/2 9
通知用SNS Topic ログ保存用S3 Bucket インスタンスプロファイル

10. ハンズオンの流れ
2017/4/2 10
通知用SNS Topic ログ保存用S3 Bucket インスタンスプロファイル
ドキュメント
※ CloudWatch EventsのターゲットとしてRun Commandを指定することも可能になりました。
https://aws.amazon.com/about-aws/whats-new/2017/03/amazon-cloudwatch-events-adds-routing-to-amazon-ec2-run-command/
※

11. ハンズオンの流れ
2017/4/2 11
通知用SNS Topic ログ保存用S3 Bucket インスタンスプロファイル
ドキュメント
State
Manager
定期実行
※ 収集したインベントリは、AWS Configで閲覧することが可能です

12. ハンズオンの流れ
2017/4/2 12
通知用SNS Topic ログ保存用S3 Bucket インスタンスプロファイル
ドキュメント
Maintenance
Window
定期実行
Patch Baseline
パラメータ※ ※ AWS-ApplyPatchBaselineを実行する場合

13. コマンド
2017/4/2 13

14. Run Command
• cancel-command
• get-command-invocation
• list-command-invocations
• list-commands
• send-command
2017/4/2 14

15. Inventory
• get-inventory
• get-inventory-schema
• list-inventory-entries
• put-inventory
2017/4/2 15

16. State Manager
• create-association
• create-association-batch
• delete-association
• describe-association
• describe-effective-instance-associations
• describe-instance-associations-status
• list-associations
• update-association
• update-association-status
2017/4/2 16

17. Document
• create-document
• delete-document
• describe-document
• describe-document-permission
• get-document
• list-document-versions
• list-documents
• modify-document-permission
• update-document
• update-document-default-version
2017/4/2 17

18. Maintenance Window
• create-maintenance-window
• delete-maintenance-window
• deregister-target-from-maintenance-window
• deregister-task-from-maintenance-window
• describe-maintenance-window-execution-task-invocations
• describe-maintenance-window-execution-tasks
• describe-maintenance-window-executions
• describe-maintenance-window-targets
• describe-maintenance-window-tasks
• describe-maintenance-windows
2017/4/2 18

19. • get-maintenance-window
• get-maintenance-window-execution
• get-maintenance-window-execution-task
• register-target-with-maintenance-window
• register-task-with-maintenance-window
• update-maintenance-window
2017/4/2 19

20. Patch Manager
• create-patch-baseline
• delete-patch-baseline
• deregister-patch-baseline-for-patch-group
• describe-available-patches
• describe-effective-patches-for-patch-baseline
• describe-instance-patch-states
• describe-instance-patch-states-for-patch-group
• describe-instance-patches
• describe-patch-baselines
• describe-patch-group-state
• describe-patch-groups
2017/4/2 20

21. • get-default-patch-baseline
• get-deployable-patch-snapshot-for-instance
• get-patch-baseline
• get-patch-baseline-for-patch-group
• register-default-patch-baseline
• register-patch-baseline-for-patch-group
• update-patch-baseline
2017/4/2 21

22. Parameter Store
• delete-parameter
• describe-parameters
• get-parameter-history
• get-parameters
• put-parameter
2017/4/2 22

23. Activation【ハンズオン対象外】
• create-activation
• delete-activation
• describe-activations
2017/4/2 23

24. Automation【ハンズオン対象外】
• describe-automation-executions
• get-automation-execution
• start-automation-execution
• stop-automation-execution
2017/4/2 24

25. Tag【ハンズオン対象外】
• add-tags-to-resource
• list-tags-for-resource
• remove-tags-from-resource
2017/4/2 25

26. その他
• deregister-managed-instance
• describe-instance-information
• update-managed-instance-role
2017/4/2 26