AWS Systems Manager のよくある質問

Explorer

AWS Systems Manager Explorer は、AWS 上およびマルチクラウドやハイブリッド環境内のリソース向けのカスタマイズ可能なオペレーションダッシュボードです。Explorer は、全 AWS アカウントとリージョンからのオペレーションデータを集約して表示します。Explorer は、オペレーション上の問題について、ビジネス単位またはアプリケーション全体における分散のしかた、時間経過に伴う傾向の変化、カテゴリごとの変化についてコンテキストを提供します。

Explorer によって表示されるデータのタイプの 1 つに、OpsCenter からの OpsItems があります。OpsItems は、オペレーション上の問題の管理、調査、修復に役立ちます。Explorer は、全アカウントやリージョンで関連する他のオペレーションデータと共に、OpsItems を集約して表示します。もちろん、OpsItems は OpsCenter 経由で管理や修復をすることも可能です。

Explorer 設定ページからリソースデータ同期を設定することで、全アカウントやリージョンの OpsData を閲覧することができます。リソースデータ同期では、指定したアカウントおよびリージョンから全 OpsData データが収集され、それがシングルビューに集約されます。

AppConfig

AWS AppConfig は AWS Systems Manager の機能であり、あらゆるサイズのアプリケーションにわたって、Amazon EC2 インスタンス、コンテナー、AWS Lambda 関数、モバイルアプリまたは IoT デバイスでホストされているかどうかにかかわらず、コントロールされ、モニタリングされた方法で、素早く検証とロールアウトができるようにします。AWS AppConfig は、構成データを検証して、アプリケーションでデプロイする前に、定義に従って構成データが構文的および意味的に正しいことを確認できるようにします。AWS AppConfig を使用すると、エラーを監視しながら定義したペースで構成をロールアウトすることにより、デプロイのベストプラクティスに従うことができます。エラーの場合、AWS AppConfig は変更をロールバックして、アプリケーションのユーザーへの影響を最小限に押さえます。

AWS AppConfig は、コードを管理する方法に似ていますが、構成値が変更されたときにコードをデプロイする必要がなく、結果としてサービス停止のリスクが軽減したいシステム管理者、DevOps チーム、開発者向けに設計されています。AWS AppConfig は、構成のターゲット (ホスト、サーバー、AWS Lambda 関数、コンテナ、モバイルデバイス、IoT デバイスなど) を持つ任意の規模またはタイプの企業または組織を対象にしています。

構成とは、アプリケーションがランタイムにアプリケーションの動作を修正するために使用する 1 つ以上のアプリケーション設定の集合です。AWS Systems Manager のドキュメントまたはパラメータとして構成を保存できます。

バリデータとは、AWS AppConfig が構成が定義に従って構文または意味の上で正しいことをテストすることができる AWS Lambda 関数です。 

デプロイ戦略は、構成データがアプリケーションに伝搬する方法のための計画です。デプロイ戦略には、構成がロールアウトする速度、さまざまな間隔で更新された構成を受け取るアプリケーションインスタンスの割合 (%)、および AWS AppConfig がアプリケーション全体を監視して構成の変更が悪影響を与えていなかったことを確認する上で支援する時間の定義のためのコントロールを含みます。

アプリケーション構成は、アプリケーションの動作に影響するデータであり、コンパイルを必要としません。構成は、ランタイムに変更できる抽象化です。たとえば、特定の日時に構成値を自動入力することにより、機能のリリースを制御できます。値を変更する必要がある場合、たとえば新しい日時を変更する必要がある場合、管理者はコンパイルを必要とせずに構成値を変更でき、アプリケーションはランタイムに新しい構成を適用します。アプリケーション構成とコードの両方に、本番環境でのエラーを防ぐための安全メカニズムを含める必要があります。AWS AppConfig を使用して、新しい構成をデプロイするときに安全性メカニズムを適用するために AWS App Config を、また新しいコードをデプロイするときに AWS CodeDeploy を使用ことをお薦めします。

AWS Config では、AWS リソースをアセスメント、監査、評価することっができる一方、AWS AppConfig ではアプリケーションの構成を管理できます。AWS Config を使用してアカウントの AWS リソースの構成の詳細なビューを取得し、リソースが過去にどのように構成されたか、また構成が時間をかけてどのように変化したかを識別します。AWS AppConfig は、AWS リソースまたはオンプレミスサーバーで実行するアプリケーションを対象としています。AWS AppConfig を使用して、アプリケーション構成の変更を検証し、デプロイ戦略を設定してランタイムにアプリケーションに更新された構成を安全にデプロイします。

Fleet Manager

AWS Systems Manager Fleet Manager は、次の方法でリモートサーバー管理プロセスを合理化します。

  • Fleet Manager の一元化されたグラフィカルユーザーインターフェイス (GUI) を使用すると、AWS およびオンプレミスで実行されているサーバーのフリートを簡単に管理できます。
  • Fleet Manager は、オペレーティングシステム (OS) に依存しません。Fleet Manager を使用して、Windows、Linux、および Mac ベースのサーバーで一般的な OS 操作を実行できます。 
  • Fleet Manager を使用すれば、ビルド済みの自動化 Runbook を選択するか、独自の自動化 Runbook を持ち込むことにより、Systems Manager コンソールからこれらの OS 操作をシームレスに実行できます。 

AWS Systems Manager Fleet Manager は、サーバーをリモートで管理するために次の機能を提供します。

  • ファイルシステムとログの調査: Systems Manager コンソールを使用して、サーバー上のディスク、フォルダ、およびファイル (ファイルベースのログを含む) を参照する。 
  • パフォーマンスカウンターの監視: CPU 使用率、ネットワークトラフィック、ディスク使用率、メモリ使用率などの一般的なサーバーパフォーマンスのメトリックを監視する。
  • Windows イベント管理: 追加のエージェントをインストールすることなく、Windows イベントログを表示およびトラブルシューティングする。 
  • ユーザーとグループの管理: サーバーにアクセスできるユーザーやグループのリストを表示し、権限を変更する。
  • レジストリ操作: Windows サーバーのレジストリ値を表示および変更する。

AWS Systems Manager Fleet Manager は、AWS で実行されているサーバーで追加料金なしで利用できます。AWS Systems Manager エージェントを使用したオンプレミスインスタンス管理の場合、パブリック料金に基づいて請求が行われます。

コンプライアンス

AWS Systems Manager では、マネージドインスタンスをスキャンしてパッチのコンプライアンスと設定の不一致を確認できます。複数の AWS アカウントやリージョンからデータを収集および集約し、コンプライアンスに違反している特定のリソースにドリルダウンできます。AWS Systems Manager には、デフォルトでパッチ適用と関連付けに関するデータが表示されます。サービスをカスタマイズし、要件に基づいて独自のコンプライアンスタイプを作成することもできます。 

AWS Config との統合を利用すれば、AWS Config のルールによって、必要な設定内容に対するインスタンスのコンプライアンス状況をモニタリングできます。セキュリティの専門家やコンプライアンス監査者は、この機能を使用してインスタンス設定変更の完全な監査証跡を得ることができ、コンプライアンス違反発見時に予防的通知を受け取ることもできます。

はい。独自のコンプライアンスタイプを作成して、API で記録できます。ビジネスの要件に基づいて独自のチェック項目を作成し、AWS Systems Manager でコンプライアンスを記録して、コンプライアンスに違反しているインスタンスを追跡できます。また、リソースデータ同期を作成することで、複数のアカウントやリージョンに対してこのコンプライアンス情報を表示できます。

インベントリ

はい。複数のアカウントやリージョンに対してインベントリデータを同期して、同じ Amazon S3 バケットに保存できます。その後、Amazon AthenaAmazon QuickSight、または独自のビジネスインテリジェンス (BI) ツールを使用して、複数のアカウントやリージョンに対してインベントリデータのクエリを実行できます。 

セッションマネージャー

はい。セッションマネージャーを開始するには、最新バージョンの SSM Agent を使用する必要があります。SSM Agent は、オープンソースです。また、GitHub より入手できます。

ディストリビューター

ディストリビューターの料金は、Systems Manager の料金ページに記載されています。

はい。ディストリビューターを開始するには、最新バージョンの SSM Agent を使用する必要があります。SSM Agent はオープンソースで、GitHub で利用できます。また、SSM Agent はデフォルトで Amazon Linux、Amazon Linux 2、Windows、および Ubuntu AMI にインストールされます。