💭

【初心者向け】Systems Manager（SSM）入門！完全ガイド②（ノード管理機能編）

2023/09/04に公開

AWS

study

tech

AWS Systems Manager（SSM）:ノード管理

☘️ はじめに

本ページは、AWS に関する個人の勉強および勉強会で使用することを目的に、AWS ドキュメントなどを参照し作成しておりますが、記載の誤り等が含まれる場合がございます。

最新の情報については、AWS 公式ドキュメントをご参照ください。

👀 Contents

ノード管理の機能
セッションマネージャー
- セッションマネージャーの料金
フリートマネージャー
- フリートマネージャーの料金
Run Command
- Run Command の料金
ステートマネージャー
- ステートマネージャーの料金
パッチマネージャー
- パッチポリシー
- パッチマネージャーの料金
ハイブリッドアクティベーション
- ハイブリッドアクティベーションの料金
ディストリビューター
- ディストリビューターの料金
コンプライアンス
- コンプライアンスの料金
イベントリ
- インベントリの料金
📖 まとめ

ノード管理の機能

ノード管理
- セッションマネージャー
- フリートマネージャー
- Run Command
- ステートマネージャー
- パッチマネージャー
- ハイブリッドアクティベーション
- ディストリビューター
- コンプライアンス
- インベントリ

【AWS Black Belt Online Seminar】AWS Systems Manager State Manager(YouTube)(29:24)

black-belt-ssm-state-manager

【AWS Black Belt Online Seminar】AWS Systems Manager Hybrid Activations 編(YouTube)(24:19)

black-belt-ssm-hybrid-activations

【AWS Black Belt Online Seminar】AWS Systems Manager Inventory 編(YouTube)(20:14)

black-belt-ssm-inventory

セッションマネージャー

EC2、エッジデバイス、オンプレ、仮想マシンを管理することができる機能です。この機能を利用することで、踏み台サーバを構築したり、SSH キーを管理したりといったことが不要になります。

セッションマネージャーの利用で最も簡単なのは、AWS マネジメントコンソールから利用することです。

session-manager-console

Windows サーバーに接続した場合（CUI のみ）

session-manager-2-windows

Linux サーバーに接続した場合

session-manager-3-linux

もう一つの利用としては、ポート転送で接続する方法です。接続元のローカルポートへのアクセスをマネージドノードのポートの転送することでアクセスすることができます。
この方法を利用する場合は、接続する端末に、AWS CLI および CLI 用の Session Manager プラグインをインストールする必要があります。（参考＞AWS CLI 用の Session Manager プラグインをインストールする）

例えば、Windows サーバに接続する際には次のようなバッチファイルを用意しておくとメンバーへの展開も容易になります。

Windows ノードにリモートデスクトッププロトコル (RDP) を使用して接続するため、SERVER_PORT_NO に 3389 を指定し、トラフィックのリダイレクト先となるクライアントのローカルポート LOCAL_PORT_NO に任意のポート番号を指定します。ここでは、33890 を指定しています。

@echo off
REM セッションマネージャー接続バッチ

SET SERVER_NAME=hogehoge
SET INSTANCE_ID=i-xxxxxxxxxxx
SET SERVER_PORT_NO=3389
SET LOCAL_PORT_NO=33890

echo.
echo ****************************************************
echo セッションマネージャー接続バッチ（%SERVER_NAME%）
echo ****************************************************
echo.
echo EC2 へセッションマネージャー経由で接続します。
echo 本バッチファイルを実行するには、「%HOMEDRIVE%%HOMEPATH%\.aws\credentials」に設定が必要です。
echo.
echo 接続後、リモートデスクトップクライアントを利用し、以下のホストに接続してください。
echo localhost:%LOCAL_PORT_NO%
echo.
echo 本バッチを切断する場合は、コマンドプロンプトを閉じるか、Ctrl + C で切断してください。
echo.
echo.

aws ssm start-session --profile profilename ^
--target %INSTANCE_ID% ^
--document-name AWS-StartPortForwardingSession ^
--parameters "portNumber=%SERVER_PORT_NO%,localPortNumber=%LOCAL_PORT_NO%"

echo .
echo 切断しました。
echo .

pause

exit /b 0
echo .

接続するとこのように表示されます。

ssm-bat

AWS マネジメントコンソールまたは AWS CLI で接続を行った場合には、CloudTrail にセッションの開始と終了のログが記録されます。

session-manager-cloudtrail

これ以外に、フリートマネージャーを使った接続も可能です。Windows サーバであれば、RDP 接続によって GUI 操作が可能になります。

セッションマネージャーの料金

無料で利用できます。

セッションマネージャーの料金

フリートマネージャー

マネジメントコンソールから、インスタンスを管理出来る機能です。

ログやパフォーマンスカウンタなどを取得したり、リモートデスクトップに接続できるようになります。

fm-tool-menu

Ｗ indows サーバのイベントログの表示例

fm-windows-eventlog

ファイルシステムの表示例（Windows サーバの C ドライブ）

fm-windows-fs

リモートデスクトップで接続した場合は、Session Manager の接続と同様に CloudTrail によってセッションの開始と終了が記録されます。

リモートデスクトップ接続の表示例

fm-connect

fm-windows

フリートマネージャーの料金

無料で利用できます。

フリートマネージャーの料金

Run Command

マネジメントコンソール上から各種コマンドをインスタンスに接続することなく実行できる機能です。

rc-1

SSM 　 Agent のアップデートを行ったり、CloudWatch エージェントのインストールと設定を行ったりできます。

参考：Run Command を使用して SSM Agent を更新する

参考：AWS Systems Manager を使用した CloudWatch エージェントのインストール

実行したコマンドは実行履歴として残っているので、一回実行したコマンドを再実行することも可能です。
コマンドが実行履歴として残りますので、例えばサーバーのユーザー作成などを Run Command から実行した場合、ユーザーのパスフレーズも履歴に残ってしまいます。これを避けるには、パラメータストアを利用することで、実行履歴に残らないようにすることもできます。
Run Command から使用するには、{{ssm:parameter-name}} と指定します。