type
status
date
slug
summary
tags
category
icon
password
理論
サーバーのパッチ管理に関する前提知識
1. パッチ管理の重要性
- 目的: ソフトウェアやOSの脆弱性を修正し、システムのセキュリティと安定性を確保する。
- 利点:
- セキュリティ向上: 攻撃を未然に防ぐ。
- 運用の安定化: バグの修正でシステム障害を回避。
- 規制対応: コンプライアンス要件の達成。
2. パッチ管理プロセスの要素
- 検出: 適用が必要なパッチを特定する。
- 適用: 適切な方法でパッチを配布・インストールする。
- 確認: 適用後に正常動作を確認し、コンプライアンスを記録する。
- レポート: 適用状況を経営層や監査用に報告する。
3. AWSでのパッチ管理ツール
AWS Systems Manager (SSM)
- 主な機能:
- Patch Manager: サーバーやインスタンスにパッチを適用。
- Automation: スクリプトを自動化して管理作業を効率化。
- Compliance Reporting: パッチ適用状況をレポート化。
- 適用環境:
- オンプレミスサーバー
- Amazon EC2インスタンス
AWS Systems Manager (SSM) と Ansible は、サーバーの管理や自動化に関して似たような機能を提供しますが、いくつかの重要な違いもあります。以下に、両者の主な特徴と相違点を整理しました。
相違点
特徴 | AWS Systems Manager (SSM) | Ansible |
実行環境 | AWS 環境に特化しており、AWS リソースの管理を目的としたサービス。 | オープンソースであり、AWS に限らずオンプレミスや他のクラウド環境でも利用可能。 |
エージェント/プロトコル | SSM エージェントをインスタンスにインストールして管理。 | SSH や WinRM を使用し、エージェントが不要(エージェントのインストールも可能)。 |
AWS との統合 | AWS の各種サービス(EC2、RDS、S3、IAM など)と深く統合されている。 | AWS サービスとも統合可能だが、追加設定が必要。 |
管理範囲 | AWS 上のリソースを中心に、ハイブリッドクラウドやオンプレミスもサポート。 | オンプレミス、クラウド、ハイブリッド環境全てに対応。 |
操作の複雑さ | AWS の管理コンソールで操作が可能で、グラフィカルで直感的。 | Playbook(YAML形式)の記述が必要で、スクリプトの記述に慣れが必要。 |
コスト | AWS サービスは使用量に応じた料金が発生。 | Ansible はオープンソースで無料。ただし、企業向けサポートの Red Hat Ansible Tower は有料。 |
パッチ管理 | AWS の Patch Manager 機能で、パッチ管理を自動化し、レポートを作成可能。 | Playbook で自動化できるが、補 patch 管理に関しては自分で設定する必要がある。 |
権限管理 | IAM(Identity and Access Management)を使用して、細かい権限設定が可能。 | 主にホストの管理と Ansible Vault を使って秘密情報を管理するが、権限管理は自分で行う必要がある。 |
Systems Managerの機能群
カテゴリ | 機能名 | 説明 |
ノード管理 | Fleet Manager | EC2インスタンスやオンプレミスサーバーの管理 |
運用管理 | Explorer | インスタンスやリソースの探索・監視 |
ㅤ | OpsCenter | インシデントや問題解決の管理ツール |
ㅤ | Incident Manager | インシデントの追跡・解決 |
変更管理 | Change Manager | 変更の承認と実施の管理 |
ㅤ | Change Calendar | 変更作業のスケジュール管理 |
コンプライアンス管理 | Compliance | リソースのコンプライアンス遵守状況の管理 |
自動化 | Automation | 定期的なタスクや作業の自動化 |
インベントリ管理 | Inventory | リソースや構成情報の管理 |
ハイブリッド管理 | Hybrid Activations | ハイブリッド環境(オンプレミス+クラウド)の管理 |
メンテナンス管理 | Maintenance Windows | メンテナンス作業のスケジュール管理 |
セッション管理 | Session Manager | シェルやリモートセッションの管理 |
コマンド実行 | Run Command | 複数のインスタンスへのコマンド実行 |
状態管理 | State Manager | インスタンスの状態を管理、変更を追跡 |
アプリケーション管理 | Patch Manager | パッチの適用と管理 |
ㅤ | Application Manager | アプリケーションのデプロイと管理 |
ㅤ | Distributor | アプリケーションの配布 |
ㅤ | AppConfig | アプリケーション設定の管理 |
ㅤ | Parameter Store | 構成データの管理 |
Amazon Inspector
- 主な機能:
- セキュリティ脆弱性のスキャン。
- パッチ適用漏れの検出。
- 用途: 脆弱性の検出に特化しており、適用プロセス自体は実行しない。
Amazon QuickSight
- 主な機能:
- データの可視化とレポート作成。
- パッチ適用状況のカスタムレポート作成に利用可能。
Amazon EventBridge
- 主な機能:
- イベントルールに基づいて自動アクションを実行。
- パッチスケジュールを自動化可能。
4. パッチ管理ソリューションの選択基準
- 一元管理: 複数の環境(オンプレミス+クラウド)を統一的に管理できること。
- 自動化: 定期的なパッチ適用プロセスを自動化し、手動作業を削減すること。
- レポート機能: コンプライアンス監査や経営報告のためのレポート作成が可能であること。
- 統合性: 他のAWSサービスやツールとシームレスに連携できること。
5. AWSを活用したパッチ管理の利点
- スケーラビリティ: サーバーの増減に応じた柔軟な管理が可能。
- コスト効率: 必要なリソースのみを使用し、無駄を抑える。
- セキュリティ強化: クラウド環境における最新のベストプラクティスを活用。
AWSを使用したパッチ管理は、効率的でセキュアなIT運用を実現するための鍵となります。適切なツールの選択と運用計画が、成功の要因となります。
実践
参照元
事前準備
このセクションでは、クラウドフォーメーションを使用して事前準備を行い、必要なリソースを自動で作成する手順を説明しています。以下に簡潔に整理します。
- 事前準備の目的: EC2インスタンス構築に必要なネットワークリソースや設定をクラウドフォーメーションで一括作成。
- クラウドフォーメーションの概要: リソース作成のためのテンプレートを使用し、EC2やVPCなどをプロビジョニングするサービス。
- 手順:
- AWSマネジメントコンソールで「クラウドフォーメーション」を開く。
- 「スタックの作成」からテンプレートファイルをアップロード。
- ダウンロードしたJSONファイルを指定し、スタック名を入力(例: h4bスタック)。
- オプション設定なしで次へ進み、設定内容を確認後、スタック作成を実行。
- 進行状況: スタック作成に数分かかるため、進行状況を確認し、完了後に「スタック作成完了」の表示がされる。
これで、クラウドフォーメーションを使用した事前準備が完了します。
CloudFormation テンプレート
作業で利用する CloudFormation テンプレートは下記からダウンロードしてください。zip ファイルを解凍して出てくる json ファイルをご利用ください。
EC2の作成
下記のリソースを作成します。
作成されたリソース | 設定・要点 |
IAMロール(SSM-in-EC2) | - 目的: EC2インスタンスが Systems Manager にアクセスできるようにするため。
- ユースケース:EC2
- ポリシー: AmazonSSMManagedInstanceCore ポリシーをアタッチすることにより、必要な権限を付与。- 設定方法: IAMでロールを作成し、そのロールをEC2インスタンスに関連付けます。 |
EC2(SSM-EC2) | - 目的: 管理対象のインスタンスとして Systems Manager を使って管理する。
- SSMエージェント: EC2インスタンスに作成したIAMロールを設定してから、起動します
- サブネット:プライベート
- SG:h4b-ec2-sg |
インターネットゲートウェイ | - 目的: EC2インスタンスがインターネットと通信できるようにするため。- 設定方法: インターネットゲートウェイをVPCにアタッチし、適切なルートテーブルを設定してインターネットへのアクセスを可能にします。 |
Fleet Managerの確認
AWS Systems Manager の Fleet Manager は、EC2インスタンスやオンプレミスサーバーなどのシステムを一元的に管理するためのサービスです。以下は、Fleet Manager の基本機能をまとめた一覧表です。
基本機能 | 説明 |
インスタンス管理 | EC2やオンプレミスサーバーの管理(起動、停止、再起動) |
パフォーマンス監視 | リソース使用率(CPU、メモリ、ディスク)の監視 |
ログ収集 | インスタンスのシステムログを収集、トラブルシューティング |
リモート接続 | インスタンスへのシェルやデスクトップ接続 |
ファイル操作 | ファイルのアップロード、ダウンロード、削除 |
パッチ管理 | ソフトウェアやOSのパッチ適用管理 |
インベントリ管理 | ソフトウェアや設定情報の管理 |
トラブルシューティング | リモートコマンド実行で問題解決支援 |
セキュリティ管理 | セキュリティ設定(アクセス制御、IAMロール管理) |
これらの機能を活用することで、AWSインフラやオンプレミスのシステムを効率的に管理し、トラブルシューティングやパッチ管理、インスタンスの監視などを容易に行うことができます。
Fleet Managerの利用
下記設定を行います
設定項目 | 方法 |
SSM Agentの自動更新設定
SSM Agentを自動で最新バージョンに更新する設定。 | 1. AWS Systems Managerコンソールにアクセス。
2. 自動化を選択し、確認する |
Inventoryの設定
インベントリを有効にし、インスタンスのリソース情報を収集・管理。 | 1. AWS Systems ManagerコンソールでInventoryを選択。
2. インベントリの収集対象を設定し、収集対象のアイテム(OS、アプリケーション等)を選択。
3. 設定後、Fleet Managerにて、情報が収集されるのを確認。 |
State Managerの確認
State Managerでインスタンスの設定や状態を管理・監視。 | 1. AWS Systems ManagerコンソールでState Managerを選択。
2. 既存のオペレーションやルールを確認し、必要な状態が維持されているかをチェック。
3. 監視設定を行い、定期的な状態確認を実施。 |
これらの方法で、Fleet Managerを通じてインスタンスの状態や設定を自動化・効率的に管理できます。
セッションマネージャー
サーバーログイン
セッションマネージャーを使用して、サーバにログインします。
サーバー操作ログの出力設定
操作ログをS3やcloud Watchに保存する設定を行います。
EC2 に また CloudWatchLogsFullAccessの権限を追加して、操作ログの転送が有効になります。
これで、
操作ログがWatchにリアルタイム転送
RUN コマンド
1. AWS Systems Manager (SSM) にアクセス
- AWS Management Consoleにログインし、「Systems Manager」を検索して選択します。
2. Run Commandの使用
- 左側のメニューで「Run Command」をクリックします。
- 「Run a command」ボタンをクリックします。
3. コマンドの設定
- Command document: 「AWS-RunShellScript」を選択します。このドキュメントは、EC2インスタンス上でシェルスクリプトを実行するために使います。
- Command parameters: 以下のように設定します:
- Commands: 実行したいシェルコマンド(例:
echo "Hello, World!") - Execution timeout: コマンドの実行時間のタイムアウトを設定(例:60秒)
4. ターゲットインスタンスの選択
- Targetsセクションで、コマンドを実行するEC2インスタンスを選択します。対象となるインスタンスにSSMエージェントがインストールされ、必要なIAMロールが付与されていることを確認してください。
5. コマンドの実行
- 「Run」ボタンをクリックして、コマンドを実行します。
6. 実行結果の確認
- 実行が完了したら、Command outputセクションに実行結果が表示されます。
例: 「echo」コマンドを実行
- Commands:
- このコマンドを実行すると、選択したインスタンスで「Hello, World!」と表示されます。
まとめ
「Run Command」を使用すると、EC2インスタンスにSSHで接続せずにコマンドを実行できるため、リモートでの管理が簡単に行えます。特に、セキュリティやアクセス制御が必要な場合に有効です。
一問道場
会社はサーバーのパッチ適用プロセスを実装する必要があります。オンプレミスのサーバーとAmazon EC2インスタンスでは、さまざまなツールを使用してパッチ適用を行っています。
経営陣は、すべてのサーバーとインスタンスのパッチ状況を1つのレポートで確認できる仕組みを求めています。
ソリューションアーキテクトが取るべきアクションは次のうちどれですか?
選択肢
A.
- AWS Systems Manager を使用してオンプレミスサーバーとEC2インスタンスのパッチを管理する。
- Systems Manager を使用してパッチコンプライアンスレポートを生成する。
B.
- AWS OpsWorks を使用してオンプレミスサーバーとEC2インスタンスのパッチを管理する。
- Amazon QuickSight をOpsWorksと統合してパッチコンプライアンスレポートを生成する。
C.
- Amazon EventBridge ルールを使用してAWS Systems Managerのパッチ修復ジョブをスケジュールし、パッチを適用する。
- Amazon Inspector を使用してパッチコンプライアンスレポートを生成する。
D.
- AWS OpsWorks を使用してオンプレミスサーバーとEC2インスタンスのパッチを管理する。
- AWS X-Ray を使用してパッチ状況をAWS Systems Manager OpsCenterに投稿し、パッチコンプライアンスレポートを生成する。
- 作者:みなみ
- 链接:https://tangly1024.com/資格勉強/15bd7ae8-88e2-8018-8511-c75cf21e583c
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
.png?table=block&id=021326af-6a29-487e-ac2f-560985ab23b3&t=021326af-6a29-487e-ac2f-560985ab23b3&width=800&cache=v2)
