type
status
date
slug
summary
tags
category
icon
password
书籍
理論
AWS Systems Manager(SSM)の管理対象インスタンスについて
AWS Systems Manager(SSM)は、AWSのリソース(特にEC2インスタンス)をリモートで管理・操作するためのサービスです。SSMを利用するためには、インスタンスが「管理対象インスタンス」として認識される必要があります。この認識に必要な要素を簡潔にまとめます。
管理対象インスタンスの要件
- SSMエージェントのインストールと実行
- EC2インスタンスにはSSMエージェントがインストールされており、かつ実行されている必要があります。これがインスタンスとSSMサービス間の通信を担当します。
- 多くのAmazon Machine Image(AMI)にはSSMエージェントがデフォルトで含まれていますが、手動でインストールすることもできます。
- IAMロールの設定
- インスタンスには適切なIAMロールが割り当てられている必要があります。特に、
AmazonSSMManagedInstanceCoreポリシーが含まれたロールが必要です。このロールはSSMがインスタンスと通信するための権限を付与します。
- ネットワークアクセス
- インターネットアクセスがある場合、SSMはAWSのパブリックエンドポイントを使用して接続します。
- インターネットアクセスがない場合、VPCエンドポイント(SSM用)が必要です。これにより、プライベートネットワーク内からもSSMを利用できます。
- SSMエージェントのトラブルシューティング
- SSMエージェントがインストールされていない、または動作していない場合、インスタンスは管理対象インスタンスとして表示されません。
- エージェントのログファイルを確認して、エラーや警告を確認することが重要です。
一般的な問題とその解決策
- 問題: インスタンスが管理対象インスタンスとして表示されない。
- 解決策:
- SSMエージェントのインストールと実行確認(
ssm-agentが稼働しているかを確認)。 - IAMロールの確認(インスタンスに
AmazonSSMManagedInstanceCoreポリシーを付与したロールが割り当てられているか確認)。 - ネットワーク接続の確認(インターネットまたはVPCエンドポイントの接続性を確認)。
- 問題: SSMがインスタンスにアクセスできない。
- 解決策:
- インスタンスのセキュリティグループとネットワークACLの設定を確認。
- VPCエンドポイントの設定を確認(インターネットにアクセスできない場合)。
まとめ
AWS Systems Managerの管理対象インスタンスには、エージェントのインストール、IAMロールの設定、ネットワークアクセスの構成が不可欠です。これらを適切に設定することで、リモート管理やオートメーションが可能となります。
実践
略
一問道場
質問 #492
あるソリューションアーキテクトが、AWS Import/ExportのAmazon EC2 VM Import機能を使用して、オンプレミス環境からVMをインポートしています。このソリューションアーキテクトは、AMIを作成し、そのAMIに基づいてAmazon EC2インスタンスをプロビジョニングしました。このEC2インスタンスは、VPC内のパブリックサブネットで稼働しており、パブリックIPアドレスが割り当てられています。
しかし、EC2インスタンスがAWS Systems Managerコンソールに管理対象インスタンスとして表示されません。
ソリューションアーキテクトがこの問題をトラブルシューティングするために実行すべき手順の組み合わせはどれですか?(2つ選択)
A. インスタンスにSystems Managerエージェントがインストールされ、実行中であることを確認する。
B. インスタンスにSystems Manager用の適切なIAMロールが割り当てられていることを確認する。
C. VPCにVPCエンドポイントが存在することを確認する。
D. AWS Application Discoveryエージェントが設定されていることを確認する。
E. Systems Manager用のサービスリンクロールが正しく構成されていることを確認する。
解説
この問題は、Amazon EC2インスタンスが**AWS Systems Manager(SSM)**コンソールに「管理対象インスタンス」として表示されない問題をトラブルシューティングする内容です。Systems Managerに管理されるために必要な設定が不足している可能性を考え、正しい手順を選ぶ必要があります。
Systems Managerに管理される条件
- SSMエージェントのインストールと実行
EC2インスタンス上にSSM Agent(Systems Manager Agent)がインストールされ、正常に実行されている必要があります。これがなければ、インスタンスはSystems Managerから操作できません。
→ A. 正解
- IAMロールの適切な設定
AmazonSSMManagedInstanceCore適切なIAMロールが割り当てられていない場合、Systems Managerはインスタンスを管理できません。 → B. 正解
Systems Managerは、EC2インスタンスに関連付けられたIAMロールを介して動作します。このIAMロールには、以下のようなポリシーが必要です:
- ネットワークの接続性
- インターネットアクセスがある場合、Systems ManagerはAWSパブリックエンドポイントを介して接続します。
- インターネットアクセスがない場合、VPCエンドポイント(SSM用のプライベート接続)が必要です。 本問ではインスタンスにパブリックIPアドレスが割り当てられているため、VPCエンドポイントは不要です。 → C. 不正解
- Application Discovery Agentの設定
AWS Application Discovery Serviceは、オンプレミスのアプリケーションをAWSに移行する際に使用するツールです。Systems Managerの動作には不要です。
→ D. 不正解
- サービスリンクロールの設定
AWS Systems Managerは、自動的にサービスリンクロールを作成します。この設定を手動で確認する必要は通常ありません。
→ E. 不正解
解答
- A. インスタンスにSystems Managerエージェントがインストールされ、実行中であることを確認する。
- B. インスタンスにSystems Manager用の適切なIAMロールが割り当てられていることを確認する。
解説のポイント
- AWS Systems Managerの基本要件(SSMエージェントとIAMロール)を確認することが最優先です。
- 本問ではインスタンスがパブリックサブネットにあり、パブリックIPが割り当てられているため、ネットワーク周りの設定(C)は不要です。
- Application Discovery Agentやサービスリンクロール(D・E)はSystems Managerの要件ではないため無関係です。
- 作者:みなみ
- 链接:https://www.minami.ac.cn//%E8%B3%87%E6%A0%BC%E5%8B%89%E5%BC%B7/17dd7ae8-88e2-80d1-8bec-ffe8c92613a6
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
