AWS Systems Managerパッチマネージャーを使うと、AWS及びオンプレミスのパッチ適用を自動化できます。
本記事では、パッチマネージャーの概要について紹介します。
Systems Managerのパッチマネージャーとは
パッチ適用状況の確認や自動化が可能なサービスです。特徴としては主に以下が挙げられます。
- パッチルール準拠の確認やインスタンスへのパッチ適用が可能
- パッチベースラインをOSの種類ごとに作成可能
- パッチ適用後の再起動はNoRebootオプションでタイミング制御可能
なお、利用に際しては、以下の点に注意が必要です。
- インスタンスに指定されたパッチダウンロードサイトへのアクセス経路の確保が必要
- Windows
- Microsoft Windows Updateサイトにアクセスできること
- プライベートネットワーク内WSUSサーバのレポジトリ構成も可能
- Linux
- インスタンスに設定されたリポジトリへ接続できること
- Windows
- パッチマネージャーサポートOSがSSM AgentサポートOS*1と異なる
パッチベースラインとは
パッチベースラインは、パッチ適用のルールを定義づけることができます。
パッチマネージャーでは、承認及び拒否済みパッチの選択可能なリストに加え、リリースから数日以内にパッチを自動承認するためのルールを含むパッチベースラインを使用します。
パッチ適用を実行すると、パッチマネージャーは「現在適用されているパッチ」と「パッチベースラインで設定されたルールに従い適用する必要があるパッチ」を比較します。
パッチベースラインの設定項目
パッチベースラインの設定項目は以下となります。
| 設定項目 | デフォルト | 内容 |
| 名前 | ー | ー |
| 説明-オプション | ー | ー |
| オペレーティングシステム | Windows | 承認ルールとパッチの例外を指定するオペレーティングシステムを選択。 |
| デフォルトのパッチベースライン | 無効 | 有効にするとパッチグループに関連付けられていないフリート内全てのWindowsインスタンスへのパッチ適用時にこのパッチベースラインがデフォルトで使用される。 |
| オペレーティングシステムの承認ルール | 製品:All 分類:ー 重要度:ー 自動承認:指定した日数後にパッチを承認する 日数の指定:0 コンプライアンスレポート-オプション:未指定 |
自動承認ルールを作成して、特定タイプのオペレーティングシステムのパッチが自動的に承認されるように指定する。 |
| アプリケーションの承認ルール | ー | Microsoftアプリケーションパッチに自動承認を追加したい場合は、ルールを追加する。 |
| パッチの例外 | 承認済みパッチ:ー 承認済みパッチのコンプライアンスレベル:未指定 拒否されたパッチ:ー 拒否されたパッチのアクション:依存関係として許可 |
ー |
| タグの管理 | ー | ー |
パッチベースラインの作成
「Systems Manager」画面の左ペインから[パッチマネージャー]を選択し、[パッチベースラインを作成する]をクリックします。
パッチベースラインはOSごとに作成することが可能です。
パッチ適用の承認ルールを定義づけます。
パッチ処理を拒否する例外がある場合に設定します。
パッチポリシーとは
2023年1月に導入されたパッチポリシーを利用すると、パッチコンプライアンスを簡単に定義することができます。また、クロスアカウントおよびクロスリージョンでのデプロイが可能です。
パッチポリシーの設定
パッチポリシーの設定項目は以下となります。
| 設定項目 | デフォルト | 備考 |
| 設定名 | ー | ー |
| パッチオペレーション | スキャン | ターゲットをスキャンし、インストールされているパッチをパッチベースライン内の承認済みパッチのリストと比較する。選択してスキャンするか、見つからないパッチをスキャンしてインストールする。 |
| スキャンのスケジュール | 推奨される既定値は使用 | 承認されたパッチと拒否されたパッチのリストに加えて、リリースから数日以内にパッチを自動承認するルールが含まれる |
| S3 バケットに出力を書き込む | 有効 | |
| ターゲットリージョン | 現在のリージョン | 現在のリージョンまたはリージョンのカスタムセットのいずれにデプロイするかを選択する。 |
| ターゲットインスタンス | 手動 | ターゲットにするインスタンスの設定方法を選択する。 |
| レートの制御 | 同時実行数 10(ノードの割合) エラーのしきい値 2(ノードの割合) |
パッチポリシーを実行する際の同時実行率とエラー率を指定する。 |
| インスタンスプロファイルのオプション | 無効 | Quick Setupは選択した設定に必要な許可のIAMポリシーとインスタンスプロファイルを作成し、インスタンスプロファイルはアタッチされていないインスタンスにのみアタッチされるがオプションを有効にすると、インスタンスプロファイルがアタッチされたインスタンスにもIAMポリシーを追加する。 |
パッチポリシーの作成
「Systems Manager」画面の左ペインから[パッチマネージャー]を選択し、[パッチポリシーを作成]をクリックします。
先ほど設定したパッチベースラインを使用することが可能です。
対象のターゲットを選択します。選択方法は複数あります。
パッチポリシーの確認
パッチポリシーの確認方法は主に3つあります。
Quick Setupの設定から確認
「Systems Manager」画面の[Quick Setup]から[設定]タブを選択します。
対象の設定を選択して[詳細を表示]をクリックします。
円グラフでステータスを確認することが可能です。
パッチマネージャーのダッシュボードから確認
「Systems Manager」画面の[パッチマネージャー]から[ダッシュボード]タブを選択します。円グラフでインスタンス管理を確認することが可能です。
コンプライアンスから確認
「Systems Manager」画面の[コンプライアンス]から重要度に応じて適用状況を確認することが可能です。
(参考).csvファイルでレポート生成
任意のS3バケットに .csv ファイルとして保存されるパッチコンプライアンスレポートを生成することが可能です。
レポートの生成範囲は以下の通りです。
- 単一のマネージドノード
- 選択したAWSアカウント全て
- AWSリージョン全て
単一のノードの場合、レポートには、非準拠のノードに関連するパッチのID など、包括的な詳細が含まれます。
すべてのマネージドノードに関するレポートでは、非準拠ノードのパッチ概要情報と数のみが表示されます。
QuickSightなどのツールを使用してcsvレポートのデータをインポート及び分析することも可能です。また、レポートが生成された際にSNSトピックで通知することも可能です。
おわりに
パッチ適用の運用は必須項目ですが、手動で行う場合はかなり工数がかかります。パッチ適用を自動化し状況を可視化することで、運用負荷を下げることができます。
本記事で概要の部分を少しでも理解して頂けたら幸いです。
