本記事の概要
こんにちは、矢野(喬)です。
AWS Systems Manager Patch Manager のハンズオンをやっていたら、
示される手順が通じない程度にアップデートされていたので、2023年12月現在の Patch Manager はどう使うか、
その流れを簡潔に追う為の記事になります。
結論を先に記載しますと、今は Quick Setup を使うことで、以前のように個別に頑張らなくても 組織、アカウント、リージョンと全体的に便利に Patch Manager を使えるようになっていました。
前置きなど
私は Patch Manager が Windows や Linux サーバーに対して、AWS Systems Manager (以降 SSM)を使ってパッチ当てを上手にやってくれる機能であることは知っていましたが、これまで実際に触ったことは有りませんでした。 そこで、AWS ワークショップで試していたのですが、手順通りにどうしても進めなくなりました。 有る筈のボタンが無かったりインターフェースが変わっていたり、と分からなくなったので、 ドキュメントを読んだりAWS サポートに問い合わせたりして Quick Setup に辿り着いた次第です。
Patch Manager のワークショップは↓こちら↓
SSM Basic Handson (Japanese)
Patch Manager のユーザーガイドは↓こちら↓
AWS Systems Manager Patch Manager - AWS Systems Manager
どう進めないか
前述のワークショップでどう進めなかったかを簡単にご紹介します。
多少の変化は許容
ワークショップの始めから既に画面が異なりますが、こうしたアップデートは AWS だとありふれているので、 少し探せば見つかる、程度は許容する気持ちで進めています。
https://catalog.us-east-1.prod.workshops.aws/workshops/7e60f6e3-0c8f-488a-bedc-632aa8d526ea/ja-JP/phase6/01#1.
このリンクの画像と本日のパッチマネージャーの画面が既に違いますが、「概要から開始」を押せば辿り着けるのでOK
アクションボタンが無い
https://catalog.us-east-1.prod.workshops.aws/workshops/7e60f6e3-0c8f-488a-bedc-632aa8d526ea/ja-JP/phase6/01#2.
問題はここからで、リンク先のパッチグループを指定するための
ウィンドウの右上にある「アクション」を選択し、「パッチグループの変更」を選択
をしたいのに、そもそも「アクション」ボタンが存在しません。
厳密には、AWSCLI を使えばパッチグループの操作が出来ますし、その操作をすればアクションボタンも出現するのですが、
AWS に慣れていない人がこのワークショップをするとしたら難易度が高すぎるのでここで止まることになってしまいます。
Quick Setup
docs.aws.amazon.com
ここに Quick Setup について綺麗にまとまっています。
手順が一新されて、より広範囲に簡単に賢く利用できるようなっているとのことで、当該ワークショップとの違いを追いながら設定の様子をご紹介します。
作成
先ずはパッチマネージャーから作成をクリック
スキャンとインストール
「スキャン」を選択し、「スケジュール」を選びます。
カスタムですと、cron式か日単位かで選べます。
パッチベースライン
ベースライン自体は一緒です。オペレーティングシステム毎に作成できて、それがどんな分類で、どんな適用の仕方を採用するか、例外とするパッチは何かを設定したりできます。
以前と大きく異なるのは、ベースラインとパッチの取り扱い方です。
これまではベースライン1つ1つにパッチグループを充てて、個別に細かく設定していたのに対して、
Quick Setup に変わってからは一括でベースラインを包括して管理するスタイルになっています。
それぞれ管理したい OS のカスタムは予め作っておいて、この画面で好きなカスタムベースラインに変更するのが良さそうです。
ターゲット
ここも大きく変わった部分ですね。
これまでパッチグループという指定で、特定のタグを付与した EC2 インスタンスをグループとして認識させて管理するのを基本とする(細かくて面倒な)方法から、
すべて、リソースグループ、ノードタグ、手動と4種類から選択できるようになったので、より効率的に簡単に適用対象を選ぶことが出来るようになっています。
概要
その他レートやインスタンスプロファイルオプションの設定などありますが割愛します。
設定が一通りできたら最後に概要としてポリシーの作成内容をまとめてくれているので確認がしやすいです。
確認
パッチマネージャーの Quick Setup が完了したら、S3 でログや設定の吐き出し用バケットが作られたり、aws-quicksetup-patchpolicy-baselineoverrides-s3 といった必要なポリシーが作成されたりします。
EC2 のインスタンスプロファイル権限が一部不足しているので失敗も出ていますが、対象の EC2 インスタンスに対して関連付けの何が成功し失敗しているか、デプロイはどうだったかといった各ステータスをまとめて表示してくれます。
このあたりも Quick Setup に変わる際に、より大規模にスマートに管理する方針が良く反映されていると言えそうです。大規模な管理を以前のベースラインでの管理で行うのは非現実的とわかります。
日々の運用を想像する
基本は Quick Setup でパッチポリシーを作り、包括的な枠組みを作って、
スキャンをかけてチェックをしながら、必要時にはパッチマネージャーのメニュー画面の方で、「今すぐパッチ適用」を活用するなど実際にパッチを充てていく運用が出来そう、という構成に見えました。勿論 EventBridge など気づく仕組みも組み込めるので、できる限り AWS に運用を寄せていくのは楽しそうです。
最後に
今回は SSM の中でもパッチマネージャーに絞って見てみましたが、SSM の充実ぶりをしっかり実感出来ました。
勿論現実的に運用するとなると、本来やりたいことが難しかったり非効率だったりすることもあるでしょうが、ここまで AWS だけでやれるようになっているのか、という部分に驚いています。他にも、存在は知っているけれど使ったことが無い、運用に具体的にどう活かすと良い、にまで踏み込めていないので、今回ハンズオン進めないストップで知ることが出来てよかったです。
何事も先ずやってみるって大事ですね、と何度も色々な所で言ったり書いたりしているはずなのについ疎かにしてしまうのを直したい。
ありがとうございました。
