Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
マルチアカウントな環境でパッチ適用をしたい
Search
mogro
July 21, 2024
Technology
2
350
マルチアカウントな環境でパッチ適用をしたい
JAWS-UG東京 ランチタイムLT会 #13 (20240722)登壇資料になります。
AWS Systems Manager Patch Managerのお話です。
mogro
July 21, 2024
Tweet
Share
Other Decks in Technology
See All in Technology
Firestore → Spanner 移行 を成功させた段階的移行プロセス
athug
1
490
roppongirb_20250911
igaiga
1
240
Terraformで構築する セルフサービス型データプラットフォーム / terraform-self-service-data-platform
pei0804
1
190
20250910_障害注入から効率的復旧へ_カオスエンジニアリング_生成AIで考えるAWS障害対応.pdf
sh_fk2
3
260
複数サービスを支えるマルチテナント型Batch MLプラットフォーム
lycorptech_jp
PRO
1
730
DDD集約とサービスコンテキスト境界との関係性
pandayumi
3
290
スマートファクトリーの第一歩 〜AWSマネージドサービスで 実現する予知保全と生成AI活用まで
ganota
2
250
DroidKaigi 2025 Androidエンジニアとしてのキャリア
mhidaka
2
370
JTCにおける内製×スクラム開発への挑戦〜内製化率95%達成の舞台裏/JTC's challenge of in-house development with Scrum
aeonpeople
0
240
フルカイテン株式会社 エンジニア向け採用資料
fullkaiten
0
8.8k
2025年になってもまだMySQLが好き
yoku0825
8
4.8k
Django's GeneratedField by example - DjangoCon US 2025
pauloxnet
0
150
Featured
See All Featured
Visualization
eitanlees
148
16k
Stop Working from a Prison Cell
hatefulcrawdad
271
21k
The Straight Up "How To Draw Better" Workshop
denniskardys
236
140k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
15
1.7k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
18
1.1k
A Modern Web Designer's Workflow
chriscoyier
696
190k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
31
2.5k
Build your cross-platform service in a week with App Engine
jlugia
231
18k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
131
19k
YesSQL, Process and Tooling at Scale
rocio
173
14k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
12
1.1k
Code Review Best Practice
trishagee
70
19k
Transcript
マルチアカウントな環境で パッチ運用をしたい JAWS-UG東京 ランチタイムLT会 #13 mogro
業務 興味 名前 好きなAWSサービス お客様システムの設計/構築をしています mogro 自己紹介 @mogro04 ・旅 小黒
水樹(Mizuki Oguro) インフラエンジニア ・日本酒(推しは御湖鶴) ・メダカ Step Functions, SSM
アジェンダ ある案件の運用設計にて… 検証 まとめ
アジェンダ ある案件の運用設計にて… 検証 まとめ
各アカウントのEC2インスタンスに対してパッチ適用を行いたいです。 AWS Systems ManagerのPatch Managerを使えば、Organizationsの 管理アカウントから配下のアカウントに対してパッチ適用が行えると認識しています。 お客様 インフラ担当者 設計チーム 最近アカウントも増えてきているのでOrganisationsの管理アカウントから一元的に
管理ができるのが理想です! 現状、AWSのマネージドサービスについてはサービスごとの機能を利用してパッチ 適用やセキュリティアップデートを実施していますが、各アカウントにあるEC2 インスタンスについてはパッチ管理ができていません。 実際に検証を行った上で提案させてください!
お客様のAWS アカウント組織構造イメージ
各環境がOUで分かれている。 (Test, Staging, Production, etc…) AWSアカウントはお客様が提供する サービスごとに切られている。 お客様のAWS アカウント組織構造イメージ Test,
Staging, Production OUには それぞれのサービス用のAWSアカウ ントが存在している。
Run Command Automation Change Calendar Run Command Session Manager Documents
Incident Manager Maintenance Windows Parameter Store Change Manager Patch Manager State Manager AWS Systems Manager (SSM)とは? AWSやその他の環境(オンプレミスや他クラウド)のリソ ースを管理し、安全に運用するためのソリューションを提 供するサービスです 他にも色々… (参考)Black Belt 今回はPatch Managerについてお話します
管理アカウントからのパッチ適用イメージ
アジェンダ ある案件の運用設計にて… 検証 まとめ
その前に、EC2インスタンスを SSM Patch Managerでマネージドノードとして 管理するための準備が必要です!!
EC2インスタンスの準備 1. SSM AgentとPythonのバージョン確認 SSM Agent: バージョン2.0.834.0以降 Python: OSによって異なります (参考)Patch
Manager の前提条件 AWSが提供するAMIなどには、デフォルトでSSM Agentが導入済みのものもあります Amazon Linux 2での例
① ② EC2インスタンスの準備 2. パッチリポジトリに接続できることを確認 yum upgrade的なコマンドが通る必要があるというイメージです ①EC2のSecurity Group (out)でS3の
プレフィックスリスト宛の443を開く ②EC2が属するサブネットに紐づくルート テーブルに、VPCエンドポイント(S3 GW) へのルートがあるか確認する Amazon Linux 2での例
今回は Private Subnet からなので EC2インスタンスの準備 3. Private SubnetからSSM(VPC外のサービス) にアクセスできるようにVPC Endpointを設定します
① ② ③ (参考) Systems Manager のために VPC エンドポイントを使用して EC2 インス タンスのセキュリティを強化する ②com.amazonaws.{region}.ssm SSM サービスのエンドポイント ①com.amazonaws.{region}.ssmmessages Session Manager を使用して安全なデータチャネルを経由し インスタンスに接続する場合に必要 ③com.amazonaws.{region}.ec2messages SSMが、SSM AgentからSSMサービスへの呼び出しを行う エンドポイント
EC2インスタンスの準備 4. 対応するOSであることを確認 (参考)Patch Manager の前提条件
管理アカウントで、 SSMの「高速セットアップ」から パッチポリシーを作成します
①OU(環境)の制御 ②アカウント(サービス)の制御 ③OSの制御 再録 管理アカウントからのパッチ適用イメージ 考慮事項
パッチポリシー作成 まだ「高速セットアップ」できないリージョン結構多い (大阪リージョンもまだ)
パッチベースラインの設定 ①OU(環境)の制御 ③OSの制御
パッチベースライン OSを選択して作成 「当てるパッチの種類」や 「リリースされてどれくらい経ったら承認するか」など 環境(OU)ごとにベースラインを作って、 承認までの日数をずらしてテストを行うというような運用も…! なに?
パッチベースライン どこ? SSMコンソールの「パッチマネージャー」→「パッチベースライン」
①OU(環境)の制御 ②アカウント(サービス)の制御 ターゲットの設定 ターゲットOUの指定が可能 リージョンの指定 インスタンスタグで対象の指定が可能
パッチスキャン/適用確認 それぞれのアカウントで管理インスタンスとして認識され、パッチスキャンの状況を確 認することができました! (検証環境を再構築したタイミングで適用対象のパッチがなく、パッチ適用についてキ ャプチャがありません。 )
注意点
1つのインスタンスに対して複数のパッチポリシーが紐づく状態は避ける 「環境ごとに複数のパッチポリシーを作成する」はOK パッチマネージャーの「今すぐパッチ適用」も併用するのはよろしくない パッチスキャンや適用の結果は個別アカウントのPatch Managerコンソ ールから確認をする必要がある 「マネージドインスタンスが何台で、アンマネージドインスタンスが何台」くらい の情報であれば管理アカウントから確認できる(SSMのエクスプローラーから) 注意点
アジェンダ ある案件の運用設計にて… 検証 まとめ
まとめ 管理アカウントで、SSMの「高速セットアップ」から配下のOU向けの パッチポリシーを作成することが可能。 パッチベースラインを環境ごとに分けてポリシーを作成することで、パ ッチがリリースされてから適用までの期間を環境で分けるような実装も 可能。 パッチ運用は要件の数だけパターンが存在します。様々なパターンを実 現するために検討→検証のサイクルが重要だと感じました。