Default Host Management Configurationの一括設定
(1)Patch機能と同様にSystems Managerのサイドメニューから「高速セットアップ」を選択し、Default Host Management Configurationの「作成」ボタンをクリックします。
(2)SSMエージェントの自動アップデートのみがオプション選択です。今回は自動アップデートを行う前提とし、「作成」ボタンをクリックします。
(3)高速セットアップが完了したことを確認します。
最後に、管理アカウントで必要なChange Managerのセットアップ手順を紹介します。
Change Managerの初期セットアップ
(1)Systems Managerのサイドメニューから「高速セットアップ」を選択し、Change Managerの「作成」ボタンをクリックします。
(2)変更リクエストを受け付けた後の処理での実行ロールや本セットアップの対象アカウント等を入力したうえで、「作成」ボタンをクリックします。
(3)高速セットアップが正常に完了したことを確認します。
委任管理アカウントの設定
Explorerの設定
(1)委任管理者として指定されたSystems Manager委任アカウントでSystems Managerへ移動し、サイドメニューから「エクスプローラー」をクリックし、「リソースデータの同期を作成」ボタンをクリックします。
(2)まず「AWS Organizationsの設定からすべてのアカウントを含める」を選択し、その後表示される「ロールを作成」ボタンをクリックします。
(3)その後、リソースデータの同期名を入力し、データを集約するリージョンの設定を行います。本稿では将来のリージョンも含めて集約してくる前提の設定としています。最後に「リソースデータの同期を作成」ボタンをクリックします。
(4)集約されてくるまで待機します。
※ 筆者の環境では、リソースデータの同期に問題があるというエラーが表示されました。その場合は管理アカウントに移動し、「アクセス有効化」ボタンをクリックし、事象が解決するかを試されるといいでしょう。
Change Managerの設定
(1)Systems Manager委任アカウントでSystems Managerへ移動し、サイドメニューから「Change Manager」をクリックし、「委任されたアカウントをセットアップ」をクリックします。
(2)リクエストテンプレートに関する情報を入力し、「次へ」ボタンをクリックします。
(3)変更リクエストを処理したときに実行されるIAMロールを指定し、「次へ」ボタンをクリックします。
(4)これまでに入力した内容を確認し、「承認のために送信」ボタンをクリックします。
(5)変更リクエストが作成されたことを確認します。
課題となりやすいポイント
(1)Systems Managerは非常に多機能なため、Organizationsと連携させることで何ができるようになるかがわかりにくいと思います。本稿を参考に、利用したい機能が含まれているかどうか確認ください。
(2)本稿で説明した通り、Systems ManagerでのOrganizations連携機能に関しては、管理アカウントでしか実施できない操作が多く残っています。管理アカウントでの操作を極力実施させたくない場合は、管理アカウントでの操作権限を限定したIAMリソースを作り、それを利用してもらうなどの運用を検討してください。
(3)Change ManagerのOrganizations連携機能では、各メンバーアカウントでの変更リクエストを一元的に集約できる機能はないため、組織全体でChange Managerを利用した変更管理を行いたい場合は、委任管理アカウントのChange Managerで変更リクエストを作成する必要があります。
まとめ
今回は、AWS Systems ManagerのOrganizations連携ステップと課題となりやすいポイントについても紹介しました。本稿がOrganizations配下のAWSアカウントの運用管理にお役に立てば幸いです。