外部連携 AWS SSMアップデート

SSM連携パッケージアップデート

AWSの認証情報を登録することで、SSMによるパッケージアップデートを行うことができます。
対象となるAWSインスタンスに対して、タスク単位で画面からパッケージをアップデート可能です。
SSMのアップデート結果は SSMコマンド履歴 で確認することが可能です。

対象OS (AWSのインスタンスに限る)

  • Amazon Linux
  • Amazon Linux 2
  • RedHat
  • CentOS
  • Debian
  • Ubuntu

SSM連携パッケージアップデートの設定

AWS環境の設定

  • AWSインスタンスの作成
    • AWSのマネージメントコンソールからAWSのインスタンスを作成(OSは対象OS参照)
    • AmazonEC2RoleforSSM のポリシーが付与されたロールを作成(AWSドキュメント)
    • 作成したロールを、IAMロールとしてインスタンスに付与
  • AWSのインタンスでSSMの登録(AWSドキュメント)
    • sudo yum -y install amazon-ssm-agent (AmazonLinuxの場合 その他のOSは上記のドキュメント参照)
    • sudo systemctl start amazon-ssm-agent (AmazonLinuxの場合 その他のOSは上記のドキュメント参照)
  • SSMの登録確認
    • AWS System Managerの中にある マネージドインスタンス に上記のインスタンスが登録されていることを確認

FutureVulsの設定

  • Group設定のAWS連携ページにある、 設定する ボタンをクリックする image

  • awscliをインストールする

    • バージョン1.16.80以上で動作確認済み
  • 表示されたコマンド(AWS CLI)をAWSのcliがインストール、設定済み( ssm.CreateDocument, ssm.DeleteDocumentの権限が必要 )の環境で実行して、次へをクリック image

  • SSM経由パッケージアップデート設定済み になっていれば完了 image

SSMとの自動連携

  • 上記のSSM設定後に、スキャンが実施されるタイミングで各サーバがSSM連携可能かどうかの情報をFutureVulsに取り込みます。
  • サーバリストの SSM連携 カラムが以下のように になっていれば設定完了 image

  • AWS認証の設定後にSSMで管理されているサーバを追加した場合は、スキャのタイミングでFutureVulsに自動連携します。

SSMアップデート実行

  • タスク画面から、パッケージアップデートをしたいタスクを選択し、SSMアップデートボタンをクリックする image

  • 対象のサーバ、パッケージ、実行されるコマンドを確認する image

  • DRY RUN を実行すると、テスト実行が行われます。テスト実行の結果は SSMコマンド履歴 から確認できる

  • SSMコマンドの実行履歴や実行ステータスは SSMコマンド履歴 から確認できる image image