AWS Systems ManagerとAWS Organizationsを連携する時の初期セットアップ手順

●
今回は、AWS Systems ManagerをAWS Organizationsと連携させるときの初期セットアップ手順について説明します。

AWS Systems Managerはシステム運用に使用できるさまざまな機能を具備したサービス群であり、実現できることは多岐にわたります。Organizationsと連携することが可能な機能は下表のとおりです。

以下、セットアップ手順について紹介していきます。
想定する構成

上の表のとおり、Systems ManagerのOrganizations連携機能は、本稿執筆時点ですべてが委任管理者に対応しているわけではありません。そのため、機能に応じて、管理アカウントでの操作と委任管理者アカウントでの操作を使い分ける必要があります。

また、委任管理者アカウントにはこれまでOrganizations連携で紹介してきたサービスにはなかった制約を意識する必要があります。Change Managerの機能を利用する場合は、委任管理者アカウントはOU内に唯一のメンバーアカウントとして所属している必要があります。そのため本稿では専用のOUを用意し、そこに所属しているメンバーアカウントを委任管理者として指定する構成でセットアップします。

管理アカウントの設定

これまで紹介してきたサービスと同じく、まずは管理アカウントで委任管理者の設定を行います。その後、委任管理者に対応していない機能の操作を紹介します。

（1）委任管理者アカウントの設定は、管理アカウントでのみ実施が可能なため、まず管理アカウントにログインを行い、Organizationsの画面へ遷移します。
（2）サイドメニューから「サービス」をクリックします。
（3）Systems Managerを見つけ、クリックします 。

（4）「信頼されたアクセスを有効にする」をクリックします。

（5）表示されたポップアップで下記のように入力を行い、「信頼されたアクセスを有効にする」ボタンをクリックします。

（6）ステータスが変更されていることを確認します。

（7）Systems Managerの委任管理者アカウントの指定の仕方は、Explorerからの指定とChange Managerからの指定の2つの方法があります。Explorerからの指定のほうがマネジメントコンソールで簡単に設定が可能なため、本稿ではExplorerからの手順を紹介します。Systems Managerのメニューへ移動し、サイドメニューから「エクスプローラー」を選択します。表示された画面で「設定」ボタンをクリックします。

（8）「Explorer Settings」のタブを開き、Explorerの委任された管理者の「アカウントID」を入力し、「委任された管理者を登録」ボタンをクリックします。

この際、指定する委任管理者が専用のOUに1つだけ所属していることを確認しておきます。

（9）委任管理者がエラーなく登録されることを確認します。

委任管理者の設定は以上です。 続いて、委任管理に対応していない機能のパッチポリシーおよびDefault Host Management Configurationの操作について説明します。
パッチポリシーの一括配布

（1）Systems Managerのサイドメニューから「高速セットアップ」を選択し、Patch Managerの「作成」ボタンをクリックします。

（2）各項目に入力を行い、「作成」ボタンをクリックします。以下はパッチ適用状況のスキャンのみをAWS推奨の時間にOrganizations配下の全AWSアカウントに対して実施する設定例となります。

（3）高速セットアップが完了したことを確認します。

※ Cloud9が存在する筆者の環境では、高速セットアップが失敗しました。これは本稿執筆時点の仕様のようです。

（4）パッチの適用状況は、本稿執筆時点では管理アカウントで一元的に確認することはできません。各メンバーアカウントのSystems Managerコンプライアンスの機能を利用することでパッチ適用状況の確認が可能となっています。

●
Default Host Management Configurationの一括設定

（1）Patch機能と同様にSystems Managerのサイドメニューから「高速セットアップ」を選択し、Default Host Management Configurationの「作成」ボタンをクリックします。

（2）SSMエージェントの自動アップデートのみがオプション選択です。今回は自動アップデートを行う前提とし、「作成」ボタンをクリックします。

（3）高速セットアップが完了したことを確認します。

最後に、管理アカウントで必要なChange Managerのセットアップ手順を紹介します。
Change Managerの初期セットアップ

（1）Systems Managerのサイドメニューから「高速セットアップ」を選択し、Change Managerの「作成」ボタンをクリックします。

（2）変更リクエストを受け付けた後の処理での実行ロールや本セットアップの対象アカウント等を入力したうえで、「作成」ボタンをクリックします。

（3）高速セットアップが正常に完了したことを確認します。

委任管理アカウントの設定
○Explorerの設定

（1）委任管理者として指定されたSystems Manager委任アカウントでSystems Managerへ移動し、サイドメニューから「エクスプローラー」をクリックし、「リソースデータの同期を作成」ボタンをクリックします。

（2）まず「AWS Organizationsの設定からすべてのアカウントを含める」を選択し、その後表示される「ロールを作成」ボタンをクリックします。

（3）その後、リソースデータの同期名を入力し、データを集約するリージョンの設定を行います。本稿では将来のリージョンも含めて集約してくる前提の設定としています。最後に「リソースデータの同期を作成」ボタンをクリックします。

（4）集約されてくるまで待機します。

※ 筆者の環境では、リソースデータの同期に問題があるというエラーが表示されました。その場合は管理アカウントに移動し、「アクセス有効化」ボタンをクリックし、事象が解決するかを試されるといいでしょう。

Change Managerの設定

（1）Systems Manager委任アカウントでSystems Managerへ移動し、サイドメニューから「Change Manager」をクリックし、「委任されたアカウントをセットアップ」をクリックします。

（2）リクエストテンプレートに関する情報を入力し、「次へ」ボタンをクリックします。

（3）変更リクエストを処理したときに実行されるIAMロールを指定し、「次へ」ボタンをクリックします。

（4）これまでに入力した内容を確認し、「承認のために送信」ボタンをクリックします。

（5）変更リクエストが作成されたことを確認します。

課題となりやすいポイント

（1）Systems Managerは非常に多機能なため、Organizationsと連携させることで何ができるようになるかがわかりにくいと思います。本稿を参考に、利用したい機能が含まれているかどうか確認ください。

（2）本稿で説明した通り、Systems ManagerでのOrganizations連携機能に関しては、管理アカウントでしか実施できない操作が多く残っています。管理アカウントでの操作を極力実施させたくない場合は、管理アカウントでの操作権限を限定したIAMリソースを作り、それを利用してもらうなどの運用を検討してください。

（3）Change ManagerのOrganizations連携機能では、各メンバーアカウントでの変更リクエストを一元的に集約できる機能はないため、組織全体でChange Managerを利用した変更管理を行いたい場合は、委任管理アカウントのChange Managerで変更リクエストを作成する必要があります。

まとめ

今回は、AWS Systems ManagerのOrganizations連携ステップと課題となりやすいポイントについても紹介しました。本稿がOrganizations配下のAWSアカウントの運用管理にお役に立てば幸いです。

奥村康晃 おくむらやすあき NTTデータ入社以来、クラウドサービスのAPIを連携させることで効率的な管理を可能とするクラウド管理プラットフォームの開発に従事。現在では、クラウド導入の技術コンサルや組織での技術戦略立案にも携わる。 2023 Japan AWS Ambassadors受賞 この著者の記事一覧はこちら