SSMのPatch Managerを利用したEC2への自動パッチ適用

EC2でWindows OSを動作させていると、意識しなければならないのはパッチ適用です。標準ではパッチ適用されませんので、セキュリティ担保のためにも意識的に適用作業が必要です。

ただ、「パッチ適用が必要」とは考えていても、気づかないうちに月日は流れてしまうものです。今回は後回しにしがちなパッチ適用をAWS Systems Manager (SSM) のPatch Managerを利用して自動化する方法を解説します。

AWS Systems Manager Patch Managerとは

冒頭でも述べたとおり、EC2は標準設定のままでは自動的にWindowsアップデートが実行されません。Windowsアップデートは頻繁には行われないものの、全く適用しないのはセキュリティ面の課題があります。プログラムの動作に影響するなど特別な理由がなければ、可能な限りパッチ適用はしておくべきです。

そこで、Windowsアップデートで配信されるパッチを自動適用するためにAWS Systems Manager Patch Managerと呼ばれるサービスの利用がおすすめです。SSMに含まれるサービスの1つで、事前に設定しておくとその通りにパッチ適用をしてくれます。

忘れがちなパッチ適用はAWS Systems Manager Patch Managerで自動化しましょう!

AWS Systems Manager Patch Managerの設定方法

具体的にAWS Systems Manager Patch Managerを動作させるための設定方法を解説します。

基本設定

AWS Systems Manager Patch Managerを利用するための基本設定をします。

1. メンテナンスウィンドウの設定

1AWS Systems Managerを開き、「変更管理 > メンテナンスウィンドウ」をクリックします。

2メンテナンスウィンドウの管理画面が表示されるので、「メンテナンスウィンドウの作成」をクリックします。

3表示された画面でメンテナンスウィンドウの名前を入力します。
名前は3~128文字以内、利用できる文字種は「a~z、 A~Z、0~9、. _ – 」で指定します。

4続いてはスケジュールの指定をします。今回は以下のとおりスケジュールを設定しました。

  • ① 指定:Cron スケジュールビルダー・Daily・毎日・19:00
  • ② 期間:3時間
  • ③ タスクの開始を停止:1時間
  • ④ タイムゾーンのスケジュール:(GMT+09:00)Japan

5ここで記載されていない部分はデフォルトで表示される空欄のままです。
入力が完了したら「メンテナンスウィンドウの作成」をクリックします。

2. パッチベースラインの設定

続いてパッチ適用に向けてパッチベースラインの設定をします。
標準で公開されているパッチベースラインはカスタマイズができませんので、以下の通り自分で作成する必要があります。

1AWS Systems Managerを開き、「ノード管理 > パッチマネージャー」をクリックします。

2AWS Systems Manager Patch Managerが表示されるので、「事前定義されたパッチベースラインを表示する」をクリックします。

3ここで表示されるパッチベースラインは変更できないため、「パッチベースラインを作成する」をクリックします。

4表示された画面で名前と説明を入力します。どちらも自分が内容を把握できれば差し支えありません。

今回はWindowsを対象として設定していきます。

5オペレーティングシステムの承認ルールを設定します。
今回はテスト的に設定しますので全てのパッチを適用できるようにしますが、本来は設定値を検討する必要があります。
例えば分類は重要なものに絞り「CriticalUpdates」や「SecurityUpdates」などだけにしても良いでしょう。また、重要度も「Critical」や「Important」などに絞っても問題ありません。
入力が完了したら「ルールを追加する」をクリックします。

6パッチベースラインの基本設定はこれで完了です。
ページ下部の「パッチベースラインを作成する」をクリックします。

7バッチグループ パッチを適用したいインスタンスにパッチグループを設定します。

タグを利用して設定するため、インスタンスの詳細画面を開きます。
今回はEC2の管理画面からインスタンスの詳細画面を開きました。フリートマネージャーから設定しても差し支えありません。

8今回は「タグを管理」からパッチグループを適用します。パッチグループの名称は自由に設定できますので分かりやすいものにしましょう。
入力できれば保存します。

9パッチグループをパッチベースラインに追加して適用設定をします。先程と同様にパッチベースラインの画面を開きます。

表示された一覧から作成したパッチベースラインを選択し、「アクション > パッチグループの変更」をクリックします。

10パッチグループの変更画面が表示されるので、先程作成したパッチグループの名称を入力して「追加」をクリックします。
追加されたら「閉じる」をクリックします。

3. 適用設定

1パッチグループとメンテナンスウィンドウの設定を連携し、パッチ適用が自動化されるようにします。 上記と同様にパッチマネージャー画面を表示し「パッチ適用を設定」をクリックします。

2表示された画面でパッチ適用をするインスタンスで「パッチグループを選択する」にチェックを入れ、先程作成したパッチグループを選択します。

また、パッチ適用スケジュールでは「既存のメンテナンスウィンドウを選択する」を選択し、こちらも先程作成したメンテナンスウィンドウを選択します。

3設定が完了したらページ下部の「パッチ適用を設定」をクリックしたら設定は終了です。

設定を確認

1正しく設定されているのか確認をしてみましょう。
メンテナンスウィンドウを開き、先程作成したウィンドウIDをチェックします。その後「詳細」ボタンをクリックします。

2詳細画面が表示され、想定通りに設定されていれば間違いはありません。

結果を確認

実行結果の確認方法はいくつかあります。今回はパッチマネージャのダッシュボードで確認します。
バッチオペレーション履歴が「success」になっていれば適切に動作しています。

まとめ

AWS Systems Manager Patch Managerを利用したEC2へのパッチ適用の自動化を説明しました。パッチ適用は気付かぬうちに忘れてしまいがちな作業なので、自動化を利用して適切に対応しましょう。

なお、今回は自動的に適用される仕組みとしましたが、パッチリストを作成し個別に適用可否を選択する仕組みも構築できます。必要に応じて適切な方法を選択するようにしましょう。

クラウドの運用代行や導入、開発は20年の実績をもつジードにご相談ください

お問い合わせ・お見積もりのご依頼はお気軽に

  • 24時間受付けております メールでお問い合わせ
  • 受付:月〜金曜/9:00~18:00(土日祝除く) 電話:028-610-7555
Scroll to top