Systems Manager

AWS Systems Manager Patch ManagerでWindowsUpdateを行う

AWS SSM パッチマネージャー

WindowsのAMIでEC2を起動すると、WindowsUpdateが無効になっています。
このままではいつになってもセキュリティパッチなどは適用されません。

もしセキュリティパッチを当てるとしたら、

  • WSUSを立ち上げる
  • WindowsUpdateを自動にする
  • 手動でWindowsUpdateを行う

と、なります。

WSUSを立ち上げるにはADが必要だし設定も面倒。
もっと単純にWindowsUpdateができたら楽です。

AWSには、そのためのツールが用意されています!
それはAWS Systems Managerの中にある「パッチマネージャー」となります。

実際に設定して、Windows Serverへのパッチ適用までできたので、その方法を説明していきます。

 

EC2をSystems Managerに管理されるようにする

AWS SSM パッチマネージャー

EC2をSystemsManagerに管理されるようにするには、マネージドインスタンスに表示されるようにすることです。

ここに表示されないとパッチマネージャーを使って対象のEC2を選択することができません。

マネージドインスタンスに表示させるには、EC2に適切なIAMロールを指定することです。

AWS公式ドキュメントでは「AmazonSSMManagedInstanceCore」ポリシーをアタッチすることとありますが、「AmazonEC2RoleforSSM」もアタッチしないと表示されませんでした。

IAM ロール
EC2にロールを設定してもすぐにはマネージドインスタンスには表示されませでした!

少し気長に待ちましょう。

マネージドインスタンスに表示されれば、パッチマネージャーの設定に進みます。

 

パッチマネージャー

パッチベースライン

AWS SSM パッチマネージャー

定義されたパッチベースライン一覧の画面が表示されます。

Windows用に事前定義されているパッチベースラインは、「AWS-DefaultPatchBaseline」となります。
WindowsUpdateのルールとしては、

  • 分類:CriticalUpdates,SecurityUpdates
  • 重要度:Critical,Important
  • 自動承認遅延:承認まで7日間待機

となっています。

パッチ適用の設定

AWS SSM パッチ適用の設定1

「インスタンスを手動で選択する」を選択すると、下にマネージドインスタンスの一覧が表示されるので、対象のインスタンスを選択します。

AWS SSM パッチ適用スケジュール

パッチ適用のスケジュールをします。

毎日5時に実行します。

AWS SSM パッチ適用設定クリック

「パッチ適用の設定」をクリックします。

 

メンテナンスウィンドウ

AWS SSM メンテナンスウィンドウ

サイドバーから「メンテナンスウィンドウ」をクリクするとパッチ適用のスケジュールが表示されます。

AWS SSM メンテナンスウィンドウ 履歴

履歴タブをクリックすると実行結果が表示されます。

 

パッチ適用状況の表示

AWS SSM パッチ

パッチの適用状況はマネージドインスタンスで、該当のインスタンスを選択し、パッチタブで表示できます。

パッチをいつ導入したか見ることができますし、KBや重要度、分類などでも検索すること ができます。

 

ハマりポイント

マネージドインスタンスに表示するまでがハマりました。

設定しないといけないポリシーがまだ良くわかってないのと、時間が割とかかるので、時間に余裕があるときに早めに設定確認しておくことをオススメします。

EC2が停止している際にもマネージドインスタンスには表示されなくなります。

この2点を気をつけてください。