入会申込
ログインこんにちは。大橋です。
先日AWSで自動パッチ適用の設定を行ったので今回はWindowsを対象にその方法をご紹介したいと思います。
【事前準備】
・各インスタンスにSSM Agentをインストール
AWS Systems Managerを使うには、各インスタンスにSSM Agentをインストールする必要がある。
・「AmazonSSMManagedInstanceCore」ポリシーがアタッチされたIAMロールをパッチ適用対象のインスタンスに付与
AWS Systems Managerを使用してパッチ適用を実施する場合、「AmazonSSMManagedInstanceCore」ポリシーがアタッチされたIAMロールがパッチ適用対象のインスタンスに付与されている必要がある。
【AWS Systems Manager Patch Managerの設定】
パッチグループの設定
各対象EC2のタグとして「キー:Patch Group」、「値:{OS名}」を設定する。
今回は「キー:Patch Group」、「値:{Windows}」で設定。
メンテナンスウィンドウの作成
①[サービス]>[Systems Manager]>[メンテナンスウィンドウ]>[メンテナンスウィンドウの作成]を選択する。
②[名前]欄で、「baseline_Window」を入力する。
③スケジュール設定
今回は「毎日AM2時(日本時間)に実行する」という設定。
④[タスクの開始を停止する]欄で1時間を指定する。
それによりAM4時以降はメンテナンスウィンドウのタスクを開始できなくなる
⇒AM2時(開始時間)+3時間(メンテナンスウィンドウの期間)-1時間(タスクの開始を停止する)。
⑤[メンテナンスウィンドウの作成]を押下し、メンテナンスウィンドウが作成されたことを確認する。
パッチベースラインの作成
①[サービス]>[Systems Manager]>[パッチマネージャー]を選択する。
②[パッチベースラインの作成]を押下する。
●[名前]欄で「baseline_Windows」を入力する。
●[オペレーティングシステム]は「Windows」のままでOK。
③[オペレーティングシステムの承認ルール]で以下の通り設定 する。
●製品:All
●重要度:Critical、Important
●分類:CriticalUpdates、SecurityUpdates
●日数の指定:今回は検証環境のため、「0」で設定。
※パッチの例外の設定
なお、パッチベースラインでは「承認済みパッチ」及び「拒否されたパッチ」を入力できるため、特定のパッチ適用を避けたい場合などにはとても便利。
パッチベースラインにパッチグループの追加
①パッチグループをパッチベースラインに追加する。
②対象のパッチベースラインを選択し、[アクション]-[パッチグループの変更]を選択する。
- [パッチグループ]:Windows
③[追加]を押下する。
パッチ適用を設定
①[パッチ適用を設定]の画面で、[パッチグループを選択する]を選択した上で、作成したパッチグループ「Windows」を入力する。
②[パッチ適用スケジュール]で、[既存のメンテナンスウィンドウを選択する]を残したまま、作成した[baseline_Window]を選択する。
③[パッチ適用操作]で、[スキャンとインストール]のまま残し、[パッチ適用を設定]を選択する。
実行のプロセス-Run Commandでの確認
メンテナンスウィンドウで設定したパッチ適用の時間になると、[サービス]>[Systems Manager]>[Run Command]から、結果が確認できる。
①詳細を確認するためには、[コマンドID]を押下する。
②遷移先の画面で以下のように対象インスタンスの適用のプロセスが確認可能。
Windows Updateが終わったら、[ステータス]は[進行中]から[成功]に変わる。
下記のような画面になったら、パッチの適用が完了している。
結果の確認-メンテナンスウィンドウでの確認
過去の履歴が見たい場合、[Systems Manager]>[メンテナンスウィンドウ]>対象ウィンドウIDを選択する。
①[履歴]>対象のウィンドウIDを選択した上で、[詳細の表示]を押下する。
②対象のIDを選択した上で、[詳細の表示]を押下する。
③遷移先の画面でRun command実行時の画面が表示される。
Systems Managerでの適用の結果確認
以下の画面で対象インスタンスを選択すると、適用の結果が確認できる。
以上となります。
御一読いただきましてありがとうございました。
