AWS Systems ManagerとAWS Organizationsを連携する時の初期セットアップ手順

今回は、AWS Systems ManagerをAWS Organizationsと連携させるときの初期セットアップ手順について説明します。

AWS Systems Managerはシステム運用に使用できるさまざまな機能を具備したサービス群であり、実現できることは多岐にわたります。Organizationsと連携することが可能な機能は下表のとおりです。

以下、セットアップ手順について紹介していきます。

想定する構成

上の表のとおり、Systems ManagerのOrganizations連携機能は、本稿執筆時点ですべてが委任管理者に対応しているわけではありません。そのため、機能に応じて、管理アカウントでの操作と委任管理者アカウントでの操作を使い分ける必要があります。

また、委任管理者アカウントにはこれまでOrganizations連携で紹介してきたサービスにはなかった制約を意識する必要があります。Change Managerの機能を利用する場合は、委任管理者アカウントはOU内に唯一のメンバーアカウントとして所属している必要があります。そのため本稿では専用のOUを用意し、そこに所属しているメンバーアカウントを委任管理者として指定する構成でセットアップします。

管理アカウントの設定

これまで紹介してきたサービスと同じく、まずは管理アカウントで委任管理者の設定を行います。その後、委任管理者に対応していない機能の操作を紹介します。

（1）委任管理者アカウントの設定は、管理アカウントでのみ実施が可能なため、まず管理アカウントにログインを行い、Organizationsの画面へ遷移します。
（2）サイドメニューから「サービス」をクリックします。
（3）Systems Managerを見つけ、クリックします 。

（4）「信頼されたアクセスを有効にする」をクリックします。

（5）表示されたポップアップで下記のように入力を行い、「信頼されたアクセスを有効にする」ボタンをクリックします。

（6）ステータスが変更されていることを確認します。

（7）Systems Managerの委任管理者アカウントの指定の仕方は、Explorerからの指定とChange Managerからの指定の2つの方法があります。Explorerからの指定のほうがマネジメントコンソールで簡単に設定が可能なため、本稿ではExplorerからの手順を紹介します。Systems Managerのメニューへ移動し、サイドメニューから「エクスプローラー」を選択します。表示された画面で「設定」ボタンをクリックします。

（8）「Explorer Settings」のタブを開き、Explorerの委任された管理者の「アカウントID」を入力し、「委任された管理者を登録」ボタンをクリックします。

この際、指定する委任管理者が専用のOUに1つだけ所属していることを確認しておきます。

（9）委任管理者がエラーなく登録されることを確認します。

委任管理者の設定は以上です。 続いて、委任管理に対応していない機能のパッチポリシーおよびDefault Host Management Configurationの操作について説明します。

パッチポリシーの一括配布

（1）Systems Managerのサイドメニューから「高速セットアップ」を選択し、Patch Managerの「作成」ボタンをクリックします。

（2）各項目に入力を行い、「作成」ボタンをクリックします。以下はパッチ適用状況のスキャンのみをAWS推奨の時間にOrganizations配下の全AWSアカウントに対して実施する設定例となります。

（3）高速セットアップが完了したことを確認します。

※ Cloud9が存在する筆者の環境では、高速セットアップが失敗しました。これは本稿執筆時点の仕様のようです。

（4）パッチの適用状況は、本稿執筆時点では管理アカウントで一元的に確認することはできません。各メンバーアカウントのSystems Managerコンプライアンスの機能を利用することでパッチ適用状況の確認が可能となっています。