AWS Patch Managerを利用してみる
AWS Systems Manager Patch Managerとは
読んで時の如しですが、公式ドキュメントによると下記。
AWS Systems Manager Patch Manager automates the process of patching managed instances with both security related and other types of updates.
まあec2インスタンスへのpatch適用を自動化してくれるサービスです。あまり個人では使う機会がないのでひとまず試してみた。
使い方概要
作成が必要なリソース
Patch Managerを使うには下記のリソースを作成する必要がある。Patch groupはオプション。無くても問題なし。
- Patch baseline
- Patch group (optional)
各リソースの説明
Patch baseline
パッチを当てるルールみたいなもの。どのパッチを当てるかとか、自動的に承認するルールとか、承認しないルール等々設定可能。AWSが事前定義しているものも使えるし、自分で定義して(Custom Patch baseline)利用することも可能。Patch Managerを利用する場合、まずはPatch baselineを作成/選択する。詳細は公式ドキュメント読むこと。
Patch Group
同じPatchを適用するec2インスタンスのグループみたいなもの。Patch baselineに紐づける。要は紐づけたインスタンス群に対してPatch baselineが適用される。
PatchGroupに関して個人的にわかりにくかったこと => Patch Groupというリソースが明示的には存在しないという部分*1。実際Patch Groupって何なのというと、ec2インスタンスのタグです。Patch Group というKeyを設定し、Valueが同じもののグループ。例えば下記のようなタグが付いたインスタンスの集合が prod server という名の Patch Groupという感じ。
| Key | Value |
|---|---|
| Patch Group | prod server |
こちらも公式ドキュメント読めば分かる。
Patch Manager利用時の流れ
概要
- Patch Baselineを選択/作成
- Patch Groupを作成 (Patch Groupのタグを付けてec2インスタンスを作成)
- Patch Configurationを作成
Patch Baselineを選択/作成
今回は自分でPatch Baselineを作成し適用してみる。Management Consoleで作成。詳細は公式ドキュメントを読んで設定する。
今回設定したもの
Patch baseline details
- Name: my-test-patch-baseline
- Operating system: Amazon Linux2
- Default patch baseline (チェックなしのまま)
- これチェックすると、上で選んだOSのインスタンスに関して今回作成するpatch baselineがデフォルトとして自動で適用される
Approval rules for operating systems
- Product: All
- Classification: All
- Severity: All
- Auto-approval: Approve patches released up to a specific date
- Include nonsecurity updates: チェック
こんな感じ。
Patch Groupを作成
ec2インスタンスの作成
Key = Patch Group / Value = patch-test としたタグを付けてec2インスタンスを作成。今回は下表の2つのAmazon Linux2 AMIを利用。
---------------------------------------------------------------------------- | DescribeImages | +------------------------------------------------+-------------------------+ | amzn2-ami-hvm-2.0.20200917.0-x86_64-gp2 | ami-0ce107ae7af2e92b5 | | amzn2-ami-hvm-2.0.20180810-x86_64-gp2 | ami-08847abae18baa040 | +------------------------------------------------+-------------------------+
インスタンス作成。
Patch GroupをPatch baselineに紐づけ
作成したPatch baselineの詳細を表示して、Actions --> Modify patch groups --> patch-testを入力してAdd 。するとこんな感じでPatch Groupに追加される。
Patch Configuration作成
Patchを適用するのにPatch Configurationを設定する必要がある。今回設定したものは下記。 - Instances to patch: Select a patch group .... patch-testを指定 - Patching schedule: Skip scheduling and patch instances now (テストなのですぐ適用) - Patching operation - テスト1回目:Scan only: これでpatch baselineで設定したポリシに違反しているか(complianceがどうなるのか)チェックしてみる - テスト2回目:Scan and Install: インストールしてみてComplianceのチェックがどうなるか確認
こんな感じ。
ひとまず設定して、Configure patchingをクリック。
テスト
1回目
- Configure patchingをクリックすると、直にScanが始まるはず
- Scanの進捗状況はRunCommandから確認可能。走り終わっていたらCommand historyにある。
- 走り終わっていたら、Complianceへ行って状況を確認
- Patchのrawにて、Compliant resourcesとNon-Compliant resourcesがそれぞれ1になっているはず
- Patchのrawにて、Compliant resourcesとNon-Compliant resourcesがそれぞれ1になっているはず
- Non-Compliant resourcesの
1をクリックすると、フィルタリングが更新され、下に該当インスタンスが表示される。インスタンスIDがリンクになっているのでそれをクリックするとManaged Instancesの該当インスタンスの画面へ推移。Patchの適用状況が確認可能。
2回目
- 今回はPatch 適用まで実施。1回目でNon-Compliant resourcesとなっていたインスタンスがPatch適用後にCompliant resourceとなるはず
- 1回目同様Patch Configurationを作成。今回は
Scan and Installを選択 - 適用して待つ(RunCommandで状態を確認可能)
- Complianceで状態を確認
- 素晴らしい。Non compliant resources --> Compliant resourcesとなっている
- 素晴らしい。Non compliant resources --> Compliant resourcesとなっている
- Managed InstanceからPatchの適用状況も一応確認するとPatchが当たっているのが分かる*2
まとめ
- SSM Patch Managerを使ってec2インスタンスにPatchを適用してみた
- Patch Baseline/Patch Group/Patch Configurationを作成する必要あり
- Patch Groupはec2インスタンスのタグ
- Patch適用、適用中の状態確認、インスタンスのPatchの適用状況等等SSMの各種サービスで確認可能
SSM便利ですね。
