AWS認定資格 WEB問題集&徹底解説

デベロッパー–アソシエイト

AWS Systems Manager の概要と試験出題ポイントは?

AWSサービスの一つであるAWS Systems Managerはどんな内容なのでしょうか?また、AWS認定資格のデベロッパー-アソシエイト(DVA)に合格するためには、サービスのどんなポイントを押さえておけばよいのでしょうか?
ここでは、そんなあなたの疑問に回答していきたいと思います

AWS Systems Manager 徹底解説 | AWS認定試験の頻出ポイントまとめ

1. サービス概要

AWS Systems Manager(SSM)は、AWSおよびオンプレミスのインフラストラクチャを一元的に可視化・管理・自動化するためのフルマネージドサービス群です。 EC2インスタンス・オンプレミスサーバー・VMwareのリソースを「マネージドノード」として管理し、SSHなしでのアクセス・パッチ管理・設定管理・コマンド実行などを安全に実行できます。

Systems Managerは30以上の機能を持つ大きなサービスです。試験で特に重要なのは、 Session Manager・Parameter Store・Patch Manager・Run Command・Automationの5機能です。

2. 主な特徴と機能

2.1 Session Manager(セッションマネージャー)

SSHポート開放不要・踏み台サーバー不要でEC2インスタンスやオンプレミスサーバーへのシェルアクセスを提供します。 セッションはブラウザまたはCLIから実行可能で、IAMポリシーで制御しCloudTrailとCloudWatch LogsにセッションログをSSM側で自動記録します。 セキュリティグループのインバウンドポート22/3389を閉じたままにできます。

2.2 Parameter Store(パラメータストア)

設定値・機密情報を階層的なKey-Value形式で安全に保管します。

  • Standard(無料): パラメータ10,000個まで、最大4KB、スループット制限あり。平文または SecureString(KMS暗号化)。
  • Advanced(有料): 最大8KB、パラメータポリシー(有効期限・通知・変更なし通知)が使用可能。
  • SecureString: KMSキーで暗号化した機密パラメータ。パスワード・APIキーの安全な保管に使用。
  • EC2・Lambda・ECS・CloudFormationからの参照が可能。バージョン管理対応。

2.3 Run Command(実行コマンド)

複数のマネージドノードに対してSSHなしでシェルコマンドやスクリプトをリモート実行します。 SSMドキュメント(AWS-RunShellScript等)を使って実行内容を定義。 結果はCloudWatch LogsやS3に保存可能。大規模インスタンスグループへの一括操作に有効。

2.4 Patch Manager(パッチマネージャー)

EC2インスタンス(Linux/Windows)のOSパッチを自動適用します。 パッチベースラインで承認パッチのルールを定義し、メンテナンスウィンドウで定期実行スケジュールを設定。 コンプライアンスレポートでパッチ適用状況を一元管理できます。

2.5 Automation(オートメーション)

複雑な運用タスク(AMI作成・インスタンス再起動・CloudFormationスタック更新等)をSSMドキュメント(Automation Runbook)で自動化します。 手動承認ステップを含むワークフローの定義も可能です。

2.6 その他の主要機能

  • Inventory: マネージドノードのソフトウェア・設定・ファイル情報を収集して一元管理。
  • State Manager: インスタンスの設定状態を定義し、ドリフトが発生したら自動修復。
  • OpsCenter: 運用上の問題(OpsItem)を一元管理し、自動化ランブックと連携して解決。
  • Fleet Manager: EC2インスタンスのOS情報・ファイルシステム・レジストリをブラウザから管理。

2.7 SSMエージェントとマネージドノード

Systems Managerを使用するには、対象インスタンスにSSMエージェントのインストールとSSM用IAMロール(AmazonSSMManagedInstanceCore等)の付与が必要です。 最新のAmazonLinux2・Windows Server等にはSSMエージェントが事前インストール済みです。

3. アーキテクチャおよび技術要素

  1. SSMエージェント: EC2インスタンス/オンプレミスサーバーにインストールされ、SSMエンドポイントと常時通信(アウトバウンドHTTPS)。
  2. VPCエンドポイント: プライベートサブネットのインスタンスはVPCエンドポイント(ssm/ssmmessages/ec2messages)経由でインターネット不要のSSM接続が可能。
  3. IAMロール: インスタンスプロファイルにSSM用ポリシーを付与してSSMエンドポイントへのアクセス権を確立。
  4. Parameter Store参照: Lambda・ECS・CloudFormationがParameter StoreのARNを参照し、起動時に設定値・機密情報を取得。

4. セキュリティと認証・認可

  • Session Manager: SSHポート不要でセキュリティグループのInbound SSH/RDPを閉鎖可能。セッションはIAMポリシーで制御・CloudTrailで監査。
  • Parameter Store (SecureString): KMSによる暗号化。特定のKMSキーへのアクセス権を持つIAMプリンシパルのみが値を復号化可能。
  • 最小権限のIAMポリシー: Run CommandやAutomationの実行権限をIAMロール・ポリシーで細粒度制御。
  • コンプライアンス: Patch Managerのコンプライアンスレポートでパッチ未適用インスタンスを検出しSecurityHubと連携。

5. 料金形態

  • Session Manager: 無料(EC2インスタンスとデータ転送の料金は別途)。
  • Run Command / Automation / Patch Manager: 基本無料(オンプレミス対象のAdvancedインスタンスは課金)。
  • Parameter Store Standard: 無料(10,000パラメータまで)。APIスループット超過分は課金。
  • Parameter Store Advanced: パラメータ保存数とAPIスループットに課金。

6. よくあるアーキテクチャ・設計パターン

  • 踏み台レスSecureアクセス: Session ManagerでプライベートサブネットのインスタンスにSSHなしでアクセス。踏み台サーバーが不要でコスト削減・セキュリティ向上。
  • 機密情報の一元管理: Parameter Store(SecureString)にDBパスワード・APIキーを保管。Lambda/ECSタスク起動時に参照して環境変数に注入。Secrets Managerとの使い分けは「自動ローテーション不要ならParameter Store、必要ならSecrets Manager」。
  • 自動パッチ管理: Patch Manager + メンテナンスウィンドウで毎週日曜深夜に自動パッチ適用。コンプライアンスレポートで未適用インスタンスを検出。
  • 大規模一括操作: Run CommandでAuto Scalingグループ全インスタンスにスクリプト実行(例: ログクリーンアップ・ソフトウェア設定変更)。

7. 設定・デプロイ手順(ハンズオン例)

  1. EC2インスタンスにSSMエージェントをインストール(Amazon Linux 2では標準搭載)。
  2. インスタンスプロファイル(IAMロール)にAmazonSSMManagedInstanceCoreポリシーを付与。
  3. Systems Managerコンソール→「フリートマネージャー」でインスタンスが「オンライン」になっていることを確認。
  4. Session Manager → 「セッションの開始」でブラウザからシェルセッションを開始(SSHなし)。
  5. Parameter Storeに設定値や機密情報を登録(SecureStringでKMS暗号化)。
  6. Patch Manager → パッチベースラインとメンテナンスウィンドウを設定して自動パッチ管理を有効化。

8. 試験で問われやすいポイント

8.1 Session Manager

  • Q: SSH接続なしにEC2インスタンスにセキュアにアクセスするには?
    A: AWS Systems ManagerのSession Managerを使用。セキュリティグループのSSHポート(22)を開ける必要がない。IAMポリシーで接続制御、CloudTrailで監査。
  • Q: Session Managerの前提条件は?
    A: SSMエージェントのインストール、インスタンスプロファイルへのSSM権限付与(AmazonSSMManagedInstanceCore)。プライベートサブネットではVPCエンドポイントが必要。

8.2 Parameter Store

  • Q: Parameter StoreとSecrets Managerの使い分けは?
    A: 自動ローテーション不要・コスト重視→Parameter Store(無料枠あり)。自動ローテーションが必要(DBパスワード等)→Secrets Manager。
  • Q: Parameter StoreのSecureStringはどのように保護されるか?
    A: AWS KMSキーで暗号化。該当KMSキーへのkms:Decrypt権限を持つプリンシパルのみが値を取得可能。

8.3 Patch Manager

  • Q: EC2インスタンスのOSパッチを自動化するAWSサービスは?
    A: AWS Systems Manager Patch Manager。パッチベースラインとメンテナンスウィンドウを設定して定期自動適用。

8.4 Run Command

  • Q: 複数EC2インスタンスに対して一括でコマンドを実行するには?
    A: Systems Manager Run Command。SSHなしでSSMドキュメントを使ってシェルコマンドを実行。結果はS3/CloudWatch Logsに保存可能。

8.5 Automation

  • Q: 複数ステップの運用タスク(AMI作成→テスト→削除等)を自動化するには?
    A: Systems Manager Automationのランブック(SSMドキュメント)で手順を定義して自動実行。手動承認ステップも挿入可能。

8.6 SSMエージェントとVPCエンドポイント

  • Q: インターネット接続のないプライベートサブネットのEC2でSSMを使うには?
    A: VPCエンドポイントを3つ作成: com.amazonaws.REGION.ssm / com.amazonaws.REGION.ssmmessages / com.amazonaws.REGION.ec2messages。
広告

お役立ち情報

姉妹サイト

アンケート

サイト情報