🏢 AWS Systems Manager

大企業の支社管理で理解する!ハイブリッド環境の一元管理完全ガイド

🌐 Systems Managerとは?

AWS、オンプレミス、他のクラウドなど、
すべてのサーバーを1つの画面から管理できる統合管理サービス

まるで大企業の本社が、世界中の支社を一元管理するように!

🏢 たとえ話:グローバル企業の支社管理システム

あなたは、世界中に支社を持つ大企業の本社IT部門の責任者です。


📍 支社の場所はバラバラ:

  • 東京本社ビル(オンプレミス)
  • AWSクラウドオフィス(EC2インスタンス)
  • Google Cloudの共同オフィス(他のクラウド)
  • リモートワーカーの自宅(エッジデバイス)

🎯 本社からの指示:
「全支社のパソコンに、今日中に最新セキュリティパッチを適用せよ!」


Systems Managerは、この命令を一斉に全支社に届け、実行させることができる「統合司令システム」です。

❌ Systems Manager なし

  • 各支社に個別に電話・メール連絡
  • それぞれ異なる管理ツールを使用
  • 作業完了の確認が遅い
  • 誰が完了したか把握できない
  • 緊急対応に時間がかかる
  • 統一されたセキュリティ基準がない

✅ Systems Manager あり

  • 1つの画面から全支社に指示
  • 統一された管理システム
  • リアルタイムで作業状況を確認
  • 完了状況が一目瞭然
  • 数分で全支社に緊急対応
  • 一貫したセキュリティポリシー

🏗️ ハイブリッド環境の全体像

🎯 Systems Manager

(本社の統合司令室)

すべての支社を
1つの画面から管理

☁️
AWS環境
EC2インスタンス
本社直営の最新オフィス。
自動的にSystems Managerに接続され、管理が簡単。
🏢
オンプレミス
自社データセンター
創業時からの本社ビル。
SSM Agentをインストールして本社と通信。
🌍
他のクラウド
Google Cloud / Azure
提携先の共同オフィス。
SSM Agentで本社システムに統合。
🖥️
物理サーバー
専用ハードウェア
特殊な業務用の専用機器。
他のサーバーと同様に一元管理。
📱
エッジデバイス
IoT・リモート端末
支店の小さな事務所や工場。
本社から遠隔管理が可能。
🐳
コンテナ
ECS / EKS
移動式の臨時オフィス。
動的に作られる環境も管理。

🎯 Systems Managerの主要機能

📋
Run Command
🏢 たとえ:全支社に一斉メール送信
やること: 複数のサーバーで同時にコマンドを実行

具体例:
• 「全サーバーでディスク容量を確認せよ」
• 「この設定ファイルを全員に配布せよ」
• 「緊急パッチを今すぐ全台に適用せよ」
📦
State Manager
🏢 たとえ:支社の定期巡回チェック
やること: サーバーの設定を常に理想の状態に保つ

具体例:
• 「毎日午前3時に自動バックアップ」
• 「セキュリティ設定が変更されたら元に戻す」
• 「必要なソフトが消えたら再インストール」
🔧
Patch Manager
🏢 たとえ:全支社の設備点検・修繕
やること: OSやソフトウェアの更新を自動化

具体例:
• 「毎週金曜日にセキュリティパッチ適用」
• 「緊急度の高い更新を優先的に適用」
• 「適用前に自動でバックアップ取得」
🗂️
Parameter Store
🏢 たとえ:本社の金庫(機密情報保管庫)
やること: パスワードや設定値を安全に保管・配布

具体例:
• 「DBパスワードを暗号化して保管」
• 「APIキーを全支社で共有」
• 「設定値の変更履歴を記録」
🔍
Inventory
🏢 たとえ:全支社の資産台帳
やること: すべてのサーバーの情報を自動収集

具体例:
• 「どのサーバーに何がインストールされているか」
• 「OSのバージョンを全台分リスト化」
• 「ライセンス管理に必要な情報を収集」
🪟
Session Manager
🏢 たとえ:支社への安全なビデオ通話
やること: ブラウザから直接サーバーにログイン

具体例:
• 「SSHキー不要でログイン」
• 「誰がいつログインしたか記録」
• 「踏み台サーバー不要で安全に接続」

💼 実際の使用シナリオ

🚨 緊急セキュリティ対応

😱 問題:
「重大な脆弱性が発見された!全サーバーに今すぐパッチを適用しなければ…でもサーバーが世界中に散らばっている…」
✅ 解決:
Systems ManagerのRun Commandで、全サーバーに一斉にパッチ適用コマンドを送信。AWS、オンプレミス、他クラウド関係なく、5分で対応完了!

🔄 定期メンテナンス自動化

😱 問題:
「毎週末、全サーバーのログをクリアして、不要ファイルを削除…手作業だと6時間かかる…」
✅ 解決:
State Managerで自動化スケジュールを設定。毎週土曜日午前2時に、全サーバーで自動実行。人間は寝ている間に作業完了!

📊 監査対応

😱 問題:
「監査で『全サーバーの構成情報とソフトウェアリストを提出せよ』と言われた…手動で調査すると1ヶ月かかる…」
✅ 解決:
Inventoryが自動収集している情報をエクスポート。AWS、オンプレミス、すべての情報が揃った詳細レポートが5分で完成!

🏗️ ハイブリッド環境の統合

😱 問題:
「AWS、オンプレミス、Google Cloudにサーバーがあって、それぞれ別のツールで管理…効率が悪すぎる…」
✅ 解決:
すべてのサーバーにSSM Agentをインストールして、Systems Managerで一元管理。場所に関係なく、同じ操作で管理可能!

🔑 ハイブリッドアクティベーション完全ガイド

🎫 ハイブリッドアクティベーションとは?

たとえ:外部支社の本社システム登録


AWS以外のサーバー(オンプレミス、他のクラウド)を
Systems Managerに登録するための「入館証発行プロセス」です。


🏢 本社(AWS)の社員は自動で入館証を持っています。
でも、外部支社の社員(オンプレミスサーバー)には、
特別な入館証(アクティベーションコード)を発行する必要があります。


🎯 重要:
EC2インスタンスはIAMロールで自動認証されますが、
それ以外のサーバーはこのアクティベーションプロセスが必須です!

📋 アクティベーションの仕組み

1️⃣

申請

AWS管理者が
Systems Managerで
アクティベーションを作成

2️⃣

発行

アクティベーションIDと
アクティベーションコードが
発行される

3️⃣

登録

サーバーで
SSM Agentに
コードを設定

🔐 発行される2つの重要情報

1. Activation ID(アクティベーションID)
例: 12345678-1234-1234-1234-123456789012
→ ユーザー名のようなもの

2. Activation Code(アクティベーションコード)
例: ABCD1234EFGH5678IJKL
→ パスワードのようなもの(一度しか表示されない!)

🛠️ アクティベーション作成の詳細手順

📍 AWSマネジメントコンソールでの作成

  1. Systems Manager コンソールを開く
  2. 左メニューから 「ハイブリッドアクティベーション」 を選択
  3. 「アクティベーションを作成」 ボタンをクリック
  4. 必要な情報を入力(下記参照)
  5. 作成後、IDとコードをすぐにコピー保存!

⚙️ 設定項目の詳細

1. アクティベーションの説明

例: "Tokyo-Datacenter-WebServers"

💡 どのサーバー群かわかる名前をつけましょう

2. IAMロール

推奨: "AmazonSSMManagedInstanceCore" ポリシーを持つロール

💡 事前に作成しておくか、自動作成オプションを使用

3. インスタンス登録数の上限

デフォルト: 10台

💡 登録予定のサーバー台数を設定(最大1000台)

4. 有効期限

デフォルト: 24時間

💡 この期間内にサーバー登録を完了する必要あり(最大30日)

5. デフォルトインスタンス名(オプション)

例: "OnPrem-Web-"

💡 登録時に自動的にこのプレフィックスが付く

💻 サーバー側での登録手順

🐧 Linux / macOSの場合 

# 1. SSM Agentのインストール(必要な場合)
sudo yum install -y amazon-ssm-agent  # Amazon Linux/RHEL
sudo apt-get install -y amazon-ssm-agent  # Ubuntu/Debian

# 2. アクティベーションコードで登録
sudo amazon-ssm-agent -register \
  -code "ABCD1234EFGH5678IJKL" \
  -id "12345678-1234-1234-1234-123456789012" \
  -region "ap-northeast-1"

# 3. SSM Agentを起動
sudo systemctl start amazon-ssm-agent
sudo systemctl enable amazon-ssm-agent

# 4. ステータス確認
sudo systemctl status amazon-ssm-agent

🪟 Windowsの場合 

# 1. PowerShellを管理者として起動

# 2. SSM Agentのインストール(通常は既にインストール済み)
# https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/windows_amd64/AmazonSSMAgentSetup.exe

# 3. アクティベーションコードで登録
$code = "ABCD1234EFGH5678IJKL"
$id = "12345678-1234-1234-1234-123456789012"
$region = "ap-northeast-1"

Invoke-Expression "C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe -register -code $code -id $id -region $region"

# 4. サービス再起動
Restart-Service AmazonSSMAgent

# 5. ステータス確認
Get-Service AmazonSSMAgent

✅ 登録成功の確認方法

  1. Systems Managerコンソールの「Fleet Manager」を開く
  2. 登録したサーバーが「マネージドインスタンス」として表示される
  3. インスタンスIDが「mi-」で始まる(Managed Instanceの略)
  4. Ping statusが「Online」になっていればOK!

🔧 よくあるトラブルと解決方法

❌ 問題1: 「アクティベーションが期限切れ」

原因: 有効期限内に登録が完了しなかった

解決: 新しいアクティベーションを作成し直す(古いものは削除してOK)

❌ 問題2: 「登録できない・Offlineになる」

原因: ネットワーク設定やファイアウォール

解決:
• HTTPS(443)でAWSエンドポイントへの通信を許可
• ssm.region.amazonaws.com への接続確認
• プロキシ設定が必要な場合は環境変数を設定

❌ 問題3: 「登録数上限に達した」

原因: アクティベーション作成時の上限に到達

解決: 新しいアクティベーションを上限を増やして作成

❌ 問題4: 「IAMロールのエラー」

原因: 適切な権限がない

解決:
• AmazonSSMManagedInstanceCore ポリシーを確認
• 信頼関係に ssm.amazonaws.com が含まれているか確認

⭐ アクティベーションのベストプラクティス

1. 用途別にアクティベーションを分ける

環境・場所・役割ごとに別々のアクティベーションを作成。
例: "Tokyo-Production", "Osaka-Development"

2. アクティベーションコードは即座に保存

コードは作成時に一度しか表示されません!
AWS Secrets Managerやパスワードマネージャーに保存しましょう。

3. 有効期限は短めに設定

セキュリティのため、必要最小限の期限に。
一度に多数登録する場合は長めでもOK。

4. タグを活用

登録時にタグを設定すれば、後からグループ管理が簡単。
Environment=Production, Location=Tokyo など。

5. 使用済みアクティベーションは削除

登録が完了したら、セキュリティのため古いアクティベーションは削除。
登録済みサーバーには影響ありません。

6. 自動化スクリプトを用意

複数サーバーへの登録はスクリプト化すると効率的。
Ansible、Chef、Puppetなどの構成管理ツールと組み合わせも◎

💰 ハイブリッドアクティベーションの料金

🎉 アクティベーション自体は無料!


💵 課金対象:
• オンプレミスインスタンスの管理: 月額 $0.00695/時間 (約$5/月/台)
• Advanced Tier使用時: 追加料金あり


💡 ポイント:
AWSのEC2インスタンスは無料ですが、オンプレミスサーバーは
Systems Managerで管理すると少額の料金が発生します。

🚀 セットアップ手順(5ステップ)

1

📝 IAMロールの作成

たとえ:社員証の発行
Systems Managerがサーバーにアクセスするための権限(社員証)を作成。「AmazonSSMManagedInstanceCore」というポリシーをアタッチします。

2

💾 SSM Agentのインストール

たとえ:支社に連絡係を配置
各サーバーにSSM Agent(本社との連絡係)をインストール。Amazon Linux 2やWindows Server 2016以降は最初から入っています!

3

🔐 アクティベーション(オンプレミス用)

たとえ:外部支社の登録
オンプレミスや他クラウドのサーバーは、アクティベーションコードを使ってSystems Managerに登録。これで本社のシステムに正式参加!

4

✅ 接続確認

たとえ:出席確認
Systems Managerコンソールの「Fleet Manager」で、すべてのサーバーが正しく接続されているか確認。緑色のチェックマークが出ればOK!

5

🎯 機能の設定

たとえ:業務ルールの設定
Patch Managerでパッチ適用スケジュール、State Managerで定期タスク、Parameter Storeで機密情報保管など、必要な機能を設定して完了!

🎁 Systems Managerを使うメリット

スピード向上

手動で1日かかる作業が
数分で完了!
緊急対応も迅速に。

💰

コスト削減

基本機能は無料!
人件費と時間の
大幅な削減が可能。

🔒

セキュリティ強化

統一されたポリシー適用。
すべての操作を記録。
コンプライアンス対応。

👀

可視化

全サーバーの状態を
1つの画面で把握。
問題の早期発見。

🤖

自動化

繰り返し作業を自動化。
人的ミスを削減。
夜間・休日も稼働。

🌐

柔軟性

どこでも管理可能。
AWS以外もOK。
環境を選ばない。

💡 成功のための重要ポイント
1. 小さく始める:
最初は少数のサーバーでテスト。Run Commandで簡単なコマンドを実行してみましょう。

2. タグ付けを徹底:
サーバーに適切なタグ(Environment: Production、Team: Web など)を付けることで、グループ管理が簡単に。

3. CloudWatch Logsと連携:
すべての操作ログをCloudWatch Logsに送信。監査やトラブルシューティングが楽になります。

4. ドライラン活用:
本番実行前に、必ず少数のサーバーでテスト実行。予期しない問題を事前に発見!

5. 段階的ロールアウト:
すべてのサーバーに一度に適用せず、10%→50%→100%のように段階的に展開すると安全です。
💵 料金について
✅ 無料で使える機能:
• Run Command(コマンド実行)
• Session Manager(ブラウザSSH)
• Parameter Store(標準パラメーター10,000個まで)
• State Manager(基本機能)

💰 従量課金の機能:
• Patch Manager: 管理対象インスタンスあたり月額$0.08
• Inventory: 収集データ量に応じて課金
• Advanced Parameters: パラメーターあたり月額$0.05

🎯 ポイント:
基本的な管理なら、ほぼ無料で使えます!まずは無料機能から始めましょう。

🎓 まとめ

🏢 大企業の本社 = Systems Manager

世界中に散らばった支社(サーバー)を
1つの司令室から一元管理!
場所も環境も関係なく、すべてを統合✨

🌐

ハイブリッド対応

AWS、オンプレミス、
他のクラウド、
すべてを統合管理

圧倒的効率化

手動作業を自動化し、
作業時間を
90%以上削減

🔒

セキュリティ

統一されたポリシー、
すべての操作を記録、
安全な管理を実現

🎯 まずはここから始めよう!

1️⃣ EC2インスタンスで Run Command を試す
2️⃣ Session Manager でブラウザSSHを体験
3️⃣ State Manager で定期タスクを自動化

この3つをマスターすれば、
あなたも立派なSystems Managerユーザー!🎉

Created by SSuzuki1063

AWS SAP Learning Resources