SSMアップデート

SSMパッケージアップデート

FutureVulsにAWS認証情報を登録するとSSM(AWS Systems Manager)経由でEC2のパッケージアップデートができるようになります。 タスク単位でFutureVulsの画面からアップデート可能です。 SSM経由で発行したコマンドの結果は SSMコマンド履歴 で確認できます。

対象OS (AWSのインスタンスに限る)

  • Amazon Linux
  • Amazon Linux 2
  • Red Hat
  • CentOS
  • Debian
  • Ubuntu

SSM連携パッケージアップデートの設定

事前にAWSの認証情報設定を完了させてください。

AWS環境の設定

  • AWSインスタンスの作成
    • AWSのマネージメントコンソールからAWSのインスタンスを作成(OSは対象OS参照)
    • AmazonSSMManagedInstanceCore のポリシーが付与されたロールを作成(AWSドキュメント)
    • 作成したロールを、IAMロールとしてインスタンスに付与
  • AWSのインタンスでSSMの登録(AWSドキュメント)
    • sudo yum -y install amazon-ssm-agent (AmazonLinuxの場合その他のOSは上記のドキュメント参照)
    • sudo systemctl start amazon-ssm-agent (AmazonLinuxの場合その他のOSは上記のドキュメント参照)
  • SSMの登録確認
    • AWS System Managerの中の マネージドインスタンス に上記のインスタンスが登録されていることを確認

FutureVulsの設定

  • Group設定のAWS連携ページにある、 設定する ボタンをクリックする image

  • awscli をインストールする

    • バージョン1.16.80以上で動作確認済み

  • 表示されたコマンド(AWS CLI)をAWSのcliがインストール、設定済み( ssm.CreateDocument, ssm.DeleteDocumentの権限が必要 )の環境で実行して、次へをクリック image

  • SSM経由パッケージアップデート設定済み になっていれば完了 image

SSMとの自動連携

  • 上記のSSM設定後に、スキャンが実施されるタイミングで各サーバがSSM連携可能かどうかの情報をFutureVulsに取り込みます。

  • サーバリストの SSM連携 カラムが以下のように になっていれば設定完了です。 image

  • AWS認証の設定後にSSMで管理されているサーバを追加した場合は、スキャンのタイミングでFutureVulsに自動連携します。

SSMアップデート実行

  • タスク画面から、パッケージアップデートをしたいタスクを選択し、SSMアップデートボタンをクリックする image

  • 対象のサーバ、パッケージ、実行されるコマンドを確認する image

  • DRY RUN を実行すると、テスト実行が行われ、結果は SSMコマンド履歴 から確認できる

  • SSMコマンドの実行履歴や実行ステータスは SSMコマンド履歴 から確認できる image image