[AWS まとめ]

AWSにおけるオンプレサーバとEC2インスタンスのSysmte Managerに関する違い

このページでは AWS の System Manager におけるオンプレ(ハイブリッド、物理サーバやVM)と EC2 インスタンスの違いに関して説明します。AWS はクラウドサービスであり基本は クラウド上の仮想サーバであるEC インスタンスの監視となります。ただしいわゆる「ハイブリッド環境」向けに物理サーバや EC2 インスタンスの監視も可能となります。しかし物理サーバvなので AWS の特徴の一つである「ロール(role)」は使用できません。その他制限があるので注意してください。



オンプレ EC2インスタンス
System Manager登録条件 アクティベーションコードとIDを管理対象側(物理サーバ, VM側)から指定する。
IAM ポリシーをEC2インスタンスに割り当てる(あるいはアクセスキーを指定)
SSMエージェント(*1) 必要 必要
CloudWatch Agent(*2) サポート サポート
CloudWatch Agentなし メトリクス取得不可 標準メトリクスは取得可能
SSMへの登録方法 管理対象側からアクティベーションコード、IDを指定した登録シェルを実行 自動で登録
ロール ・アクティベーション作成時に必要。それ以外は不要(使用できない)
以下のロールを使用。
・AmazonEC2RoleforSSM
・AmazonS3FullAccess
CloudTrailでの監査 可能 可能
CloudWatchEventsとSNSの連携
可能 可能
CloudWath Agent 原則はEC2インスタンスと同様にインストール可能。

インストール可能。
CloudWath メトリクス送信 ロールを使用できないため、IAM ユーザのアクセスキーを入力。
メトリクスを送信するIAMユーザと設定時にパラメータストアに書き込むIAMユーザの二つが必要。後者は使用したら不要となるため削除か。(強力な権限のため)

メトリクス送信用のIAMユーザには以下のポリシーをアタッチ。
・CloudWatchAgentServerPolicy
・AmazonEC2RoleforSSM

パラメータストア保存用のためのIAMユーザは以下のポリシーをアタッチ
・CloudWatchAgentAdminPolicy
・AmazonEC2RoleforSSM

詳細手順は以下の(注意2)を確認
アクセスキーを使用しないでも、IAM ロールで可能
詳細手順は以下の(注意2)を確認
手動で設定が必要な設定ファイル 以下のファイルの設定が必要。このファイルで使用するクレデンシャルを指定する。

C:\ProgramData\Amazon\AmazonCloudWatchAgent\common-config.toml

(*)ヘルプにはこれを編集しないとデフォルト値を参照と記載されていたが、実験したところデフォルトを参照してくれなかった。2018/8確認。
-

(*1)64ビット版 / 32ビット版ともに提供されていた。

(*2)2018年8月現在では 64ビット版のみ提供されていた。



【注意事項】本ページの内容は個人的に調査した結果がであり内容が正しいことは保証されません。
またAWSサービスは常に改良、アップデートされており本ページの内容が古く誤った内容になる可能性もあります。変更になっても本ページが正しく更新されるとは限りません。
あくまでも参考程度でご覧ください。内容により発生したいかなる時間的損害、金銭的損害、その他の損害に関しても何人も保証しません。