[AWS まとめ]
このページでは AWS の System Manager におけるオンプレ(ハイブリッド、物理サーバやVM)と EC2 インスタンスの違いに関して説明します。AWS
はクラウドサービスであり基本は クラウド上の仮想サーバであるEC インスタンスの監視となります。ただしいわゆる「ハイブリッド環境」向けに物理サーバや
EC2 インスタンスの監視も可能となります。しかし物理サーバvなので AWS の特徴の一つである「ロール(role)」は使用できません。その他制限があるので注意してください。
2023/11/01 更新
| オンプレ | EC2インスタンス | |
| System Manager登録条件 | アクティベーションコードとIDを管理対象側(物理サーバ, VM側)から指定する。 |
IAM ポリシーをEC2インスタンスに割り当てる(あるいはアクセスキーを指定) |
| SSMエージェント(*1) | 必要 | 必要 |
| CloudWatch Agent(*2) | サポート | サポート |
| CloudWatch Agentなし | メトリクス取得不可 | 標準メトリクスは取得可能 |
| SSMへの登録方法 | 管理対象側からアクティベーションコード、IDを指定した登録シェルを実行 | 自動で登録 |
| ロール | ・アクティベーション作成時に必要。それ以外は不要(使用できない) |
以下のロールを使用。 ・AmazonEC2RoleforSSM ・AmazonS3FullAccess |
| CloudTrailでの監査 | 可能 | 可能 |
| CloudWatchEventsとSNSの連携 |
可能 | 可能 |
| CloudWath Agent | 原則はEC2インスタンスと同様にインストール可能。 |
インストール可能。 |
| CloudWath メトリクス送信 | ロールを使用できないため、IAM ユーザのアクセスキーを入力。 メトリクスを送信するIAMユーザと設定時にパラメータストアに書き込むIAMユーザの二つが必要。後者は使用したら不要となるため削除か。(強力な権限のため) メトリクス送信用のIAMユーザには以下のポリシーをアタッチ。 ・CloudWatchAgentServerPolicy ・AmazonEC2RoleforSSM パラメータストア保存用のためのIAMユーザは以下のポリシーをアタッチ ・CloudWatchAgentAdminPolicy ・AmazonEC2RoleforSSM 詳細手順は以下の(注意2)を確認 |
アクセスキーを使用しないでも、IAM ロールで可能 詳細手順は以下の(注意2)を確認 |
| 手動で設定が必要な設定ファイル | 以下のファイルの設定が必要。このファイルで使用するクレデンシャルを指定する。 C:\ProgramData\Amazon\AmazonCloudWatchAgent\common-config.toml (*)ヘルプにはこれを編集しないとデフォルト値を参照と記載されていたが、実験したところデフォルトを参照してくれなかった。2018/8確認。 |
- |
| 設定ファイル(Windows) | C:\ProgramData\Amazon\AmazonCloudWatchAgent\Configs\config.json | 同左 |
(*1)64ビット版 / 32ビット版ともに提供されていた。
(*2)2018年8月現在では 64ビット版のみ提供されていた。
【注意事項】本ページの内容は個人的に調査した結果がであり内容が正しいことは保証されません。
またAWSサービスは常に改良、アップデートされており本ページの内容が古く誤った内容になる可能性もあります。変更になっても本ページが正しく更新されるとは限りません。
あくまでも参考程度でご覧ください。内容により発生したいかなる時間的損害、金銭的損害、その他の損害に関しても何人も保証しません。