• AWS Systems Manager CloudWatch ダッシュボードは、2026 年 4 月 30 日以降は利用できなくなります。お客様は、これまでと同様に Amazon CloudWatch コンソールを使用して、Amazon CloudWatch ダッシュボードの表示、作成、管理を継続できます。詳細については、「[Amazon CloudWatch ダッシュボードのドキュメント](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)」を参照してください。
# AWS Systems Manager Fleet Manager
AWS Systems Manager のツールである Fleet Manager は統合されたユーザーインターフェイス (UI) エクスペリエンスであり、AWS またはオンプレミスで実行されているノードをリモートで管理するのに役立ちます。Fleet Manager では、1 つのコンソールからサーバーフリート全体の正常性とパフォーマンスステータスを表示できます。個々のノードからデータを収集し、コンソールから一般的なトラブルシューティングと管理タスクを実行することもできます。これには、リモートデスクトッププロトコル (RDP) を使用した Windows インスタンスへの接続、フォルダとファイルのコンテンツの表示、Windows レジストリの管理、オペレーティングシステムのユーザー管理などが含まれます。
Fleet Manager の使用を開始するには、[Systems Manager コンソール](https://console.aws.amazon.com/systems-manager/fleet-manager)を開きます。ナビゲーションペインで、**[Fleet Manager]** を選択します。
## Fleet Manager はどのようなユーザーに適していますか?
Fleet Manager は、ノードフリートの一元的な管理を希望する、すべての AWS のお客様に適しています。
## Fleet Manager はどのように組織にとってメリットになりますか?
Fleet Manager は、以下の利点を提供します。
+ マネージドノードに手動で接続することなく、さまざまな一般のシステム管理タスクを実行できます。
+ 複数のプラットフォームで実行されているノードを単一の統合コンソールから管理できます。
+ 異なるオペレーティングシステムで実行されているノードを単一の統合コンソールから管理できます。
+ システム管理の効率性を向上させます。
## Fleet Manager の特徴は何ですか?
Fleet Manager の主な機能は以下のとおりです。
+ **Red Hat ナレッジベースポータルへのアクセス**
Red Hat Enterprise Linux (RHEL) インスタンス経由で Red Hat ナレッジベースポータル上のバイナリ、ナレッジシェア、ディスカッションフォーラムにアクセスできます。
+ **マネージドノードのステータス**
どのインスタンスが `running` で、どのインスタンスが `stopped` なのかの表示。停止したインスタンスの詳細については、「Amazon EC2 ユーザーガイド」の「[インスタンスの停止と起動](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Stop_Start.html)」を参照してください。AWS IoT Greengrass コアデバイスの場合、どれが `online`、`offline` なのかや、`Connection lost` のステータスを表示できます。
**注記**
2021 年 7 月 12 日より前にマネージドインスタンスを停止した場合、`stopped` マーカーは表示されません。マーカーを表示するには、インスタンスを開始して停止します。
+ **インスタンス情報の表示**
マネージドインスタンスにアタッチされているボリュームに保存されているフォルダーとファイルのデータ、リアルタイムのインスタンスに関するパフォーマンスデータ、インスタンスに保存されているログデータに関する情報を表示します。
+ **エッジデバイス情報の表示**
デバイスの AWS IoT Greengrass モノの名前、SSM Agent ping のステータスおよびバージョンなどの表示。
+ **アカウントとレジストリの管理**
インスタンス上のオペレーティングシステム (OS) ユーザーアカウントを管理し、Windows インスタンス上のレジストリを管理します。
+ **機能へのアクセスを制御**
AWS Identity and Access Management (IAM) ポリシーを使用して Fleet Manager 機能へのアクセスを制御します。これらのポリシーを使用することで、Fleet Manager の各種機能を使用できる組織内の個々のユーザーまたはグループ、およびそれらが管理できるマネージドノードを制御できます。
**Topics**
+ [Fleet Manager はどのようなユーザーに適していますか?](#fleet-who)
+ [Fleet Manager はどのように組織にとってメリットになりますか?](#fleet-benefits)
+ [Fleet Manager の特徴は何ですか?](#fleet-features)
+ [Fleet Manager を設定する](setting-up-fleet-manager.md)
+ [マネージドノードの使用](fleet-manager-managed-nodes.md)
+ [Default Host Management Configuration を使用した EC2 インスタンスの自動管理](fleet-manager-default-host-management-configuration.md)
+ [Remote Desktop を使用して Windows Server マネージドインスタンスに接続する](fleet-manager-remote-desktop-connections.md)
+ [マネージドインスタンスの Amazon EBS ボリュームの管理](fleet-manager-manage-amazon-ebs-volumes.md)
+ [Red Hat ナレッジベースポータルへのアクセス](fleet-manager-red-hat-knowledge-base-access.md)
+ [マネージドノードの可用性のトラブルシューティング](fleet-manager-troubleshooting-managed-nodes.md)
# Fleet Manager を設定する
AWS アカウントのユーザーが AWS Systems Manager のツールである Fleet Manager を使用してマネージドノードをモニタリングおよび管理できるようにするには、それらのユーザーに必要なアクセス許可を付与する必要があります。また、Fleet Manager を使用してモニタリングおよび管理する Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、AWS IoT Greengrass コアデバイス、オンプレミスサーバー、エッジデバイス、および仮想マシン (VM) は、すべて Systems Manager のマネージドノードである必要があります。マネージドノードとは、[ハイブリッドおよびマルチクラウド](operating-systems-and-machine-types.md#supported-machine-types)環境で Systems Manager で使用するように設定された任意のマシンです。
つまり、ノードが特定の前提条件を満たしており、AWS Systems Manager エージェント (SSM Agent) で構成されている必要があります。
マシンタイプに応じて、次のいずれかのトピックを参照して、当該マシンがマネージドノードの要件を満たしていることを確認します。
+ Amazon EC2 インスタンス: [Systems Manager を利用した EC2 インスタンスの管理](systems-manager-setting-up-ec2.md)
**ヒント**
AWS Systems Manager のツールである Quick Setup を使用して、Amazon EC2 インスタンスを個別のアカウント内のマネージドインスタンスとしてすばやく設定できます。お客様のビジネスまたは組織が AWS Organizations を使用している場合、複数の組織単位 (OU) や AWS リージョン にわたってインスタンスを設定することもできます。Quick Setupを使用したマネージドインスタンスの設定に関する詳細については、「[Quick Setup を使用して Amazon EC2 ホスト管理を設定する](quick-setup-host-management.md)」を参照してください。
+ クラウド内のオンプレミスおよびその他のサーバータイプ: [Systems Manager を利用したハイブリッド環境およびマルチクラウド環境でのノードの管理](systems-manager-hybrid-multicloud.md)
+ AWS IoT Greengrass (エッジ) デバイス: [Systems Manager を利用したエッジデバイスの管理](systems-manager-setting-up-edge-devices.md)
**Topics**
+ [Fleet Manager へのアクセスのコントロール](configuring-fleet-manager-permissions.md)
# Fleet Manager へのアクセスのコントロール
AWS Systems Manager のツールである Fleet Manager を使用するには、AWS Identity and Access Management (IAM) ユーザーまたはロールに必要なアクセス許可が必要です。すべての Fleet Manager 機能へのアクセス権を提供する IAM ポリシーを作成するか、選択した機能へのアクセス権を付与するようにポリシーを変更することができます。次に、アカウント内のユーザーまたは ID にこれらのアクセス許可を付与します。
**タスク 1: アクセス許可を定義する IAM ポリシーを作成する**
「IAM ユーザーガイド」の次のトピックで提供されている方法のいずれかに従って、ID (ユーザー、ロール、またはユーザーグループ) に Fleet Manager へのアクセスを提供する IAM を作成します。
+ [カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)
以下に示すサンプルポリシーのいずれかを使用するか、付与するアクセス許可に従って変更してください。Fleet Manager へのフルアクセスと読み取り専用アクセス用のサンプルポリシーを提供しています。
**タスク 2: IAM ポリシーをユーザーにアタッチしてアクセス許可を付与する**
Fleet Manager へのアクセス許可を定義する IAM ポリシーを作成したら、「IAM ユーザーガイド」の次のいずれかの手順を使用して、アカウントの ID にこれらのアクセス許可を付与します。
+ [IAM ID アクセス許可の追加 (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)
+ [IAM ID アクセス許可の追加 (AWS CLI)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policy-cli)
+ [IAM ID アクセス許可の追加 (AWS API)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policy-api)
**Topics**
+ [Fleet Manager 管理者アクセスのサンプルポリシー](#admin-policy-sample)
+ [Fleet Manager 読み取り専用アクセスのサンプルポリシー](#read-only-policy-sample)
## Fleet Manager 管理者アクセスのサンプルポリシー
以下のポリシーは、すべてのFleet Manager機能へのアクセス許可を提供します。これは、ユーザーがローカルユーザーとグループの作成と削除、ローカルグループのグループメンバーシップの変更、および Windows Server レジストリのキーまたは値の変更を実行できるということです。各*リソースプレースホルダーの例*をユーザー自身の情報に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EC2",
"Effect": "Allow",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags",
"ec2:DescribeInstances",
"ec2:DescribeTags"
],
"Resource": "*"
},
{
"Sid": "General",
"Effect": "Allow",
"Action": [
"ssm:AddTagsToResource",
"ssm:DescribeInstanceAssociationsStatus",
"ssm:DescribeInstancePatches",
"ssm:DescribeInstancePatchStates",
"ssm:DescribeInstanceProperties",
"ssm:GetCommandInvocation",
"ssm:GetServiceSetting",
"ssm:GetInventorySchema",
"ssm:ListComplianceItems",
"ssm:ListInventoryEntries",
"ssm:ListTagsForResource",
"ssm:ListCommandInvocations",
"ssm:ListAssociations",
"ssm:RemoveTagsFromResource"
],
"Resource": "*"
},
{
"Sid": "DefaultHostManagement",
"Effect": "Allow",
"Action": [
"ssm:ResetServiceSetting",
"ssm:UpdateServiceSetting"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::111122223333:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"ssm.amazonaws.com"
]
}
}
},
{
"Sid": "SendCommand",
"Effect": "Allow",
"Action": [
"ssm:GetDocument",
"ssm:SendCommand",
"ssm:StartSession"
],
"Resource": [
"arn:aws:ec2:*:111122223333:instance/*",
"arn:aws:ssm:*:111122223333:managed-instance/*",
"arn:aws:ssm:*:111122223333:document/SSM-SessionManagerRunShell",
"arn:aws:ssm:*:*:document/AWS-PasswordReset",
"arn:aws:ssm:*:*:document/AWSFleetManager-AddUsersToGroups",
"arn:aws:ssm:*:*:document/AWSFleetManager-CopyFileSystemItem",
"arn:aws:ssm:*:*:document/AWSFleetManager-CreateDirectory",
"arn:aws:ssm:*:*:document/AWSFleetManager-CreateGroup",
"arn:aws:ssm:*:*:document/AWSFleetManager-CreateUser",
"arn:aws:ssm:*:*:document/AWSFleetManager-CreateUserInteractive",
"arn:aws:ssm:*:*:document/AWSFleetManager-CreateWindowsRegistryKey",
"arn:aws:ssm:*:*:document/AWSFleetManager-DeleteFileSystemItem",
"arn:aws:ssm:*:*:document/AWSFleetManager-DeleteGroup",
"arn:aws:ssm:*:*:document/AWSFleetManager-DeleteUser",
"arn:aws:ssm:*:*:document/AWSFleetManager-DeleteWindowsRegistryKey",
"arn:aws:ssm:*:*:document/AWSFleetManager-DeleteWindowsRegistryValue",
"arn:aws:ssm:*:*:document/AWSFleetManager-GetDiskInformation",
"arn:aws:ssm:*:*:document/AWSFleetManager-GetFileContent",
"arn:aws:ssm:*:*:document/AWSFleetManager-GetFileSystemContent",
"arn:aws:ssm:*:*:document/AWSFleetManager-GetGroups",
"arn:aws:ssm:*:*:document/AWSFleetManager-GetPerformanceCounters",
"arn:aws:ssm:*:*:document/AWSFleetManager-GetProcessDetails",
"arn:aws:ssm:*:*:document/AWSFleetManager-GetUsers",
"arn:aws:ssm:*:*:document/AWSFleetManager-GetWindowsEvents",
"arn:aws:ssm:*:*:document/AWSFleetManager-GetWindowsRegistryContent",
"arn:aws:ssm:*:*:document/AWSFleetManager-MountVolume",
"arn:aws:ssm:*:*:document/AWSFleetManager-MoveFileSystemItem",
"arn:aws:ssm:*:*:document/AWSFleetManager-RemoveUsersFromGroups",
"arn:aws:ssm:*:*:document/AWSFleetManager-RenameFileSystemItem",
"arn:aws:ssm:*:*:document/AWSFleetManager-SetWindowsRegistryValue",
"arn:aws:ssm:*:*:document/AWSFleetManager-StartProcess",
"arn:aws:ssm:*:*:document/AWSFleetManager-TerminateProcess"
]
},
{
"Sid": "TerminateSession",
"Effect": "Allow",
"Action": [
"ssm:TerminateSession"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ssm:resourceTag/aws:ssmmessages:session-id": [
"${aws:userid}"
]
}
}
}
]
}
```
------
## Fleet Manager 読み取り専用アクセスのサンプルポリシー
以下のポリシーは、読み取り専用のFleet Manager機能へのアクセス許可を提供します。各*リソースプレースホルダーの例*をユーザー自身の情報に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EC2",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeTags"
],
"Resource": "*"
},
{
"Sid": "General",
"Effect": "Allow",
"Action": [
"ssm:DescribeInstanceAssociationsStatus",
"ssm:DescribeInstancePatches",
"ssm:DescribeInstancePatchStates",
"ssm:DescribeInstanceProperties",
"ssm:GetCommandInvocation",
"ssm:GetServiceSetting",
"ssm:GetInventorySchema",
"ssm:ListComplianceItems",
"ssm:ListInventoryEntries",
"ssm:ListTagsForResource",
"ssm:ListCommandInvocations",
"ssm:ListAssociations"
],
"Resource": "*"
},
{
"Sid": "SendCommand",
"Effect": "Allow",
"Action": [
"ssm:GetDocument",
"ssm:SendCommand",
"ssm:StartSession"
],
"Resource": [
"arn:aws:ec2:*:111122223333:instance/*",
"arn:aws:ssm:*:111122223333:managed-instance/*",
"arn:aws:ssm:*:111122223333:document/SSM-SessionManagerRunShell",
"arn:aws:ssm:*:*:document/AWSFleetManager-GetDiskInformation",
"arn:aws:ssm:*:*:document/AWSFleetManager-GetFileContent",
"arn:aws:ssm:*:*:document/AWSFleetManager-GetFileSystemContent",
"arn:aws:ssm:*:*:document/AWSFleetManager-GetGroups",
"arn:aws:ssm:*:*:document/AWSFleetManager-GetPerformanceCounters",
"arn:aws:ssm:*:*:document/AWSFleetManager-GetProcessDetails",
"arn:aws:ssm:*:*:document/AWSFleetManager-GetUsers",
"arn:aws:ssm:*:*:document/AWSFleetManager-GetWindowsEvents",
"arn:aws:ssm:*:*:document/AWSFleetManager-GetWindowsRegistryContent"
]
},
{
"Sid": "TerminateSession",
"Effect": "Allow",
"Action": [
"ssm:TerminateSession"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ssm:resourceTag/aws:ssmmessages:session-id": [
"${aws:userid}"
]
}
}
}
]
}
```
------
# マネージドノードの使用
*マネージドノード*は、AWS Systems Manager 用に設定されたすべてのマシンを指します。以下のマシンタイプをマネージドノードとして設定できます。
+ Amazon Elastic Compute Cloud (Amazon EC2) インスタンス
+ 自社構築サーバー (オンプレミスサーバー)
+ AWS IoT Greengrass コアデバイス
+ AWS IoT および非 AWS エッジデバイス
+ 他のクラウド環境内の VM を含む仮想マシン (VM)
Systems Manager コンソールで、プレフィックス「mi-」が付いたマシンは、[*ハイブリッドアクティベーション*](activations.md)で実行されているマネージドノードとして設定されたマシンです。エッジデバイスには AWS IoT モノの名前が表示されます。
**注記**
macOS インスタンスでサポートされる機能は、ファイルシステムの表示のみです。
**Systems Manager インスタンス層について**
AWS Systems Manager は、標準インスタンス層とアドバンストインスタンス層を提供します。どちらも[ハイブリッドおよびマルチクラウド環境](operating-systems-and-machine-types.md#supported-machine-types)のマネージドノードをサポートします。スタンダードインスタンス層では、AWS リージョン ごと、AWS アカウント ごとに最大 1,000 のマシンを登録できます。1 つのアカウントとリージョンに 1,000 を超えるマシンを登録する必要がある場合は、アドバンストインスタンス層を使用します。アドバンストインスタンス層には、マネージドノードを好きなだけ作成することができます。Systems Manager 用に構成されたすべてのマネージドノードは、従量制料金ベースで請求されます。アドバンストインスタンス層を有効化する詳細については、「[アドバンストインスタンス層を有効にするには](fleet-manager-enable-advanced-instances-tier.md)」を参照してください。料金の詳細については、「[AWS Systems Manager 料金表](https://aws.amazon.com/systems-manager/pricing/)」を参照してください。
標準インスタンス層とアドバンストインスタンス層に関する次の追加情報に注意してください。
+ また、アドバンストインスタンスでは、[ハイブリッドおよびマルチクラウド](operating-systems-and-machine-types.md#supported-machine-types)環境において、AWS Systems Manager Session Manager を使用して非 EC2 ノードに接続することができます。Session Manager ではインスタンスへのインタラクティブシェルでアクセスを提供します。詳細については、「[AWS Systems Manager Session Manager](session-manager.md)」を参照してください。
+ スタンダードインスタンスのクォータは、Systems Manager オンプレミスアクティベーションを使用する EC2 インスタンスにも適用されます (これは一般的なシナリオではありません)。
+ 仮想マシン (VM) のオンプレミスインスで Microsoft がリリースしたアプリケーションにパッチを適用するには、アドバンストインスタンス層を有効化してください。アドバンストインスタンス層の使用には料金が発生します。Amazon Elastic Compute Cloud (Amazon EC2) インスタンスで Microsoft がリリースしたアプリケーションにパッチを適用する場合、追加料金はかかりません。詳細については、「[Windows Server で Microsoft がリリースしたアプリケーションへのパッチ適用について](patch-manager-patching-windows-applications.md)」を参照してください。
**マネージドノードの表示**
マネージドノードがコンソールに表示されていない場合は、次の作業を行います。
1. マネージドインスタンスを作成した AWS リージョン でコンソールを開いていることを確認します。コンソールの右上隅にあるリストを使用して、リージョンを切り替えることができます。
1. マネージドノードのセットアップ手順が Systems Manager の要件を満たしていることを確認します。詳細については、「[AWS Systems Manager のマネージドノードのセットアップ](systems-manager-setting-up-nodes.md)」を参照してください。
1. 非 EC2 マシンでは、ハイブリッドアクティベーションプロセスが完了したことを確認します。詳細については、「[Systems Manager を利用したハイブリッド環境およびマルチクラウド環境でのノードの管理](systems-manager-hybrid-multicloud.md)」を参照してください。
次の追加情報に注意してください。
+ Fleet Manager コンソールには、終了した Amazon EC2 ノードは表示されません。
+ Systems Manager では、マシン上でオペレーションを実行するにあたり正確に時間を参照する必要があります。マネージドノードの日時が正しく設定されていない場合、マシンが API リクエストの署名の日付と一致しないことがあります。詳細については、「[ユースケースとベストプラクティス](systems-manager-best-practices.md)」を参照してください。
+ タグを作成または編集した場合、テーブルフィルターに変更が表示されるまでに最大で 1 時間かかることがあります。
+ マネージドノードのステータスが `Connection Lost` のまま 30 日以上経過すると、そのノードは Fleet Manager コンソールに表示されなくなる場合があります。リストに再度表示するには、接続が失われた原因となった問題を解決する必要があります。トラブルシューティングのヒントについては、「[マネージドノードの可用性のトラブルシューティング](fleet-manager-troubleshooting-managed-nodes.md)」を参照してください。
**マネージドノードでの Systems Manager のサポートを確認する**
AWS Config には、AWS マネージドルールが用意されています。このルールは、AWS Config が AWS リソースの設定が一般的なベストプラクティスに従っているかどうかを評価するために使用する事前定義済みのカスタマイズ可能なルールです。AWS Config マネージドルールには、[ec2-instance-managed-by-systems-manager](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html) ルールが含まれています。このルールは、アカウント内の Amazon EC2 インスタンスが Systems Manager によって管理されているかどうかを確認します。詳細については、[AWS Config 管理ルール](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html)を参照してください。
**マネージドノードのセキュリティ体制の向上**
マネージドノードで許可されていないルートレベルのコマンドに対するセキュリティ体制を向上させる方法については、「[SSM Agent を介してルートレベルコマンドへのアクセスを制限する](ssm-agent-restrict-root-level-commands.md)」を参照してください。
**マネージドノードの登録解除**
マネージドノードはいつでも登録解除できます。たとえば、複数のノードを同じ AWS Identity and Access Management (IAM) ロールで任意の種類の悪意のある動作に気づいた場合、任意の時点で任意の数のマシンの登録を解除できます。(同じマシンを再登録するには、登録時に使用したものとは異なる、ハイブリッドなアクティベーションコードとアクティベーション ID を使用する必要があります)。マネージドノードの登録解除については、「[ハイブリッドおよびマルチクラウド環境でのマネージドノードの登録解除](fleet-manager-deregister-hybrid-nodes.md)」を参照してください。
**Topics**
+ [インスタンス層の設定](fleet-manager-configure-instance-tiers.md)
+ [マネージドノードのパスワードをリセットする](fleet-manager-reset-password.md)
+ [ハイブリッドおよびマルチクラウド環境でのマネージドノードの登録解除](fleet-manager-deregister-hybrid-nodes.md)
+ [Fleet Manager を使用して OS ファイルシステムを操作する](fleet-manager-file-system-management.md)
+ [マネージドノードのパフォーマンスの監視](fleet-manager-monitoring-node-performance.md)
+ [プロセスの操作](fleet-manager-manage-processes.md)
+ [マネージドノードのログを表示する](fleet-manager-view-node-logs.md)
+ [Fleet Manager を使用してマネージドノード上の OS ユーザーアカウントとグループを管理する](fleet-manager-manage-os-user-accounts.md)
+ [マネージドノードでの Windows レジストリの管理](fleet-manager-manage-windows-registry.md)
# インスタンス層の設定
このトピックでは、アドバンストインスタンス層をアクティブ化する必要があるシナリオについて説明します。
AWS Systems Manager は、[ハイブリッドおよびマルチクラウド](operating-systems-and-machine-types.md#supported-machine-types)環境の非 EC2 マシン用に、スタンダードインスタンス層とアドバンストインスタンス層を提供します。
追加コストなしで、アカウントにつき AWS リージョン ごとに最大 1,000 のスタンダード[ハイブリッドアクティベーションノード](activations.md)を登録できます。ただし、1,000 を超えるハイブリッドノードを登録するには、アドバンストインスタンス層のアクティブ化が必要です。アドバンストインスタンス層の使用には料金が発生します。詳細については、[AWS Systems Manager の料金](https://aws.amazon.com/systems-manager/pricing/)を参照してください。
登録されているハイブリッドアクティベーションノードが 1,000 未満であっても、アドバンストインスタンス層が必要なシナリオはほかに 2 つあります。
+ EC2 以外のノードに接続するために Session Manager を使用したい。
+ EC2 以外のノードで Microsoft がリリースしたアプリケーション (オペレーティングシステム以外) にパッチを適用したい。
**注記**
Amazon EC2 インスタンスで Microsoft がリリースしたアプリケーションにパッチを適用する場合、料金はかかりません。
## アドバンストインスタンス層の詳細シナリオ
以下の情報は、アドバンストインスタンス層をアクティブ化する必要がある 3 つのシナリオの詳細を示しています。
シナリオ 1: 1,000 を超えるハイブリッドアクティベーションノードを登録したい
スタンダードインスタンス層を使用すると、追加料金なしで、特定のアカウントで AWS リージョン ごとに[ハイブリッドおよびマルチクラウド](operating-systems-and-machine-types.md#supported-machine-types)環境に最大 1,000 個の非 EC2 ノードを登録できます。リージョンに 1,000 を超える EC2 以外のノードを登録する必要がある場合は、アドバンストインスタンス層を使用する必要があります。その後、任意の数のマシンをハイブリッドおよびマルチクラウド環境内でアクティブ化できます。アドバンストインスタンスは、Systems Manager マネージドノードとしてアクティブ化されたアドバンストノードの数と、それらのノードの実行時間に基づいて課金されます。
アクティベーションプロセスを使用するすべての Systems Manager マネージドノード (「[ハイブリッドアクティベーションを作成して、Systems Manager でノードを登録する](hybrid-activation-managed-nodes.md)」で説明されています) は、特定のアカウントのリージョン内でオンプレミスのノード数が 1,000 を超えると課金されます。
Systems Manager ハイブリッドアクティブ化を使用して既存の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスをアクティブ化し、EC2 以外のインスタンスとして利用することもできます (例: テストなど)。これらはハイブリッドノードとしても利用できます。これは一般的なシナリオではありません。
シナリオ 2: ハイブリッドでアクティブ化されたノードで Microsoft がリリースしたアプリケーションにパッチを適用する
ハイブリッドおよびマルチクラウド環境で非 EC2 ノードで Microsoft がリリースしたアプリケーションにパッチを適用する場合も、アドバンストインスタンス層が必要です。アドバンストインスタンス層をアクティブ化して EC2 以外のノードで Microsoft アプリケーションにパッチを適用する場合は、ノードが 1,000 未満であっても、すべてのオンプレミスノードで料金が発生します。
Amazon Elastic Compute Cloud (Amazon EC2) インスタンスで Microsoft がリリースしたアプリケーションにパッチを適用する場合、追加料金はかかりません。詳細については、「[Windows Server で Microsoft がリリースしたアプリケーションへのパッチ適用について](patch-manager-patching-windows-applications.md)」を参照してください。
シナリオ 3: Session Manager を使用してハイブリッドがアクティブ化されたノードに接続する
Session Manager は、インスタンスへの対話的なシェルアクセスを提供します。Session Manager を使用してハイブリッドアクティベーションマネージドノードに接続するには、アドバンストインスタンス層をアクティブ化する必要があります。ノードが 1,000 未満であっても、すべてのハイブリッドがアクティブ化されたノードの料金が発生します。
**概要: アドバンストインスタンス層はいつ必要になりますか?**
次の表を使用して、アドバンストインスタンス層を使用する必要がある場合と、どのシナリオに追加料金が適用されるかを確認してください。
****
| シナリオ | アドバンストインスタンス層が必要ですか? | 追加料金がかかりますか? |
| --- | --- | --- |
| リージョンの特定のアカウントのハイブリッドがアクティブ化されたノードの数が 1,000 を超えています。 | あり | はい |
| Patch Manager を使用して 1,000 未満の任意の数のハイブリッドがアクティブ化されたノードで、Microsoft がリリースしたアプリケーションにパッチを適用したい。 | あり | はい |
| Session Manager を使用して 1,000 未満の任意の数のハイブリッドがアクティブ化されたノードに接続したい。 | あり | はい |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/fleet-manager-configure-instance-tiers.html) | いいえ | いいえ |
**Topics**
+ [アドバンストインスタンス層の詳細シナリオ](#systems-manager-managed-instances-tier-scenarios)
+ [アドバンストインスタンス層を有効にするには](fleet-manager-enable-advanced-instances-tier.md)
+ [アドバンストインスタンス層から標準インスタンス層に戻す](fleet-manager-revert-to-standard-tier.md)
# アドバンストインスタンス層を有効にするには
AWS Systems Manager は、[ハイブリッドおよびマルチクラウド](operating-systems-and-machine-types.md#supported-machine-types)環境の非 EC2 マシン用に、スタンダードインスタンス層とアドバンストインスタンス層を提供します。スタンダードインスタンス層では、AWS アカウント ごと、AWS リージョン ごとに最大 1,000 のハイブリッドがアクティブ化されたマシンを登録できます。EC2 以外のノードで Microsoft がリリースしたアプリケーションにパッチを適用し、Session Manager を使用して EC2 以外のノードに接続するには、アドバンストインスタンス層でも Patch Manager を使用する必要があります。詳細については、「[アドバンストインスタンス層を有効にするには](#fleet-manager-enable-advanced-instances-tier)」を参照してください。
このセクションでは、ハイブリッドおよびマルチクラウド環境を設定してアドバンストインスタンス層を使用する方法について説明します。
**[開始する前に]**
アドバンストインスタンス料金の詳細を確認します。アドバンストインスタンスは、従量制料金で利用できます。詳細については、「[AWS Systems Manager の料金](https://aws.amazon.com/systems-manager/pricing/)」を参照してください。
## アドバンストインスタンス層を有効にするためのアクセス権限の設定
AWS Identity and Access Management (IAM) にアクセス許可があることを確認して、環境を標準インスタンス層からアドバンストインスタンス層に変更します。`AdministratorAccess` IAM ポリシーをユーザー、グループ、またはロールにアタッチするか、Systems Manager アクティベーション層サービス設定を変更するアクセス許可を持っている必要があります。アクティベーション層の設定は、次の API オペレーションを使用します。
+ [GetServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetServiceSetting.html)
+ [UpdateServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateServiceSetting.html)
+ [ResetServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ResetServiceSetting.html)
インライン IAM ポリシーをユーザーアカウントに追加するには、以下の手順に従います。このポリシーにより、ユーザーは現在のマネージドインスタンス層の設定を表示できます。また、このポリシーにより、ユーザーは指定された AWS アカウント および AWS リージョン の現在の設定をリセットまたは変更できます。
1. AWS マネジメントコンソール にサインインして、IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. ナビゲーションペインで [**Users**] を選択します。
1. 一覧で、ポリシーを埋め込むユーザーの名前を選択します。
1. [**Permissions**] タブを選択します。
1. ページ右側にある [**Permission policies (権限のポリシー)**] で、[**Add inline policy (インラインポリシーの追加)**] を選択します。
1. [**JSON**] タブを選択します。
1. デフォルトコンテンツを以下のものと置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetServiceSetting"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:ResetServiceSetting",
"ssm:UpdateServiceSetting"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/managed-instance/activation-tier"
}
]
}
```
------
1. [**ポリシーの確認**] を選択します。
1. [**Review policy (ポリシーの確認)**] ページで、[**Name (名前)**] にインラインポリシーの名前を入力します。例: **Managed-Instances-Tier**。
1. [**Create policy**] を選択します。
管理者は、ユーザーに次のインラインポリシーを割り当てることで、読み取り専用アクセス許可を指定できます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetServiceSetting"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"ssm:ResetServiceSetting",
"ssm:UpdateServiceSetting"
],
"Resource": "*"
}
]
}
```
------
IAM ユーザーポリシーの作成と編集の詳細については、*IAM ユーザーガイド*の「[IAM ポリシーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。
## アドバンストインスタンス層を有効にするには (コンソール)
次の手順では、Systems Manager コンソールを使用して、指定した AWS アカウント と AWS リージョン で、マネージドインスタンスのアクティベーションを使用して追加されたすべての非 EC2 ノードでアドバンストインスタンス層を使用するように変更する方法を示します。
**[開始する前に]**
マネージドインスタンスを作成した AWS リージョン でコンソールを開いていることを確認します。コンソールの右上隅にあるリストを使用して、リージョンを切り替えることができます。
[ハイブリッドおよびマルチクラウド](operating-systems-and-machine-types.md#supported-machine-types)環境で、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスと非 EC2 マシンのセットアップ要件を完了していることを確認します。詳細については、「[AWS Systems Manager のマネージドノードのセットアップ](systems-manager-setting-up-nodes.md)」を参照してください。
**重要**
次の手順では、アカウントレベルの設定を変更する方法について説明します。この変更の結果、料金がお客様のアカウントに請求されます。
**アドバンストインスタンス層を有効にするには (コンソール)**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Fleet Manager]** を選択します。
1. **[設定]** を選択し、次に **[インスタンスティアの設定を変更]** を選択します。
1. ダイアログボックスでアカウント設定の変更に関する情報を確認します。
1. 承認する場合、承認するオプションを選択し、**[設定を変更]** を選択します。
システムがすべてのインスタンスを標準インスタンス層からアドバンストインスタンス層に移動するプロセスを完了するのに数分かかることがあります。
**注記**
標準インスタンス層への変更の詳細については、「[アドバンストインスタンス層から標準インスタンス層に戻す](fleet-manager-revert-to-standard-tier.md)」を参照してください。
## アドバンストインスタンス層を有効にするには (AWS CLI)
次の手順では、AWS Command Line Interface を使用して、指定した AWS アカウント および AWS リージョン で、マネージドインスタンスのアクティベーションを使用して追加された*すべて*のオンプレミスサーバーと VM でアドバンストインスタンス層を使用するように変更する方法を示します。
**重要**
次の手順では、アカウントレベルの設定を変更する方法について説明します。この変更の結果、料金がお客様のアカウントに請求されます。
**AWS CLI を使用してアドバンストインスタンス層を有効にするには**
1. AWS CLI を開き、次のコマンドを実行します。各*リソースプレースホルダーの例*をユーザー自身の情報に置き換えます。
------
#### [ Linux & macOS ]
```
aws ssm update-service-setting \
--setting-id arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier \
--setting-value advanced
```
------
#### [ Windows ]
```
aws ssm update-service-setting ^
--setting-id arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier ^
--setting-value advanced
```
------
コマンドが成功した場合、出力はありません。
1. 次のコマンドを実行して、現在の AWS アカウント および AWS リージョン のマネージドノードのサービス設定を表示します。
------
#### [ Linux & macOS ]
```
aws ssm get-service-setting \
--setting-id arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier
```
------
#### [ Windows ]
```
aws ssm get-service-setting ^
--setting-id arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier
```
------
このコマンドによって以下のような情報が返されます。
```
{
"ServiceSetting": {
"SettingId": "/ssm/managed-instance/activation-tier",
"SettingValue": "advanced",
"LastModifiedDate": 1555603376.138,
"LastModifiedUser": "arn:aws:sts::123456789012:assumed-role/Administrator/User_1",
"ARN": "arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/managed-instance/activation-tier",
"Status": "PendingUpdate"
}
}
```
## アドバンストインスタンス層を有効にするには (PowerShell)
次の手順では、AWS Tools for Windows PowerShell を使用して、指定した AWS アカウント および AWS リージョン で、マネージドインスタンスのアクティベーションを使用して追加された*すべて*のオンプレミスサーバーと VM でアドバンストインスタンス層を使用するように変更する方法を示します。
**重要**
次の手順では、アカウントレベルの設定を変更する方法について説明します。この変更の結果、料金がお客様のアカウントに請求されます。
**PowerShell を使用してアドバンストインスタンス層を有効にするには**
1. AWS Tools for Windows PowerShell を開き、次のコマンドを実行します。各*リソースプレースホルダーの例*をユーザー自身の情報に置き換えます。
```
Update-SSMServiceSetting `
-SettingId "arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier" `
-SettingValue "advanced"
```
コマンドが成功した場合、出力はありません。
1. 次のコマンドを実行して、現在の AWS アカウント および AWS リージョン のマネージドノードのサービス設定を表示します。
```
Get-SSMServiceSetting `
-SettingId "arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier"
```
このコマンドによって以下のような情報が返されます。
```
ARN:arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/managed-instance/activation-tier
LastModifiedDate : 4/18/2019 4:02:56 PM
LastModifiedUser : arn:aws:sts::123456789012:assumed-role/Administrator/User_1
SettingId : /ssm/managed-instance/activation-tier
SettingValue : advanced
Status : PendingUpdate
```
システムがすべてのノードをスタンダードインスタンス層からアドバンストインスタンス層に移動するプロセスを完了するのに数分かかることがあります。
**注記**
標準インスタンス層への変更の詳細については、「[アドバンストインスタンス層から標準インスタンス層に戻す](fleet-manager-revert-to-standard-tier.md)」を参照してください。
# アドバンストインスタンス層から標準インスタンス層に戻す
このセクションでは、アドバンストインスタンス層で実行されているハイブリッドアクティベーションノードをスタンダードインスタンス層に戻す方法について説明します。この設定は、AWS アカウント のすべてのハイブリッドアクティベーションノードおよび 1 つの AWS リージョン に適用されます。
**[開始する前に]**
次の重要な詳細を確認してください。
**注記**
アカウントおよびリージョンで実行しているハイブリッドアクティベーションノードの数が 1,000 を超える場合、標準インスタンス層に戻すことはできません。最初に一部のノードを登録解除して 1,000 以下にする必要があります。これは、Systems Manager をハイブリッドアクティベーションを使用する Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにも適用されます (これは一般的なシナリオではありません)。詳細については、「[ハイブリッドおよびマルチクラウド環境でのマネージドノードの登録解除](fleet-manager-deregister-hybrid-nodes.md)」を参照してください。
元に戻すと、AWS Systems Manager のツールである Session Manager を使用して、ハイブリッドアクティベーションノードにインタラクティブにアクセスすることはできなくなります。
元に戻すと、AWS Systems Manager のツールである Patch Manager を使用して、ハイブリッドアクティベーションノードの Microsoft アプリケーションにパッチを適用することはできなくなります。
すべてのハイブリッドアクティベーションノードを標準インスタンス層に戻すプロセスは、完了するまでに 30 分以上かかることがあります。
このセクションでは、AWS アカウント および AWS リージョン のすべてのハイブリッドアクティベーションノードをアドバンストインスタンス層からスタンダードインスタンス層に戻す方法について説明します。
## スタンダードインスタンス層に戻す (コンソール)
次の手順は、Systems Manager コンソールを使用して、指定した AWS アカウント および AWS リージョン で、[ハイブリッドおよびマルチクラウド](operating-systems-and-machine-types.md#supported-machine-types)環境のすべてのハイブリッドアクティベーションノードで標準インスタンス層を使用するように変更する方法を示しています。
**スタンダードインスタンス層に戻すには (コンソール)**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Fleet Manager]** を選択します。
1. [**Account settings**] ドロップダウンを選択し、[**Instance tier settings**] を選択します。
1. [**Change account setting (アカウント設定の変更)**] を選択します。
1. アカウント設定の変更に関するポップアップの情報を確認し、承認する場合は、同意して続行するオプションを選択します。
## 標準インスタンス層に戻す (AWS CLI)
次の手順では、AWS Command Line Interface を使用して、指定した AWS アカウント および AWS リージョン で標準インスタンス層を使用するように、[ハイブリッドおよびマルチクラウド](operating-systems-and-machine-types.md#supported-machine-types)環境内のすべてのハイブリッドアクティベーションノードを変更する方法を示します。
**AWS CLI を使用して標準インスタンス層に戻すには**
1. AWS CLI を開き、次のコマンドを実行します。各*リソースプレースホルダーの例*をユーザー自身の情報に置き換えます。
------
#### [ Linux & macOS ]
```
aws ssm update-service-setting \
--setting-id arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier \
--setting-value standard
```
------
#### [ Windows ]
```
aws ssm update-service-setting ^
--setting-id arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier ^
--setting-value standard
```
------
コマンドが成功した場合、出力はありません。
1. 次のコマンドを 30 分後に実行して、現在の AWS アカウント および AWS リージョン のマネージドインスタンスの設定を表示します。
------
#### [ Linux & macOS ]
```
aws ssm get-service-setting \
--setting-id arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier
```
------
#### [ Windows ]
```
aws ssm get-service-setting ^
--setting-id arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier
```
------
このコマンドによって以下のような情報が返されます。
```
{
"ServiceSetting": {
"SettingId": "/ssm/managed-instance/activation-tier",
"SettingValue": "standard",
"LastModifiedDate": 1555603376.138,
"LastModifiedUser": "System",
"ARN": "arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/managed-instance/activation-tier",
"Status": "Default"
}
}
```
リクエストが承認されると、ステータスが [*Default (デフォルト)*] に変わります。
## 標準インスタンス層に戻す (PowerShell)
次の手順では、AWS Tools for Windows PowerShell を使用して、指定した AWS アカウント および AWS リージョン で標準インスタンス層を使用するように、ハイブリッドおよびマルチクラウド環境内のハイブリッドアクティベーションノードを変更する方法を示します。
**PowerShell を使用して標準インスタンス層に戻すには**
1. AWS Tools for Windows PowerShell を開き、次のコマンドを実行します。
```
Update-SSMServiceSetting `
-SettingId "arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier" `
-SettingValue "standard"
```
コマンドが成功した場合、出力はありません。
1. 次のコマンドを 30 分後に実行して、現在の AWS アカウント および AWS リージョン のマネージドインスタンスの設定を表示します。
```
Get-SSMServiceSetting `
-SettingId "arn:aws:ssm:region:aws-account-id:servicesetting/ssm/managed-instance/activation-tier"
```
このコマンドによって以下のような情報が返されます。
```
ARN: arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/managed-instance/activation-tier
LastModifiedDate : 4/18/2019 4:02:56 PM
LastModifiedUser : System
SettingId : /ssm/managed-instance/activation-tier
SettingValue : standard
Status : Default
```
リクエストが承認されると、ステータスが [*Default (デフォルト)*] に変わります。
# マネージドノードのパスワードをリセットする
マネージドノード上の任意のユーザーのパスワードをリセットできます。これには、AWS Systems Manager が管理する Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、AWS IoT Greengrass コアデバイス、オンプレミスサーバー、エッジデバイス、仮想マシン (VM) が含まれます。パスワードリセット機能は、AWS Systems Manager のツールである Session Manager 上に構築されています。この機能を使用すると、インバウンドポートを開いたり、要塞ホストを維持したり、SSH キーを管理したりせずにマネージドノードに接続できます。
ユーザーがパスワードを忘れた場合、またはマネージドノードへの RDP または SSH 接続を行わずにパスワードをすばやく更新する場合には、パスワードリセットオプションが役立ちます。
**前提条件**
マネージドノードのパスワードをリセットする前に、次の要件を満たす必要があります。
+ パスワードを変更するマネージドノードは、Systems Manager マネージドノードである必要があります。また、SSM Agent バージョン 2.3.668.0 以降をマネージドノードにインストールする必要があります。SSM Agent のインストールまたは更新については、「[「SSM Agent」 の使用](ssm-agent.md)」を参照してください。
+ パスワードリセット機能では、アカウントに設定された Session Manager 設定を使用してマネージドノードに接続します。そのため、Session Manager を使用するための前提条件が、現在の AWS リージョン のアカウントで完了している必要があります。詳細については、「[Session Manager を設定する](session-manager-getting-started.md)」を参照してください。
**注記**
オンプレミスノードの Session Manager サポートは、アドバンストインスタンス層に対してのみ提供されています。詳細については、「[アドバンストインスタンス層を有効にするには](fleet-manager-enable-advanced-instances-tier.md)」を参照してください。
+ パスワードを変更する AWS ユーザーには、マネージドノードの `ssm:SendCommand` アクセス許可が必要です。詳細については、「[タグによる Run Command アクセスを制限](run-command-setting-up.md#tag-based-access)」を参照してください。
**アクセスの制限**
特定のマネージドノードへのパスワードをリセットするユーザーの能力を制限できます。これを行うには、`AWS-PasswordReset` SSM ドキュメントで Session Manager `ssm:StartSession` オペレーションに ID ベースのポリシーを使用します。詳細については、「[インスタンスへのユーザーセッションアクセスを制御する](session-manager-getting-started-restrict-access.md)」を参照してください。
**データの暗号化**
マネージドノードのパスワードリセットオプションを使用するには、Session Manager データの AWS Key Management Service (AWS KMS) 完全暗号化を有効にします。詳細については、「[セッションデータの KMS キー暗号化を有効にする (コンソール)](session-preferences-enable-encryption.md)」を参照してください。
## マネージドノードでパスワードをリセットする
Systems Manager **Fleet Manager** コンソールまたは AWS Command Line Interface (AWS CLI) を使用して、Systems Manager のマネージドノードでパスワードをリセットできます。
**マネージドノードのパスワードを変更するには (コンソール)**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Fleet Manager]** を選択します。
1. 新しいパスワードが必要なノードの横にあるボタンを選択します。
1. **[インスタンスアクション]、[パスワードのリセット]** を選択します。
1. [**User name**] に、パスワードを変更するユーザーの名前を入力します。ノードのアカウントを持つ任意のユーザー名を使用することができます。
1. [**Submit**] (送信) をクリックします。
1. [**Enter new password**] コマンドウィンドウのプロンプトに従って、新しいパスワードを指定します。
**注記**
マネージドノード上の SSM Agent のバージョンでパスワードのリセットがサポートされていない場合は、AWS Systems Manager のツールである Run Command を使用して、サポートされているバージョンをインストールするように求められます。
**マネージドノードのパスワードをリセットするには (AWS CLI)**
1. マネージドノードのユーザーのパスワードをリセットするには、次のコマンドを実行します。各*リソースプレースホルダーの例*をユーザー自身の情報に置き換えます。
**注記**
AWS CLI を使用してパスワードをリセットするには、ローカルマシンに Session Manager プラグインをインストールする必要があります。詳細については、[AWS CLI 用の Session Manager プラグインをインストールする](session-manager-working-with-install-plugin.md) を参照してください。
------
#### [ Linux & macOS ]
```
aws ssm start-session \
--target instance-id \
--document-name "AWS-PasswordReset" \
--parameters '{"username": ["user-name"]}'
```
------
#### [ Windows ]
```
aws ssm start-session ^
--target instance-id ^
--document-name "AWS-PasswordReset" ^
--parameters username="user-name"
```
------
1. [**Enter new password**] コマンドウィンドウのプロンプトに従って、新しいパスワードを指定します。
## マネージドノードでのパスワードリセットの問題をトラブルシューティングする
パスワードリセットの問題は通常、[パスワードリセット前提条件](#pw-reset-prereqs) を完了することで解決できます。それ以外の問題の場合は、次の情報を使用して、パスワードリセットの問題をトラブルシューティングします。
**Topics**
+ [マネージドノードを使用できない](#password-reset-troubleshooting-instances)
+ [SSM Agent が最新ではない (コンソール)](#password-reset-troubleshooting-ssmagent-console)
+ [パスワードリセットオプションが提供されていません (AWS CLI)](#password-reset-troubleshooting-ssmagent-cli)
+ [`ssm:SendCommand` を実行する権限がない](#password-reset-troubleshooting-sendcommand)
+ [Session Manager エラーメッセージ](#password-reset-troubleshooting-session-manager)
### マネージドノードを使用できない
**問題**: **マネージドインスタンス**コンソールのページでマネージドノードのパスワードをリセットしたいが、ノードがリストにありません。
+ **解決方法**: 接続するマネージドノードが Systems Manager 向けに設定されていない可能性があります。Systems Manager EC2 でインスタンスを使用するには、AWS Identity and Access Management (IAM) インスタンスプロファイルをインスタンスにアタッチする必要があります。これにより、インスタンスに対してアクションを実行するためのアクセス許可が Systems Manager に付与されます。詳細については、「[Systems Manager に必要なインスタンスのアクセス許可を設定する](setup-instance-permissions.md)」を参照してください。
Systems Manager で非 EC2 マシンを使用するには、マネージドノードでアクションを実行するための許可を Systems Manager に付与する IAM サービスロールを作成します。詳細については、「[ハイブリッドおよびマルチクラウド環境で Systems Manager に必要な IAM サービスロールを作成する](hybrid-multicloud-service-role.md)」を参照してください。(オンプレミスサーバーおよび VM に対する Session Manager のサポートは、アドバンストインスタンス層でのみ提供されています。詳細については「[アドバンストインスタンス層を有効にするには](fleet-manager-enable-advanced-instances-tier.md)」を参照してください。)
### SSM Agent が最新ではない (コンソール)
**問題**: SSM Agent のバージョンがパスワードリセット機能をサポートしていないことを示すメッセージが表示される。
+ **解決策**: パスワードのリセットを実行するには、バージョン 2.3.668.0 以降の SSM Agent が必要です。コンソールで、**[SSM Agent を更新]** を選択すると、マネージドノード上のエージェントを更新できます。
新しいツールが Systems Manager に追加されるか、既存のツールが更新されると必ず、更新されたバージョンの SSM Agent がリリースされます。最新バージョンのエージェントを使用しないと、マネージドノードが Systems Manager の各種ツールや機能を使用できなくなる可能性があります。このため、マシン上で SSM Agent を最新状態に維持するプロセスを自動化することをお勧めします。詳細については、「[SSM Agent への更新の自動化](ssm-agent-automatic-updates.md)」を参照してください。GitHub の「[SSM Agent リリースノート](https://github.com/aws/amazon-ssm-agent/blob/mainline/RELEASENOTES.md)」ページをサブスクライブすると、SSM Agent の更新に関する通知を受け取ることができます。
### パスワードリセットオプションが提供されていません (AWS CLI)
**問題**: AWS CLI `[https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html)` コマンドを使用してマネージドノードに正常に接続する。SSM ドキュメント `AWS-PasswordReset` を指定し、有効なユーザー名を指定したが、パスワードを変更するプロンプトが表示されない。
+ **解決策**: マネージドノードの SSM Agent のバージョンが最新ではありません。パスワードのリセットを実行するには、バージョン 2.3.668.0 以降が必要です。
新しいツールが Systems Manager に追加されるか、既存のツールが更新されると必ず、更新されたバージョンの SSM Agent がリリースされます。最新バージョンのエージェントを使用しないと、マネージドノードが Systems Manager の各種ツールや機能を使用できなくなる可能性があります。このため、マシン上で SSM Agent を最新状態に維持するプロセスを自動化することをお勧めします。詳細については、「[SSM Agent への更新の自動化](ssm-agent-automatic-updates.md)」を参照してください。GitHub の「[SSM Agent リリースノート](https://github.com/aws/amazon-ssm-agent/blob/mainline/RELEASENOTES.md)」ページをサブスクライブすると、SSM Agent の更新に関する通知を受け取ることができます。
### `ssm:SendCommand` を実行する権限がない
**問題**: マネージドノードに接続してパスワードを変更しようとすると、マネージドノードで `ssm:SendCommand` を実行する権限がないことを示すエラーメッセージが表示される。
+ **解決策**: IAM ポリシーに、`ssm:SendCommand` コマンドを実行するアクセス許可が含まれている必要があります。詳細については、「[タグによる Run Command アクセスを制限](run-command-setting-up.md#tag-based-access)」を参照してください。
### Session Manager エラーメッセージ
**問題**: Session Manager に関連するエラーメッセージが表示されます。
+ **解決策**: パスワードリセットをサポートするには、Session Manager が正しく構成されている必要があります。詳細については、「[Session Manager を設定する](session-manager-getting-started.md)」および「[Session Manager のトラブルシューティング](session-manager-troubleshooting.md)」を参照してください。
# ハイブリッドおよびマルチクラウド環境でのマネージドノードの登録解除
AWS Systems Manager を使用してオンプレミスサーバー、エッジデバイスまたは仮想マシン (VM) を管理する必要がなくなった場合は、登録解除できます。ハイブリッドアクティベーションノードの登録を解除すると、Systems Manager のマネージドノードの一覧からそのハイブリッドマシンが削除されます。AWS Systems Managerハイブリッドアクティベーションノードで実行されていたエージェント (SSM Agent) はもう登録されていないため、認可トークンを更新できなくなります。SSM Agent は休止状態になり、クラウド内の Systems Manager に対する ping の回数が 1 時間 1 回に減少します。Systems Manager は、登録解除されたマネージドノードのコマンド履歴を 30 日間保存します。
**注記**
指定のアクティベーションコードと ID のインスタンス制限に達していない限り、同じアクティベーションコードと ID を使用してオンプレミスサーバー、エッジデバイス、または VM を再登録できます。コンソールでインスタンス制限を確認するには、**[ノードツール]** を選択してから **[ハイブリッドアクティベーション]** を選択します。**[登録済みインスタンス]** の値が **[登録の制限]** を下回っている場合は、同じアクティベーションコードと ID を使用して再登録できます。上回っている場合は、別のアクティベーションコードと ID を使用する必要があります。
次の手順では、Systems Manager コンソールを使用してハイブリッドアクティベーションノードを登録解除する方法を示します。これを AWS Command Line Interface で行う方法については、「[deregister-managed-instance](https://docs.aws.amazon.com/cli/latest/reference/ssm/deregister-managed-instance.html)」を参照してください。
関連情報については、次のトピックを参照してください。
+ [マネージドノードの登録解除と再登録 (Linux)](hybrid-multicloud-ssm-agent-install-linux.md#systems-manager-install-managed-linux-deregister-reregister) (Linux)
+ [マネージドノードの登録解除と再登録 (Windows Server)](hybrid-multicloud-ssm-agent-install-windows.md#systems-manager-install-managed-win-deregister-reregister) (Windows Server)
**ハイブリッドアクティベーションノードを登録解除するには (コンソール)**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Fleet Manager]** を選択します。
1. 登録解除するマネージドノードの横にあるチェックボックスを選択します。
1. **[ノードアクション、ツール、このマネージドノードの登録を解除]** を選択します。
1. **[このマネージドノードの登録を解除]** ダイアログボックスの情報を確認します。承認する場合は、**[登録を解除]** を選択します。
# Fleet Manager を使用して OS ファイルシステムを操作する
AWS Systems Manager のツールである Fleet Manager を使用すると、マネージドノード上のファイルシステムを操作できます。Fleet Manager を使用して、マネージドノードにアタッチされたボリュームに保存されているディレクトリとファイルのデータに関する情報を表示できます。例えば、ディレクトリとファイルの名前、サイズ、拡張子、所有者、および許可を表示できます。Fleet Managerコンソールからは、最大 10,000 行のファイルデータをテキストとしてプレビューできます。この機能は、`tail` ファイルにも使用できます。`tail` を使用してファイルデータを表示するときは、ファイルの最後の 10 行が最初に表示されます。ビューは、新しいデータの行がファイルに書き込まれると同時にリアルタイムで更新されます。その結果、コンソールからログデータを確認できるようになり、トラブルシューティングとシステム管理の効率性が向上します。さらに、ディレクトリの作成、ファイルやディレクトリのコピー、切り取り、貼り付け、名前の変更、削除を行うことができます。
定期的にバックアップを作成する、またはマネージドノードにアタッチされた Amazon Elastic Block Store (Amazon EBS) ボリュームのスナップショットを作成することをお勧めします。ファイルのコピー、または切り取り、貼り付けを行うと、新しいファイルまたはディレクトリと同じ名前のデスティネーションパス内の既存のファイルとディレクトリが置き換えられます。システムファイルとディレクトリを置き換えたり変更すると、深刻な問題が発生する可能性があります。AWS は、これらの問題を解決できることを保証しません。システムファイルを変更するには、ご自分の責任で行ってください。すべてのファイルやディレクトリの変更、およびバックアップの確保はユーザーの責任となります。ファイルおよびディレクトリの削除または置換は元に戻せません。
**注記**
Fleet Manager は、AWS Systems Manager のツールである Session Manager を使用して、テキストプレビューと `tail` ファイルを表示します。Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの場合、マネージドインスタンスにアタッチされたインスタンスプロファイルは、Session Manager がこの機能を使用する許可を提供する必要があります。インスタンスプロファイルへのSession Managerアクセス許可の追加に関する詳細については、「[既存の IAM ロールに Session Manager 許可を追加する](getting-started-add-permissions-to-existing-profile.md)」を参照してください。
**Topics**
+ [Fleet Manager を使用して OS ファイルシステムを表示する](fleet-manager-viewing-file-system.md)
+ [Fleet Manager を使用して OS ファイルをプレビューする](fleet-manager-preview-os-files.md)
+ [Fleet Manager を使用して OS ファイルをテーリングする](fleet-manager-tailing-os-files.md)
+ [Fleet Manager を使用して OS ファイルまたはディレクトリのコピー、切り取り、貼り付けを行う](fleet-manager-move-files-or-directories.md)
+ [Fleet Manager を使用して OS ファイルとディレクトリの名前を変更する](fleet-manager-renaming-files-and-directories.md)
+ [Fleet Manager を使用して OS ファイルとディレクトリを削除する](fleet-manager-deleting-files-and-directories.md)
+ [Fleet Manager を使用して OS ディレクトリを作成する](fleet-manager-creating-directories.md)
+ [Fleet Manager を使用して OS ディレクトリの切り取り、コピー、貼り付けを行う](fleet-manager-managing-directories.md)
# Fleet Manager を使用して OS ファイルシステムを表示する
Fleet Manager を使用して、Systems Manager マネージドノード上の OS ファイルシステムを表示できます。
**Fleet Manager を使用して OS ファイルシステムを表示するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Fleet Manager]** を選択します。
1. 表示するファイルシステムが含まれるマネージドノードのリンクを選択します。
1. **[ツール]、[ファイルシステム]** を選択します。
# Fleet Manager を使用して OS ファイルをプレビューする
Fleet Manager を使用して OS 上のテキストファイルをプレビューできます。
**Fleet Manager を使用してファイルのテキストプレビューを表示するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Fleet Manager]** を選択します。
1. プレビューするファイルが含まれるマネージドノードのリンクを選択します。
1. **[ツール]、[ファイルシステム]** を選択します。
1. プレビューするファイルが含まれているディレクトリの [**ファイル名**] を選択します。
1. コンテンツをプレビューするファイルの横にあるボタンを選択します。
1. **[アクション]、[テキストとしてプレビュー]** を選択します。
# Fleet Manager を使用して OS ファイルをテーリングする
Fleet Manager を使用して、マネージドノードでファイルをテーリングできます。
**Fleet Manager でファイルをテーリングするには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Fleet Manager]** を選択します。
1. テールするファイルが含まれるマネージドノードのリンクを選択します。
1. **[ツール]、[ファイルシステム]** を選択します。
1. テールするファイルが含まれるディレクトリの [**File name**] (ファイル名) を選択します。
1. コンテンツをテールするファイルの横にあるボタンを選択します。
1. **[アクション]、[ファイルの末尾]** を選択します。
# Fleet Manager を使用して OS ファイルまたはディレクトリのコピー、切り取り、貼り付けを行う
Fleet Manager を使用して、マネージドノードで OS ファイルのコピー、切り取り、貼り付けを行うことができます。
**Fleet Manager を使用してファイルまたはディレクトリをコピーまたはカットアンドペーストするには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Fleet Manager]** を選択します。
1. コピー、切り取りまたは貼り付けするファイルが含まれるマネージドノードのリンクを選択します。
1. **[ツール]、[ファイルシステム]** を選択します。
1. ファイルをコピーまたはカットするには、コピーまたはカットするファイルを含むディレクトリの**ファイル名**を選択します。ディレクトリをコピーまたはカットするには、コピーまたはカットするディレクトリの横にあるボタンを選択し、ステップ 8 に進みます。
1. コピーまたはカットするファイルの横にあるボタンを選択します。
1. [**アクション**] メニューで [**コピー**] または [**カット**] を選択します。
1. [**ファイルシステム**] ビューで、ファイルを貼り付けるディレクトリの横にあるボタンを選択します。
1. [**アクション**] メニューで [**ペースト**] を選択します。
# Fleet Manager を使用して OS ファイルとディレクトリの名前を変更する
Fleet Manager を使用して、アカウントのマネージドノード上のファイルとディレクトリの名前を変更できます。
**Fleet Manager でファイルまたはディレクトリの名前を変更するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Fleet Manager]** を選択します。
1. 名前を変更するファイルまたはディレクトリが含まれるマネージドノードのリンクを選択します。
1. **[ツール]、[ファイルシステム]** を選択します。
1. ファイルの名前を変更するには、名前を変更するファイルが含まれているディレクトリの [**ファイル名**] を選択します。ディレクトリの名前を変更するには、名前を変更するディレクトリの横にあるボタンを選択し、ステップ 8 に進みます。
1. 名前を変更するファイルの横にあるボタンを選択します。
1. **[アクション]、[名前を変更]** を選択します。
1. **[ファイル名]** フィールドにファイルの新しい名前を入力し、**[名前を変更]** を選択します。
# Fleet Manager を使用して OS ファイルとディレクトリを削除する
Fleet Manager を使用して、アカウントのマネージドノード上のファイルとディレクトリを削除できます。
**Fleet Manager を使用してファイルまたはディレクトリを削除するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Fleet Manager]** を選択します。
1. 削除するファイルまたはディレクトリが含まれるマネージドノードのリンクを選択します。
1. **[ツール]、[ファイルシステム]** を選択します。
1. ファイルのを削除するには、削除するファイルが含まれているディレクトリの [**ファイル名**] を選択します。ディレクトリを削除するには、削除するディレクトリの横にあるボタンを選択し、ステップ 7 に進みます。
1. 削除するコンテンツが含まれるファイルの横にあるボタンを選択します。
1. **[アクション]、[削除]** を選択します。
# Fleet Manager を使用して OS ディレクトリを作成する
Fleet Manager を使用して、アカウントのマネージドノードにディレクトリを作成できます。
**Fleet Manager を使用してディレクトリを作成するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Fleet Manager]** を選択します。
1. ディレクトリを作成するマネージドノードのリンクを選択します。
1. **[ツール]、[ファイルシステム]** を選択します。
1. 新しいディレクトリを作成するディレクトリの [**ファイル名**] を選択します。
1. [**ディレクトリを作成**] を選択します。
1. **[ディレクトリ名]** フィールドに新しいディレクトリの名前を入力し、**[ディレクトリを作成]** を選択します。
# Fleet Manager を使用して OS ディレクトリの切り取り、コピー、貼り付けを行う
Fleet Manager を使用して、アカウントのマネージドノード上のディレクトリの切り取り、コピー、貼り付けを行うことができます。
**Fleet Manager でファイルまたはディレクトリをコピーまたはカットアンドペーストするには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Fleet Manager]** を選択します。
1. コピー、切り取りまたは貼り付けするファイルが含まれるマネージドノードのリンクを選択します。
1. **[ツール]、[ファイルシステム]** を選択します。
1. コピーまたは切り取りを行うディレクトリの横にあるボタンを選択し、ステップ 8 に進みます。
1. [**アクション**] メニューで [**コピー**] または [**カット**] を選択します。
1. [**ファイルシステム**] ビューで、ファイルを貼り付けるディレクトリの横にあるボタンを選択します。
1. [**アクション**] メニューで [**ペースト**] を選択します。
# マネージドノードのパフォーマンスの監視
AWS Systems Manager のツールである Fleet Manager を使用すると、マネージドノードに関するパフォーマンスデータをリアルタイムで表示できます。パフォーマンスデータは、パフォーマンスカウンターから取得されます。
Fleet Managerでは、以下のパフォーマンスカウンターを使用できます。
+ CPU 使用率
+ ディスク入出力 (I/O) 使用率
+ ネットワークトラフィック
+ メモリ使用量
**注記**
Fleet Manager は AWS Systems Manager のツールである Session Manager を使用してパフォーマンスデータを取得します。Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの場合、マネージドインスタンスにアタッチされたインスタンスプロファイルは、Session Manager がこの機能を使用する許可を提供する必要があります。インスタンスプロファイルへのSession Managerアクセス許可の追加に関する詳細については、「[既存の IAM ロールに Session Manager 許可を追加する](getting-started-add-permissions-to-existing-profile.md)」を参照してください。
**Fleet Managerでパフォーマンスデータを表示する**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Fleet Manager]** を選択します。
1. パフォーマンスを監視するマネージドノードの横にあるボタンを選択します。
1. **[詳細を表示]** を選択します。
1. **[ツール]、[パフォーマンスカウンター]** を選択します。
# プロセスの操作
AWS Systems Manager のツールである Fleet Manager を使用してマネージドインスタンス上のプロセスを操作します。Fleet Manager では、プロセスに関する情報を表示できます。たとえば、プロセスの CPU 使用率とメモリ使用率について、そのハンドルとスレッドとともに確認できます。Fleet Manager では、コンソールからプロセスを開始および終了できます。
**注記**
Fleet Manager は AWS Systems Manager のツールである Session Manager を使用してプロセスデータを取得します。Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの場合、マネージドインスタンスにアタッチされたインスタンスプロファイルは、Session Manager がこの機能を使用する許可を提供する必要があります。インスタンスプロファイルへのSession Managerアクセス許可の追加に関する詳細については、「[既存の IAM ロールに Session Manager 許可を追加する](getting-started-add-permissions-to-existing-profile.md)」を参照してください。
**Topics**
+ [Fleet Manager を使用して OS プロセスの詳細を表示する](fleet-manager-view-process-details.md)
+ [Fleet Manager を使用してマネージドノードで OS プロセスを開始する](fleet-manager-start-process.md)
+ [Fleet Manager を使用して OS プロセスを終了する](fleet-manager-terminate-process.md)
# Fleet Manager を使用して OS プロセスの詳細を表示する
Fleet Manager ビューを使用してマネージドノードのプロセスに関する詳細を表示できます。
**Fleet Manager を使用してプロセスに関する詳細を表示するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Fleet Manager]** を選択します。
1. プロセスを表示するノードのリンクを選択します。
1. **[ツール]、[プロセス]** を選択します。
# Fleet Manager を使用してマネージドノードで OS プロセスを開始する
Fleet Manager を使用して、マネージドノードでプロセスを開始できます。
**Fleet Manager でプロセスを開始するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Fleet Manager]** を選択します。
1. プロセスを開始するマネージドノードのリンクを選択します。
1. **[ツール]、[プロセス]** を選択します。
1. **[Start new process]** (新しいプロセスを開始) を選択します。
1. **[プロセス名または完全なパス]** フィールドに、プロセスの名前または実行可能ファイルへの完全なパスを入力します。
1. (オプション) **[作業ディレクトリ]** フィールドに、プロセスを実行するディレクトリパスを入力します。
# Fleet Manager を使用して OS プロセスを終了する
**Fleet Manager を使用して OS プロセスを終了するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Fleet Manager]** を選択します。
1. プロセスを開始するマネージドノードのリンクを選択します。
1. **[ツール]、[プロセス]** を選択します。
1. 終了するプロセスの横にあるボタンを選択します。
1. **[アクション]、[プロセスの終了]** または **[アクション]、[プロセスツリーの終了]** のいずれかを選択します。
**注記**
プロセスツリーを終了すると、そのプロセスを使用するすべてのプロセスとアプリケーションも終了します。
# マネージドノードのログを表示する
AWS Systems Manager のツールである Fleet Manager を使用すると、マネージドノードに格納されているログデータを表示できます。Windows マネージドノードの場合は、Windows イベントログを表示して、コンソールから詳細をコピーできます。イベントを検索しやすくするために、Windows イベントログを [**Event level**] (イベントレベル)、[**Event ID**] (イベント ID)、[**Event source**] (イベントソース)、および [**Time created**] (作成時刻) でフィルタリングします。ファイルシステムを表示する手順を使用して、他のログデータを表示することもできます。Fleet Managerでのファイルシステムの表示に関する詳細については、「[Fleet Manager を使用して OS ファイルシステムを操作する](fleet-manager-file-system-management.md)」を参照してください。
**Fleet Manager で Windows イベントログを表示する**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Fleet Manager]** を選択します。
1. イベントログを表示するマネージドノードの横にあるボタンを選択します。
1. **[詳細を表示]** を選択します。
1. **[ツール]、[Windows イベントログ]** を選択します。
1. 表示するイベントが含まれた [**Log name**] (ログ名) を選択します。
1. 表示する [**Log name**] (ログ名) の横にあるボタンを選択し、[**View events**] (イベントを表示) をクリックします。
1. 表示するイベントの横にあるボタンを選択して、[**View event details **] (イベント詳細を表示) をクリックします。
1. (オプション) [**Copy as JSON**] (JSONとしてコピー) をクリックして、イベントの詳細をクリップボードにコピーします。
# Fleet Manager を使用してマネージドノード上の OS ユーザーアカウントとグループを管理する
AWS Systems Manager のツールである Fleet Manager を使用して、マネージドノード上のオペレーティングシステム (OS) のユーザーアカウントとグループを管理できます。例えば、ユーザーとグループを作成および削除できます。さらに、グループメンバーシップ、ユーザーロール、およびステータスなどの詳細も表示できます。
**重要**
Fleet Manager は、さまざまなユーザー管理のオペレーションのために、AWS Systems Manager のツールである Run Command と Session Manager を使用します。その結果、ユーザーは、通常はアクセス許可を付与できないオペレーティングシステムのユーザーアカウントにアクセス許可を付与することができます。これは、AWS Systems Manager Agent (SSM Agent) が Amazon Elastic Compute Cloud (Amazon EC2) インスタンス上でルートアクセス許可 (Linux) またはシステムアクセス許可 (Windows Server) を使用して実行されるためです。SSM Agent 経由でのルートレベルのコマンドへのアクセスの制限に関する詳細については、「[SSM Agent を介してルートレベルコマンドへのアクセスを制限する](ssm-agent-restrict-root-level-commands.md)」を参照してください。この機能へのアクセスを制限するには、定義したアクションのみへのアクセスを許可する AWS Identity and Access Management (IAM) ポリシーをユーザー用に作成することをお勧めします。Fleet Manager の IAM ポリシー作成の詳細については、「[Fleet Manager へのアクセスのコントロール](configuring-fleet-manager-permissions.md)」を参照してください。
**Topics**
+ [Fleet Manager を使用して OS ユーザーまたはグループを作成する](manage-os-user-accounts-create.md)
+ [Fleet Manager を使用してユーザーまたはグループのメンバーシップを更新する](manage-os-user-accounts-update.md)
+ [Fleet Manager を使用して OS ユーザーまたはグループを削除する](manage-os-user-accounts-delete.md)
# Fleet Manager を使用して OS ユーザーまたはグループを作成する
**注記**
Fleet Managerは、新規ユーザーのパスワードの設定にSession Managerを使用します。Amazon EC2 インスタンスの場合、マネージドノードにアタッチされたインスタンスプロファイルは、Session Manager がこの機能を使用する許可を提供する必要があります。インスタンスプロファイルへのSession Managerアクセス許可の追加に関する詳細については、「[既存の IAM ロールに Session Manager 許可を追加する](getting-started-add-permissions-to-existing-profile.md)」を参照してください。
サーバーに直接ログオンしてユーザーアカウントまたはグループを作成する代わりに、Fleet Manager コンソールを使用して同じタスクを実行できます。
**Fleet Manager を使用して OS ユーザーアカウントを作成するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Fleet Manager]** を選択します。
1. 新しいユーザーを作成するマネージドノードの横にあるボタンを選択します。
1. **[詳細を表示]** を選択します。
1. **[ツール]、[ユーザーとグループ]** を選択します。
1. [**Users**] (ユーザー) タブを選択してから、[**Create user**] (ユーザーを作成) をクリックします。
1. 新しいユーザーの [**Name**] (名前) に値を入力します。
1. (推奨) [**Set password**] (パスワードを設定) の横にあるチェックボックスをオンにします。手順の最後に、新しいユーザーのパスワードを入力を求められます。
1. [**Create user**] (ユーザーを作成) をクリックします。新しいユーザーのパスワードを作成するチェックボックスをオンにした場合は、パスワードの値を入力して [**Done**] (完了) をクリックするように求められます。指定するパスワードが、マネージドノードのローカルポリシーまたはドメインポリシーで指定された要件を満たしていない場合は、エラーが返されます。
**Fleet Manager を使用して OS グループを作成するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Fleet Manager]** を選択します。
1. グループを作成するマネージドノードの横にあるボタンを選択します。
1. **[詳細を表示]** を選択します。
1. **[ツール]、[ユーザーとグループ]** を選択します。
1. [**グループ**] タブを選択してから、[**グループの作成**] を選択します。
1. 新しいグループの [**Name**] (名前) に値を入力します。
1. (オプション) 新しいグループの [**Description**] (説明) に値を入力します。
1. (オプション) 新しいグループの [**Group members**] (グループメンバー) に追加するユーザーを選択します。
1. [**Create group**] (グループを作成) を選択します。
# Fleet Manager を使用してユーザーまたはグループのメンバーシップを更新する
サーバーに直接ログオンしてユーザーアカウントまたはグループを更新する代わりに、Fleet Manager コンソールを使用して同じタスクを実行できます。
**Fleet Manager を使用して OS ユーザーアカウントを新しいグループに追加するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Fleet Manager]** を選択します。
1. 更新するユーザーアカウントが存在するマネージドノードの横にあるボタンを選択します。
1. **[詳細を表示]** を選択します。
1. **[ツール]、[ユーザーとグループ]** を選択します。
1. [**Users**] (ユーザー) タブを選択します。
1. 更新するユーザーの横にあるボタンを選択します。
1. **[アクション]、[ユーザーをグループに追加]** を選択します。
1. [**Add to group **] (グループに追加) で、ユーザーを追加するグループを選択します。
1. [**Add user to group**] (ユーザーをグループに追加) を選択します。
**Fleet Manager を使用して OS グループのメンバーシップを編集するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Fleet Manager]** を選択します。
1. 更新するグループが存在するマネージドノードの横にあるボタンを選択します。
1. **[詳細を表示]** を選択します。
1. **[ツール]、[ユーザーとグループ]** を選択します。
1. [**Groups**] (グループ) タブを選択します。
1. 更新するグループの横にあるボタンを選択します。
1. **[アクション]、[グループを変更]** を選択します。
1. [**Group members**] (グループメンバー) で、追加または削除するユーザーを選択します。
1. [**Modify group**] (グループを変更) をクリックします。
# Fleet Manager を使用して OS ユーザーまたはグループを削除する
サーバーに直接ログオンしてユーザーアカウントまたはグループを削除する代わりに、Fleet Manager コンソールを使用して同じタスクを実行できます。
**Fleet Manager を使用して OS ユーザーアカウントを削除するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Fleet Manager]** を選択します。
1. 削除するユーザーアカウントが存在するマネージドノードの横にあるボタンを選択します。
1. **[詳細を表示]** を選択します。
1. **[ユーザーとグループ]** を選択します。
1. [**Users**] (ユーザー) タブを選択します。
1. 削除するユーザーの横にあるボタンを選択します。
1. **[アクション]、[ローカルユーザーの削除]** を選択します。
**Fleet Manager を使用して OS グループを削除するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Fleet Manager]** を選択します。
1. 削除するグループが存在するマネージドノードの横にあるボタンを選択します。
1. **[詳細を表示]** を選択します。
1. **[ツール]、[ユーザーとグループ]** を選択します。
1. [**Group**] (グループ) タブを選択します。
1. 更新するグループの横にあるボタンを選択します。
1. **[アクション]、[ローカルグループを削除]** を選択します。
# マネージドノードでの Windows レジストリの管理
AWS Systems Manager のツールである Fleet Manager を使用すると、Windows Server マネージドノード上のレジストリを管理できます。Fleet Managerコンソールからは、レジストリのエントリと値を作成、コピー、更新、および削除することが可能です。
**重要**
レジストリを変更する前に、レジストリのバックアップを作成する、またはマネージドノードにアタッチされたルート Amazon Elastic Block Store (Amazon EBS) ボリュームのスナップショットを作成することをお勧めします。レジストリを誤って変更すると、深刻な問題が発生する可能性があります。これらの問題には、オペレーティングシステムの再インストール、またはスナップショットからのノードのルートボリュームの復元が必要になる場合があります。AWS は、これらの問題が解決できることを保証しません。レジストリの変更は自己責任で行ってください。すべてのレジストリ変更、およびバックアップの確保はユーザーの責任となります。
## Windows レジストリキーまたはエントリの作成
**Fleet Managerで Windows レジストリキーを作成する**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Fleet Manager]** を選択します。
1. レジストリキーを作成するマネージドノードの横にあるボタンを選択します。
1. **[詳細を表示]** を選択します。
1. **[ツール]、[Windows レジストリ]** を選択します。
1. [**Registry name**] (レジストリ名) を選択して、新しいレジストリキーを作成するハイブを選択します。
1. **[作成]、[レジストリキーの作成]** を選択します。
1. 新しいキーを作成するレジストリエントリの横にあるボタンを選択します。
1. [**Create registry key**] ( レジストリキーを作成) をクリックします。
1. 新しいレジストリキーの [**Name**] (名前) に値を入力し、[**Submit**] (送信) をクリックします。
**Fleet Managerで Windows レジストリエントリを作成する**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Fleet Manager]** を選択します。
1. レジストリエントリを作成するインスタンスの横にあるボタンを選択します。
1. [**View details**] を選択します。
1. **[ツール]、[Windows レジストリ]** を選択します。
1. [**Registry name**] (レジストリ名) を選択してハイブを選択してから、新しいレジストリキーを作成するレジストリキーを選択します。
1. **[作成]、[レジストリエントリの作成]** を選択します。
1. 新しいレジストリエントリの [**Name**] (名前) に値を入力します。
1. レジストリエントリに対して作成する値の [**Type**] (種類) を選択します。レジストリ値の種類の詳細については、[Registry value types](https://docs.microsoft.com/en-us/windows/win32/sysinfo/registry-value-types) を参照してください。
1. 新しいレジストリエントリの [**Value**] (値) に値を入力します。
## Windows レジストリエントリを更新する
**Fleet Managerで Windows レジストリエントリを更新する**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Fleet Manager]** を選択します。
1. レジストリエントリを更新するマネージドノードの横にあるボタンを選択します。
1. **[詳細を表示]** を選択します。
1. **[ツール]、[Windows レジストリ]** を選択します。
1. [**Registry name**] (レジストリ名) を選択してハイブを選択してから、更新するレジストリキーを選択します。
1. 更新するレジストリエントリの横にあるボタンを選択します。
1. **[アクション]、[レジストリエントリの更新]** を選択します。
1. 新しいレジストリエントリの [**Value**] (値) に新しい値を入力します。
1. [**Update (更新)**] を選択します。
## Windows レジストリのエントリまたはキーの削除
**Fleet Managerで Windows レジストリキーを削除する**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Fleet Manager]** を選択します。
1. レジストリキーを削除するマネージドノードの横にあるボタンを選択します。
1. **[ツール]、[Windows レジストリ]** を選択します。
1. [**Registry name**] (レジストリ名) を選択してハイブを選択してから、削除するレジストリキーを選択します。
1. 削除するレジストリキーの横にあるボタンを選択します。
1. **[アクション]、[レジストリキーの削除]** を選択します。
**Fleet Managerで Windows レジストリエントリを削除する**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Fleet Manager]** を選択します。
1. レジストリエントリを削除するマネージドノードの横にあるボタンを選択します。
1. **[詳細を表示]** を選択します。
1. **[ツール]、[Windows レジストリ]** を選択します。
1. [**Registry name**] (レジストリ名) を選択してハイブを選択してから、削除するエントリが含まれるレジストリキーを選択します。
1. 削除するレジストリエントリの横にあるボタンを選択します。
1. **[アクション]、[レジストリエントリの削除]** を選択します。
# Default Host Management Configuration を使用した EC2 インスタンスの自動管理
デフォルトのホスト管理設定では、AWS Systems Manager が Amazon EC2 インスタンスをマネージドインスタンスとして自動的に管理できます。マネージドインスタンスとは、Systems Manager で使用するために設定された EC2 インスタンスです。
Systems Manager を使用してインスタンスを管理することには、次のような利点があります。
+ Session Manager を使用して安全に EC2 インスタンスに接続する。
+ Patch Manager を使用して自動パッチスキャンを実行する。
+ Systems Manager インベントリを使用して、インスタンスに関する詳細情報を表示する。
+ Fleet Manager を使用してインスタンスを追跡、管理する。
+ SSM Agent を自動的に最新の状態に保つ。
*Fleet Manager、Inventory、Patch Manager、Session Manager は Systems Manager のツールです。*
デフォルトのホスト管理設定を使用し、AWS Identity and Access Management (IAM) インスタンスプロファイルを手動で作成しなくても EC2 インスタンスを管理できます。代わりに、デフォルトのホスト管理設定では、デフォルトの IAM ロールを作成して適用し、Systems Manager がアクティブ化された AWS アカウント と AWS リージョン 内のすべてのインスタンスを管理できるアクセス許可を Systems Manager に付与します。
付与されたアクセス許可がユースケースに十分でない場合は、デフォルトのホスト管理設定で作成されたデフォルトの IAM ロールにポリシーを追加することもできます。また、デフォルトの IAM ロールで提供されるすべての機能の一部に対してのみアクセス許可が必要な場合は、独自のカスタムロールとポリシーを作成できます。デフォルトのホスト管理設定で選択した IAM ロールに加えられた変更は、リージョンとアカウントのすべてのマネージド Amazon EC2 インスタンスに適用されます。
デフォルトのホスト管理設定で使用するポリシーの詳細については、「[AWS マネージドポリシー: AmazonSSMManagedEC2InstanceDefaultPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy)」を参照してください。
**最小特権アクセスの実装**
トピックの手順は、管理者のみが実行することを想定しています。したがって、管理者以外のユーザーがデフォルトのホスト管理設定を設定または変更できないように、**最小特権アクセスを実装することをお勧めします。デフォルトのホスト管理設定へのアクセスを制限するポリシーの例を確認するには、このトピックの後半の「[デフォルトのホスト管理設定の最小特権ポリシーの例](#least-privilege-examples)」を参照してください。
**重要**
デフォルトのホスト管理設定を使用して登録されたインスタンスの登録情報は、`var/lib/amazon/ssm` または `C:\ProgramData\Amazon` ディレクトリにローカルに保存されます。これらのディレクトリやファイルを削除すると、インスタンスはデフォルトのホスト管理設定を使用して Systems Manager に接続するために必要な認証情報を取得できなくなります。このような場合は、IAM インスタンスプロファイルを使用してインスタンスに必要なアクセス許可を付与するか、インスタンスを再作成する必要があります。
**Topics**
+ [前提条件](#dhmc-prerequisites)
+ [デフォルトのホスト管理設定の有効化](#dhmc-activate)
+ [デフォルトのホスト管理設定の無効化](#dhmc-deactivate)
+ [デフォルトのホスト管理設定の最小特権ポリシーの例](#least-privilege-examples)
## 前提条件
この設定を有効化した AWS リージョン および AWS アカウント で、デフォルトのホスト管理設定を使用するには、次の要件を満たす必要があります。
+ 管理対象となるインスタンスには、インスタンスメタデータサービスのバージョン 2 (IMDSv2) を使用する必要があります。
デフォルトのホスト管理設定は、インスタンスメタデータサービスバージョン 1 をサポートしていません。IMDSv2 への移行の詳細については、「Amazon EC2 ユーザーガイド」の「[インスタンスメタデータサービスバージョン 2 の使用への移行](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-transition-to-version-2.html)」を参照してください。
+ メソッドを使用するには、SSM Agent バージョン 3.2.582.0 以降がインスタンスにインストールされている必要があります。
インスタンスにインストールされている SSM Agent のバージョンを確認する方法については、「[SSM Agent バージョン番号の確認](ssm-agent-get-version.md)」を参照してください。
SSM Agent の更新方法については、「[SSM Agent の自動更新](ssm-agent-automatic-updates.md#ssm-agent-automatic-updates-console)」を参照してください。
+ このトピックのタスクを実行する管理者には、[GetServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetServiceSetting.html)、[ResetServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ResetServiceSetting.html)、[UpdateServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateServiceSetting.html) API オペレーションのアクセス許可が必要です。さらに、`AWSSystemsManagerDefaultEC2InstanceManagementRole` IAM ロールの `iam:PassRole` アクセス許可を付与する権限が必要です。上記のアクセス許可を付与するポリシーの例を次に示します。各*リソースプレースホルダーの例*をユーザー自身の情報に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetServiceSetting",
"ssm:ResetServiceSetting",
"ssm:UpdateServiceSetting"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::111122223333:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"ssm.amazonaws.com"
]
}
}
}
]
}
```
------
+ Systems Manager を使用して管理される Amazon EC2 インスタンスに IAM インスタンスプロファイルがすでにアタッチされている場合は、`ssm:UpdateInstanceInformation` 操作を実行するためのアクセス許可をすべて削除します。SSM Agent は、デフォルトのホスト管理設定のアクセス許可を使用する前に、インスタンスプロファイルのアクセス許可の使用を試みます。独自の IAM インスタンスプロファイルで `ssm:UpdateInstanceInformation` オペレーションを許可すると、インスタンスはデフォルトのホスト管理設定のアクセス許可を使用しません。
## デフォルトのホスト管理設定の有効化
デフォルトのホスト管理設定は、Fleet Manager コンソールから、または AWS Command Line Interface や AWS Tools for Windows PowerShell を使用して有効化できます。
Amazon EC2 インスタンスをこの設定で管理したい各リージョンに対して、デフォルトのホスト管理設定を 1 つずつオンにする必要があります。
デフォルトのホスト管理設定をオンにした後、以下の手順のステップ 5 で選択したロールの認証情報をインスタンスが使用できるようになるまでに 30 分かかる場合があります。
**デフォルトのホスト管理設定を有効化するには (コンソール)**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Fleet Manager]** を選択します。
1. **[アカウント管理]、[デフォルトのホスト管理設定を構成]** を選択します。
1. **[デフォルトのホスト管理設定を有効にする]** をオンにします。
1. インスタンスの Systems Manager ツールを有効にするために使用する AWS Identity and Access Management (IAM) ロールを選択します。デフォルトのホスト管理設定で提供されるデフォルトのロールを使用することをお勧めします。このロールには、Systems Manager を使用して Amazon EC2 インスタンスを管理するために必要となる最小限のアクセス許可のセットが含まれています。カスタムロールを使用する場合は、ロールの信頼ポリシーで Systems Manager を信頼できるエンティティとして許可する必要があります。
1. **[設定]** をクリックして、セットアップを完了します。
**デフォルトのホスト管理設定を有効化するには (コマンドライン)**
1. ローカルマシンで、次の信頼関係ポリシーを含む JSON ファイルを作成します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"",
"Effect":"Allow",
"Principal":{
"Service":"ssm.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
1. AWS CLI または Tools for Windows PowerShell を開き、次のコマンドのいずれかを使用してアカウントにサービスロールを作成します。使用するコマンドはローカルマシンのオペレーティングシステムにより異なります。各*リソースプレースホルダーの例*をユーザー自身の情報に置き換えます。
------
#### [ Linux & macOS ]
```
aws iam create-role \
--role-name AWSSystemsManagerDefaultEC2InstanceManagementRole \
--path /service-role/ \
--assume-role-policy-document file://trust-policy.json
```
------
#### [ Windows ]
```
aws iam create-role ^
--role-name AWSSystemsManagerDefaultEC2InstanceManagementRole ^
--path /service-role/ ^
--assume-role-policy-document file://trust-policy.json
```
------
#### [ PowerShell ]
```
New-IAMRole `
-RoleName "AWSSystemsManagerDefaultEC2InstanceManagementRole" `
-Path "/service-role/" `
-AssumeRolePolicyDocument "file://trust-policy.json"
```
------
1. 次のコマンドを実行して、新たに作成したロールに `AmazonSSMManagedEC2InstanceDefaultPolicy` マネージドポリシーをアタッチします。各*リソースプレースホルダーの例*をユーザー自身の情報に置き換えます。
------
#### [ Linux & macOS ]
```
aws iam attach-role-policy \
--policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedEC2InstanceDefaultPolicy \
--role-name AWSSystemsManagerDefaultEC2InstanceManagementRole
```
------
#### [ Windows ]
```
aws iam attach-role-policy ^
--policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedEC2InstanceDefaultPolicy ^
--role-name AWSSystemsManagerDefaultEC2InstanceManagementRole
```
------
#### [ PowerShell ]
```
Register-IAMRolePolicy `
-PolicyArn "arn:aws:iam::aws:policy/AmazonSSMManagedEC2InstanceDefaultPolicy" `
-RoleName "AWSSystemsManagerDefaultEC2InstanceManagementRole"
```
------
1. AWS CLI または Tools for Windows PowerShell を開き、次のコマンドを実行します。各*リソースプレースホルダーの例*をユーザー自身の情報に置き換えます。
------
#### [ Linux & macOS ]
```
aws ssm update-service-setting \
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role \
--setting-value service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole
```
------
#### [ Windows ]
```
aws ssm update-service-setting ^
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role ^
--setting-value service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole
```
------
#### [ PowerShell ]
```
Update-SSMServiceSetting `
-SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role" `
-SettingValue "service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole"
```
------
コマンドが成功した場合、出力はありません。
1. 次のコマンドを実行して、現在の AWS アカウント および AWS リージョン におけるデフォルトのホスト管理設定の現在のサービス設定が表示されます。
------
#### [ Linux & macOS ]
```
aws ssm get-service-setting \
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
```
------
#### [ Windows ]
```
aws ssm get-service-setting ^
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
```
------
#### [ PowerShell ]
```
Get-SSMServiceSetting `
-SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
```
------
このコマンドによって以下のような情報が返されます。
```
{
"ServiceSetting": {
"SettingId": "/ssm/managed-instance/default-ec2-instance-management-role",
"SettingValue": "service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
"LastModifiedDate": "2022-11-28T08:21:03.576000-08:00",
"LastModifiedUser": "System",
"ARN": "arn:aws:ssm:us-east-2:-123456789012:servicesetting/ssm/managed-instance/default-ec2-instance-management-role",
"Status": "Custom"
}
}
```
## デフォルトのホスト管理設定の無効化
デフォルトのホスト管理設定は、Fleet Manager コンソールから、または AWS Command Line Interface や AWS Tools for Windows PowerShell を使用して無効化できます。
Amazon EC2 インスタンスをこの設定で管理する必要がなくなった各リージョンに対して、デフォルトのホスト管理設定を 1 つずつオフにする必要があります。あるリージョンで無効化しても、すべてのリージョンで無効化されるわけではありません。
デフォルトのホスト管理設定を無効化し、Amazon EC2 インスタンスに Systems Manager へのアクセスを許可するためのインスタンスプロファイルを添付していない場合、それらのインスタンスは Systems Manager によって管理されなくなります。
**デフォルトのホスト管理設定を無効化するには (コンソール)**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Fleet Manager]** を選択します。
1. **[アカウント管理]、[デフォルトのホスト管理設定]** を選択します。
1. **[デフォルトのホスト管理設定を有効にする]** をオフにします。
1. **[設定]** をクリックして、デフォルトのホスト管理設定を無効にします。
**デフォルトのホスト管理設定を無効化するには (コマンドライン)**
+ AWS CLI または Tools for Windows PowerShell を開き、次のコマンドを実行します。各*リソースプレースホルダーの例*をユーザー自身の情報に置き換えます。
------
#### [ Linux & macOS ]
```
aws ssm reset-service-setting \
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
```
------
#### [ Windows ]
```
aws ssm reset-service-setting ^
--setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role
```
------
#### [ PowerShell ]
```
Reset-SSMServiceSetting `
-SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
```
------
## デフォルトのホスト管理設定の最小特権ポリシーの例
以下のサンプルポリシーは、組織のメンバーが組織のアカウントで、デフォルトのホスト管理設定を変更できないようにする方法を示しています。
### AWS Organizations のサービスコントロールポリシー
以下のポリシーは、AWS Organizations の管理者以外のメンバーがデフォルトのホスト管理設定を更新できないようにする方法を示しています。各*リソースプレースホルダーの例*をユーザー自身の情報に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Deny",
"Action": [
"ssm:UpdateServiceSetting",
"ssm:ResetServiceSetting"
],
"Resource": "arn:aws:ssm:*:*:servicesetting/ssm/managed-instance/default-ec2-instance-management-role",
"Condition": {
"StringNotEqualsIgnoreCase": {
"aws:PrincipalTag/job-function": [
"administrator"
]
}
}
},
{
"Effect": "Deny",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ssm.amazonaws.com"
},
"StringNotEqualsIgnoreCase": {
"aws:PrincipalTag/job-function": [
"administrator"
]
}
}
},
{
"Effect": "Deny",
"Resource": "arn:aws:iam::*:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
"Action": [
"iam:AttachRolePolicy",
"iam:DeleteRole"
],
"Condition": {
"StringNotEqualsIgnoreCase": {
"aws:PrincipalTag/job-function": [
"administrator"
]
}
}
}
]
}
```
------
### IAM プリンシパルのポリシー
以下のポリシーは、AWS Organizations の IAM グループ、ロール、またはユーザーがデフォルトのホスト管理設定を更新できないようにする方法を示しています。各*リソースプレースホルダーの例*をユーザー自身の情報に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ssm:UpdateServiceSetting",
"ssm:ResetServiceSetting"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
},
{
"Effect": "Deny",
"Action": [
"iam:AttachRolePolicy",
"iam:DeleteRole",
"iam:PassRole"
],
"Resource": "arn:aws:iam::111122223333:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole"
}
]
}
```
------
# Remote Desktop を使用して Windows Server マネージドインスタンスに接続する
AWS Systems Manager のツール Fleet Manager を使用することで、Remote Desktop Protocol (RDP) を使用した Windows Server Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに接続できます。Fleet Manager[Amazon DCV](https://docs.aws.amazon.com/dcv/latest/adminguide/what-is-dcv.html) を利用したリモートデスクトップでは、Systems Manager コンソールから直接 Windows Server インスタンスに安全に接続できます。1 つのブラウザウィンドウで最大 4 つまで同時に接続できます。
Fleet Manager リモートデスクトップ API の名前は AWS Systems Manager GUI Connect です。Systems Manager GUI Connect API の使用方法についての詳細は、「*[AWS Systems Manager GUI Connect API リファレンス](https://docs.aws.amazon.com/ssm-guiconnect/latest/APIReference)*」を参照してください。
現在、リモートデスクトップは、Windows Server 2012 RTM 以降を実行しているインスタンスのみで使用できます。リモートデスクトップは言語入力として英語のみをサポートしています。
Fleet Manager リモートデスクトップはコンソール専用サービスで、マネージドインスタンスへのコマンドライン接続はサポートしていません。シェルを介して Windows Server マネージドインスタンスに接続するには、AWS Systems Manager の別のツールである Session Manager を使用できます。詳細については、「[AWS Systems Manager Session Manager](session-manager.md)」を参照してください。
**注記**
RDP 接続の時間は、AWS Identity and Access Management (IAM) 認証情報の継続時間によって決定されません。代わりに、最大接続時間またはアイドル時間の制限のいずれかが満たされるまで、接続は持続します。詳細については、「[リモート接続時間と同時実行](#rdp-duration-concurrency)」を参照してください。
インスタンスが Systems Manager とやり取りできるように AWS Identity and Access Management (IAM) アクセス許可を設定する方法については、「[Systems Manager にインスタンスのアクセス許可を設定する](setup-instance-permissions.md)」を参照してください。
**Topics**
+ [環境のセットアップ](#rdp-prerequisites)
+ [リモートデスクトップの IAM 許可の設定](#rdp-iam-policy-examples)
+ [リモートデスクトップ接続の認証](#rdp-authentication)
+ [リモート接続時間と同時実行](#rdp-duration-concurrency)
+ [Systems Manager GUI Connect による AWS IAM アイデンティティセンター 属性の処理](#iam-identity-center-attribute-handling)
+ [リモートデスクトップを使用してマネージドノードへ接続する](#rdp-connect-to-node)
+ [現在および完了した接続に関する情報の表示](#list-connections)
## 環境のセットアップ
リモートデスクトップを使用する前に、環境が以下の要件を満たしていることを確認します。
+ **マネージドノードの設定**
Amazon EC2 インスタンスが Systems Manager の[マネージドノード](fleet-manager-managed-nodes.md)として設定されていることを確認してください。
+ **SSM Agent の最小バージョン**
ノードが SSM Agent バージョン 3.0.222.0 以降を実行していることを確認します。ノードで実行されているエージェントのバージョンの確認についての詳細は、「[SSM Agent バージョン番号の確認](ssm-agent-get-version.md)」を参照してください。SSM Agent のインストールまたは更新については、「[「SSM Agent」 の使用](ssm-agent.md)」を参照してください。
+ **RDP ポート設定**
リモート接続を受け入れるには、Windows Server ノード上の Remote Desktop Services サービスがデフォルトの RDP ポート 3389 を使用する必要があります。これは、AWS によって提供される Amazon Machine Images (AMIs) のデフォルト設定です。リモートデスクトップを使用するためにインバウンドポートを開く必要は明示的にありません。
+ **キーボード機能用 PSReadLine モジュールバージョン**
PowerShell でキーボードが正しく機能することを確認するには、Windows Server 2022 を実行しているノードに PSReadLine モジュールバージョン 2.2.2 以降がインストールされていることを確認してください。古いバージョンを使用している場合は、以下のコマンドを使用して、必要なバージョンをインストールできます。
```
Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force
```
NuGet パッケージプロバイダーがインストールされたら、次のコマンドを実行します。
```
Install-Module `
-Name PSReadLine `
-Repository PSGallery `
-MinimumVersion 2.2.2 -Force
```
+ **Session Manager の設定**
リモートデスクトップを使用する前に、Session Manager のセットアップの前提条件を完了する必要があります。リモートデスクトップを使用してインスタンスに接続すると、AWS アカウント および AWS リージョン に定義されているすべてのセッション設定が適用されます。詳細については、「[Session Manager を設定する](session-manager-getting-started.md)」を参照してください。
**注記**
Amazon Simple Storage Service (Amazon S3) を使用して、Session Manager アクティビティをログに記録すると、リモートデスクトップ接続によって `bucket_name/Port/stderr` で次のエラーが発生します。このエラーは正常な動作であり、無視してもかまいません。
```
Setting up data channel with id SESSION_ID failed: failed to create websocket for datachannel with error: CreateDataChannel failed with no output or error: createDataChannel request failed: unexpected response from the service
Session is already terminated
```
## リモートデスクトップの IAM 許可の設定
Systems Manager と Session Manager に必要な IAM アクセス許可に加えて、使用するユーザーまたはロールには、接続を開始するためのアクセス許可が必要です。
**接続を開始するためのアクセス許可**
コンソールで EC2 インスタンスへの RDP 接続を作成するには、次のアクセス許可が必要です。
+ `ssm-guiconnect:CancelConnection`
+ `ssm-guiconnect:GetConnection`
+ `ssm-guiconnect:StartConnection`
**接続を一覧表示するためのアクセス許可**
コンソールで接続の一覧を表示するには、次のアクセス許可が必要です。
`ssm-guiconnect:ListConnections`
以下は、リモートデスクトップとのさまざまなタイプの対話を許可するためにユーザーまたはロールにアタッチできる IAM ポリシーの例です。各*リソースプレースホルダーの例*をユーザー自身の情報に置き換えます。
### EC2 インスタンスに接続するための標準ポリシー
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EC2",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:GetPasswordData"
],
"Resource": "*"
},
{
"Sid": "SSM",
"Effect": "Allow",
"Action": [
"ssm:DescribeInstanceProperties",
"ssm:GetCommandInvocation",
"ssm:GetInventorySchema"
],
"Resource": "*"
},
{
"Sid": "TerminateSession",
"Effect": "Allow",
"Action": [
"ssm:TerminateSession"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ssm:resourceTag/aws:ssmmessages:session-id": [
"${aws:userid}"
]
}
}
},
{
"Sid": "SSMStartSession",
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ec2:*:111122223333:instance/*",
"arn:aws:ssm:*:111122223333:managed-instance/*",
"arn:aws:ssm:*::document/AWS-StartPortForwardingSession"
],
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "ssm-guiconnect.amazonaws.com"
}
}
},
{
"Sid": "GuiConnect",
"Effect": "Allow",
"Action": [
"ssm-guiconnect:CancelConnection",
"ssm-guiconnect:GetConnection",
"ssm-guiconnect:StartConnection",
"ssm-guiconnect:ListConnections"
],
"Resource": "*"
}
]
}
```
------
### 特定のタグを持つ EC2 インスタンスへの接続に関するポリシー
**注記**
次の IAM ポリシーでは、`SSMStartSession` セクションで `ssm:StartSession` アクションの Amazon リソースネーム (ARN) が必要になります。示されているとおり、指定した ARN には AWS アカウント ID は必要*ありません*。アカウント ID を指定すると、Fleet Manager は `AccessDeniedException` を返します。
ポリシーの例の下部にある `AccessTaggedInstances` セクションでは `ssm:StartSession` の ARN も必要です。これらの ARN には AWS アカウント ID を指定します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EC2",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:GetPasswordData"
],
"Resource": "*"
},
{
"Sid": "SSM",
"Effect": "Allow",
"Action": [
"ssm:DescribeInstanceProperties",
"ssm:GetCommandInvocation",
"ssm:GetInventorySchema"
],
"Resource": "*"
},
{
"Sid": "SSMStartSession",
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ssm:*::document/AWS-StartPortForwardingSession"
],
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "ssm-guiconnect.amazonaws.com"
}
}
},
{
"Sid": "AccessTaggedInstances",
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ec2:*:111122223333:instance/*",
"arn:aws:ssm:*:111122223333:managed-instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/tag key": [
"tag value"
]
}
}
},
{
"Sid": "GuiConnect",
"Effect": "Allow",
"Action": [
"ssm-guiconnect:CancelConnection",
"ssm-guiconnect:GetConnection",
"ssm-guiconnect:StartConnection",
"ssm-guiconnect:ListConnections"
],
"Resource": "*"
}
]
}
```
------
### AWS IAM アイデンティティセンター ユーザーが EC2 インスタンスに接続するためのポリシー
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SSO",
"Effect": "Allow",
"Action": [
"sso:ListDirectoryAssociations*",
"identitystore:DescribeUser"
],
"Resource": "*"
},
{
"Sid": "EC2",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:GetPasswordData"
],
"Resource": "*"
},
{
"Sid": "SSM",
"Effect": "Allow",
"Action": [
"ssm:DescribeInstanceProperties",
"ssm:GetCommandInvocation",
"ssm:GetInventorySchema"
],
"Resource": "*"
},
{
"Sid": "TerminateSession",
"Effect": "Allow",
"Action": [
"ssm:TerminateSession"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ssm:resourceTag/aws:ssmmessages:session-id": [
"${aws:userName}"
]
}
}
},
{
"Sid": "SSMStartSession",
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ssm:*:*:managed-instance/*",
"arn:aws:ssm:*:*:document/AWS-StartPortForwardingSession"
],
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "ssm-guiconnect.amazonaws.com"
}
}
},
{
"Sid": "SSMSendCommand",
"Effect": "Allow",
"Action": [
"ssm:SendCommand"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ssm:*:*:managed-instance/*",
"arn:aws:ssm:*:*:document/AWSSSO-CreateSSOUser"
]
},
{
"Sid": "GuiConnect",
"Effect": "Allow",
"Action": [
"ssm-guiconnect:CancelConnection",
"ssm-guiconnect:GetConnection",
"ssm-guiconnect:StartConnection",
"ssm-guiconnect:ListConnections"
],
"Resource": "*"
}
]
}
```
------
## リモートデスクトップ接続の認証
リモート接続を確立するときは、Windows 認証情報、またはインスタンスに関連付けられている Amazon EC2 キーペア (`.pem` ファイル) を使用して、認証を行えます。キーペアの使用の詳細については、「*Amazon EC2 ユーザーガイド*」の「[Amazon EC2 キーペアと Windows インスタンス](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-key-pairs.html)」を参照してください。
または、AWS IAM アイデンティティセンター を使用して AWS マネジメントコンソール に認証されている場合は、追加の認証情報を指定せずにインスタンスに接続できます。IAM アイデンティティセンターを使用したリモート接続認証を許可するポリシーの例については、「[リモートデスクトップの IAM 許可の設定](#rdp-iam-policy-examples)」を参照してください。
**[開始する前に]**
リモートデスクトップを使用して接続を開始する前に、IAM Identity Center 認証を使用する際には、以下の条件に注意してください。
+ リモートデスクトップは、IAM アイデンティティセンターを有効にしたのと同じ AWS リージョン のノードの IAM アイデンティティセンター認証をサポートします。
+ リモートデスクトップは、最大 16 文字の IAM アイデンティティセンターのユーザー名をサポートします。
+ リモートデスクトップは、英数字と特殊文字 `.` `-` `_` で構成される IAM アイデンティティセンターユーザー名をサポートします。
**重要**
`+` `=` `,` の文字が含まれる IAM アイデンティティセンターユーザー名では、接続が失敗します。
IAM アイデンティティセンターはユーザー名でこれらの文字をサポートしていますが、Fleet Manager RDP 接続ではサポートされていません。
さらに、IAM アイデンティティセンターユーザー名に 1 つ、または複数の `@` 記号が含まれている場合、Fleet Manager は、`@` が E メールアドレスのドメイン部分の先頭に使用されているかどうかにかかわらず、最初の `@` 記号とその後に続くすべての文字を無視します。例えば、`diego_ramirez@example.com` という IAM アイデンティティセンターユーザー名の場合は `@example.com` 部分が無視され、Fleet Manager のユーザー名は `diego_ramirez` になります。`diego_r@mirez@example.com` の場合は、Fleet Manager が `@mirez@example.com` を無視し、Fleet Manager のユーザー名は `diego_r` になります。
+ IAM アイデンティティセンターを使用して接続を認証すると、Windows リモートデスクトップはインスタンスのローカル管理者グループにローカルユーザーを作成します。このユーザーは、リモート接続が終了した後も存続します。
+ リモートデスクトップでは、Microsoft Active Directory ドメインコントローラーであるノードの IAM アイデンティティセンターの認証は許可されません。
+ リモートデスクトップでは、Active Directory ドメインに*参加している*ノードに IAM アイデンティティセンターの認証を使用できますが、お勧めしません。この認証方法ではユーザーに管理者許可を付与しますが、ドメインによって付与されるより制限の厳しい許可よりも優先される可能性があります。
**IAM Identity Center 認証のサポート対象リージョン**
IAM Identity Center 認証を使用する Remote Desktop 接続は、次の AWS リージョン でサポートされています。
+ 米国東部 (オハイオ) (us-east-2)
+ 米国東部 (バージニア北部) (us-east-1)
+ 米国西部 (北カリフォルニア) (us-west-1)
+ 米国西部 (オレゴン) (us-west-2)
+ アフリカ (ケープタウン) (af-south-1)
+ アジアパシフィック (香港) (ap-east-1)
+ アジアパシフィック (ムンバイ) (ap-south-1)
+ アジアパシフィック (東京) (ap-northeast-1)
+ アジアパシフィック (ソウル) (ap-northeast-2)
+ アジアパシフィック (大阪) (ap-northeast-3)
+ アジアパシフィック (シンガポール) (ap-southeast-1)
+ アジアパシフィック (シドニー) (ap-southeast-2)
+ アジアパシフィック (ジャカルタ) (ap-southeast-3)
+ カナダ (中部) (ca-central-1)
+ ヨーロッパ (フランクフルト) (eu-central-1)
+ 欧州 (ストックホルム) (eu-north-1)
+ 欧州 (アイルランド) (eu-west-1)
+ ヨーロッパ (ロンドン) (eu-west-2)
+ 欧州 (パリ) (eu-west-3)
+ イスラエル (テルアビブ) (il-central-1)
+ 南米 (サンパウロ) (sa-east-1)
+ 欧州 (ミラノ) (eu-south-1)
+ 中東 (バーレーン) (me-south-1)
+ AWS GovCloud (米国東部) (us-gov-east-1)
+ AWS GovCloud (米国西部) (us-gov-west-1)
## リモート接続時間と同時実行
アクティブなリモートデスクトップ接続には、次の条件が適用されます。
+ **接続時間**
デフォルトでは、リモートデスクトップ接続は 60 分後に切断されます。接続が切断されないようにするには、切断される前に **[セッションを更新]** を選択して、継続時間タイマーをリセットできます。
+ **接続タイムアウト**
リモートデスクトップ接続は、10 分以上アイドル状態になると切断されます。
+ **接続の持続性**
リモートデスクトップを使用して Windows Server に接続すると、最大接続時間 (60 分) またはアイドルタイムアウト制限 (10 分) に達するまで接続が維持されます。接続時間は、AWS Identity and Access Management (IAM) 認証情報の継続時間によって決定されません。接続時間の制限が満たされない場合、IAM 認証情報の有効期限が切れても接続は維持されます。リモートデスクトップを使用する場合は、IAM 認証情報の有効期限が切れたら、ブラウザページを離れて接続を終了する必要があります。
+ **同時接続**
デフォルトでは、同じ AWS アカウント と AWS リージョン で最大 5 つのアクティブなリモートデスクトップ接続を設定できます。最大 50 の同時接続のサービスクォータの引き上げをリクエストするには、「*Service Quotas ユーザーガイド*」の「[クォータ引き上げのリクエスト](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html)」を参照してください。
**注記**
Windows Server の標準ライセンスでは、2 つの同時 RDP 接続が許可されます。さらに多くの接続をサポートするには、Microsoft から追加のクライアントアクセスライセンス (CAL) を購入するか、AWS から Microsoft リモートデスクトップサービスライセンスを購入する必要があります。追加ライセンスの詳細については、次のトピックを参照してください。
Microsoft ウェブサイトの「[Client Access Licenses and Management Licenses](https://www.microsoft.com/en-us/licensing/product-licensing/client-access-license)」
「*License Manager ユーザーガイド*」の「[Use License Manager user-based subscriptions for supported software products](https://docs.aws.amazon.com/license-manager/latest/userguide/user-based-subscriptions.html)」
## Systems Manager GUI Connect による AWS IAM アイデンティティセンター 属性の処理
Systems Manager GUI Connect は、RDP を使用した EC2 インスタンスへの Fleet Manager 接続をサポートする API です。次の IAM Identity Center ユーザーデータは、接続が閉じられた後も保持されます。
+ `username`
Systems Manager GUI Connect は、AWS マネージドキー をデフォルトで使用して保管中のこの ID 属性を暗号化します。カスタマーマネージドキーは、Systems Manager GUI Connect でこの属性を暗号化するためにはサポートされていません。IAM Identity Center インスタンスでユーザーを削除すると、Systems Manager GUI Connect はそのユーザーに関連付けられた `username` 属性を 7 年間保持し続けます。その後、その属性は削除されます。このデータは、Systems Manager GUI Connect 接続履歴を一覧表示するなど、監査イベントをサポートするために保持されます。データを手動で削除することはできません。
## リモートデスクトップを使用してマネージドノードへ接続する
**ブラウザによるテキストのコピー/貼り付けサポート**
Google Chrome と Microsoft Edge ブラウザを使用すると、マネージドノードからローカルマシンに、および、ローカルマシンから接続しているマネージドノードに、テキストをコピーして貼り付けることができます。
Mozilla Firefox ブラウザでは、マネージドノードからローカルマシンにのみテキストをコピーして貼り付けることができます。ローカルマシンからマネージドノードへのコピーはサポートされていません。
**Fleet Manager リモートデスクトップを使用してマネージドノードに接続するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Fleet Manager]** を選択します。
1. 接続するノードを選択します。チェックボックスまたはノード名を選択できます。
1. **[ノードアクション]** メニューで、**[リモートデスクトップとの接続]** を選択します。
1. 必要な **[Authentication type]** (認証タイプ) を選択します。**[ユーザー認証情報]** を選択した場合は、接続するノード上の Windows ユーザーアカウントのユーザー名とパスワードを入力します。**[キーペア]** を選択した場合は、次のいずれかの方法を使用して認証を行うことができます。
1. インスタンスに関連付けられた PEM キーをローカルファイルシステムから選択する場合は、**[ローカルマシンを検索]** を選択します。
- または -
1. PEM ファイルの内容をコピーして指定されたフィールドに貼り付ける場合は、**[キーペアの内容を貼り付け]** を選択します。
1. **[Connect]** (接続) を選択します。
1. 希望のディスプレイ解像度を選択するには、**[アクション]** メニューで **[レゾリューション]** を選択し、次の中から選択します。
+ **自動的に適応**
+ **1920 x 1080**
+ **1400 x 900**
+ **1366 x 768**
+ **800 x 600**
**[自動的に適応]** オプションは検出された画面サイズに基づいて最適な解像度を決定します。
## 現在および完了した接続に関する情報の表示
Systems Manager コンソールの [Fleet Manager] セクションを使用して、アカウントで作成された RDP 接続に関する情報を表示できます。フィルターのセットを使用して、表示される接続のリストを時間範囲、特定のインスタンス、接続を作成したユーザー、特定のステータスの接続に制限することができます。コンソールには、現在アクティブなすべての接続と過去のすべての接続に関する情報を示すタブも用意されています。
**現在の接続と完了した接続に関する情報を表示するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Fleet Manager]** を選択します。
1. **[アカウント] > [リモートデスクトップ (RDP) との接続]** の順に選択します。
1. 次のいずれかのタブを選択します。
+ **アクティブな接続**
+ **接続履歴**
1. 表示される接続結果のリストをさらに絞り込むには、検索 (![\[\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/search-icon.png)) ボックスに 1 つまたは複数のフィルターを指定します。フリーテキスト検索用語を入力することもできます。
# マネージドインスタンスの Amazon EBS ボリュームの管理
[Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEBS.html) は、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスで使用するブロックレベルストレージのボリュームを提供します。EBS ボリュームの動作は、未初期化のブロックデバイスに似ています。これらのボリュームは、デバイスとしてインスタンスにマウントできます。
マネージドインスタンス上の Amazon EBS ボリュームを、AWS Systems Manager のツールである Fleet Manager を使って管理できます。例えば、EBS ボリュームを初期化し、パーティションをフォーマットして、ボリュームをマウントして使用できるようにする、といったことが行えます。
**注記**
Fleet Manager は現在、Windows Server インスタンスの Amazon EBS ボリューム管理のみをサポートしています。
## EBS ボリュームの詳細を表示する
**Fleet Manager で EBS ボリュームの詳細を表示するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Fleet Manager]** を選択します。
1. EBS ボリュームの詳細を表示しようとしているマネージドインスタンスの横にあるボタンを選択します。
1. **[詳細を表示]** を選択します。
1. **[ツール]、[EBS ボリューム]** を選択します。
1. EBS ボリュームの詳細を表示するには、**[ボリューム ID]** 列でその ID を選択します。
## EBS ボリュームの初期化とフォーマット
**Fleet Manager を使って EBS ボリュームを初期化しフォーマットするには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Fleet Manager]** を選択します。
1. EBS ボリュームを初期化、フォーマット、マウントしようとしているマネージドインスタンスの横にあるボタンを選択します。EBS ボリュームを初期化できるのは、そのディスクが空である場合のみです。
1. **[詳細を表示]** を選択します。
1. **[ツール]** メニューで **[EBS ボリューム]** を選択します。
1. 初期化し、フォーマットしようとしている EBS ボリュームの横にあるボタンを選択します。
1. **[初期化とフォーマット]** を選択します。
1. **[パーティションスタイル]** で、EBS ボリュームに使用するパーティションスタイルを選択します。
1. (オプション) パーティションの**ドライブレター**を選択します。
1. (オプション) パーティションを識別する**パーティション名**を入力します。
1. パーティションに保存されているファイルやデータの整理に使用する**ファイルシステム**を選択します。
1. EBS ボリュームを使用可能にするには **[確認]** を選択します。確認後、パーティションの設定は、AWS マネジメントコンソールからは変更できませんが、SSH または RDP を使用してインスタンスにログインして変更することはできます。
# Red Hat ナレッジベースポータルへのアクセス
Red Hat ユーザーの場合は、AWS Systems Manager のツールである Fleet Manager を使用して、ナレッジベースポータルにアクセスできます。Red Hat Enterprise Linux(RHEL) インスタンスを実行しているか、AWS で RHEL サービスを使用している場合に Red Hat ユーザーとみなされます。ナレッジベースポータルには、バイナリ、コミュニティサポートのためのナレッジシェアやディスカッションフォーラムなどがあり、これらはRed Hat ライセンスを保有するお客様のみが利用可能になっています。
必要となる Systems Manager および Fleet Manager の AWS Identity and Access Management (IAM) アクセス許可に加えて、コンソールへのアクセスに使用するユーザーまたはロールには、ナレッジポータルにアクセスできるように `rhelkb:GetRhelURL` アクションも許可する必要があります。
**Red Hat ナレッジベースポータルにアクセスするには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Fleet Manager]** を選択します。
1. Red Hat ナレッジベースポータルへの接続に使用する RHEL インスタンスを選択します。
1. **[アカウント管理]** で **[Red Hat ナレッジベースへアクセス]** を選択し、Red Hat ナレッジベースのページを開きます。
AWS 上の RHEL を使用して完全にサポートされた RHEL ワークロードを実行している場合、AWS 認証情報を使用して Red Hat のウェブサイトから Red Hat ナレッジベースにアクセスすることもできます。
# マネージドノードの可用性のトラブルシューティング
Run Command、Distributor、Session Manager などのいくつかの AWS Systems Manager ツールでは、オペレーションを実行するマネージドノードを手動で選択することもできます。このような場合、手動でノードを選択するように指定すると、オペレーションを実行できるマネージドノードのリストが表示されます。
このトピックでは、*実行中であることを確認した*マネージドノードが、Systems Manager のマネージドノードのリストに含まれていない理由の診断に役立つ情報を提供します。
ノードを Systems Manager で管理し、マネージドノードのリストに表示されるようにするには、次の 3 つの主な要件を満たす必要があります。
+ SSM Agent が、サポートされているオペレーティングシステムのノードにインストールされ、実行されている必要があります。
**注記**
一部の AWS マネージド Amazon Machine Images (AMIs) は、[SSM Agent](ssm-agent.md) がプリインストールされたインスタンスを起動するように設定されています。(カスタムの AMI を設定して SSM Agent をプリインストールすることもできます。) 詳細については、「[SSM Agent がプリインストールされている AMIs を見つける](ami-preinstalled-agent.md)」を参照してください。
+ Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの場合は、AWS Identity and Access Management (IAM) インスタンスプロファイルを、インスタンスにアタッチする必要があります。インスタンスプロファイルにより、インスタンスが Systems Manager サービスと通信できるようになります。インスタンスにインスタンスプロファイルを割り当てない場合は、[ハイブリッドアクティベーション](activations.md)を使用して登録しますが、通常はその必要はありません。
+ SSM Agent は、それ自体をサービスに登録するために、Systems Manager エンドポイントに接続できる必要があります。そのうえで、マネージドノードがサービスで使用可能である必要があります。これは、サービスが 5 分ごとに信号を送信してインスタンスの正常性をチェックすることによって確認されます。
+ マネージドノードのステータスが `Connection Lost` のまま 30 日以上経過すると、そのノードは Fleet Manager コンソールに表示されなくなる場合があります。リストに再度表示するには、接続が失われた原因となった問題を解決する必要があります。
マネージドノードが実行されていることを確認したら、次のコマンドを使用して、SSM Agent で Systems Manager サービスへの登録が正常に完了したかどうかを確認できます。このコマンドは、登録が正常に完了するまで結果を返しません。
------
#### [ Linux & macOS ]
```
aws ssm describe-instance-associations-status \
--instance-id instance-id
```
------
#### [ Windows ]
```
aws ssm describe-instance-associations-status ^
--instance-id instance-id
```
------
#### [ PowerShell ]
```
Get-SSMInstanceAssociationsStatus `
-InstanceId instance-id
```
------
登録が正常に完了し、マネージドノードが Systems Manager のオペレーションで使用可能になっている場合、コマンドでは次のような結果が返されます。
```
{
"InstanceAssociationStatusInfos": [
{
"AssociationId": "fa262de1-6150-4a90-8f53-d7eb5EXAMPLE",
"Name": "AWS-GatherSoftwareInventory",
"DocumentVersion": "1",
"AssociationVersion": "1",
"InstanceId": "i-02573cafcfEXAMPLE",
"Status": "Pending",
"DetailedStatus": "Associated"
},
{
"AssociationId": "f9ec7a0f-6104-4273-8975-82e34EXAMPLE",
"Name": "AWS-RunPatchBaseline",
"DocumentVersion": "1",
"AssociationVersion": "1",
"InstanceId": "i-02573cafcfEXAMPLE",
"Status": "Queued",
"AssociationName": "SystemAssociationForScanningPatches"
}
]
}
```
登録がまだ完了していないか失敗した場合、このコマンドは次のような結果を返します。
```
{
"InstanceAssociationStatusInfos": []
}
```
5 分ほど経ってもコマンドから結果が返されない場合は、以下の情報を使用してマネージドノードの問題のトラブルシューティングを行ってください。
**Topics**
+ [解決策 1: SSM Agent がマネージドノードにインストールされ、実行されていることを確認する](#instances-missing-solution-1)
+ [解決策 2: インスタンスに IAM インスタンスプロファイルが指定されていることを確認する (EC2 インスタンスのみ)](#instances-missing-solution-2)
+ [解決策 3: サービスエンドポイントへの接続を確認する](#instances-missing-solution-3)
+ [解決策 4: 対象のオペレーティングシステムのサポートを確認する](#instances-missing-solution-4)
+ [解決策 5: Amazon EC2 インスタンスと同じ AWS リージョン で作業していることを確認する](#instances-missing-solution-5)
+ [解決策 6: マネージドノードで SSM Agent に適用したプロキシ設定を確認する](#instances-missing-solution-6)
+ [解決策 7: マネージドインスタンスに TLS 証明書をインストールする](#hybrid-tls-certificate)
+ [`ssm-cli` を使用したマネージドノードの可用性のトラブルシューティング](troubleshooting-managed-nodes-using-ssm-cli.md)
## 解決策 1: SSM Agent がマネージドノードにインストールされ、実行されていることを確認する
SSM Agent の最新バージョンがマネージドノードにインストールされ、実行されていることを確認します。
SSM Agent がマネージドノードにインストールされ、実行されていることを確認するには、「[SSM Agent ステータスの確認とエージェントの起動](ssm-agent-status-and-restart.md)」を参照してください。
SSM Agent をマネージドノードにインストールまたは再インストールするには、以下のトピックを参照してください。
+ [Linux 用 EC2 インスタンスに SSM Agent を手動でインストールおよびアンインストールする](manually-install-ssm-agent-linux.md)
+ [ハイブリッド Linux ノードで SSM Agent をインストールする方法](hybrid-multicloud-ssm-agent-install-linux.md)
+ [Windows Server 用の EC2 インスタンスに SSM Agent を手動でインストールおよびアンインストールする](manually-install-ssm-agent-windows.md)
+ [ハイブリッド Windows ノードで SSM Agent をインストールする方法](hybrid-multicloud-ssm-agent-install-windows.md)
## 解決策 2: インスタンスに IAM インスタンスプロファイルが指定されていることを確認する (EC2 インスタンスのみ)
Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの場合、そのインスタンスに Systems Manager API の通信を許可する AWS Identity and Access Management (IAM) インスタンスプロファイルが設定されていることを確認します。また、ユーザーに Systems Manager API と通信できる IAM ユーザー信頼ポリシーがあることを確認します。
**注記**
オンプレミスサーバー、エッジデバイス、仮想マシン (VM) が、インスタンスプロファイルの代わりに IAM サービスロールを使用します。詳細については、「[ハイブリッドおよびマルチクラウド環境で Systems Manager に必要な IAM サービスロールを作成する](hybrid-multicloud-service-role.md)」を参照してください。
**必要なアクセス権限を持つインスタンスプロファイルが EC2 インスタンスにアタッチされているかどうかを確認するには**
1. Amazon EC2 コンソールの [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) を開いてください。
1. ナビゲーションペインで、[**インスタンス**] を選択してください。
1. インスタンスプロファイルを確認するインスタンスを選択します。
1. 下部のペインの [**Description (説明)**] タブで、[**IAM role (IAM ロール)**] を見つけ、ロールの名前を選択します。
1. インスタンスプロファイルのロールの [**Summary (概要)**] ページの [**Permissions (アクセス許可)**] タブで、[**Permissions policies (アクセス許可ポリシー)**] に `AmazonSSMManagedInstanceCore` があることを確認します。
代わりにカスタムポリシーを使用する場合は、`AmazonSSMManagedInstanceCore` と同じアクセス許可があることを確認してください。
[`AmazonSSMManagedInstanceCore` をコンソールで開く](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore$jsonEditor)
Systems Manager のインスタンスプロファイルにアタッチできるその他のポリシーの詳細については、「[Systems Manager に必要なインスタンスのアクセス許可を設定する](setup-instance-permissions.md)」を参照してください。
## 解決策 3: サービスエンドポイントへの接続を確認する
インスタンスに Systems Manager サービスエンドポイントへの接続があることを確認します。この接続は、Systems Manager の VPC エンドポイントを作成して設定するか、サービスエンドポイントへの HTTPS (ポート 443) アウトバウンドトラフィックを許可することによって提供されます。
Amazon EC2 インスタンスでは、仮想プライベートクラウド (VPC) 設定でアウトバウンドトラフィックが許可されている場合、AWS リージョン の Systems Manager サービスエンドポイントがインスタンスの登録に使用されます。ただし、インスタンスが起動された VPC 設定でアウトバウンドトラフィックが許可されず、パブリックサービスエンドポイントへの接続を許可するようにこの設定を変更できない場合は、代わりに VPC のインターフェイスエンドポイントを設定する必要があります。
詳細については、「[Systems Manager のために VPC エンドポイントを使用して EC2 インスタンスのセキュリティを強化する](setup-create-vpc.md)」を参照してください。
## 解決策 4: 対象のオペレーティングシステムのサポートを確認する
選択したオペレーションが、リストに表示されるはずのマネージドノードのタイプで実行できることを確認します。Systems Manager の一部のオペレーションは、Windows インスタンスのみ、または Linux インスタンスのみを対象にすることができます。例えば、Systems Manager (SSM) の `AWS-InstallPowerShellModule` ドキュメントと `AWS-ConfigureCloudWatch` ドキュメントは Windows インスタンスでのみ実行できます。[**Run a command (コマンドの実行)**] ページでこれらのドキュメントのいずれかを選択して [**Choose instances manually (手動でインスタンスを選択する)**] を選択すると、Windows インスタンスのみが表示され、選択できるようになります。
## 解決策 5: Amazon EC2 インスタンスと同じ AWS リージョン で作業していることを確認する
Amazon EC2 インスタンスは、米国東部 (オハイオ) リージョン (us-east-2) や欧州 (アイルランド) リージョン (eu-west-1) など、特定の AWS リージョン で作成および使用できます。使用する Amazon EC2 インスタンスと同じ AWS リージョン で作業していることを確認します。詳細については、*AWS マネジメントコンソール の開始方法*の[リージョンの選択](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/getting-started.html#select-region)を参照してください。
## 解決策 6: マネージドノードで SSM Agent に適用したプロキシ設定を確認する
マネージドノードで SSM Agent に適用したプロキシ設定が正しいことを確認します。プロキシ設定が正しくない場合、ノードは必要なサービスエンドポイントに接続できなくなるか、Systems Manager がマネージドノードのオペレーティングシステムを誤って識別する可能性があります。詳細については、「[Linux ノードでプロキシを使用するための SSM Agent の設定](configure-proxy-ssm-agent.md)」および「[SSM Agent が Windows Server インスタンス用にプロキシを使用するように設定する](configure-proxy-ssm-agent-windows.md)」を参照してください。
## 解決策 7: マネージドインスタンスに TLS 証明書をインストールする
Transport Layer Security (TLS) 証明書は、AWS Systems Manager で使用する各マネージドインスタンスにインストールする必要があります。AWS のサービスでは、これらの証明書を使用して、他の AWS のサービスへの呼び出しを暗号化します。
TLS 証明書は、Amazon Machine Image (AMI) から作成された各 Amazon EC2 インスタンスにデフォルトでインストールされています。最新のオペレーティングシステムには、信頼ストアに Amazon Trust Services CA からの必要な TLS 証明書が含まれています。
必要な証明書がインスタンスにインストールされているかどうかを確認するには、インスタンスのオペレーティングシステムに基づいて次のコマンドを実行します。URL の*リージョン*部分は、マネージドインスタンスがある AWS リージョン に必ず置き換えてください。
------
#### [ Linux & macOS ]
```
curl -L https://ssm.region.amazonaws.com
```
------
#### [ Windows ]
```
Invoke-WebRequest -Uri https://ssm.region.amazonaws.com
```
------
コマンドが `UnknownOperationException` エラーを返すはずです。SSL/TLS エラーメッセージが表示される場合は、必要な証明書がインストールされていない可能性があります。
必要な Amazon Trust Services CA の証明書が、基本オペレーティングシステム、Amazon で提供されていない AMIs から作成されたインスタンス、または独自のオンプレミスサーバーおよび VM にインストールされていない場合は、[Amazon Trust Services](https://www.amazontrust.com/repository/) から証明書をインストールして有効にする必要があります。または、AWS Certificate Manager (ACM) を使用して、サポートされている統合サービスの証明書を作成および管理します。
各マネージドインスタンスには、次の Transport Layer Security (TLS) 証明書のいずれかがインストールされている必要があります。
+ Amazon Root CA 1
+ Starfield Services Root Certificate Authority - G2
+ Starfield Class 2 Certificate Authority
ACM の使用については、*[AWS Certificate Manager ユーザーガイド](https://docs.aws.amazon.com/acm/latest/userguide/)*を参照してください。
コンピューティング環境にある証明書がグループポリシーオブジェクト (GPO) によって管理される場合は、場合により、これらの証明書のいずれかを含めるグループポリシーを設定する必要があります。
Amazon Root および Starfield 証明書の詳細については、ブログ記事「[独自の認証機関への AWS の移行の準備方法](https://aws.amazon.com/blogs/security/how-to-prepare-for-aws-move-to-its-own-certificate-authority/)」を参照してください。
# `ssm-cli` を使用したマネージドノードの可用性のトラブルシューティング
`ssm-cli` は SSM Agent のインストールに含まれるスタンドアロンのコマンドラインツールです。SSM Agent 3.1.501.0 以降をマシンにインストールすると、そのマシンで `ssm-cli` コマンドを実行できます。これらのコマンドの出力は、マシンが Amazon EC2 インスタンスまたは AWS Systems Manager で管理される (したがって Systems Manager のマネージドノードのリストに追加される) EC2 以外のマシンの最小要件を満たすかどうかを判断するのに役立ちます。(SSM Agent バージョン 3.1.501.0 は 2021 年 11 月にリリースされました)。
**最小要件**
Amazon EC2 インスタンスまたは EC2 以外のマシンを AWS Systems Manager で管理し、マネージドノードのリストに表示されるようにするには、次の 3 つの主な要件を満たす必要があります。
+ SSM Agent は、[サポートされているオペレーティングシステム](operating-systems-and-machine-types.md#prereqs-operating-systems)を搭載したマシンにインストールして実行する必要があります。
一部の EC2 向けの AWS マネージド Amazon Machine Images (AMIs) は、[SSM Agent](ssm-agent.md) がプリインストールされたインスタンスを起動するように設定されています。(カスタムの AMI を設定して SSM Agent をプリインストールすることもできます。) 詳細については、「[SSM Agent がプリインストールされている AMIs を見つける](ami-preinstalled-agent.md)」を参照してください。
+ Systems Manager サービスとの通信に必要な許可を提供する AWS Identity and Access Management (IAM) インスタンスプロファイル (EC2 インスタンスの場合) または IAM サービスロール (EC2 以外のマシンの場合) をマシンにアタッチする必要があります。
+ SSM Agent は、それ自体をサービスに登録するために、Systems Manager エンドポイントに接続できる必要があります。そのうえで、マネージドノードがサービスで使用可能である必要があります。これは、サービスが 5 分ごとに信号を送信してマネージドノードの正常性をチェックすることによって確認されます。
**`ssm-cli` に事前設定されているコマンド**
実行中であることを確認したマシンが Systems Manager のマネージドノードのリストに含まれていない理由を診断するために必要な情報を収集する、事前設定済みのコマンドが含まれています。`get-diagnostics` オプションを指定したときにこれらのコマンドが実行されます。
マシンで、マネージドノードの可用性のトラブルシューティングに `ssm-cli` を使用するには、次のコマンドを実行します。
------
#### [ Linux & macOS ]
```
ssm-cli get-diagnostics --output table
```
------
#### [ Windows ]
Windows Server マシンでは、コマンドを実行する前に `C:\Program Files\Amazon\SSM` ディレクトリに移動する必要があります。
```
ssm-cli.exe get-diagnostics --output table
```
------
#### [ PowerShell ]
Windows Server マシンでは、コマンドを実行する前に `C:\Program Files\Amazon\SSM` ディレクトリに移動する必要があります。
```
.\ssm-cli.exe get-diagnostics --output table
```
------
このコマンドにより、次のような出力がテーブルとして返されます。
**注記**
`ssmmessages`、`s3`、`kms`、`logs`、および `monitoring` エンドポイントへの接続チェックは、Amazon Simple Storage Service (Amazon S3) や Amazon CloudWatch Logs へのログ記録、および AWS Key Management Service (AWS KMS) による暗号化の使用が可能な Session Manager などの追加オプション機能に対するものです。
------
#### [ Linux & macOS ]
```
[root@instance]# ssm-cli get-diagnostics --output table
┌───────────────────────────────────────┬─────────┬───────────────────────────────────────────────────────────────────────┐
│ Check │ Status │ Note │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ EC2 IMDS │ Success │ IMDS is accessible and has instance id i-0123456789abcdefa in Region │
│ │ │ us-east-2 │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ Hybrid instance registration │ Skipped │ Instance does not have hybrid registration │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ Connectivity to ssm endpoint │ Success │ ssm.us-east-2.amazonaws.com is reachable │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ Connectivity to ec2messages endpoint │ Success │ ec2messages.us-east-2.amazonaws.com is reachable │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ Connectivity to ssmmessages endpoint │ Success │ ssmmessages.us-east-2.amazonaws.com is reachable │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ Connectivity to s3 endpoint │ Success │ s3.us-east-2.amazonaws.com is reachable │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ Connectivity to kms endpoint │ Success │ kms.us-east-2.amazonaws.com is reachable │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ Connectivity to logs endpoint │ Success │ logs.us-east-2.amazonaws.com is reachable │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ Connectivity to monitoring endpoint │ Success │ monitoring.us-east-2.amazonaws.com is reachable │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ AWS Credentials │ Success │ Credentials are for │
│ │ │ arn:aws:sts::123456789012:assumed-role/Fullaccess/i-0123456789abcdefa │
│ │ │ and will expire at 2021-08-17 18:47:49 +0000 UTC │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ Agent service │ Success │ Agent service is running and is running as expected user │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ Proxy configuration │ Skipped │ No proxy configuration detected │
├───────────────────────────────────────┼─────────┼───────────────────────────────────────────────────────────────────────┤
│ SSM Agent version │ Success │ SSM Agent version is 3.0.1209.0, latest available agent version is │
│ │ │ 3.1.192.0 │
└───────────────────────────────────────┴─────────┴───────────────────────────────────────────────────────────────────────┘
```
------
#### [ Windows サーバー and PowerShell ]
```
PS C:\Program Files\Amazon\SSM> .\ssm-cli.exe get-diagnostics --output table
┌───────────────────────────────────────┬─────────┬─────────────────────────────────────────────────────────────────────┐
│ Check │ Status │ Note │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ EC2 IMDS │ Success │ IMDS is accessible and has instance id i-0123456789EXAMPLE in │
│ │ │ Region us-east-2 │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ Hybrid instance registration │ Skipped │ Instance does not have hybrid registration │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ Connectivity to ssm endpoint │ Success │ ssm.us-east-2.amazonaws.com is reachable │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ Connectivity to ec2messages endpoint │ Success │ ec2messages.us-east-2.amazonaws.com is reachable │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ Connectivity to ssmmessages endpoint │ Success │ ssmmessages.us-east-2.amazonaws.com is reachable │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ Connectivity to s3 endpoint │ Success │ s3.us-east-2.amazonaws.com is reachable │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ Connectivity to kms endpoint │ Success │ kms.us-east-2.amazonaws.com is reachable │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ Connectivity to logs endpoint │ Success │ logs.us-east-2.amazonaws.com is reachable │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ Connectivity to monitoring endpoint │ Success │ monitoring.us-east-2.amazonaws.com is reachable │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ AWS Credentials │ Success │ Credentials are for │
│ │ │ arn:aws:sts::123456789012:assumed-role/SSM-Role/i-123abc45EXAMPLE │
│ │ │ and will expire at 2021-09-02 13:24:42 +0000 UTC │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ Agent service │ Success │ Agent service is running and is running as expected user │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ Proxy configuration │ Skipped │ No proxy configuration detected │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ Windows sysprep image state │ Success │ Windows image state value is at desired value IMAGE_STATE_COMPLETE │
├───────────────────────────────────────┼─────────┼─────────────────────────────────────────────────────────────────────┤
│ SSM Agent version │ Success │ SSM Agent version is 3.2.815.0, latest agent version in us-east-2 │
│ │ │ is 3.2.985.0 │
└───────────────────────────────────────┴─────────┴─────────────────────────────────────────────────────────────────────┘
```
------
次の表に、`ssm-cli` によって実行される各チェックの詳細を示します。
**`ssm-cli` 診断チェック**
| チェック | 詳細 |
| --- | --- |
| Amazon EC2 インスタンスのメタデータサービス | マネージドノードがメタデータサービスに到達できるかどうかを示します。テストの失敗は、http://169.254.169.254 への接続に問題があることを示しています。これはローカルルート、プロキシ、またはオペレーティングシステム (OS) のファイアウォールとプロキシの構成によって発生している可能性があります。 |
| ハイブリッドインスタンスの登録 | SSM Agent がハイブリッドアクティベーションを使用して登録されているかどうかを示します。 |
| ssm エンドポイントへの接続 | ノードが TCP ポート 443 で Systems Manager のサービスエンドポイントに到達できるかどうかを示します。テストが失敗した場合は、ノードがある AWS リージョン に応じて https://ssm.region.amazonaws.com への接続に問題があることを示します。接続の問題は、セキュリティグループ、ネットワークアクセスコントロールリスト、ルートテーブル、OS ファイアウォールおよびプロキシなどの VPC 設定によって引き起こされている可能性があります。 |
| ec2messages エンドポイントへの接続 | ノードが TCP ポート 443 で Systems Manager のサービスエンドポイントに到達できるかどうかを示します。テストが失敗した場合は、ノードがある AWS リージョン に応じて https://ec2messages.region.amazonaws.com への接続に問題があることを示します。接続の問題は、セキュリティグループ、ネットワークアクセスコントロールリスト、ルートテーブル、OS ファイアウォールおよびプロキシなどの VPC 設定によって引き起こされている可能性があります。 |
| ssmmessages エンドポイントへの接続 | ノードが TCP ポート 443 で Systems Manager のサービスエンドポイントに到達できるかどうかを示します。テストが失敗した場合は、ノードがある AWS リージョン に応じて https://ssmmessages.region.amazonaws.com への接続に問題があることを示します。接続の問題は、セキュリティグループ、ネットワークアクセスコントロールリスト、ルートテーブル、OS ファイアウォールおよびプロキシなどの VPC 設定によって引き起こされている可能性があります。 |
| s3 エンドポイントへの接続 | ノードが TCP ポート 443 で Amazon Simple Storage Service のサービスエンドポイントに到達できるかどうかを示します。テストが失敗した場合は、ノードがある AWS リージョン に応じて https://s3.region.amazonaws.com への接続に問題があることを示します。ノードをマネージドノードリストに表示するのに、このエンドポイントに接続する必要はありません。 |
| kms エンドポイントへの接続 | ノードが TCP ポート 443 で AWS Key Management Service のサービスエンドポイントに到達できるかどうかを示します。テストが失敗した場合は、ノードがある AWS リージョン に応じて `https://kms.region.amazonaws.com` への接続に問題があることを示します。ノードをマネージドノードリストに表示するのに、このエンドポイントに接続する必要はありません。 |
| logs エンドポイントへの接続 | ノードが TCP ポート 443 で Amazon CloudWatch Logs のサービスエンドポイントに到達できるかどうかを示します。テストが失敗した場合は、ノードがある AWS リージョン に応じて https://logs.region.amazonaws.com への接続に問題があることを示します。ノードをマネージドノードリストに表示するのに、このエンドポイントに接続する必要はありません。 |
| monitoring エンドポイントへの接続 | ノードが TCP ポート 443 で Amazon CloudWatch のサービスエンドポイントに到達できるかどうかを示します。テストが失敗した場合は、ノードがある AWS リージョン に応じて https://monitoring.region.amazonaws.com への接続に問題があることを示します。ノードをマネージドノードリストに表示するのに、このエンドポイントに接続する必要はありません。 |
| AWS 認証情報 | マシンにアタッチされている IAM インスタンスプロファイル (EC2 インスタンスの場合) または IAM サービスロール (EC2 以外のマシンの場合) に基づいて、SSM Agent に必要な認証情報があるかどうかを示します。テストに失敗した場合、IAM インスタンスプロファイルまたは IAM サービスロールがマシンにアタッチされていないか、Systems Manager に必要な許可が含まれていないことを示します。 |
| エージェントサービス | SSM Agent サービスが実行されているかどうか、およびサービスが Linux もしくは macOS のルートとして、または Windows Server の SYSTEM として実行されているかどうかを示します。テストに失敗した場合、SSM Agent サービスが実行されていないか、ルートまたは SYSTEM として実行されていないことを示します。 |
| プロキシ設定 | SSM Agent がプロキシを使用するように設定されているかどうかを示します。 |
| Sysprep イメージの状態 (Windows のみ) | ノード上の Sysprep の状態を示します。Sysprep 状態が IMAGE\$1STATE\$1COMPLETE 以外の値の場合、SSM Agent はノード上で起動しません。 |
| SSM Agent バージョン | 利用可能な SSM Agent の最新バージョンかインストールされているかどうかを示します。 |