• AWS Systems Manager CloudWatch ダッシュボードは、2026 年 4 月 30 日以降は利用できなくなります。お客様は、これまでと同様に Amazon CloudWatch コンソールを使用して、Amazon CloudWatch ダッシュボードの表示、作成、管理を継続できます。詳細については、「[Amazon CloudWatch ダッシュボードのドキュメント](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)」を参照してください。

# ハイブリッド Windows Server ノードに SSM Agent をインストールする
<a name="hybrid-multicloud-ssm-agent-install-windows"></a>

このトピックでは、[ハイブリッドおよびマルチクラウド](operating-systems-and-machine-types.md#supported-machine-types)環境の Windows Server マシンに AWS Systems Manager SSM Agent をインストールする方法について説明します。Windows Server の EC2 インスタンス SSM Agent へのインストールの詳細については、「[Windows Server 用の EC2 インスタンスに SSM Agent を手動でインストールおよびアンインストールする](manually-install-ssm-agent-windows.md)」を参照してください。

開始する前に、「[ハイブリッドアクティベーションを作成して、Systems Manager にノードを登録する](hybrid-activation-managed-nodes.md)」の説明に従って、ハイブリッドアクティベーションプロセス中に生成されたアクティベーションコードとアクティベーション ID を見つけます。このコードと ID を次の手順で指定します。

**ハイブリッドおよびマルチクラウド環境の非 EC2 Windows Server マシンに SSM Agent をインストールするには**

1. ハイブリッドおよびマルチクラウド環境のサーバーまたは VM にログオンします。

1. HTTP または HTTPS プロキシを使用する場合は、現在のシェルセッションで `http_proxy` または `https_proxy` の環境変数を設定する必要があります。プロキシを使用していない場合は、この手順を省略できます。

   HTTP プロキシサーバーの場合は、次の変数を設定します。

   ```
   http_proxy=http://hostname:port
   https_proxy=http://hostname:port
   ```

   HTTPS プロキシサーバーの場合は、次の変数を設定します。

   ```
   http_proxy=http://hostname:port
   https_proxy=https://hostname:port
   ```

   PowerShell の場合は、WinINet プロキシ設定を構成します。

   ```
   [System.Net.WebRequest]::DefaultWebProxy
   
   $proxyServer = "http://hostname:port"
   $proxyBypass = "169.254.169.254"
   $WebProxy = New-Object System.Net.WebProxy($proxyServer,$true,$proxyBypass)
   
   [System.Net.WebRequest]::DefaultWebProxy = $WebProxy
   ```
**注記**  
PowerShell オペレーションには WinINet プロキシ設定が必要です。詳細については、「[SSM Agent プロキシ設定とSystems Manager サービス](configure-proxy-ssm-agent-windows.md#ssm-agent-proxy-services)」を参照してください。

1. 昇格された (管理者) モードで Windows PowerShell を開きます。

1. Windows PowerShell に以下のコマンドブロックを貼り付けます。各*リソースプレースホルダーの例*をユーザー自身の情報に置き換えます。例えば、ハイブリッドのアクティベーションの作成時に生成されたアクティベーションコードとアクティベーション ID、および SSM Agent のダウンロード元の AWS リージョン の識別子です。
**重要**  
次の重要な詳細に留意してください。  
EC2 以外のインストールに `ssm-setup-cli` を使用すると、Systems Manager のインストールと設定のセキュリティを最大化できます。
`ssm-setup-cli` で、エージェントのダウンロード元を判断する `manifest-url` オプションがサポートされました。ご自身の組織で必要とされている場合を除き、このオプションには値を指定しないでください。
[ここ](https://github.com/aws/amazon-ssm-agent/blob/mainline/Tools/src/setupcli_data_integrity_windows.ps1)に記載されているスクリプトを使用して、`ssm-setup-cli` の署名を検証できます。
インスタンスを登録するときは、`ssm-setup-cli` 用として指定されたダウンロードリンクのみを使用します。`ssm-setup-cli` を今後の使用のために個別に保管しないでください。

   *region* は、米国東部 (オハイオ) リージョンの `us-east-2` のように、AWS Systems Manager でサポートされている AWS リージョン の識別子を表します。サポートされている*リージョン*値のリストについては、「*Amazon Web Services 全般のリファレンス*」の「[Systems Manager サービスエンドポイント](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region)」にある**リージョン**列を参照してください。

   さらに、`ssm-setup-cli` には次のオプションが含まれます。
   + `version` – 有効な値は `latest` および `stable` です。
   + `downgrade` - エージェントを以前のバージョンに戻します。
   + `skip-signature-validation` - エージェントをダウンロードおよびインストールする間の署名検証をスキップします。

------
#### [ 64-bit ]

   ```
   [System.Net.ServicePointManager]::SecurityProtocol = 'TLS12'
   $code = "activation-code"
   $id = "activation-id"
   $region = "us-east-1"
   $dir = $env:TEMP + "\ssm"
   New-Item -ItemType directory -Path $dir -Force
   cd $dir
   (New-Object System.Net.WebClient).DownloadFile("https://amazon-ssm-$region.s3.$region.amazonaws.com/latest/windows_amd64/ssm-setup-cli.exe", $dir + "\ssm-setup-cli.exe")
   ./ssm-setup-cli.exe -register -activation-code="$code" -activation-id="$id" -region="$region"
   Get-Content ($env:ProgramData + "\Amazon\SSM\InstanceData\registration")
   Get-Service -Name "AmazonSSMAgent"
   ```

------

1. `Enter` キーを押します。

**注記**  
コマンドが失敗した場合は、AWS Tools for PowerShell の最新バージョンを実行していることを確認します。

コマンドが以下の操作を行います。
+ SSM Agent をマシンにダウンロードしてインストールします。
+ マシンを Systems Manager サービスに登録します。
+ リクエストに対して次のようなレスポンスを返します。

  ```
      Directory: C:\Users\ADMINI~1\AppData\Local\Temp\2
  
  
  Mode                LastWriteTime         Length Name
  ----                -------------         ------ ----
  d-----       07/07/2018   8:07 PM                ssm
  {"ManagedInstanceID":"mi-008d36be46EXAMPLE","Region":"us-east-2"}
  
  Status      : Running
  Name        : AmazonSSMAgent
  DisplayName : Amazon SSM Agent
  ```

これで、マシンはマネージドノードになりました。これらのマネージドノードは、「mi-」というプレフィックスで識別されます。Fleet Manager の [**マネージドノード**] ページにマネージドノードを表示するには、AWS CLI コマンド [https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-information.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-instance-information.html)、または API コマンド [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInstanceInformation.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeInstanceInformation.html) を使用します。

## プライベートキーの自動ローテーションを設定する
<a name="ssm-agent-hybrid-private-key-rotation-windows"></a>

セキュリティポスチャを強化するには、AWS Systems Manager エージェント (SSM Agent) を設定して、ハイブリッドまたはマルチクラウド環境用のプライベートキーを自動的にローテーションさせます。SSM Agent バージョン 3.0.1031.0 以降を使用すると、この機能にアクセスできます。次の手順に従ってこの機能を有効にします。

**ハイブリッドおよびマルチクラウド環境のプライベートキーをローテーションするように SSM Agent を設定するには**

1. Linux マシンでは `/etc/amazon/ssm/`、Windows Server マシンでは `C:\Program Files\Amazon\SSM` に移動します。

1. `amazon-ssm-agent.json.template` の内容を `amazon-ssm-agent.json` という名前の新ファイルにコピーします。`amazon-ssm-agent.json.template` と同じディレクトリに `amazon-ssm-agent.json` を保存します。

1. `Profile`、`KeyAutoRotateDays` を探す プライベートキーの自動ローテーション間隔の日数を入力します。

1. SSM Agent を再起動します。

設定を変更するたびに、SSM Agent を再起動します。

同じ手順を使用して、SSM Agent の他の機能をカスタマイズできます。使用可能な設定プロパティとそのデフォルト値の最新リストについては、「[Config Property Definitions](https://github.com/aws/amazon-ssm-agent#config-property-definitions) (設定プロパティの定義)」を参照してください。

## マネージドノードの登録解除と再登録 (Windows Server)
<a name="systems-manager-install-managed-win-deregister-reregister"></a>

マネージドノードの登録を解除するには、AWS CLI または Tools for Windows PowerShell のいずれかから [DeregisterManagedInstance](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DeregisterManagedInstance.html) API オペレーションを呼び出します。以下に CLI コマンドの例を示します。

`aws ssm deregister-managed-instance --instance-id "mi-1234567890"`

エージェントの残りの登録情報を削除するには、`amazon-ssm-agent.json` ファイル内の `IdentityConsumptionOrder` キーを削除します。次に、以下のコマンドを実行します。

`amazon-ssm-agent -register -clear`

**注記**  
指定のアクティベーションコードと ID のインスタンス制限に達していない限り、同じアクティベーションコードと ID を使用してオンプレミスサーバー、エッジデバイス、または VM を再登録できます。AWS CLI を使用して [describe-activations](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-activations.html) API を呼び出すことで、アクティベーションコードと ID のインスタンス制限を確認できます。このコマンドを実行した後、`RegistrationCount` の値が `RegistrationLimit` を超えていないことを確認します。もし超えている場合は、別のアクティベーションコードと ID を使用する必要があります。

**Windows Server ハイブリッドマシンでマネージドノードを再登録するには**

1. マシンへ接続します。

1. 以下のコマンドを実行してください。必ずプレースホルダー値の代わりに、ハイブリッドのアクティベーションの作成時に生成されたアクティベーションコードとアクティベーション ID、および SSM Agent のダウンロード元のリージョンの識別子を入力します。

   ```
   $dir = $env:TEMP + "\ssm"
   cd $dir
   Start-Process ./ssm-setup-cli.exe -ArgumentList @(
       "-register",
       "-activation-code=$code",
       "-activation-id=$id",
       "-region=$region"
   ) -Wait -NoNewWindow
   ```