• AWS Systems Manager CloudWatch ダッシュボードは、2026 年 4 月 30 日以降は利用できなくなります。お客様は、これまでと同様に Amazon CloudWatch コンソールを使用して、Amazon CloudWatch ダッシュボードの表示、作成、管理を継続できます。詳細については、「[Amazon CloudWatch ダッシュボードのドキュメント](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)」を参照してください。

# サポートされている Quick Setup 設定タイプ
<a name="quick-setup-config-types"></a>

**サポートされている設定タイプ**  
Quick Setup では、多数の Systems Manager とその他の AWS のサービス の運用上のベストプラクティスを設定し、それらの設定を自動的にデプロイすることができます。Quick Setup のダッシュボードには、構成デプロイのステータスがリアルタイムで表示されます。

Quick Setup は、個々の AWS アカウント で使用するか、AWS Organizations と統合することによって複数の AWS アカウント とリージョンにまたがって使用することができます。複数のアカウントで Quick Setup を使用すると、組織は一貫した構成を維持できます。

Quick Setup は以下の設定タイプにサポートを提供します。
+ [Quick Setup を使用して Amazon EC2 ホスト管理を設定する](quick-setup-host-management.md)
+ [Quick Setup を使用して組織のために Default Host Management Configuration を設定する](quick-setup-default-host-management-configuration.md)
+ [Quick Setup を使用して AWS Config 設定レコーダーを作成する](quick-setup-config.md)
+ [Quick Setup を使用して AWS Config 適合パックをデプロイする](quick-setup-cpack.md)
+ [Quick Setup パッチポリシーを使用して組織内のインスタンスのためにパッチ適用を設定する](quick-setup-patch-manager.md)
+ [Change Manager 組織設定](change-manager-organization-setup.md)
+ [Quick Setup を使用して DevOps Guru をセットアップする](quick-setup-devops.md)
+ [Quick Setup を使用して Distributor パッケージをデプロイする](quick-setup-distributor.md)
+ [Quick Setup を使用してスケジュールに従って EC2 インスタンスを自動的に停止および起動する](quick-setup-scheduler.md)
+ [OpsCenter 組織設定](OpsCenter-quick-setup-cross-account.md)
+ [Quick Setup を使用して AWS Resource Explorer を設定する](Resource-explorer-quick-setup.md)

# Quick Setup を使用して Amazon EC2 ホスト管理を設定する
<a name="quick-setup-host-management"></a>

AWS Systems Manager のツールである Quick Setup を利用することで、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスで必要なセキュリティロールと一般的に使用される Systems Manager ツールをすばやく設定できます。AWS Organizations と統合することで、個々のアカウントで、または複数のアカウントと AWS リージョン にまたがって Quick Setup を使用できます。これらのツールは、使用を開始するために必要な最小限のアクセス許可を提供しながら、インスタンスの正常性を管理およびモニタリングするのに役立ちます。

Systems Manager のサービスと機能に慣れていない場合は、Quick Setup の設定を作成する前に *AWS Systems Manager ユーザーガイド*を確認するようお勧めします。Systems Manager の詳細については、「[AWS Systems Manager とは](what-is-systems-manager.md)」を参照してください。

**重要**  
次のいずれかに当てはまる場合、Quick Setup は EC2 管理には適切なツールではない可能性があります。  
初めて EC2 インスタンスを作成して、AWS 機能を試してみようとしている。
EC2 インスタンス管理にまだ慣れていない。
次の内容から始めることをお勧めします。  
[Amazon EC2 の開始方法](https://aws.amazon.com/ec2/getting-started)
「Amazon EC2 ユーザーガイド」の「[新しいインスタンス起動ウィザードを使用してインスタンスを起動する](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-launch-instance-wizard.html)」
「Amazon EC2 ユーザーガイド」の「[チュートリアル: Amazon EC2 Linux インスタンスの開始方法](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EC2_GetStarted.html)」
すでに EC2 インスタンス管理に慣れていて、複数の EC2 インスタンスの設定と管理を効率化したい場合は、Quick Setup を使用してください。組織の EC2 インスタンスが数十、数千、数百万のいずれであっても、次の Quick Setup 手順を使用して、複数のオプションを一度に設定してください。

**注記**  
この設定タイプでは、AWS Organizations で定義されている組織全体、一部の組織アカウントとリージョンのみ、または単一のアカウントに複数のオプションを設定できます。これらのオプションの 1 つは、2 週間ごとに SSM Agent への更新を確認して適用することです。組織管理者の場合は、デフォルトのホスト管理設定タイプを使用して、2 週間ごとに組織内のすべての** EC2 インスタンスをエージェントアップデートで更新するように選択することもできます。詳細については、「[Quick Setup を使用して組織のために Default Host Management Configuration を設定する](quick-setup-default-host-management-configuration.md)」を参照してください。

## EC2 インスタンスのホスト管理オプションの設定
<a name="host-management-configuration"></a>

ホスト管理を設定するには、AWS Systems Manager Quick Setup コンソールで次のタスクを実行します。

**ホスト管理設定ページを開くには**

1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。

1. ナビゲーションペインで、**[Quick Setup]** を選択します。

1. **[ホスト管理]** カードで、**[作成]** を選択します。
**ヒント**  
アカウントにすでに 1 つ以上の設定がある場合は、まず**[設定]** セクションで **[ライブラリ]** タブまたは **[作成]** ボタンを選択し、カードを表示します。

**Systems Manager のホスト管理オプションを設定するには**
+ Systems Manager 機能を設定するには、**[設定オプション]** セクションで、設定で有効にする **Systems Manager** グループの次のオプションを選択します。

     
**Systems Manager (SSM) エージェントを 2 週間ごとに更新する**  
エージェントの新しいバージョンがあるかどうか Systems Manager が 2 週間ごとに確認できるようにします。新しいバージョンがある場合、Systems Manager はマネージドノード上のエージェントを最新のリリースバージョンに自動的に更新します。Quick Setup は、エージェントがまだ存在しないインスタンスにエージェントをインストールすることはありません。どの AMIs に SSM Agent がプリインストールされているかについては、「[SSM Agent がプリインストールされている AMIs を見つける](ami-preinstalled-agent.md)」を参照してください。  
ノードが常に最新バージョンの SSM Agent を実行できるように、このオプションを選択することをお勧めします。エージェントを手動でインストールする方法など SSM Agent の詳細については、「[「SSM Agent」 の使用](ssm-agent.md)」を参照してください。  
**30 分ごとにインスタンスからインベントリを収集する**  
次のタイプのメタデータの収集を Quick Setup が設定できるようにします。  
  + **AWS コンポーネント** – EC2 ドライバー、エージェント、バージョンなど。
  + **アプリケーション** – アプリケーション名、発行元、バージョンなど。
  + **ノードの詳細** – システム名、オペレーティングシステム (OS) 名、OS バージョン、最終起動、DNS、ドメイン、ワークグループ、OS アーキテクチャなど。
  + **ネットワーク設定** – IP アドレス、MAC アドレス、DNS、ゲートウェイ、サブネットマスクなど。
  + **サービス** – 名前、表示名、ステータス、依存サービス、サービスタイプ、スタートタイプなど (Windows Server ノードのみ)。
  + **Windows ロール** – 名前、表示名、パス、特徴タイプ、インストールされている状態など (Windows Server ノードのみ)。
  + **Windows 更新** – Hotfix ID、インストール者、インストール日など (Windows Server ノードのみ)。
AWS Systems Manager のツールである Inventory の詳細については、「[AWS Systems Manager インベントリ](systems-manager-inventory.md)」を参照してください。  
**[Inventory collection]** (インベントリ収集) オプションは、数個のノードのみを選択した場合でも、完了までに最大 10 分かかることがあります。  
**欠落しているパッチを毎日スキャンする**  
Systems Manager のツールである Patch Manager によって、ノードを毎日スキャンし、**[コンプライアンス]** ページでレポートを生成できるようにします。このレポートには、*デフォルトのパッチベースライン*に従って、パッチに準拠しているノードの数が表示されます。このレポートには、各ノードとそのコンプライアンス ステータスのリストが含まれます。  
パッチ適用オペレーションとパッチベースラインについては、「[AWS Systems Manager Patch Manager](patch-manager.md)」を参照してください。  
パッチコンプライアンスについては、Systems Manager の [[Compliance]](https://console.aws.amazon.com/systems-manager/compliance) (コンプライアンス) ページを参照してください。  
1 つの設定で複数のアカウントとリージョンのマネージドノードにパッチを適用する方法については、「[Quick Setup でのパッチポリシー設定](patch-manager-policies.md)」と「[Quick Setup パッチポリシーを使用して組織内のインスタンスのためにパッチ適用を設定する](quick-setup-patch-manager.md)」を参照してください。  
Systems Manager では、パッチコンプライアンスに関してマネージドノードをスキャンするいくつかの方法がサポートされています。これらの方法を一度に複数実施した場合、表示されるパッチコンプライアンス情報は常に最新のスキャンの結果です。以前のスキャンの結果は上書きされます。スキャン方法によって異なるパッチベースラインと異なる承認ルールが使用されている場合、パッチコンプライアンス情報が予期せず変化する可能性があります。詳細については、「[パッチコンプライアンスデータを作成した実行の特定](patch-manager-compliance-data-overwrites.md)」を参照してください。

**Amazon CloudWatch ホスト管理オプションを設定するには**
+ CloudWatch 機能を設定するには、**[設定オプション]** セクションで、設定で有効にする **Amazon CloudWatch** グループの次のオプションを選択します。

     
**CloudWatch エージェントをインストールして設定する**  
統合 CloudWatch エージェントの基本的な設定が、Amazon EC2 インスタンスにインストールされます。エージェントは、Amazon CloudWatch のインスタンスからメトリクススとログファイルを収集します。この情報は統合されているため、インスタンスの正常性をすばやく判断できます。CloudWatch エージェントのベーシック 設定の詳細については、[[CloudWatch agent predefined metric sets]](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/create-cloudwatch-agent-configuration-file-wizard.html#cloudwatch-agent-preset-metrics) (CloudWatch エージェントの定義済みメトリクス セット) を参照してください。追加コストが発生する場合があります。詳細については、「[Amazon CloudWatch の料金](https://aws.amazon.com/cloudwatch/pricing/)」を参照してください。  
**CloudWatch エージェントを 30 日に 1 回更新する**  
CloudWatch エージェントの新しいバージョンがあるかどうか Systems Manager が 30 日ごとに確認できるようにします。新しいバージョンがある場合、Systems Manager はインスタンスのエージェントを更新します。インスタンスで常に最新バージョンの CloudWatch エージェントが実行されるように、このオプションを選択することをお勧めします。

**Amazon EC2 起動エージェントのホスト管理オプションを設定するには**
+ Amazon EC2 起動エージェント機能を設定するには、**[設定オプション]** セクションで、設定で有効にする **Amazon EC2 起動エージェント**グループの次のオプションを選択します。

     
**EC2 起動エージェントを 30 日に 1 回更新する**  
インスタンスにインストールされている起動エージェントの新しいバージョンを Systems Manager が 30 日ごとに確認できるようにします。新しいバージョンが利用可能である場合、Systems Manager はインスタンスのエージェントを更新します。インスタンスで常に最新バージョンの適切な起動エージェントが実行されるように、このオプションを選択することをお勧めします。Amazon EC2 Windows インスタンスの場合、このオプションは EC2Launch、EC2Launch v2、および EC2Config をサポートします。Amazon EC2 Linux インスタンスの場合、このオプションは `cloud-init` をサポートします。Amazon EC2 Mac インスタンスの場合、このオプションは `ec2-macos-init` をサポートします。Quick Setup は、起動エージェントによってサポートされていないオペレーティングシステムまたは AL2023 にインストールされている起動エージェントの更新をサポートしていません。  
これらの初期化エージェントの詳細については、次のトピックを参照してください。  
  +  [EC2Launch v2 を使用した Windows インスタンスの設定](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2launch-v2.html) 
  +  [EC2Launch を使用した Windows インスタンスの設定](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2launch.html) 
  +  [EC2Config サービスを使用した Windows インスタンスの設定](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2config-service.html) 
  +  [cloud-init ドキュメント](https://cloudinit.readthedocs.io/en/22.2.2/index.html) 
  +  [ec2-macos-init](https://github.com/aws/ec2-macos-init) 

**ホスト管理設定によって更新する EC2 インスタンスを選択するには**
+ **[ターゲット]** セクションで、設定をデプロイするアカウントとリージョンを決定する方法を選択します。
**注記**  
同じ AWS リージョン を対象に複数の Quick Setup ホスト管理設定を作成することはできません。

------
#### [ Entire organization ]

  設定は組織内のすべての組織単位 (OU) と AWS リージョン にデプロイされます。

**注記**  
[**Entire organization** (組織全体)] オプションは、組織の管理アカウントからホスト管理を設定する場合にのみ使用できます。

------
#### [ Custom ]

  1. **[ターゲット OU]** セクションで、このホスト管理設定をデプロイする OU を選択します。

  1. **[ターゲットリージョン]** セクションで、このホスト管理設定をデプロイするリージョンを選択します。

------
#### [ Current account ]

  リージョンオプションのいずれかを選択し、そのオプションの手順に従います。

   

**現在のリージョン**  
現在のリージョンのみの中で、インスタンスをターゲットにする方法を以下のいずれかから選択します。  
  + **すべてのインスタンス** – ホスト管理設定は、現在のリージョンのすべての EC2 を自動的にターゲットにします。
  + **タグ** – **[追加]** を選択し、ターゲットにするインスタンスに追加したキーとオプションの値を入力します。
  + **リソースグループ** – **[リソースグループ]** で、ターゲットにする EC2 インスタンスを含む既存のリソースグループを選択します。
  + **手動** – **[インスタンス]** セクションで、ターゲットにする各 EC2 インスタンスのチェックボックスを選択します。

**リージョンを選択する**  
以下のいずれかを選択して、指定したリージョンのインスタンスをターゲットにする方法を選択します。  
  + **すべてのインスタンス** – 指定したリージョンのすべてのインスタンスがターゲットになります。
  + **タグ** – **[追加]** を選択し、ターゲットにするインスタンスに追加したキーとオプションの値を入力します。
**[ターゲットリージョン]** セクションで、このホスト管理設定をデプロイするリージョンを選択します。

------

**インスタンスプロファイルオプションを指定するには**
+ **[組織全体]** と **[カスタム]** ターゲットのみ。

  **[インスタンスプロファイルのオプション]** セクションで、インスタンスにアタッチされた既存のインスタンスプロファイルに必要な IAM ポリシーを追加するか、選択した設定に必要なアクセス許可を持つ IAM ポリシーとインスタンスプロファイルを Quick Setup で作成できるようにするか選択します。

設定の選択肢をすべて指定したら、**[作成]** を選択します。

# Quick Setup を使用して組織のために Default Host Management Configuration を設定する
<a name="quick-setup-default-host-management-configuration"></a>

Quick Setup で AWS Systems Manager のツールを使用すると、AWS Organizations で組織に追加されたすべてのアカウントとリージョンのデフォルトのホスト管理設定を有効化できます。これにより、組織内のすべての Amazon Elastic Compute Cloud (EC2) インスタンスで SSM Agent が最新の状態に保たれ、Systems Manager に接続できます。

**[開始する前に]**  
この設定を有効にする前に、以下の要件が満たされるようにしてください。
+ 組織の管理対象となるすべての EC2 インスタンスに、SSM Agent の最新バージョンがすでにインストールされている。
+ 管理対象となる EC2 インスタンスが、インスタンスメタデータサービスのバージョン 2 (IMDSv2) を使用している。
+ AWS Organizations で指定されているように、管理者権限を持つ AWS Identity and Access Management (IAM) ID (ユーザー、ロール、またはグループ) を使用して、組織の管理アカウントにサインインしている。

**デフォルトの EC2 インスタンス管理ロールを使用する**  
デフォルトのホスト管理設定は、Systems Manager の `default-ec2-instance-management-role` サービス設定を利用します。これは、インスタンスとクラウド内の Systems Manager サービス上の SSM Agent 間の通信を可能にするために、組織内のすべてのアカウントで利用できるようにしたいアクセス許可を持つロールです。

[https://docs.aws.amazon.com/cli/latest/reference/ssm/update-service-setting.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/update-service-setting.html) CLI コマンドを使用してこのロールをすでに設定している場合、デフォルトのホスト管理設定ではそのロールが使用されます。このロールをまだ設定していない場合は、Quick Setup は自動的にロールを作成して適用します。

このロールが組織ですでに指定されているかどうかを確認するには、[https://docs.aws.amazon.com/cli/latest/reference/ssm/get-service-setting.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/get-service-setting.html) コマンドを使用します。

## 2 週間ごとに SSM Agent の自動更新を有効にする
<a name="dhmc-enable-automatic-updates"></a>

以下の手順に従って、AWS Organizations 組織全体でデフォルトのホスト管理設定オプションを有効にします。

**2 週間ごとに SSM Agent の自動更新を有効にするには**

1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。

1. ナビゲーションペインで、**[Quick Setup]** を選択します。

1. **[デフォルトのホスト管理設定]** カードで、**[作成]** を選択します。
**ヒント**  
アカウントにすでに 1 つ以上の設定がある場合は、まず**[設定]** セクションで **[ライブラリ]** タブまたは **[作成]** ボタンを選択し、カードを表示します。

1. **[設定オプション]** セクションで、**[2 週間ごとに SSM Agent の自動更新を有効にする]** を選択します。

1. **作成**を選択します。

# Quick Setup を使用して AWS Config 設定レコーダーを作成する
<a name="quick-setup-config"></a>

AWS Systems Manager のツールである Quick Setup を使用すると、AWS Config による設定レコーダーをすばやく作成できます。設定レコーダーを使用してリソースの設定変更を検出し、これらの変更を設定項目として取り込みます。AWS Config に慣れていない場合は、Quick Setup を使用して設定を作成する前に、 *AWS Config デベロッパーガイド*の内容を確認して、サービスの詳細を確認するようお勧めします。AWS Config の詳細については、*AWS Config デベロッパーガイド*の「[AWS Config とは](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)」を参照してください。

デフォルトでは、設定レコーダーは AWS Config が実行されている AWS リージョン のすべてのサポートされているリソースを記録します。指定したリソースタイプのみが記録されるように、設定をカスタマイズできます。詳細については、*AWS Config デベロッパーガイド*の「[AWS Config が記録するリソースを選択する](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html)」を参照してください。

AWS Config で設定の記録が開始されると、サービスの利用料金が発生します。料金については、[AWS Config の料金](https://aws.amazon.com/config/pricing/)をご参照ください。

**注記**  
設定レコーダーを既に作成している場合は、Quick Setup は記録を停止したり、既に記録しているリソースタイプを変更したりしません。Quick Setup を使用して追加のリソースタイプを記録することを選択した場合、サービスはそれらを既存のレコーダーグループに追加します。Quick Setup **Config 記録**設定タイプを削除しても、設定レコーダーは停止しません。変更は引き続き記録され、設定レコーダーを停止するまでサービス利用料がかかります。設定レコーダーの管理の詳細については、*AWS Configデベロッパーガイド*の「[設定レコーダーの管理](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html)」を参照してください。

AWS Config の記録を設定するには、AWS Systems Manager コンソールで次のタスクを実行します。

**Quick Setup を使用して AWS Config の記録をセットアップするには**

1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。

1. ナビゲーションペインで、**[Quick Setup]** を選択します。

1. **[Config Recording]**カードで、**[作成]** を選択します。
**ヒント**  
アカウントにすでに 1 つ以上の設定がある場合は、まず**[設定]** セクションで **[ライブラリ]** タブまたは **[作成]** ボタンを選択し、カードを表示します。

1. **[設定オプション]** セクションで、次を実行します:

   1. **[記録する AWS リソースタイプを選択]** で、サポートされているすべてのリソースを記録するか、選択したリソースタイプのみを記録するかを指定します。

   1. **[配信設定] では、新しい Amazon Simple Storage Service (Amazon S3) バケットを作成するか、または設定スナップショットを送信する既存のバケットを選択するかを指定します。**

   1. **[通知オプション]** で、希望する通知オプションを選択します。AWS Config は、Amazon Simple Notification Service (Amazon SNS) を使用して、リソースに関連する重要な AWS Config イベントについて通知します。[**既存の SNS トピックの使用**] オプションを選択した場合は、使用するアカウントの既存の Amazon SNS トピックの AWS アカウント ID と名前を指定する必要があります。複数の AWS リージョン をターゲットにする場合、トピック名は各リージョンで同一である必要があります。

1. [**Schedule** (スケジュール)] セクションで、設定とは異なるリソースに加えられた変更を Quick Setup で修正する頻度を選択します。[**Default** (デフォルト)] オプションは 1 回実行されます。設定と異なるリソースに加えられた変更を Quick Setup で修正しない場合は、[**Custom** (カスタム)] で [**Disable remediation** (修復を無効にする)] を選択します。

1. **[ターゲット]** セクションで、次のいずれかを選択して、記録のためにアカウントとリージョンを識別します。
**注記**  
1 つのアカウントで作業している場合、組織や組織単位 (OU) を使用するオプションは利用できません。この設定をアカウント内のすべての AWS リージョン に適用するか、選択したリージョンのみに適用するかを選択できます。
   + **[Entire organization]** (組織全体) – 組織内のすべてのアカウントとリージョン。
   + **[Custom]** (カスタム) – 指定した OU とリージョンのみ。
     + **[ターゲット OU]** セクションで、記録を許可する OU を選択します。
     + **[ターゲットリージョン]** セクションで、記録を許可するリージョンを選択します。
   + **[Current account]** (現在のアカウント) – 現在サインインしているアカウント内の指定したリージョンのみがターゲットになります。次のいずれかを選択します。
     + **[Current Region]** (現在のリージョン) – コンソールで選択したリージョン内のマネージドノードのみがターゲットになります。
     + **[リージョンを選択]** – 記録設定を適用する個々のリージョンを選択します。

1. **[Create]** (作成) を選択します。

# Quick Setup を使用して AWS Config 適合パックをデプロイする
<a name="quick-setup-cpack"></a>

コンフォーマンスパックは、AWS Config ルールと是正アクションのコレクションです。Quick Setupでは、アカウントと AWS リージョン で単一のエンティティとして、または AWS Organizations の組織全体でコンフォーマンスパックをデプロイできます。これは、共通のフレームワークとパッケージ化モデルを使用して、ポリシー定義から監査および集約レポートまで大規模に AWS リソースの設定コンプライアンスを管理する際に役立ちます。

コンフォーマンスパックをデプロイするには、AWS Systems Manager Quick Setup コンソールで以下のタスクを実行します。

**注記**  
この設定をデプロイする前に、AWS Config 記録を有効にする必要があります。詳細については、*AWS Config デベロッパーガイド*の「[コンフォーマンスパック](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html)」を参照してください。

**Quick Setup でコンフォーマンスパックをデプロイするには**

1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。

1. ナビゲーションペインで、**[Quick Setup]** を選択します。

1. **[コンフォーマンスパック]** カードで、**[作成]** を選択します。
**ヒント**  
アカウントにすでに 1 つ以上の設定がある場合は、まず**[設定]** セクションで **[ライブラリ]** タブまたは **[作成]** ボタンを選択し、カードを表示します。

1. **[コンフォーマンスパックを選択]** セクションで、デプロイするコンフォーマンスパックを選択します。

1. [**Schedule** (スケジュール)] セクションで、設定とは異なるリソースに加えられた変更を Quick Setup で修正する頻度を選択します。[**Default** (デフォルト)] オプションは 1 回実行されます。設定と異なるリソースに加えられた変更を Quick Setup で修正しない場合は、[**Custom** (カスタム)] で [**Disabled** (無効にする)] を選択します。

1. [**Targets** (ターゲット)] セクションで、コンフォーマンスパックを組織全体、一部の AWS リージョン、または現在ログインしているアカウントにデプロイするのか選択します。

   [**組織全体**] を選択した場合は、ステップ 8 に進みます。

   [**カスタム**] を選択した場合は、ステップ 7 に進みます。

1. [**Target Regions** (ターゲットリージョン)] セクションで、 コンフォーマンスパックのデプロイ先リージョンのチェックボックスを選択します。

1. **[Create]** (作成) を選択します。

# Quick Setup パッチポリシーを使用して組織内のインスタンスのためにパッチ適用を設定する
<a name="quick-setup-patch-manager"></a>

AWS Systems Manager のツールである Quick Setup を使用すると、Patch Manager を利用したパッチポリシーを作成できます。パッチポリシーは、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスなどのマネージドノードに自動的にパッチを適用するときに使用するスケジュールとベースラインを定義します。単一のパッチポリシー設定を使用して、組織内の複数の AWS リージョン のすべてのアカウントにパッチを定義するか、選択したアカウントとリージョンのみに適用するか、単一のアカウントとリージョンのペアに適用するかを定義できます。パッチポリシーの詳細については、「[Quick Setup でのパッチポリシー設定](patch-manager-policies.md)」を参照してください。

**前提条件**  
Quick Setup を使用してノードのパッチポリシーを定義するには、そのノードがマネージドノードである必要があります。ノードの管理方法の詳細については、「[組織用の Systems Manager 統合コンソールのセットアップ](systems-manager-setting-up-organizations.md)」を参照してください。

**重要**  
**パッチコンプライアンスのスキャン方法** – Systems Manager では、パッチコンプライアンスに関してマネージドノードをスキャンするいくつかの方法がサポートされています。これらの方法を一度に複数実施した場合、表示されるパッチコンプライアンス情報は常に最新のスキャンの結果です。以前のスキャンの結果は上書きされます。スキャン方法によって異なるパッチベースラインと異なる承認ルールが使用されている場合、パッチコンプライアンス情報が予期せず変化する可能性があります。詳細については、「[パッチコンプライアンスデータを作成した実行の特定](patch-manager-compliance-data-overwrites.md)」を参照してください。  
**関連付けコンプライアンスステータスとパッチポリシー** – Quick Setup パッチポリシーの下にあるマネージドノードのパッチステータスは、そのノードの State Manager 関連付け実行ステータスと一致します。関連付け実行ステータスが `Compliant` の場合、マネージドノードのパッチステータスも `Compliant` とマークされます。関連付け実行ステータスが `Non-Compliant` の場合、マネージドノードのパッチステータスも `Non-Compliant` とマークされます。

## パッチポリシー設定がサポートされているリージョン
<a name="patch-policies-supported-regions"></a>

Quick Setup でのパッチポリシー設定は、現在、次のリージョンでサポートされています。
+ 米国東部 (オハイオ) (us-east-2)
+ 米国東部 (バージニア北部) (us-east-1)
+ 米国西部 (北カリフォルニア) (us-west-1)
+ 米国西部 (オレゴン) (us-west-2)
+ アジアパシフィック (ムンバイ) (ap-south-1)
+ アジアパシフィック (ソウル) (ap-northeast-2)
+ アジアパシフィック (シンガポール) (ap-southeast-1)
+ アジアパシフィック (シドニー) (ap-southeast-2)
+ アジアパシフィック (東京) (ap-northeast-1)
+ カナダ (中部) (ca-central-1)
+ ヨーロッパ (フランクフルト) (eu-central-1)
+ 欧州 (アイルランド) (eu-west-1)
+ ヨーロッパ (ロンドン) (eu-west-2)
+ 欧州 (パリ) (eu-west-3)
+ 欧州 (ストックホルム) (eu-north-1)
+ 南米 (サンパウロ) (sa-east-1)

## パッチポリシー S3 バケットの許可
<a name="patch-policy-s3-bucket-permissions"></a>

パッチポリシーを作成すると、Quick Setup は `baseline_overrides.json` という名前のファイルを含む Amazon S3 バケットを作成します。このファイルには、パッチポリシー用に指定したパッチベースラインに関する情報が保存されます。

S3 バケットの名前は、`aws-quicksetup-patchpolicy-account-id-quick-setup-configuration-id` の形式で付けられます。

例: `aws-quicksetup-patchpolicy-123456789012-abcde`

組織のパッチポリシーを作成している場合、バケットは組織の管理アカウントに作成されます。

AWS Identity and Access Management (IAM) ポリシーを使用して、この S3 バケットにアクセスするための許可を他の AWS リソースに提供する必要がある場合は、次の 2 つのユースケースが参考になります。
+ [ケース 1: マネージドノードで、Quick Setup によって提供されるインスタンスプロファイルまたはサービスロールではなく、独自のインスタンスプロファイルまたはサービスロールを使用する](#patch-policy-instance-profile-service-role)
+ [ケース 2: VPC エンドポイントを使用して Systems Manager に接続する](#patch-policy-vpc)

いずれの場合でも必要な許可ポリシーは、以下のセクション「[Quick Setup S3 バケットのポリシー許可](#patch-policy-bucket-permissions)」にあります。

### ケース 1: マネージドノードで、Quick Setup によって提供されるインスタンスプロファイルまたはサービスロールではなく、独自のインスタンスプロファイルまたはサービスロールを使用する
<a name="patch-policy-instance-profile-service-role"></a>

パッチポリシー設定には、**[インスタンスにアタッチされている既存のインスタンスプロファイルに必要な IAM ポリシーを追加]** オプションが含まれています。

このオプションを選択せずに、このパッチポリシーを使用してマネージドノードにパッチを Quick Setup に適用する場合は、次が実装されていることを確認する必要があります。
+ IAM 管理ポリシー `AmazonSSMManagedInstanceCore` は、マネージドノードに Systems Manager 許可を付与するために使用される [IAM インスタンスプロファイル](setup-instance-permissions.md)または [IAM サービスロール](hybrid-multicloud-service-role.md)にアタッチする必要があります。
+ パッチポリシーバケットにアクセスするための許可を、インラインポリシーとして IAM インスタンスプロファイルまたは IAM サービスロールに追加する必要があります。前掲のコードサンプルで示されているとおり、すべての `aws-quicksetup-patchpolicy` バケット、または組織もしくはアカウント用に作成された特定のバケットのみに対するワイルドカードアクセスを提供できます。
+ IAM インスタンスプロファイルまたは IAM サービスロールは次に示すキーと値のペアを使用してタグ付けする必要があります。

  `Key: QSConfigId-quick-setup-configuration-id, Value: quick-setup-configuration-id`

  *quick-setup-configuration-id* は、パッチポリシー設定の作成に使用される AWS CloudFormation スタックに適用されるパラメータの値を表します。この ID を取得するには、次の手順を実行します。

  1. [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) で CloudFormation コンソール を開きます。

  1. パッチポリシーの作成に使用されるスタックの名前を選択します。名前は `StackSet-AWS-QuickSetup-PatchPolicy-LA-q4bkg-52cd2f06-d0f9-499e-9818-d887cEXAMPLE` などの形式です。

  1. **[パラメータ]** タブを選択します。

  1. **[パラメータ]** リストの **[キー]** 列で、**[QSConfigurationId]** を探します。その行の **[値]** の列で、`abcde` のような設定 ID を探します。

     この例では、タグをインスタンスプロファイルまたはサービスロールに適用する場合、キーは `QSConfigId-abcde`、値は `abcde` です。

IAM ロールにタグを追加する方法の詳細については、「*IAM ユーザーガイド*」の「[IAM ロールのタグ付け](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags_roles.html#id_tags_roles_procs-console)」および「[インスタンスプロファイルのタグ管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags_instance-profiles.html#id_tags_instance-profile_procs-cli-api)」(AWS CLI または AWS API) を参照してください。

### ケース 2: VPC エンドポイントを使用して Systems Manager に接続する
<a name="patch-policy-vpc"></a>

VPC エンドポイントを使用して Systems Manager に接続する場合は、S3 の VPC エンドポイントポリシーで Quick Setup パッチポリシー S3 バケットに対するアクセスを許可する必要があります。

S3 の VPC エンドポイントポリシーに対するアクセス許可の追加の詳細については、「*Amazon S3 ユーザーガイド*」の「[バケットポリシーを使用した VPC エンドポイントからのアクセス制御](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies-vpc-endpoint.html)」を参照してください。

### Quick Setup S3 バケットのポリシー許可
<a name="patch-policy-bucket-permissions"></a>

すべての `aws-quicksetup-patchpolicy` バケット、または組織もしくはアカウント用に作成された特定のバケットのみに対するワイルドカードアクセスを提供できます。以下で説明する 2 つのケースのために必要な許可を付与するには、いずれかの形式を使用します。

------
#### [ All patch policy buckets ]

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AccessToAllPatchPolicyRelatedBuckets",
      "Effect": "Allow",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::aws-quicksetup-patchpolicy-*"
    }
  ]
}
```

------

------
#### [ Specific patch policy bucket ]

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AccessToMyPatchPolicyRelatedBucket",
      "Effect": "Allow",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::aws-quicksetup-patchpolicy-111122223333-quick-setup-configuration-id"
    }
  ]
}
```

------

**注記**  
パッチポリシー設定が作成されたら、S3 コンソールでバケットの完全な名前を確認できます。例: `aws-quicksetup-patchpolicy-123456789012-abcde`

------

## パッチポリシー操作におけるランダムパッチベースライン ID
<a name="qs-patch-baselines-and-compliance"></a>

パッチポリシーのパッチ適用操作では `AWS-RunPatchBaseline` SSM Command ドキュメントの `BaselineOverride` パラメータを使用します。

パッチポリシー**以外のパッチ適用に `AWS-RunPatchBaseline` を使用する場合、`BaselineOverride` を使用して、操作中に使用するパッチベースラインのうち、指定したデフォルトとは異なるリストを指定できます。このリストは `baseline_overrides.json` という名前のファイルに作成し、所有している Amazon S3 バケットに手動で追加します (「[BaselineOverride パラメータの使用](patch-manager-baselineoverride-parameter.md)」を参照)。

ただし、パッチポリシーに基づくパッチ操作の場合、Systems Manager は自動的に S3 バケットを作成し、そこに `baseline_overrides.json` ファイルを追加します。その後、(Run Command ツールを使用して) Quick Setup がパッチ適用操作機能を実行するたびに、システムはパッチベースラインごとにランダム ID を生成します。この ID はパッチポリシーのパッチ適用操作ごとに異なり、この ID の示すパッチベースラインが、アカウントに保存されたりアクセスされたりすることはありません。

そのため、設定で選択したパッチベースラインの ID はパッチ適用ログに表示されません。これは、AWS のマネージドパッチベースラインと選択したカスタムパッチベースラインの両方に当てはまります。代わりに、ログに記録されるベースライン ID は、その特定のパッチ適用操作で生成されたベースライン ID です。

さらに、ランダム ID で生成されたパッチベースラインについて、Patch Manager に詳細を表示しようとすると、システムはそのパッチベースラインが存在しないと通知します。この動作は正常であり、無視してもかまいません。

## パッチポリシーの作成
<a name="create-patch-policy"></a>

パッチポリシーを作成するには、Systems Manager コンソールで次のタスクを実行します。

**Quick Setup でパッチポリシーを作成するには**

1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。

   組織に対してパッチ適用をセットアップする場合は、その組織の管理アカウントにサインインしていることを確認してください。委任管理者アカウントまたはメンバーアカウントを使用してポリシーをセットアップすることはできません。

1. ナビゲーションペインで、**Quick Setup** を選択します。

1. **[Patch Manager]** (パッチマネージャー) で、**[Create]** (作成) を選択します。
**ヒント**  
アカウントにすでに 1 つ以上の設定がある場合は、まず**[設定]** セクションで **[ライブラリ]** タブまたは **[作成]** ボタンを選択し、カードを表示します。

1. **[Configuration name]** (設定名) に、パッチポリシーを識別するための名前を入力します。

1. **[スキャンとインストール]** セクションの **[パッチオペレーション]** で、パッチポリシーが指定したターゲットを **[スキャン]** するか、指定したターゲットにパッチを **[スキャンとインストール]** するかを選択します。

1. **[Scanning schedule]** (スキャンのスケジュール) で、**[Use recommended defaults]** (推奨される既定値を使用) または **[Custom scan schedule]** (カスタムスキャンスケジュール) を選択します。デフォルトのスキャンスケジュールでは、毎日 UTC 午前 1:00 にターゲットをスキャンします。
   + **[Custom scan schedule]** (カスタムスキャンスケジュール) を選択した場合は、**[Scanning frequency]** (スキャンの頻度) を選択します。
   + **[Daily]** (毎日) を選択した場合は、ターゲットをスキャンする時刻を UTC で入力します。
   + **[Custom CRON Expression]** (カスタム CRON 式) を選択した場合は、スケジュールを **[CRON expression]** (CRON 式) として入力します。Systems Manager 用の CRON 式の形式については、「[リファレンス: Systems Manager の cron 式および rate 式](reference-cron-and-rate-expressions.md)」を参照してください。

     また、**[Wait to scan targets until first CRON interval]** (最初の CRON 間隔が経過してからターゲットをスキャンする) を選択します。デフォルトでは、Patch Manager はノードがターゲットになるとすぐにスキャンします。

1. **[Scan and install]** (スキャンとインストール) を選択した場合は、指定したターゲットにパッチをインストールするときに使用する **[Installation schedule]** (インストールスケジュール) を選択します。**[Use recommended defaults]** (推奨される既定値を使用) を選択すると、Patch Manager では毎週日曜日の午前 2 時 (UTC) にパッチがインストールされます。
   + **[Custom install schedule]** (カスタムインストールスケジュール) を選択した場合は、**[Installation Frequency]** (インストールの頻度) を選択します。
   + **[Daily]** (毎日) を選択した場合は、ターゲットに更新をインストールする時刻を UTC で入力します。
   + **[Custom CRON expression]** (カスタム CRON 式) を選択した場合は、スケジュールを **[CRON expression]** (CRON 式) として入力します。Systems Manager 用の CRON 式の形式については、「[リファレンス: Systems Manager の cron 式および rate 式](reference-cron-and-rate-expressions.md)」を参照してください。

     また、**[Wait to install updates until first CRON interval]** (最初の CRON 間隔が経過してから更新をインストールする) をオフにすると、ノードがターゲットになったらすぐに更新がインストールされます。デフォルトでは、Patch Manager は最初の CRON 間隔が経過してから更新をインストールします。
   + **[Reboot if needed]** (必要に応じて再起動) を選択すると、パッチのインストール後にノードが再起動されます。インストール後に再起動することをお勧めしますが、その間使用できなくなることが問題になる可能性があります。

1. **[Patch baseline]** (パッチベースライン) セクションで、ターゲットをスキャンして更新するときに使用するパッチベースラインを選択します。

   デフォルトでは、Patch Manager は定義済みのパッチベースラインを使用します。詳細については、「[事前定義されたベースライン](patch-manager-predefined-and-custom-patch-baselines.md#patch-manager-baselines-pre-defined)」を参照してください。

   **[Custom patch baseline]** (カスタムパッチベースライン) を選択した場合は、事前定義された AWS パッチベースラインを使用したくないオペレーティングシステム用に選択したパッチベースラインを変更します。
**注記**  
VPC エンドポイントを使用して Systems Manager に接続する場合は、S3 の VPC エンドポイントポリシーでこの S3 バケットへのアクセスが許可されていることを確認してください。詳細については、「[パッチポリシー S3 バケットの許可](#patch-policy-s3-bucket-permissions)」を参照してください。
**重要**  
Quick Setup で[パッチポリシー設定](patch-manager-policies.md)を使用している場合、カスタムパッチベースラインに加えた更新は 1 時間に 1 回 Quick Setup と同期されます。  
パッチポリシーで参照されていたカスタムパッチベースラインを削除すると、Quick Setup のそのパッチポリシーについての **[Configuration details]** (設定の詳細) ページにバナーが表示されます。バナーには、パッチポリシーが既に存在しないパッチベースラインを参照していること、およびそれ以降のパッチ適用オペレーションができないことが示されます。この場合は、Quick Setup の **[Configurations]** (設定) ページに戻り、Patch Manager 設定を選択し、**[Actions]** (アクション)、**[Edit configuration]** (設定を編集) を選択します。削除されたパッチベースライン名が強調表示されます。影響を受けるオペレーティングシステム用の新しいパッチベースラインを選択する必要があります。

1. (オプション) **[Patching log storage]** (ログストレージにパッチ適用) セクションで、**[Write output to S3 bucket]** (出力を S3 バケットに書き込む) を選択し、パッチ適用オペレーションログを Amazon S3 バケットに保存します。
**注記**  
組織のパッチポリシーを設定する場合、組織の管理アカウントには、少なくともこのバケットに対する読み取り専用アクセス許可が必要です。ポリシーに含まれるすべての組織ユニットには、バケットへの書き込みアクセス権が必要です。別のアカウントにアクセス権をバケットに付与する方法の詳細については、「*Amazon Simple Storage Service ユーザーガイド*」の「[例 2: バケット所有者がクロスアカウントのバケットのアクセス許可を付与](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example2.html)」を参照してください。

1. **[S3 を参照]** をクリックして、パッチログ出力を保存するバケットを選択します。管理アカウントには、このバケットへの読み取りアクセス権が必要です。**[Targets]** (ターゲット) セクションで設定された管理アカウント以外のアカウントとターゲットはすべて、ログ記録用に指定された S3 バケットへの書き込みアクセス権を持っている必要があります。

1. **[Targets]** (ターゲット) セクションで、次のいずれかを選択して、このパッチポリシーオペレーションのアカウントとリージョンを指定します。
**注記**  
1 つのアカウントで作業している場合、組織や組織単位 (OU) を使用するオプションは利用できません。この設定をアカウント内のすべての AWS リージョン に適用するか、選択したリージョンのみに適用するかを選択できます。  
以前にアカウントにホームリージョンを指定していて、新しい Quick Setup コンソールエクスペリエンスにまだオンボードしていない場合、そのリージョンを**ターゲット**設定から除外することはできません。
   + **[Entire organization]** (組織全体) – 組織内のすべてのアカウントとリージョン。
   + **[Custom]** (カスタム) – 指定した OU とリージョンのみ。
     + **[Target OUs]** (ターゲット OU) セクションで、パッチポリシーをセットアップする OU を選択します。
     + **[Target Regions]** (ターゲットリージョン) セクションで、パッチポリシーを適用するリージョンを選択します。
   + **[Current account]** (現在のアカウント) – 現在サインインしているアカウント内の指定したリージョンのみがターゲットになります。次のいずれかを選択します。
     + **[Current Region]** (現在のリージョン) – コンソールで選択したリージョン内のマネージドノードのみがターゲットになります。
     + **[Choose Regions]** (リージョンを選択) – パッチポリシーを適用する個々のリージョンを選択します。

1. **[Choose how you want to target instances]** (インスタンスをどのようにターゲットにするかを選択) で、次のいずれかを選択して、パッチを適用するノードを指定します。
   + **[All managed nodes]** (すべての管理対象ノード) – 選択した OU とリージョンのすべてのマネージドノード。
   + **[Specify the resource group]** (リソースグループを指定) – 関連するリソースをターゲットにするリソースグループの名前をリストから選択します。
**注記**  
現在、リソースグループの選択は、単一アカウント構成でのみサポートされています。複数のアカウントのリソースにパッチを適用するには、別のターゲットオプションを選択します。
   + **[Specify a node tag]** (ノードタグを指定) – 指定したキーと値のペアでタグ付けされたノードのみに、ターゲットにしたすべてのアカウントとリージョンでパッチが適用されます。
   + **[Manual]** (手動) – 指定されたすべてのアカウントとリージョンのマネージドノードをリストから手動で選択します。
**注記**  
現在、このオプションは Amazon EC2 インスタンスのみをサポートしています。パッチポリシー設定では、最大 25 個のインスタンスを手動で追加できます。

1. **[Rate control]** (レート制御) セクションで、以下を行います。
   + **[Concurrency]** (同時実行数) に、パッチポリシーを同時に実行するノードの数または割合を入力します。
   + **[Error threshold]** (エラーのしきい値) を入力します。エラーが発生したノードの数または割合がこの値を超えると、パッチポリシーはエラーになります。

1. (オプション) **[インスタンスにアタッチされている既存のインスタンスプロファイルに必要な IAM ポリシーを追加する]** チェックボックスを選択します。

   この選択により、この Quick Setup 設定で作成された IAM ポリシーを、既にインスタンスプロファイルがアタッチされているノード (EC2 インスタンス) またはサービスロールがアタッチされているノード (ハイブリッドアクティベーションノード) に適用します。このオプションは、マネージドノードに既にインスタンスプロファイルまたはサービスロールがアタッチされているが、Systems Manager の操作に必要なすべての許可が含まれていない場合にこの選択をお勧めします。

   ここで選択した内容は、このパッチポリシー設定が適用されるアカウントとリージョンに後で作成されるマネージドノードに適用されます。
**重要**  
このチェックボックスをオフにして、このパッチポリシーを使用してマネージドノードにパッチを Quick Setup に適用する場合は、次を実行する必要があります。  
パッチポリシー用に作成された S3 バケットにアクセスするための許可を [IAM インスタンスプロファイル](setup-instance-permissions.md)または [IAM サービスロール](hybrid-multicloud-service-role.md)に追加する  
IAM インスタンスプロファイルまたは IAM サービスロールに特定の key-value ペアをタグ付けします。  
詳細については、「[ケース 1: マネージドノードで、Quick Setup によって提供されるインスタンスプロファイルまたはサービスロールではなく、独自のインスタンスプロファイルまたはサービスロールを使用する](#patch-policy-instance-profile-service-role)」を参照してください。

1. **[作成]** を選択します。

   パッチポリシーの作成後にパッチ適用ステータスを確認するには、[https://console.aws.amazon.com/systems-manager/quick-setup](https://console.aws.amazon.com/systems-manager/quick-setup) ページから設定にアクセスします。

# Quick Setup を使用して DevOps Guru をセットアップする
<a name="quick-setup-devops"></a>

Quick Setup を使用すると、DevOps Guru オプションをすばやく設定できます。Amazon DevOps Guru は、アプリケーションの運用パフォーマンスと可用性を簡単に向上させる、Machine Learning (ML) 対応のサービスです。DevOps Guru は、通常の運用パターンとは異なる動作を検出し、顧客に影響を及ぼす前に運用上の問題を特定できるようにします。DevOps Guru は、運用データをAWS アプリケーションから取り込み、運用データの問題を視覚化するための単一のダッシュボードを提供します。DevOps Guru の使用を開始すると、手動セットアップや機械学習の専門知識が不要で、アプリケーションの可用性と信頼性を向上させることができます。

Configuring DevOps Guru with Quick Setup は以下の AWS リージョン があります。
+ 米国東部 (バージニア北部)
+ 米国東部 (オハイオ)
+ 米国西部 (オレゴン）
+ 欧州 (フランクフルト)
+ 欧州 (アイルランド)
+ 欧州 (ストックホルム)
+ アジアパシフィック (シンガポール)
+ アジアパシフィック (シドニー)
+ アジアパシフィック (東京)

料金情報については、「[Amazon DevOps Guru の料金](https://aws.amazon.com/devops-guru/pricing/)」を参照してください。

DevOps Guru を設定するには、AWS Systems Manager Quick Setup コンソールで次のタスクを実行します。

**Quick Setup で DevOps Guru を設定するには**

1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。

1. ナビゲーションペインで、**[Quick Setup]** を選択します。

1. **[DevOps Guru]** カードで **[作成]** を選択します。
**ヒント**  
アカウントにすでに 1 つ以上の設定がある場合は、まず次の設定を選択してください。**[設定]** セクションで **[ライブラリ]** タブまたは **[作成]** ボタンを選択し、カードを表示します。

1. **設定オプション**セクションで、AWS 分析するリソースタイプと通知プリファレンスを選択します。

   [**組織内のすべてのアカウントの AWS リソースをすべて分析**] オプションを選択しない場合、AWS リソースを選択すれば、後で DevOps Guru コンソールで分析できます。DevOps Guru は、さまざまな AWS リソースタイプ (Amazon Simple Storage Service (Amazon S3) バケット、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスなど) を分析します。これは、2 つの料金グループに分類されます。アクティブな各リソースについては、分析された AWS リソース時間に対して料金を支払います。リソースは、メトリック、イベント、またはログエントリが 1 時間以内に生成される場合にのみアクティブになります。特定の AWS リソースタイプに対して請求される料金は、価格グループによって異なります。

   [**Enable SNS notifications** (SNS 通知を有効にする)] オプションを選択した場合、Amazon Simple Notification Service (Amazon SNS) トピックは、設定でターゲットとする組織ユニット (OU) の各 AWS アカウント に作成されます。DevOps Guru トピックを使用して、新しいインサイトの作成など、重要な DevOps Guru イベントを通知します。このオプションを有効にしない場合は、後で DevOps Guru コンソールでトピックを追加できます。

   **AWS Systems Manager OpsItems**オプションを選択すると、関連する Amazon EventBridge イベントと Amazon CloudWatch アラームに対して運用作業項目（OpsItems）が作成されます。

1. [**Schedule** (スケジュール)] セクションで、設定とは異なるリソースに加えられた変更を Quick Setup で修正する頻度を選択します。[**Default** (デフォルト)] オプションは 1 回実行されます。設定と異なるリソースに加えられた変更を Quick Setup で修正しない場合は、[**Custom** (カスタム)] で [**Disabled** (無効にする)] を選択します。

1. **ターゲット**セクションで、DevOps Guru に分析を許可する対象を一部の組織単位 (OU) のリソース、または現在ログインしているアカウントから選択します。

   [**Custom**] (カスタム) を選択した場合は、ステップ 8 に進みます。

   [**現在のアカウント**] を選択した場合は、ステップ 9 に進みます。

1. [**Target OUs** (ターゲット OU)] セクションと [**Target Regions** (ターゲットリージョン)] セクションで、DevOps Guru を使用する OU とリージョンのチェックボックスを選択します。

1. 現在のアカウントで DevOps Guru を使用するリージョンを選択します。

1. [**Create**] (作成) を選択します。

# Quick Setup を使用して Distributor パッケージをデプロイする
<a name="quick-setup-distributor"></a>

Distributor は AWS Systems Manager のツールです。Distributor パッケージは、インストール可能なソフトウェアやアセットのコレクションで、単一のエンティティとしてデプロイできます。Quick Setup では、Distributor パッケージを AWS アカウント と AWS リージョン、または AWS Organizations の組織全体でデプロイできます。現在、Quick Setup では、EC2Launch v2 エージェント、Amazon Elastic File System (Amazon EFS) ユーティリティパッケージと Amazon CloudWatch エージェントのみをデプロイできます。の詳細については、「Distributor」を参照してください。[AWS Systems Manager Distributor](distributor.md)

Distributor パッケージをデプロイするには、AWS Systems Manager Quick Setup コンソール]で次のタスクを実行します。

**Quick Setup で Distributor をデプロイするには**

1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。

1. ナビゲーションペインで、**[Quick Setup]** を選択します。

1. **[ディストリビューター]** カードで **[作成]** を選択します。
**ヒント**  
アカウントにすでに 1 つ以上の設定がある場合は、まず**[設定]** セクションで **[ライブラリ]** タブまたは **[作成]** ボタンを選択し、カードを表示します。

1. [**Configuration options** (設定オプション)] セクションで、デプロイするパッケージを選択します。

1. [**Targets** (ターゲット)] セクションで、デプロイ先のパッケージを組織全体、組織単位 (OU) の一部、または現在ログインしているアカウントから選択します。

   [**組織全体**] を選択した場合は、ステップ 8 に進みます。

   [**カスタム**] を選択した場合は、ステップ 7 に進みます。

1. [**ターゲット OU**] セクションで、 パッケージのデプロイ先 OU とリージョンのチェックボックスを選択します。

1. [**Create**] を選択します。

# Quick Setup を使用してスケジュールに従って EC2 インスタンスを自動的に停止および起動する
<a name="quick-setup-scheduler"></a>

AWS Systems Manager のツールである Quick Setup を使用すると、Resource Scheduler を設定して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの起動と停止を自動化できます。

この Quick Setup 設定は、指定したスケジュールに従ってインスタンスを起動および停止することで、運用コストを削減するのに役立ちます。このツールにより、必要のないときにインスタンスを実行することで不必要なコストが発生するのを防ぐことができます。

例えば、1 日 10 時間、週 5 日しか使用されていない場合でも、現状、インスタンスを常時稼働させているかもしれません。そうではなく、営業時間後に毎日インスタンスを停止するようにスケジュールできます。その結果、実行時間が 168 時間から 50 時間に短縮されるため、これらのインスタンスでは 70% の節約になります。Quick Setup の使用にコストはかかりません。ただし、セットアップしたリソースと使用制限に基づいて費用が発生する可能性があり、設定のセットアップに使用したサービスには料金はかかりません。

Resource Scheduler を使うことで、指定したスケジュールに従って、複数の AWS リージョンと AWS アカウントにまたがってインスタンスを自動的に停止および起動することもできます。Quick Setup 設定は、指定したタグのキーと値を使用して Amazon EC2 インスタンスをターゲットにします。設定で指定した値と一致するタグを持つインスタンスのみが Resource Scheduler によって停止または起動されます。インスタンスにアタッチされた Amazon EBS ボリュームが暗号化されている場合は、Resource Scheduler がインスタンスを起動するために AWS KMS キーの必要なアクセス許可を IAM ロールに追加する必要があります。

**設定あたりの最大インスタンス数**  
個々の設定でサポートされるのは、リージョン当たり 5,000 インスタンスまでのスケジュールです。特定のリージョンで 5,000 を超えるインスタンスをスケジュールする必要がある場合は、複数の設定を作成する必要があります。インスタンスに適切にタグを付けて、各設定で管理するインスタンスを 5,000 以下にします。Resource Scheduler の Quick Setup 設定を複数作成する場合、異なるタグキー値を指定する必要があります。例えば、ある設定ではタグキー `Environment` を `Production` の値で使用でき、別の設定では `Environment` と `Development` を使用できます。

**スケジュール設定の動作**  
以下のポイントでは、スケジュール設定の特定の動作について説明します。
+ Resource Scheduler では、タグ付けされたインスタンスが起動されるのはは `Stopped` 状態にある場合のみです。同様に、インスタンスが停止されるのは、`running` 状態にある場合のみです。Resource Scheduler はイベント駆動型モデルで動作し、指定した時刻にのみインスタンスを起動または停止します。例えば、午前 9 時にインスタンスを起動するスケジュールを作成します。Resource Scheduler は、指定したタグに関連付けられた、午前 9 時に `Stopped` 状態にあるすべてのインスタンスを起動します。後でインスタンスを手動で停止した場合、Resource Scheduler はインスタンスを再起動せず、`Running` 状態を維持します。同様に、スケジュールに従ってインスタンスが停止された後にインスタンスを手動で起動した場合、Resource Scheduler はインスタンスを再度停止しません。
+ 起動時刻が停止時刻より 24 時間遅いスケジュールを作成した場合、Resource Scheduler はインスタンスが翌日にまたがって実行されるものとみなします。例えば、インスタンスを午後 9 時に起動し、午前 7 時に停止するスケジュールを作成したとします。Resource Scheduler は、指定したタグに関連付けられた、午後 9 時に `Stopped` 状態にあるすべてのインスタンスを起動し、翌日の午前 7 時に停止します。翌日にまたがったスケジュールの場合、起動時刻はスケジュールで選択した日に適用されます。一方、停止時刻はスケジュールの翌日に適用されます。
+ スケジュール設定を作成すると、現在のインスタンスの状態が、スケジュールの要件に合わせて変更される場合があります。

  例えば、今日が水曜日で、マネージドインスタンスが火曜日と木曜日*のみ*午前 9 時に開始して午後 5 時に停止するよう、スケジュールを指定するとします。現在は、インスタンスを実行する時刻に該当しないため、設定の作成後にインスタンスは停止します。インスタンスは、次の設定時刻である木曜日の午前 9 時になるまで実行されません。

  インスタンスが現在 `Stopped` の状態で、現在の時刻に実行されるスケジュールを指定すると、Resource Scheduler は設定の作成後にインスタンスを起動します。

設定を削除すると、以前に定義されたスケジュールに従ったインスタンスの停止と起動は行われなくなります。まれに、API オペレーションが失敗してインスタンスが正常に停止または起動しないことがあります。

Amazon EC2 インスタンスのスケジュールをセットアップするには、AWS Systems Manager Quick Setup コンソールで次のタスクを実行します。

**Quick Setup でインスタンスのスケジュールを設定するには**

1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。

1. ナビゲーションペインで、**[Quick Setup]** を選択します。

1. **[Resource Scheduler]** カードで **[作成]** をクリックします。
**ヒント**  
アカウントにすでに 1 つ以上の設定がある場合は、まず**[設定]** セクションで **[ライブラリ]** タブまたは **[作成]** ボタンを選択し、カードを表示します。

1. **[Instance tag]** (インスタンスタグ) セクションで、スケジュールに関連付けるインスタンスに適用されるタグのキーと値を指定します。

1. **[Schedule options]** (スケジュールオプション) セクションで、インスタンスを起動および停止するタイムゾーン、曜日、時刻を指定します。

1. **[Targets]** (ターゲット) セクションで、スケジュール設定の対象を、組織単位 (OU) の **[Custom]** (カスタム) グループにするか、ログインしている **[Current account]** (現在のアカウント) にするかを次のように選択します。
   + **[Custom]** (カスタム) – **[Target OUs]** (ターゲット OU) セクションで、スケジュールをセットアップする OU を選択します。**[Target Regions]** (ターゲットリージョン) セクションで、スケジュールをセットアップするリージョンを選択します。
   + **現在のアカウント** – [**Current Region** (現在のリージョン)] または [**Choose Regions** (リージョンの選択)] を選択します。**[Choose Regions]** (リージョンを選択) を選択した場合は、スケジュールをセットアップする **[Target Regions]** (ターゲットリージョン) を選択します。

1. **[Summary]** (概要) セクションのスケジュール情報を確認します。

1. **[Create]** (作成) を選択します。

# Quick Setup を使用して AWS Resource Explorer を設定する
<a name="Resource-explorer-quick-setup"></a>

AWS Systems Manager のツールである Quick Setup を使用すると、AWS アカウントまたは AWS 組織全体のリソースを検索して検出するように AWS Resource Explorer をすばやく設定できます。名前、タグ、ID などのメタデータを使用してリソースを検索できます。AWS Resource Explorer は、インデックスを使用して、検索クエリに迅速に応答します。Resource Explorer は、さまざまなデータソースを使用してインデックスを作成および維持し、AWS アカウント 内のリソースに関する情報を収集します。

Quick Setup for Resource Explorer はインデックス設定プロセスを自動化します。AWS Resource Explorer の詳細については、「AWS Resource Explorer ユーザーガイド」の「[AWS Resource Explorer とは](https://docs.aws.amazon.com/resource-explorer/latest/userguide/welcome.html)」を参照してください。

Quick Setup の際に、Resource Explorer は次の処理を行います。
+ AWS アカウント 内のすべての AWS リージョン にインデックスを作成します。
+ 指定したリージョンのインデックスをアカウントのアグリゲーターインデックスとして更新します。
+ アグリゲーターインデックスのリージョンにデフォルトビューを作成します。このビューにはフィルターがないため、インデックスで見つかったすべてのリソースを検索結果として返します。

**最小限必要なアクセス権限**

以下の手順のステップを実行するには、次のアクセス許可が必要です。
+ **アクション**：`resource-explorer-2:*` — **リソース**：特定のリソースなし (`*`)
+ **アクション**：`iam:CreateServiceLinkedRole` — **リソース**：特定のリソースなし (`*`)

**Resource Explorer を設定するには**

1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。

1. ナビゲーションペインで、**[Quick Setup]** を選択します。

1. **[Resource Explorer]** カードで **[作成]** をクリックします。

1. **[アグリゲーターインデックスリージョン]** セクションで、**アグリゲーターインデックス**を含めたいリージョンを選択します。ユーザーの地理的位置に適したリージョンを選択する必要があります。

1. (オプション) **[上で選択したリージョン以外のリージョンの既存のアグリゲーターインデックスを置き換える]** チェックボックスを選択します。

1. **[ターゲット]** セクションで、検出したいリソースを含むターゲット**組織**または特定の**組織単位 (OU)** を選択します。

1. **[リージョン]** セクションで、設定に含める**リージョン**を選択します。

1. 設定の要約を確認し、**[作成]** を選択します。

**[Resource Explorer]** ページでは、設定ステータスをモニタリングできます。