• AWS Systems Manager CloudWatch ダッシュボードは、2026 年 4 月 30 日以降は利用できなくなります。お客様は、これまでと同様に Amazon CloudWatch コンソールを使用して、Amazon CloudWatch ダッシュボードの表示、作成、管理を継続できます。詳細については、「[Amazon CloudWatch ダッシュボードのドキュメント](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)」を参照してください。
# Systems Manager の関連付けの使用
このセクションでは、AWS Systems Manager コンソール、AWS Command Line Interface (AWS CLI)、および AWS Tools for PowerShell を使用して State Manager 関連付けを作成し管理する方法について説明します。
**Topics**
+ [State Manager 関連付けのターゲットとレート制御について](systems-manager-state-manager-targets-and-rate-controls.md)
+ [関連付けの作成](state-manager-associations-creating.md)
+ [関連付けの編集と新しいバージョンの作成](state-manager-associations-edit.md)
+ [関連付けを削除する](systems-manager-state-manager-delete-association.md)
+ [関連付けで Auto Scaling グループを実行する](systems-manager-state-manager-asg.md)
+ [関連付けの履歴の表示](state-manager-associations-history.md)
+ [IAM を使用して関連付けを操作する](systems-manager-state-manager-iam.md)
# State Manager 関連付けのターゲットとレート制御について
このトピックでは、スケジュールされた時間に関連付けを実行するノードの数を制御しながら、数十または数百のノードに関連付けをデプロイするのに役立つ State Manager の機能について説明します。State Manager は AWS Systems Manager のツールです。
## ターゲットの使用について
State Manager 関連付けを作成するときは、ここに示すように Systems Manager コンソールの **[Targets]** (ターゲット) セクションで、関連付けを設定するノードを選択します。
![\[State Manager 関連付けを作成するときにノードをターゲットにするためのさまざまなオプション\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/state-manager-targets.png)
AWS Command Line Interface (AWS CLI) などのコマンドラインツールを使用して関連付けを作成する場合は、`targets` パラメータを指定します。ノードをターゲットにすると、個々のノード ID を指定または選択しなくても、数十、数百、数千のノードに関連付けを設定できます。
各マネージドノードは、最大 20 件の関連付けの対象にすることができます。
State Manager では、関連付けの作成時に以下のターゲットオプションが提供されます。
**タグを指定する**
このオプションを使用して、ノードに割り当てられているタグキーと (必要に応じて) タグ値を指定します。このリクエストを実行すると、システムは指定されたタグキーと値に一致するすべてのノードを検出し、関連付けの作成を試みます。複数のタグ値を指定した場合、関連付けはそれらのタグ値の少なくとも 1 つを持つすべてのノードをターゲットとします。システムは、最初に関連付けを作成すると、その関連付けを実行します。この最初の実行後、システムは指定されたスケジュールに従って関連付けを実行します。
新しいノードを作成し、指定したタグキーと値をそれらのノードに割り当てると、システムは関連付けを自動的に適用し、すぐに実行した後、スケジュールに従って実行します。これは、関連付けがコマンドまたはポリシードキュメントを使用する場合に適用され、関連付けが Automation ランブックを使用する場合は適用されません。指定したタグをノードから削除すると、システムはそれらのノードで関連付けを実行しなくなります。
**注記**
オートメーションランブックを State Manager と共に使用していて、タグ付けの制限により特定の目標を達成できない場合は、Amazon EventBridge で自動化ランブックを使用することを検討してください。詳細については、「[EventBridge イベントに基づくオートメーションを実行する](running-automations-event-bridge.md)」を参照してください。State Manager でのオートメーションランブックの使用の詳細については、「[State Manager 関連付けでのオートメーションのスケジュール設定](scheduling-automations-state-manager-associations.md)」を参照してください。
ベストプラクティスとして、コマンドまたはポリシードキュメントを使用する関連付けを作成する際にタグを使用することをお勧めします。Auto Scaling グループを実行するための関連付けを作成する際にも、タグを使用することをお勧めします。詳細については、「[関連付けで Auto Scaling グループを実行する](systems-manager-state-manager-asg.md)」を参照してください。
**注記**
以下の情報に注意してください。
AWS マネジメントコンソールでノードをターゲットとする関連付けを作成するときにタグを使用する場合、自動関連付けには 1 つのタグキーのみ、コマンド関連付けには 5 つのタグキーを指定できます。関連付けに指定された*すべての*タグキーが、現時点でノードに割り当てられている必要があります。割り当てられていない場合、State Manager はノードを関連付けのターゲットにできません。
コンソールを使用していて、*かつ*、ノードをターゲットとするときに自動関連付けには複数のタグキー、コマンド関連付けには 5 つのタグキーを使用する場合は、それらのタグキーを AWS Resource Groups グループに割り当ててからそのグループにノードを追加します。その後、State Manager 関連付けを作成する際に、**[ターゲット]** リストで **[リソースグループ]** オプションを選択できます。
AWS CLI を使用して、最大 5 個のタグキーを指定できます。AWS CLI を使用する場合、`create-association` コマンドで指定された*すべて*のタグキーは、ノードに現在割り当てられている必要があります。割り当てられていない場合、State Manager はノードを関連付けのターゲットにできません。
**ノードを手動で選択する**
このオプションを使用して、関連付けを作成するノードを手動で選択します。**[Instances]** (インスタンス) ペインに、現在の AWS アカウント と AWS リージョン 内にあるすべての Systems Manager マネージドノードが表示されます。任意の数のノードを手動で選択できます。システムは、最初に関連付けを作成すると、その関連付けを実行します。この最初の実行後、システムは指定されたスケジュールに従って関連付けを実行します。
**注記**
表示されるはずのマネージドノードが表示されない場合は、トラブルシューティングのヒントについて「[マネージドノードの可用性のトラブルシューティング](fleet-manager-troubleshooting-managed-nodes.md)」を参照してください。
**リソースグループの選択**
このオプションを使用して、AWS Resource Groups タグベースまたは AWS CloudFormation スタックベースのクエリによって返されるすべてのノードに関連付けを作成します。
関連付けでリソースグループをターゲットにする際の詳細は以下のとおりです。
+ 新しいノードをグループに追加すると、システムは自動的にそのノードを、リソースグループをターゲットにする関連付けにマッピングします。システムは、変更を検出すると、ノードに関連付けを適用します。この最初の実行後、システムは指定されたスケジュールに従って関連付けを実行します。
+ リソースグループをターゲットとする関連付けを作成し、そのグループの `AWS::SSM::ManagedInstance` リソースタイプが指定されていた場合、設計上、関連付けは[ハイブリッドおよびマルチクラウド](operating-systems-and-machine-types.md#supported-machine-types)環境で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスと非 EC2 ノードの両方で実行されます。
逆の場合も同様です。リソースグループをターゲットとする関連付けを作成し、そのグループの `AWS::EC2::Instance` リソースタイプが指定されていた場合、設計上、関連付けは[ハイブリッドおよびマルチクラウド](operating-systems-and-machine-types.md#supported-machine-types)環境の非 EC2 ノードと (Amazon EC2) インスタンスの両方で実行されます。
+ リソースグループをターゲットとする関連付けを作成する場合、リソースグループには 5 つ以上のタグキー、または 1 つのタグキーに対して指定されている値以上のタグキーを割り当てらることはできません。リソースグループにこれらの条件のいずれかがタグとキーに適用される場合、関連付けの実行は失敗し、`InvalidTarget` エラーが返されます。
+ タグを使用してリソースグループをターゲットにする関連付けを作成する場合、タグ値に **[(空の値)]** オプションを選択することはできません。
+ リソースグループを削除すると、そのグループのすべてのインスタンスで関連付けが実行されなくなります。ベストプラクティスとして、グループをターゲットにする関連付けを削除します。
+ 1 つの関連付けについて、ターゲットにできるのは 1 つのリソースグループだけです。複数のグループまたはネストされたグループはサポートされません。
+ 関連付けを作成した後、State Manager によって関連付けはリソースグループのリソースに関する情報で定期的に更新されます。リソースグループに新しいリソースを追加する場合、システムによって新しいリソースに関連付けが適用されるスケジュールは、いくつかの要因によって異なります。関連付けのステータスは、Systems Manager コンソールの State Manager ページで確認できます。
**警告**
Amazon EC2 インスタンスのリソースグループをターゲットにする関連付けを作成するアクセス許可を有する AWS Identity and Access Management (IAM) ユーザー、グループ、またはロールは、自動的にグループ内のすべてのインスタンスのルートレベルを制御することができます。信頼された管理者のみが関連付けの作成を許可されるようにしてください。
Resource Groups の詳細については、*AWS Resource Groups ユーザーガイド*の「[AWS Resource Groups とは](https://docs.aws.amazon.com/ARG/latest/userguide/)」を参照してください。
**すべてのノードを選択する**
このオプションを使用して、現在の AWS アカウント と AWS リージョン 内にあるすべてのノードをターゲットにします。このリクエストを実行すると、システムは現在の AWS アカウント と AWS リージョン 内にあるすべてのノードを検出し、関連付けの作成を試みます。システムは、最初に関連付けを作成すると、その関連付けを実行します。この最初の実行後、システムは指定されたスケジュールに従って関連付けを実行します。新しいノードを作成すると、システムは自動的に関連付けを適用し、すぐに実行した後、スケジュールに従って実行します。
## レート制御の使用
同時実行値とエラーしきい値を指定することで、ノードでの関連付けの実行を制御できます。同時実行値には、関連付けを同時に実行できるノードの数を指定します。関連付けの実行の失敗回数がある値を上回ると、その関連付けが設定された各ノードに、Systems Manager が関連付けの実行を停止するコマンドを送信します。エラーしきい値には、その値を指定します。このコマンドは、次のスケジュールされた実行まで関連付けの実行を停止します。同時実行数とエラーのしきい値機能は、まとめて*レート制御*と呼ばれます。
![\[State Manager 関連付けの作成時のさまざまなレート制御オプション\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/state-manager-rate-controls.png)
**同時実行**
同時実行数は、一度に特定の数のノードだけが関連付けを処理できるよう指定することで、ノードへの影響を制限するのに役立ちます。ノードの絶対数 (20 など) またはノードのターゲットセットの割合 (10% など) を指定できます。
State Manager 同時実行数には次の制限と制約があります。
+ ターゲットを使用して関連付けを作成することを選択した場合に、同時実行値を指定しないと、State Manager は最大同時実行数を自動的に 50 ノードにします。
+ 同時実行数を使用する関連付けが実行されているときに、ターゲット基準に一致する新しいノードがオンラインになると、同時実行値を超えていない場合、新しいノードは関連付けを実行します。同時実行値を超えた場合、現在の関連付けの実行期間中、ノードは無視されます。ノードでは、次のスケジュールされた期間中に同時実行数の要件に適合している間は、関連付けが実行されます。
+ 同時実行数を使用する関連付けを更新する場合に、更新されるときに 1 つまたは複数のノードがその関連付けを処理しているときは、関連付けを実行しているすべてのノードで完了となります。開始されていない関連付けは停止されます。実行中の関連付けが完了すると、関連付けが更新されたため、すべてのターゲットノードですぐに関連付けが再実行されます。関連付けが再び実行されると、同時実行数の値が適用されます。
**エラーしきい値**
関連付けの実行の失敗回数がある値を上回ると、その関連付けが設定された各ノードに、Systems Manager がコマンドを送信します。エラーしきい値には、その値を指定します。このコマンドは、次のスケジュールされた実行まで関連付けの実行を停止します。エラーの絶対数 (10 など) またはターゲットセットのパーセント数 (10% など) を指定できます。
たとえば、エラーの絶対数として 3 を指定した場合、4 番目のエラーが返されると、State Manager は停止コマンドを送信します。0 を指定すると、最初のエラー結果が返された後に State Manager は停止コマンドを送信します。
50 件の関連付けに対して 10% のエラーしきい値を指定した場合、6 番目のエラーが返されると、State Manager は停止コマンドを送信します。エラーのしきい値に達したときにすでに実行中の関連付けについては完了されますが、これらの関連付けのいくつかは失敗する可能性があります。エラーしきい値に指定された数より多くのエラーが発生しないようにするには、[**同時実行数**] 値を 1 に設定して、関連付けを 1 つずつ進めるようにします。
State Manager エラーしきい値には以下の制限と制約があります。
+ エラーしきい値は、現在の間隔で適用されます。
+ ステップレベルの詳細を含む各エラーに関する情報は、関連付け履歴に記録されます。
+ ターゲットを使用して関連付けを作成することを選択したがエラーしきい値を指定しない場合、State Manager は 100% のエラーのしきい値を自動的に適用します。
# 関連付けの作成
AWS Systems Manager のツールである State Manager は、AWS リソースを定義された状態に保ち、設定のずれを軽減するのに役立ちます。これを行うために、State Manager は関連付けを使用します。*関連付け*とは、AWS リソースに割り当てる設定です。この設定では、リソースで維持したい状態を定義します。例えば、関連付けでは、アンチウイルスソフトウェアがマネージドノードにインストールされて実行されている必要があることや、特定のポートを閉じる必要があることなどを指定できます。
関連付けでは、設定を適用するスケジュールと、関連付けのターゲットを指定します。例えば、アンチウイルスソフトウェアに関する関連付けが AWS アカウントのすべてのマネージドノードで 1 日に 1 回実行されるとします。ソフトウェアがノードにインストールされていない場合、関連付けによって State Manager にインストールするように指示することができます。ソフトウェアがインストールされていてもサービスが実行されていない場合、関連付けによって State Manager にサービスを開始するように指示することができます。
**警告**
関連付けを作成するときは、関連付けのターゲットとしてマネージドノードの AWS リソースグループを選択できます。AWS Identity and Access Management (IAM) ユーザー、グループ、またはロールに、マネージドノードのリソースグループをターゲットとする関連付けを作成するアクセス許可がある場合、そのユーザー、グループ、またはロールは、自動的にグループ内のすべてのノードをルートレベルで制御することができます。信頼された管理者のみに関連付けの作成を許可するようにしてください。
**関連付けのターゲットとレート制御**
関連付けでは、関連付けを受け取るマネージドノードやターゲットも指定します。State Manager には、マネージドノードをターゲットにし、それらのターゲットに関連付けをデプロイする方法を制御するのに役立ついくつかの機能があります。ターゲットとレート制御の詳細については、「[State Manager 関連付けのターゲットとレート制御について](systems-manager-state-manager-targets-and-rate-controls.md)」を参照してください。
**関連付けのタグ付け**
AWS CLI や AWS Tools for PowerShell などのコマンドラインツールを使用して、関連付けを作成するときには、タグを割り当てることができます。Systems Manager コンソールを使用して関連付けにタグを追加することはできません。
**関連付けの実行**
デフォルトでは、関連付けを作成した直後に、定義したスケジュールに従って State Manager が関連付けを実行します。
また、システムは、次の規則に従って関連付けを実行することもできます。
+ State Manager は関連付けを、指定されたノードまたはターゲットになっているノードすべてに対して、ある期間内に実行しようとします。
+ 期間中に関連付けが実行されない場合 (例えば、同時実行値によって一度に関連付けを処理できるノード数が制限されたため)、State Manager は次の期間に関連付けを実行しようとします。
+ State Manager は関連付けの設定、ターゲットノード、ドキュメント、またはパラメータが変更された後に、関連付けを実行します。詳細については、[関連付けがリソースに適用されるタイミングについて](state-manager-about.md#state-manager-about-scheduling)を参照してください。
+ State Manager は、すべてのスキップされた間隔の履歴を記録します。[**Execution History (実行履歴)**] タブで履歴を表示できます。
## 関連付けのスケジュール
関連付けを 10 時間ごとなどの基本的な間隔で実行するようにスケジュールすることも、カスタム cron と rate の式を使用してより高度なスケジュールを作成することもできます。また、関連付けを初めて作成するときに実行されないようにすることもできます。
**関連付けを作成した後、cron 式または rate 式を使用する**
標準の cron 式または rate 式の他に、State Manager はまた、関連付けを実行する曜日、および月の n 番目の日を指定する番号記号 (\$1) を含む cron 式もサポートしています。毎月、第 3 火曜日の 23:30 UTC に cron スケジュールを実行する例を次に示します。
`cron(30 23 ? * TUE#3 *)`
毎月第 2 木曜日の深夜 UTC に実行する例を次に示します。
`cron(0 0 ? * THU#2 *)`
State Manager はまた、月の最後の *X* 曜日を示す (L) 記号もサポートしています。毎月、最後の火曜日の深夜 UTC に cron スケジュールを実行する例を次に示します。
`cron(0 0 ? * 3L *)`
パッチした火曜日の 2 日後に関連付けを実行するなど、関連付けを実行するタイミングをさらに制御するには、オフセットを指定できます。*オフセット*では、関連付けの実行がスケジュールされている日の後に待機する日数を定義します。例えば、cron スケジュールを `cron(0 0 ? * THU#2 *)` とした場合、**[Schedule offset]** (スケジュールのオフセット) フィールドで番号 3 を指定して、その月の第 2 木曜日の後の毎週日曜日に関連付けを実行できます。
**注記**
オフセットを使用するには、コンソールの **[次に指定した Cron の間隔でのみ関連付けを適用する]** オプションを選択するか、コマンドラインから `ApplyOnlyAtCronInterval` パラメータを指定する必要があります。これらのオプションのいずれかをアクティブにすると、関連付けを作成した後、State Manager がすぐに実行されないようにできます。
cron 式と rate 式の詳細については、「[リファレンス: Systems Manager の cron 式および rate 式](reference-cron-and-rate-expressions.md)」を参照してください。
## 関連付けを作成する (コンソール)
次の手順では、Systems Manager コンソールを使用して、State Manager の関連付けを作成する方法について説明します。
**注記**
以下の情報に注意してください。
この手順は、`Command` または `Policy` ドキュメントのどちらかを使用してマネージドノードをターゲットにする関連付けの作成方法を説明しています。Automation ランブックを使用してノードまたは他のタイプの AWS リソースをターゲットにする関連付けを作成する方法については、「[State Manager 関連付けでのオートメーションのスケジュール設定](scheduling-automations-state-manager-associations.md)」を参照してください。
関連付けを作成するときに、AWS マネジメントコンソールを使用して、最大 5 個のタグキーを指定できます。関連付けに指定された*すべての*タグキーが、現在ノードに割り当てられている必要があります。割り当てられていない場合、State Manager はノードを関連付けのターゲットにできません。
**State Manager の関連付けを作成するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[State Manager]** を選択します。
1. [**Create association**] を選択します。
1. [**Name (名前)**] フィールドで名前を指定します。
1. [**Document (ドキュメント)**] リストで、ドキュメント名の横にあるオプションを選択します。ドキュメントタイプをメモしておきます。この手順は、`Command` および `Policy` ドキュメントに適用されます。オートメーションランブックを使用する関連付けの作成については、「[State Manager 関連付けでのオートメーションのスケジュール設定](scheduling-automations-state-manager-associations.md)」を参照してください。
**重要**
ドキュメントが別のアカウントから共有されている場合、State Manager は新しいバージョンのドキュメントを使用する関連付けの実行をサポートしません。Systems Manager コンソールに新しいバージョンが処理されたことが示されていても、別のアカウントから共有される場合、State Manager は常にドキュメントの `default` バージョンを実行します。別なアカウントから共有されたドキュメントの新しいバージョンを使用して関連付けを実行する場合、ドキュメントバージョンを `default` に設定する必要があります。
1. [**Parameters (パラメータ)**] で、必要な入力パラメータを指定します。
1. (オプション) **[関連付けディスパッチ継承ロール]** で、ドロップダウンからロールを選択します。ステートマネージャーは、ユーザーに代わってこのロールを使用してアクションを実行します。カスタム提供のロールの設定については、「[`AssociationDispatchAssumeRole` 用のロールのセットアップ](state-manager-about.md#setup-assume-role)」を参照してください。
**注記**
ユーザーに代わってアクションを実行するときにステートマネージャーが持つアクセス許可を完全に制御できるように、カスタム IAM ロールを定義することをお勧めします。
ステートマネージャーでのサービスにリンクされたロールのサポートは段階的に廃止されています。サービスにリンクされたロールに依存する関連付けでは、今後も正常に機能し続けるために更新が必要になる場合があります。
カスタム提供のロールの使用を管理する方法については、「[`ssm:AssociationDispatchAssumeRole` で AssociationDispatchAssumeRole の使用を管理する](state-manager-about.md#context-key-assume-role)」を参照してください。
1. (オプション) モニタリング用の関連付けに適用する CloudWatch アラームを選択します。
**注記**
このステップに関する以下の情報に注意してください。
アラームリストには最大 100 個のアラームが表示されます。リストにアラームが表示されない場合は、AWS Command Line Interface を使用して関連付けを作成してください。詳細については、「[関連付けの作成 (コマンドライン)](#create-state-manager-association-commandline)」を参照してください。
CloudWatch アラームをコマンドにアタッチするには、関連付けを作成する IAM プリンシパルに `iam:createServiceLinkedRole` アクションの権限が必要です。CloudWatch アラームの詳細については、「[Amazon CloudWatch でのアラームの使用](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)」を参照してください。
アラームがアクティブ化されると、保留中のコマンド呼び出しまたはオートメーションは実行されません。
1. [**Targets (ターゲット)**] で、オプションを選択します。ターゲットの使用については、「[State Manager 関連付けのターゲットとレート制御について](systems-manager-state-manager-targets-and-rate-controls.md)」を参照してください。
**注記**
新しいターゲットノードが検出されたときに、Automation ランブックで作成された関連付けを適用するには、特定の条件が満たされている必要があります。詳細については、「[Automation ランブックによるターゲット更新について](state-manager-about.md#runbook-target-updates)」を参照してください。
1. [**Specify schedule (スケジュールの指定)**] セクションで、[**On Schedule (スケジュールあり)**] または [**No schedule (スケジュールなし)**] を選択します。[**On Schedule (スケジュールあり)**] を選択した場合は、関連付けの cron または rate スケジュールを作成するためのボタンを使用します。
作成直後に関連付けを実行しない場合は、[**Apply association only at the next specified Cron interval (次に指定した Cron の間隔でのみ関連付けを適用する)**] を選択します。
1. (オプション) **[Schedule offset]** (スケジュールオフセット) フィールドで、1~6 の数値を指定します。
1. [**詳細オプション]** セクションで、[**コンプライアンスの重要度**] を使用して関連付けの重大度を選択し、[**Change Calendar**] を使用して関連付けの変更カレンダーを選択します。
コンプライアンスレポートには、ここで指定した重要度と共に関連付けの状態が準拠しているか準拠していないかが表示されます。詳細については、「[State Manager 関連付けのコンプライアンスについて](compliance-about.md#compliance-about-association)」を参照してください。
変更カレンダーによって、関連付けが実行されるタイミングが決まります。カレンダーが閉じている場合、関連付けは適用されません。カレンダーが開いている場合は、それに応じて関連付けが実行されます。詳細については、「[AWS Systems Manager Change Calendar](systems-manager-change-calendar.md)」を参照してください。
1. **[Rate control]** (レート制御) セクションで、複数のノードでの関連付けの実行方法を制御するオプションを選択します。レート制御については、「[State Manager 関連付けのターゲットとレート制御について](systems-manager-state-manager-targets-and-rate-controls.md)」を参照してください。
[**Concurrency (同時実行数)**] セクションでオプションを選択します。
+ [**targets (ターゲット)**] を選択して、関連付けを同時に実行できるターゲットの絶対数を入力します。
+ [**percentage (パーセント値)**] を選択して、関連付けを同時に実行できるターゲットセットのパーセント値を入力します。
[**Error threshold (エラーのしきい値)**] セクションでオプションを選択します。
+ State Manager が追加ターゲットでの関連付けの実行を停止する前に、[**errors (エラー)**] を選択して許可されるエラーの絶対数を入力します。
+ State Manager が追加ターゲットでの関連付けの実行を停止する前に、[**percentage (パーセンテージ)**] を選択して許可されるエラーの割合を入力します。
1. (オプション) [**出力オプション**] で、コマンド出力をファイルに保存するには、[**S3 への出力の書き込みを有効にします**] ボックスをオンにします。ボックスにバケット名とプレフィックス (フォルダ) 名を入力してください。
**注記**
S3 バケットにデータを書き込む機能を許可する S3 アクセス許可は、このタスクを実行する IAM ユーザーのものではなく、マネージドノードに割り当てられたインスタンスプロファイルのものです。詳細については、「[Systems Manager に必要なインスタンスのアクセス許可を設定する](setup-instance-permissions.md)」または「[ハイブリッド環境に IAM サービスロールを作成する](hybrid-multicloud-service-role.md)」を参照してください。さらに、指定された S3 バケットが別の AWS アカウント にある場合は、マネージドノードに関連付けられたインスタンスプロファイルまたは IAM サービスロールに、そのバケットへの書き込みに必要なアクセス許可があることを確認してください。
以下は、関連付けのために Amazon S3 出力をオンにするために必要な最小限のアクセス許可です。IAM ポリシーをアタッチすることで、アカウント内の個々のユーザーまたはロールへのアクセスをさらに制限することができます。最低でも、Amazon EC2 インスタンスプロファイルには、`AmazonSSMManagedInstanceCore` 管理ポリシーと次のインラインポリシーを持つ IAM ロールがある必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
最小限のアクセス許可を得るには、エクスポート先の Amazon S3 バケットに Amazon S3 コンソールで定義されたデフォルト設定が必要です。Amazon S3 バケットの作成の詳細については、*Amazon S3 ユーザーガイド*の「[バケットの作成](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html)」を参照してください。
**注記**
関連付けの実行中に SSM ドキュメントによって開始される API オペレーションは、AWS CloudTrail でログ記録されません。
1. [**関連付けの作成**] を選択します。
**注記**
作成した関連付けを削除すると、関連付けはそのターゲットで実行されなくなります。
## 関連付けの作成 (コマンドライン)
以下の手順では、AWS CLI (Linux または Windows Server の場合) または Tools for PowerShell を使用して、State Manager の関連付けを作成する方法について説明します。このセクションには、ターゲットとレート制御の使用方法を示すいくつかの例が含まれています。ターゲットとレート制御を使用すると、これらの関連付けの実行を制御しながら、関連付けを数十または数百のノードに割り当てることができます。ターゲットとレート制御の詳細については、「[State Manager 関連付けのターゲットとレート制御について](systems-manager-state-manager-targets-and-rate-controls.md)」を参照してください。
**重要**
この手順は、`Command` または `Policy` ドキュメントのどちらかを使用してマネージドノードをターゲットにする関連付けの作成方法を説明しています。Automation ランブックを使用してノードまたは他のタイプの AWS リソースをターゲットにする関連付けを作成する方法については、「[State Manager 関連付けでのオートメーションのスケジュール設定](scheduling-automations-state-manager-associations.md)」を参照してください。
**[開始する前に]**
`targets` パラメータは、指定した `Key`、`Value` の組み合わせを使用してノードをターゲットにする検索条件の配列です。`targets` パラメータを使用して数十または数百のノードで関連付けを作成する場合は、手順を開始する前に以下のターゲット設定オプションを確認してください。
ID を指定して特定のノードをターゲットにする
```
--targets Key=InstanceIds,Values=instance-id-1,instance-id-2,instance-id-3
```
```
--targets Key=InstanceIds,Values=i-02573cafcfEXAMPLE,i-0471e04240EXAMPLE,i-07782c72faEXAMPLE
```
タグを使用してインスタンスをターゲットにする
```
--targets Key=tag:tag-key,Values=tag-value-1,tag-value-2,tag-value-3
```
```
--targets Key=tag:Environment,Values=Development,Test,Pre-production
```
AWS Resource Groups を使用してノードをターゲットにする
```
--targets Key=resource-groups:Name,Values=resource-group-name
```
```
--targets Key=resource-groups:Name,Values=WindowsInstancesGroup
```
現在の AWS アカウント と AWS リージョン のすべてのインスタンスをターゲットに設定する
```
--targets Key=InstanceIds,Values=*
```
**注記**
以下の情報に注意してください。
ドキュメントが別のアカウントから共有されている場合、State Manager は新しいバージョンのドキュメントを使用する関連付けの実行をサポートしません。Systems Manager コンソールに新しいバージョンが処理されたことが示されていても、別のアカウントから共有される場合、State Manager は常にドキュメントの `default` バージョンを実行します。別なアカウントから共有されたドキュメントの新しいバージョンを使用して関連付けを実行する場合、ドキュメントバージョンを `default` に設定する必要があります。
State Manager は [TargetLocation](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_TargetLocation.html) の `IncludeChildOrganizationUnits`、`ExcludeAccounts`、`TargetsMaxErrors`、`TargetsMaxConcurrency`、`Targets`、`TargetLocationAlarmConfiguration` パラメータをサポートしていません。
AWS CLI を使用して、最大 5 個のタグキーを指定できます。AWS CLI を使用する場合、`create-association` コマンドで指定された*すべて*のタグキーは、ノードに現在割り当てられている必要があります。割り当てられていない場合、State Manager はノードを関連付けのターゲットにできません。
関連付けを作成するときは、スケジュールの実行時を指定します。cron または rate 式を使用して、スケジュールを指定します。cron 式と rate 式の詳細については、「[関連付のための cron および rate 式](reference-cron-and-rate-expressions.md#reference-cron-and-rate-expressions-association)」を参照してください。
新しいターゲットノードが検出されたときに、Automation ランブックで作成された関連付けを適用するには、特定の条件が満たされている必要があります。詳細については、「[Automation ランブックによるターゲット更新について](state-manager-about.md#runbook-target-updates)」を参照してください。
**関連付けを作成するには**
1. まだ AWS CLI または AWS Tools for PowerShell をインストールして設定していない場合は、インストールして設定します。
詳細については、「[AWS CLI の最新バージョンをインストールまたは更新します。](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)」および「[AWS Tools for PowerShell のインストール](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html)」を参照してください。
1. 以下の形式を使用して、関連付けを作成する State Manager コマンドを作成します。各*リソースプレースホルダーの例*をユーザー自身の情報に置き換えます。
------
#### [ Linux & macOS ]
```
aws ssm create-association \
--name document_name \
--document-version version_of_document_applied \
--instance-id instances_to_apply_association_on \
--parameters (if any) \
--targets target_options \
--association-dispatch-assume-role arn_of_role_to_be_used_when_dispatching_configurations \
--schedule-expression "cron_or_rate_expression" \
--apply-only-at-cron-interval required_parameter_for_schedule_offsets \
--schedule-offset number_between_1_and_6 \
--output-location s3_bucket_to_store_output_details \
--association-name association_name \
--max-errors a_number_of_errors_or_a_percentage_of_target_set \
--max-concurrency a_number_of_instances_or_a_percentage_of_target_set \
--compliance-severity severity_level \
--calendar-names change_calendar_names \
--target-locations aws_region_or_account \
--tags "Key=tag_key,Value=tag_value"
```
------
#### [ Windows ]
```
aws ssm create-association ^
--name document_name ^
--document-version version_of_document_applied ^
--instance-id instances_to_apply_association_on ^
--parameters (if any) ^
--targets target_options ^
--association-dispatch-assume-role arn_of_role_to_be_used_when_dispatching_configurations ^
--schedule-expression "cron_or_rate_expression" ^
--apply-only-at-cron-interval required_parameter_for_schedule_offsets ^
--schedule-offset number_between_1_and_6 ^
--output-location s3_bucket_to_store_output_details ^
--association-name association_name ^
--max-errors a_number_of_errors_or_a_percentage_of_target_set ^
--max-concurrency a_number_of_instances_or_a_percentage_of_target_set ^
--compliance-severity severity_level ^
--calendar-names change_calendar_names ^
--target-locations aws_region_or_account ^
--tags "Key=tag_key,Value=tag_value"
```
------
#### [ PowerShell ]
```
New-SSMAssociation `
-Name document_name `
-DocumentVersion version_of_document_applied `
-InstanceId instances_to_apply_association_on `
-Parameters (if any) `
-Target target_options `
-AssociationDispatchAssumeRole arn_of_role_to_be_used_when_dispatching_configurations `
-ScheduleExpression "cron_or_rate_expression" `
-ApplyOnlyAtCronInterval required_parameter_for_schedule_offsets `
-ScheduleOffSet number_between_1_and_6 `
-OutputLocation s3_bucket_to_store_output_details `
-AssociationName association_name `
-MaxError a_number_of_errors_or_a_percentage_of_target_set
-MaxConcurrency a_number_of_instances_or_a_percentage_of_target_set `
-ComplianceSeverity severity_level `
-CalendarNames change_calendar_names `
-TargetLocations aws_region_or_account `
-Tags "Key=tag_key,Value=tag_value"
```
------
次の例では、`"Environment,Linux"` でタグ付けされたノードで関連付けを作成します。関連付けは `AWS-UpdateSSMAgent` ドキュメントを使用して、毎週日曜日の午前 2 時 (UTC) にターゲットノード上の SSM Agent を更新します。この関連付けが同時に実行されるのは、常に最大 10 ノードです。また、エラー数が 5 を超えた場合、この実行期間内では、関連付けがそれ以降のノードで実行されなくなります。コンプライアンスレポートでは、この関連付けについて「中」の重要度レベルが割り当てられます。
------
#### [ Linux & macOS ]
```
aws ssm create-association \
--association-name Update_SSM_Agent_Linux \
--targets Key=tag:Environment,Values=Linux \
--name AWS-UpdateSSMAgent \
--association-dispatch-assume-role arn:aws:iam::123456789012:role/myAssociationDispatchAssumeRole \
--compliance-severity "MEDIUM" \
--schedule-expression "cron(0 2 ? * SUN *)" \
--max-errors "5" \
--max-concurrency "10"
```
------
#### [ Windows ]
```
aws ssm create-association ^
--association-name Update_SSM_Agent_Linux ^
--targets Key=tag:Environment,Values=Linux ^
--name AWS-UpdateSSMAgent ^
--association-dispatch-assume-role arn:aws:iam::123456789012:role/myAssociationDispatchAssumeRole ^
--compliance-severity "MEDIUM" ^
--schedule-expression "cron(0 2 ? * SUN *)" ^
--max-errors "5" ^
--max-concurrency "10"
```
------
#### [ PowerShell ]
```
New-SSMAssociation `
-AssociationName Update_SSM_Agent_Linux `
-Name AWS-UpdateSSMAgent `
-AssociationDispatchAssumeRole "arn:aws:iam::123456789012:role/myAssociationDispatchAssumeRole" `
-Target @{
"Key"="tag:Environment"
"Values"="Linux"
} `
-ComplianceSeverity MEDIUM `
-ScheduleExpression "cron(0 2 ? * SUN *)" `
-MaxConcurrency 10 `
-MaxError 5
```
------
次の例では、ワイルドカード値 (\$1) を指定してノード ID をターゲットにしています。これにより、Systems Manager は現在の AWS アカウント と AWS リージョン 内にある*すべて*のノードに関連付けを作成できます。この関連付けが同時に実行されるのは、常に最大 10 ノードです。また、エラー数が 5 を超えた場合、この実行期間内では、関連付けがそれ以降のノードで実行されなくなります。コンプライアンスレポートでは、この関連付けについて「中」の重要度レベルが割り当てられます。この関連付けでは、スケジュールオフセットが使用されます。つまり、指定された cron スケジュールの 2 日後に実行されます。また、`ApplyOnlyAtCronInterval` パラメータも含まれています。これは、スケジュールオフセットの使用に必要であり、関連付けが作成された直後に実行されないように指定しています。
------
#### [ Linux & macOS ]
```
aws ssm create-association \
--association-name Update_SSM_Agent_Linux \
--name "AWS-UpdateSSMAgent" \
--association-dispatch-assume-role arn:aws:iam::123456789012:role/myAssociationDispatchAssumeRole \
--targets "Key=instanceids,Values=*" \
--compliance-severity "MEDIUM" \
--schedule-expression "cron(0 2 ? * SUN#2 *)" \
--apply-only-at-cron-interval \
--schedule-offset 2 \
--max-errors "5" \
--max-concurrency "10" \
```
------
#### [ Windows ]
```
aws ssm create-association ^
--association-name Update_SSM_Agent_Linux ^
--name "AWS-UpdateSSMAgent" ^
--association-dispatch-assume-role arn:aws:iam::123456789012:role/myAssociationDispatchAssumeRole ^
--targets "Key=instanceids,Values=*" ^
--compliance-severity "MEDIUM" ^
--schedule-expression "cron(0 2 ? * SUN#2 *)" ^
--apply-only-at-cron-interval ^
--schedule-offset 2 ^
--max-errors "5" ^
--max-concurrency "10" ^
--apply-only-at-cron-interval
```
------
#### [ PowerShell ]
```
New-SSMAssociation `
-AssociationName Update_SSM_Agent_All `
-Name AWS-UpdateSSMAgent `
-AssociationDispatchAssumeRole "arn:aws:iam::123456789012:role/myAssociationDispatchAssumeRole" `
-Target @{
"Key"="InstanceIds"
"Values"="*"
} `
-ScheduleExpression "cron(0 2 ? * SUN#2 *)" `
-ApplyOnlyAtCronInterval `
-ScheduleOffset 2 `
-MaxConcurrency 10 `
-MaxError 5 `
-ComplianceSeverity MEDIUM `
-ApplyOnlyAtCronInterval
```
------
次の例では、リソースグループでノードの関連付けを作成します。グループの名前は「HR-Department」です。関連付けは `AWS-UpdateSSMAgent` ドキュメントを使用して、毎週日曜日の午前 2 時 (UTC) にターゲットノード上の SSM Agent を更新します。この関連付けが同時に実行されるのは、常に最大 10 ノードです。また、エラー数が 5 を超えた場合、この実行期間内では、関連付けがそれ以降のノードで実行されなくなります。コンプライアンスレポートでは、この関連付けについて「中」の重要度レベルが割り当てられます。この関連付けは、指定された cron スケジュールで実行されます。作成直後に関連付けは実行されません。
------
#### [ Linux & macOS ]
```
aws ssm create-association \
--association-name Update_SSM_Agent_Linux \
--targets Key=resource-groups:Name,Values=HR-Department \
--name AWS-UpdateSSMAgent \
--association-dispatch-assume-role arn:aws:iam::123456789012:role/myAssociationDispatchAssumeRole \
--compliance-severity "MEDIUM" \
--schedule-expression "cron(0 2 ? * SUN *)" \
--max-errors "5" \
--max-concurrency "10" \
--apply-only-at-cron-interval
```
------
#### [ Windows ]
```
aws ssm create-association ^
--association-name Update_SSM_Agent_Linux ^
--targets Key=resource-groups:Name,Values=HR-Department ^
--name AWS-UpdateSSMAgent ^
-association-dispatch-assume-role arn:aws:iam::123456789012:role/myAssociationDispatchAssumeRole ^
--compliance-severity "MEDIUM" ^
--schedule-expression "cron(0 2 ? * SUN *)" ^
--max-errors "5" ^
--max-concurrency "10" ^
--apply-only-at-cron-interval
```
------
#### [ PowerShell ]
```
New-SSMAssociation `
-AssociationName Update_SSM_Agent_Linux `
-Name AWS-UpdateSSMAgent `
-AssociationDispatchAssumeRole "arn:aws:iam::123456789012:role/myAssociationDispatchAssumeRole" `
-Target @{
"Key"="resource-groups:Name"
"Values"="HR-Department"
} `
-ScheduleExpression "cron(0 2 ? * SUN *)" `
-MaxConcurrency 10 `
-MaxError 5 `
-ComplianceSeverity MEDIUM `
-ApplyOnlyAtCronInterval
```
------
次の例では、特定のノード ID でタグ付けされたノードで実行される関連付けを作成します。関連付けは、変更カレンダーが開いているときに、SSM Agent ドキュメントを使用して、ターゲットノードの SSM Agent を更新します。関連付けは、実行時にカレンダーの状態をチェックします。カレンダーが起動時に閉じられ、関連付けが 1 回だけ実行された場合、関連付けの実行ウィンドウが過ぎているため、再度実行されません。カレンダーが開いている場合は、それに応じて関連付けが実行されます。
**注記**
変更カレンダーを閉じているときに関連付けが作用するタグまたはリソースグループに新しいノードを追加すると、変更カレンダーが開いたときにその関連付けがそれらのノードに適用されます。
------
#### [ Linux & macOS ]
```
aws ssm create-association \
--association-name CalendarAssociation \
--targets "Key=instanceids,Values=i-0cb2b964d3e14fd9f" \
--name AWS-UpdateSSMAgent \
--association-dispatch-assume-role arn:aws:iam::123456789012:role/myAssociationDispatchAssumeRole \
--calendar-names "arn:aws:ssm:us-east-1:123456789012:document/testCalendar1" \
--schedule-expression "rate(1day)"
```
------
#### [ Windows ]
```
aws ssm create-association ^
--association-name CalendarAssociation ^
--targets "Key=instanceids,Values=i-0cb2b964d3e14fd9f" ^
--name AWS-UpdateSSMAgent ^
--association-dispatch-assume-role arn:aws:iam::123456789012:role/myAssociationDispatchAssumeRole ^
--calendar-names "arn:aws:ssm:us-east-1:123456789012:document/testCalendar1" ^
--schedule-expression "rate(1day)"
```
------
#### [ PowerShell ]
```
New-SSMAssociation `
-AssociationName CalendarAssociation `
-Target @{
"Key"="tag:instanceids"
"Values"="i-0cb2b964d3e14fd9f"
} `
-Name AWS-UpdateSSMAgent `
-AssociationDispatchAssumeRole "arn:aws:iam::123456789012:role/myAssociationDispatchAssumeRole" `
-CalendarNames "arn:aws:ssm:us-east-1:123456789012:document/testCalendar1" `
-ScheduleExpression "rate(1day)"
```
------
次の例では、特定のノード ID でタグ付けされたノードで実行される関連付けを作成します。関連付けは、SSM Agent ドキュメントを使用して、毎週日曜日の午前 2 時にターゲットノードで SSM Agent を更新します。この関連付けは、変更カレンダーが開いているときに、指定された cron スケジュールでのみ実行されます。関連付けが作成されると、カレンダーの状態がチェックされます。カレンダーが閉じている場合、関連付けは適用されません。関連付けを適用する間隔が日曜日の午前 2 時に開始されると、関連付けはカレンダーが開いているかどうかをチェックします。カレンダーが開いている場合は、それに応じて関連付けが実行されます。
**注記**
変更カレンダーを閉じているときに関連付けが作用するタグまたはリソースグループに新しいノードを追加すると、変更カレンダーが開いたときにその関連付けがそれらのノードに適用されます。
------
#### [ Linux & macOS ]
```
aws ssm create-association \
--association-name MultiCalendarAssociation \
--targets "Key=instanceids,Values=i-0cb2b964d3e14fd9f" \
--name AWS-UpdateSSMAgent \
--association-dispatch-assume-role arn:aws:iam::123456789012:role/myAssociationDispatchAssumeRole \
--calendar-names "arn:aws:ssm:us-east-1:123456789012:document/testCalendar1" "arn:aws:ssm:us-east-2:123456789012:document/testCalendar2" \
--schedule-expression "cron(0 2 ? * SUN *)"
```
------
#### [ Windows ]
```
aws ssm create-association ^
--association-name MultiCalendarAssociation ^
--targets "Key=instanceids,Values=i-0cb2b964d3e14fd9f" ^
--name AWS-UpdateSSMAgent ^
--association-dispatch-assume-role arn:aws:iam::123456789012:role/myAssociationDispatchAssumeRole ^
--calendar-names "arn:aws:ssm:us-east-1:123456789012:document/testCalendar1" "arn:aws:ssm:us-east-2:123456789012:document/testCalendar2" ^
--schedule-expression "cron(0 2 ? * SUN *)"
```
------
#### [ PowerShell ]
```
New-SSMAssociation `
-AssociationName MultiCalendarAssociation `
-Name AWS-UpdateSSMAgent `
-AssociationDispatchAssumeRole "arn:aws:iam::123456789012:role/myAssociationDispatchAssumeRole" `
-Target @{
"Key"="tag:instanceids"
"Values"="i-0cb2b964d3e14fd9f"
} `
-CalendarNames "arn:aws:ssm:us-east-1:123456789012:document/testCalendar1" "arn:aws:ssm:us-east-2:123456789012:document/testCalendar2" `
-ScheduleExpression "cron(0 2 ? * SUN *)"
```
------
**注記**
作成した関連付けを削除すると、関連付けはそのターゲットで実行されなくなります。また、`apply-only-at-cron-interval` パラメータを指定した場合は、このオプションをリセットできます。これを行うには、コマンドラインから関連付けを更新するときに `no-apply-only-at-cron-interval` パラメータを指定します。このパラメータは、関連付けの更新直後に、指定された間隔に従って関連付けを適用します。
# 関連付けの編集と新しいバージョンの作成
State Manager の関連付けを編集して、新しい名前、スケジュール、重大度レベル、ターゲット、またはその他の値を指定できます。SSM Command タイプのドキュメントに基づく関連付けについては、コマンドの出力を Amazon Simple Storage Service (Amazon S3) バケットに書き込むことも選択できます。関連付けを編集した後、State Manager で新しいバージョンが作成されます。編集後、次の手順で説明しているように、複数のバージョンを表示できます。
**注記**
新しいターゲットノードが検出されたときに、Automation ランブックで作成された関連付けを適用するには、特定の条件が満たされている必要があります。詳細については、「[Automation ランブックによるターゲット更新について](state-manager-about.md#runbook-target-updates)」を参照してください。
次の手順では、Systems Manager コンソール、AWS Command Line Interface (AWS CLI)、および AWS Tools for PowerShell (Tools for PowerShell) を使用して、関連付けの新しいバージョンを編集および作成する方法について説明します。
**重要**
ドキュメントが別のアカウントから共有されている場合、State Manager は、そのドキュメントの新しいバージョンを使用する関連付けの実行をサポートしません。Systems Manager コンソールに新しいバージョンが処理されたことが表示されている場合でも、別のアカウントから共有されているときは、State Manager は、常にドキュメントの `default` バージョンを実行します。別なアカウントから共有されたドキュメントの新しいバージョンを使用して関連付けを実行する場合、ドキュメントバージョンを `default` に設定する必要があります。
## 関連付けを編集する (コンソール)
次の手順では、Systems Manager コンソールを使用して、関連付けの新しいバージョンを編集および作成する方法について説明します。
**注記**
Automation ランブックではなく、SSM Command ドキュメントを使用する関連付けの場合、この手順では既存の Amazon S3 バケットへの書き込みアクセス権が必要になります。Amazon S3 を初めて使用する場合は、Amazon S3 の使用料金が発生することに留意してください。バケットを作成する方法については、「[バケットの作成](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CreatingABucket.html)」を参照してください。
**State Manager の関連付けを編集するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[State Manager]** を選択します。
1. 既存の関連付けを選択してから、**[編集]** を選択します。
1. 現在の要件を満たすように関連付けを再設定します。
`Command` および `Policy` ドキュメントを使用した関連付けのオプションについては、「[関連付けの作成](state-manager-associations-creating.md)」を参照してください。Automation ランブックを使用した関連付けのオプションについては、「[State Manager 関連付けでのオートメーションのスケジュール設定](scheduling-automations-state-manager-associations.md)」を参照してください。
1. **[Save changes]** (変更の保存) をクリックします。
1. (オプション) 関連付け情報を表示するには、**[関連付け]** ページで編集した関連付けの名前を選択してから、**[バージョン]** タブを選択します。システムが、作成および編集した関連付けの各バージョンを一覧表示します。
1. (オプション) SSM `Command` ドキュメントに基づく関連付けの出力を表示するには、次の手順を実行します。
1. Amazon S3 コンソール ([https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)) を開きます。
1. コマンド出力の保存先として指定した Amazon S3 バケットの名前を選択し、関連付けを実行したノードの ID を使用して名前を付けたフォルダを選択します (出力の保存先としてバケット内のフォルダを選択した場合は、最初にそのフォルダを開きます)。
1. `awsrunPowerShell` フォルダで数レベルをドリルダウンして、`stdout` ファイルを見つけます。
1. [**Open**] または [**Download**] を選択してホスト名を表示します。
## 関連付けを編集する (コマンドライン)
以下の手順では、AWS CLI (Linux または Windows Server の場合) または AWS Tools for PowerShell を使用して、関連付けの新しいバージョンを編集および作成する方法について説明します。
**State Manager の関連付けを編集するには**
1. まだ AWS CLI または AWS Tools for PowerShell をインストールして設定していない場合は、インストールして設定します。
詳細については、「[AWS CLI の最新バージョンをインストールまたは更新します。](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)」および「[AWS Tools for PowerShell のインストール](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html)」を参照してください。
1. 既存の State Manager 関連付けの新しいバージョンを編集および作成するコマンドを作成するには、次の形式を使用します。各*リソースプレースホルダーの例*をユーザー自身の情報に置き換えます。
**重要**
`[https://docs.aws.amazon.com/cli/latest/reference/ssm/desupdatecribe-association.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/desupdatecribe-association.html)` を呼び出す場合、システムはリクエストのすべてのオプションパラメータを削除し、それらのパラメータにおいて関連付けを null 値で上書きします。これは仕様です。パラメータを変更しない場合でも、呼び出しのオプションパラメータをすべて指定する必要があります。これには `--name` パラメータが含まれます。このアクションを呼び出す前に、`[https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-association.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-association.html)` API オペレーションを呼び出して、`update-association` コールに必要なすべてのオプションパラメータをメモしておくことをお勧めします。
------
#### [ Linux & macOS ]
```
aws ssm update-association \
--name document_name \
--document-version version_of_document_applied \
--instance-id instances_to_apply_association_on \
--parameters (if any) \
--targets target_options \
--association-dispatch-assume-role arn_of_role_to_be_used_when_dispatching_configurations \
--schedule-expression "cron_or_rate_expression" \
--schedule-offset "number_between_1_and_6" \
--output-location s3_bucket_to_store_output_details \
--association-name association_name \
--max-errors a_number_of_errors_or_a_percentage_of_target_set \
--max-concurrency a_number_of_instances_or_a_percentage_of_target_set \
--compliance-severity severity_level \
--calendar-names change_calendar_names \
--target-locations aws_region_or_account
```
------
#### [ Windows ]
```
aws ssm update-association ^
--name document_name ^
--document-version version_of_document_applied ^
--instance-id instances_to_apply_association_on ^
--parameters (if any) ^
--targets target_options ^
--association-dispatch-assume-role arn_of_role_to_be_used_when_dispatching_configurations ^
--schedule-expression "cron_or_rate_expression" ^
--schedule-offset "number_between_1_and_6" ^
--output-location s3_bucket_to_store_output_details ^
--association-name association_name ^
--max-errors a_number_of_errors_or_a_percentage_of_target_set ^
--max-concurrency a_number_of_instances_or_a_percentage_of_target_set ^
--compliance-severity severity_level ^
--calendar-names change_calendar_names ^
--target-locations aws_region_or_account
```
------
#### [ PowerShell ]
```
Update-SSMAssociation `
-Name document_name `
-DocumentVersion version_of_document_applied `
-InstanceId instances_to_apply_association_on `
-Parameters (if any) `
-Target target_options `
-AssociationDispatchAssumeRole arn_of_role_to_be_used_when_dispatching_configurations `
-ScheduleExpression "cron_or_rate_expression" `
-ScheduleOffset "number_between_1_and_6" `
-OutputLocation s3_bucket_to_store_output_details `
-AssociationName association_name `
-MaxError a_number_of_errors_or_a_percentage_of_target_set
-MaxConcurrency a_number_of_instances_or_a_percentage_of_target_set `
-ComplianceSeverity severity_level `
-CalendarNames change_calendar_names `
-TargetLocations aws_region_or_account
```
------
次の例では、既存の関連付けを更新して名前を `TestHostnameAssociation2` に変更します。新しい関連付けバージョンは 1 時間ごとに実行され、コマンドの出力を指定された Amazon S3 バケットに書き込みます。
------
#### [ Linux & macOS ]
```
aws ssm update-association \
--association-id 8dfe3659-4309-493a-8755-01234EXAMPLE \
--association-name TestHostnameAssociation2 \
--parameters commands="echo Association" \
--association-dispatch-assume-role arn:aws:iam::123456789012:role/myAssociationDispatchAssumeRole \
--output-location S3Location='{OutputS3Region=us-east-1,OutputS3BucketName=amzn-s3-demo-bucket,OutputS3KeyPrefix=logs}' \
--schedule-expression "cron(0 */1 * * ? *)"
```
------
#### [ Windows ]
```
aws ssm update-association ^
--association-id 8dfe3659-4309-493a-8755-01234EXAMPLE ^
--association-name TestHostnameAssociation2 ^
--parameters commands="echo Association" ^
--association-dispatch-assume-role arn:aws:iam::123456789012:role/myAssociationDispatchAssumeRole ^
--output-location S3Location='{OutputS3Region=us-east-1,OutputS3BucketName=amzn-s3-demo-bucket,OutputS3KeyPrefix=logs}' ^
--schedule-expression "cron(0 */1 * * ? *)"
```
------
#### [ PowerShell ]
```
Update-SSMAssociation `
-AssociationId b85ccafe-9f02-4812-9b81-01234EXAMPLE `
-AssociationName TestHostnameAssociation2 `
-Parameter @{"commands"="echo Association"} `
-AssociationDispatchAssumeRole "arn:aws:iam::123456789012:role/myAssociationDispatchAssumeRole" `
-S3Location_OutputS3BucketName amzn-s3-demo-bucket `
-S3Location_OutputS3KeyPrefix logs `
-S3Location_OutputS3Region us-east-1 `
-ScheduleExpression "cron(0 */1 * * ? *)"
```
------
次の例では、既存の関連付けを更新して名前を `CalendarAssociation` に変更します。新しい関連付けは、カレンダーが開いているときに実行され、指定された Amazon S3 バケットにコマンド出力を書き込みます。
------
#### [ Linux & macOS ]
```
aws ssm update-association \
--association-id 8dfe3659-4309-493a-8755-01234EXAMPLE \
--association-name CalendarAssociation \
--parameters commands="echo Association" \
--output-location S3Location='{OutputS3Region=us-east-1,OutputS3BucketName=amzn-s3-demo-bucket,OutputS3KeyPrefix=logs}' \
--calendar-names "arn:aws:ssm:us-east-1:123456789012:document/testCalendar2"
```
------
#### [ Windows ]
```
aws ssm update-association ^
--association-id 8dfe3659-4309-493a-8755-01234EXAMPLE ^
--association-name CalendarAssociation ^
--parameters commands="echo Association" ^
--output-location S3Location='{OutputS3Region=us-east-1,OutputS3BucketName=amzn-s3-demo-bucket,OutputS3KeyPrefix=logs}' ^
--calendar-names "arn:aws:ssm:us-east-1:123456789012:document/testCalendar2"
```
------
#### [ PowerShell ]
```
Update-SSMAssociation `
-AssociationId b85ccafe-9f02-4812-9b81-01234EXAMPLE `
-AssociationName CalendarAssociation `
-AssociationName OneTimeAssociation `
-Parameter @{"commands"="echo Association"} `
-S3Location_OutputS3BucketName amzn-s3-demo-bucket `
-CalendarNames "arn:aws:ssm:us-east-1:123456789012:document/testCalendar2"
```
------
次の例では、既存の関連付けを更新して名前を `MultiCalendarAssociation` に変更します。新しい関連付けは、カレンダーが開いているときに実行され、指定された Amazon S3 バケットにコマンド出力を書き込みます。
------
#### [ Linux & macOS ]
```
aws ssm update-association \
--association-id 8dfe3659-4309-493a-8755-01234EXAMPLE \
--association-name MultiCalendarAssociation \
--parameters commands="echo Association" \
--output-location S3Location='{OutputS3Region=us-east-1,OutputS3BucketName=amzn-s3-demo-bucket,OutputS3KeyPrefix=logs}' \
--calendar-names "arn:aws:ssm:us-east-1:123456789012:document/testCalendar1" "arn:aws:ssm:us-east-2:123456789012:document/testCalendar2"
```
------
#### [ Windows ]
```
aws ssm update-association ^
--association-id 8dfe3659-4309-493a-8755-01234EXAMPLE ^
--association-name MultiCalendarAssociation ^
--parameters commands="echo Association" ^
--output-location S3Location='{OutputS3Region=us-east-1,OutputS3BucketName=amzn-s3-demo-bucket,OutputS3KeyPrefix=logs}' ^
--calendar-names "arn:aws:ssm:us-east-1:123456789012:document/testCalendar1" "arn:aws:ssm:us-east-2:123456789012:document/testCalendar2"
```
------
#### [ PowerShell ]
```
Update-SSMAssociation `
-AssociationId b85ccafe-9f02-4812-9b81-01234EXAMPLE `
-AssociationName MultiCalendarAssociation `
-Parameter @{"commands"="echo Association"} `
-S3Location_OutputS3BucketName amzn-s3-demo-bucket `
-CalendarNames "arn:aws:ssm:us-east-1:123456789012:document/testCalendar1" "arn:aws:ssm:us-east-2:123456789012:document/testCalendar2"
```
------
1. 関連付けの新しいバージョンを表示するには、次のコマンドを実行します。
------
#### [ Linux & macOS ]
```
aws ssm describe-association \
--association-id b85ccafe-9f02-4812-9b81-01234EXAMPLE
```
------
#### [ Windows ]
```
aws ssm describe-association ^
--association-id b85ccafe-9f02-4812-9b81-01234EXAMPLE
```
------
#### [ PowerShell ]
```
Get-SSMAssociation `
-AssociationId b85ccafe-9f02-4812-9b81-01234EXAMPLE | Select-Object *
```
------
システムが以下のような情報を返します。
------
#### [ Linux & macOS ]
```
{
"AssociationDescription": {
"ScheduleExpression": "cron(0 */1 * * ? *)",
"OutputLocation": {
"S3Location": {
"OutputS3KeyPrefix": "logs",
"OutputS3BucketName": "amzn-s3-demo-bucket",
"OutputS3Region": "us-east-1"
}
},
"Name": "AWS-RunPowerShellScript",
"Parameters": {
"commands": [
"echo Association"
]
},
"LastExecutionDate": 1559316400.338,
"Overview": {
"Status": "Success",
"DetailedStatus": "Success",
"AssociationStatusAggregatedCount": {}
},
"AssociationId": "b85ccafe-9f02-4812-9b81-01234EXAMPLE",
"DocumentVersion": "$DEFAULT",
"LastSuccessfulExecutionDate": 1559316400.338,
"LastUpdateAssociationDate": 1559316389.753,
"Date": 1559314038.532,
"AssociationVersion": "2",
"AssociationName": "TestHostnameAssociation2",
"Targets": [
{
"Values": [
"Windows"
],
"Key": "tag:Environment"
}
]
}
}
```
------
#### [ Windows ]
```
{
"AssociationDescription": {
"ScheduleExpression": "cron(0 */1 * * ? *)",
"OutputLocation": {
"S3Location": {
"OutputS3KeyPrefix": "logs",
"OutputS3BucketName": "amzn-s3-demo-bucket",
"OutputS3Region": "us-east-1"
}
},
"Name": "AWS-RunPowerShellScript",
"Parameters": {
"commands": [
"echo Association"
]
},
"LastExecutionDate": 1559316400.338,
"Overview": {
"Status": "Success",
"DetailedStatus": "Success",
"AssociationStatusAggregatedCount": {}
},
"AssociationId": "b85ccafe-9f02-4812-9b81-01234EXAMPLE",
"DocumentVersion": "$DEFAULT",
"LastSuccessfulExecutionDate": 1559316400.338,
"LastUpdateAssociationDate": 1559316389.753,
"Date": 1559314038.532,
"AssociationVersion": "2",
"AssociationName": "TestHostnameAssociation2",
"Targets": [
{
"Values": [
"Windows"
],
"Key": "tag:Environment"
}
]
}
}
```
------
#### [ PowerShell ]
```
AssociationId : b85ccafe-9f02-4812-9b81-01234EXAMPLE
AssociationName : TestHostnameAssociation2
AssociationVersion : 2
AutomationTargetParameterName :
ComplianceSeverity :
Date : 5/31/2019 2:47:18 PM
DocumentVersion : $DEFAULT
InstanceId :
LastExecutionDate : 5/31/2019 3:26:40 PM
LastSuccessfulExecutionDate : 5/31/2019 3:26:40 PM
LastUpdateAssociationDate : 5/31/2019 3:26:29 PM
MaxConcurrency :
MaxErrors :
Name : AWS-RunPowerShellScript
OutputLocation : Amazon.SimpleSystemsManagement.Model.InstanceAssociationOutputLocation
Overview : Amazon.SimpleSystemsManagement.Model.AssociationOverview
Parameters : {[commands, Amazon.Runtime.Internal.Util.AlwaysSendList`1[System.String]]}
ScheduleExpression : cron(0 */1 * * ? *)
Status :
Targets : {tag:Environment}
```
------
# 関連付けを削除する
AWS Systems Manager コンソールを使用して関連付けを削除するには、次の手順に従います。
**関連付け提案を削除するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[State Manager]** を選択します。
1. 関連付けを選択し、**[削除]** を選択します。
AWS Systems Manager コンソールから自動化を実行することで、1 回のオペレーションで複数の関連付けを削除できます。削除するアソシエーションを複数選択すると、State Manager はアソシエーション ID を入力パラメータ値として入力した状態で自動化ランブックの開始ページを起動します。
**1 回のオペレーションで複数の関連付けを削除するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[State Manager]** を選択します。
1. 削除するそれぞれの関連付けを選択し、**[削除]** を選択します。
1. (オプション) **[追加入力パラメータ]** 領域で、実行中に自動化に使用するロールの Amazon リソースネーム (ARN) を選択します。新しい IAM ロールを作成するには、**[作成]** を選択します。
1. [**Submit**] を選択します。
# 関連付けで Auto Scaling グループを実行する
関連付けを使用して Auto Scaling グループを実行する際のベストプラクティスは、タグターゲットを使用することです。タグを使用しないと、関連付けの制限に達する可能性があります。
すべてのノードに同じキーと値でタグ付けされている場合、Auto Scaling グループを実行するために必要な関連付けは 1 つだけです。以下の手順では、このような関連付けを作成する方法について説明します。
**Auto Scaling グループを実行する関連付けを作成するには**
1. Auto Scaling グループ内のすべてのノードに、同じキーと値でタグ付けされていることを確認します。ノードのタグ付けの詳細については、「*AWS Auto Scaling ユーザーガイド*」の「[Tagging Auto Scaling groups and instances](https://docs.aws.amazon.com//autoscaling/ec2/userguide/autoscaling-tagging.html)」(Auto Scaling グループとインスタンスにタグを付ける) を参照してください 。
1. [Systems Manager の関連付けの使用](state-manager-associations.md) の手順を使用して、関連付けを作成します。
コンソールで作業している場合は、[**ターゲット**] フィールドで [**インスタンスタグを指定**] を選択します。[**インスタンスタグ**] で、Auto Scaling グループの**タグ**キーと値を入力します。
AWS Command Line Interface (AWS CLI) を使用している場合は、`--targets Key=tag:tag-key,Values=tag-value` と指定します。キーと値はノードにタグ付けされたものと一致させます。
# 関連付けの履歴の表示
[DescribeAssociationExecutions](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeAssociationExecutions.html) API オペレーションを使用して、特定の関連付け ID のすべての実行を表示できます。このオペレーションを使用して、State Manager の関連付けのステータス、詳細なステータス、結果、最終実行時間、および詳細情報を確認します。State Manager は AWS Systems Manager のツールです。この API オペレーションには、指定する条件に従って関連付けを見つけるのに役立つフィルターも含まれています。例えば、正確な日時を指定し、GREATER\$1THAN フィルターを使用して、指定の日時より後に処理された実行を表示できます。
例えば、関連付けの実行が失敗した場合、[DescribeAssociationExecutionTargets](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_DescribeAssociationExecutionTargets.html) API オペレーションを使用して、特定の実行を詳細にドリルダウンすることができます。このオペレーションにより、ノード ID など関連付けが実行されたリソース、およびさまざまな関連付けステータスが表示されます。これにより、どのリソースまたはノードで関連付けの実行に失敗したかを確認できます。リソース ID を使用して、コマンドのどのステップが失敗したかを示すコマンド実行の詳細を表示できます。
このセクションの例には、[StartAssociationsOnce](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StartAssociationsOnce.html) API オペレーションを使用して、作成時に関連付けを 1 回実行する方法についての情報も含まれています。この API オペレーションを失敗した関連付けの実行の調査に使用できます。関連付けが失敗した場合は、リソースを変更して直ちに関連付けを実行して、リソースの変更によって関連付けが正常に実行されるかどうかを確認できます。
**注記**
関連付けの実行中に SSM ドキュメントによって開始される API オペレーションは、AWS CloudTrail でログ記録されません。
## 関連付けの履歴の表示 (コンソール)
次の手順を使用して、特定の関連付け ID の実行履歴を表示し、1 つ以上のリソースの実行の詳細を表示します。
**特定の関連付け ID の実行履歴を表示するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. **State Manager** を選択してください。
1. [**Association id (アソシエーション ID)**] フィールドで、履歴を表示する関連付けを選択します。
1. [**View details (詳細を表示)**] ボタンを選択します。
1. [**Execution history (実行履歴の表示)**] タブを選択します。
1. リソースレベルの実行の詳細を表示する関連付けを選択します。たとえば、ステータスが [**Failed (失敗)**] と表示される関連付けを選択します。これにより、関連付けの実行に失敗したノードの実行の詳細を表示できます。
検索ボックスのフィルターを使用して、詳細を表示する実行を見つけます。
![\[State Manager の関連付け実行のリストのフィルタリング。\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/sysman-state-executions-filter.png)
1. 実行 ID を選択します。[**Association execution targets (関連付け実行ターゲット)**] ページが開きます。このページには、関連付けを実行したすべてのリソースが表示されます。
1. リソースに関する固有の情報を表示するリソース ID を選択します。
検索ボックスのフィルターを使用して、詳細を表示するリソースを見つけます。
![\[State Manager の関連付け実行ターゲットのリストのフィルタリング。\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/sysman-state-executions-targets-filter.png)
1. 実行に失敗した関連付けを調査する場合は、[**Apply association now**] (関連付けを今すぐ適用) ボタンを使用して、作成時に関連付けを 1 回実行できます。関連付けの実行に失敗したリソースで変更をした後、ナビゲーションブレッドクラムで、[**Association ID (関連 ID)**] リンクを選択します。
1. [**Apply association now (関連付けを今すぐ適用)**] ボタンを選択します。実行が完了したら、関連付けの実行が成功したことを確認します。
## 関連付けの履歴の表示 (コマンドライン)
以下の手順では、AWS Command Line Interface (AWS CLI) (Linux または Windows Server の場合) または AWS Tools for PowerShell を使用して特定の関連付け ID の実行履歴を表示する方法について説明します。これに続いて、この手順では、1 つ以上のリソースの実行の詳細を表示する方法について説明します。
**特定の関連付け ID の実行履歴を表示するには**
1. まだ AWS CLI または AWS Tools for PowerShell をインストールして設定していない場合は、インストールして設定します。
詳細については、「[AWS CLI の最新バージョンをインストールまたは更新します。](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)」および「[AWS Tools for PowerShell のインストール](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html)」を参照してください。
1. 以下のコマンドを実行して、特定の関連付け ID の実行を一覧表示します。
------
#### [ Linux & macOS ]
```
aws ssm describe-association-executions \
--association-id ID \
--filters Key=CreatedTime,Value="2018-04-10T19:15:38.372Z",Type=GREATER_THAN
```
**注記**
このコマンドには、特定の日時以降に実行された実行のみに結果を限定するフィルタが含まれています。特定の関連付け ID のすべての実行を表示するには、`--filters` パラメータおよび ` Key=CreatedTime,Value="2018-04-10T19:15:38.372Z",Type=GREATER_THAN` 値を削除します。
------
#### [ Windows ]
```
aws ssm describe-association-executions ^
--association-id ID ^
--filters Key=CreatedTime,Value="2018-04-10T19:15:38.372Z",Type=GREATER_THAN
```
**注記**
このコマンドには、特定の日時以降に実行された実行のみに結果を限定するフィルタが含まれています。特定の関連付け ID のすべての実行を表示するには、`--filters` パラメータおよび ` Key=CreatedTime,Value="2018-04-10T19:15:38.372Z",Type=GREATER_THAN` 値を削除します。
------
#### [ PowerShell ]
```
Get-SSMAssociationExecution `
-AssociationId ID `
-Filter @{"Key"="CreatedTime";"Value"="2019-06-01T19:15:38.372Z";"Type"="GREATER_THAN"}
```
**注記**
このコマンドには、特定の日時以降に実行された実行のみに結果を限定するフィルタが含まれています。特定の関連付け ID のすべての実行を表示するには、`-Filter` パラメータおよび ` @{"Key"="CreatedTime";"Value"="2019-06-01T19:15:38.372Z";"Type"="GREATER_THAN"}` 値を削除します。
------
システムが以下のような情報をレスポンスします。
------
#### [ Linux & macOS ]
```
{
"AssociationExecutions":[
{
"Status":"Success",
"DetailedStatus":"Success",
"AssociationId":"c336d2ab-09de-44ba-8f6a-6136cEXAMPLE",
"ExecutionId":"76a5a04f-caf6-490c-b448-92c02EXAMPLE",
"CreatedTime":1523986028.219,
"AssociationVersion":"1"
},
{
"Status":"Success",
"DetailedStatus":"Success",
"AssociationId":"c336d2ab-09de-44ba-8f6a-6136cEXAMPLE",
"ExecutionId":"791b72e0-f0da-4021-8b35-f95dfEXAMPLE",
"CreatedTime":1523984226.074,
"AssociationVersion":"1"
},
{
"Status":"Success",
"DetailedStatus":"Success",
"AssociationId":"c336d2ab-09de-44ba-8f6a-6136cEXAMPLE",
"ExecutionId":"ecec60fa-6bb0-4d26-98c7-140308EXAMPLE",
"CreatedTime":1523982404.013,
"AssociationVersion":"1"
}
]
}
```
------
#### [ Windows ]
```
{
"AssociationExecutions":[
{
"Status":"Success",
"DetailedStatus":"Success",
"AssociationId":"c336d2ab-09de-44ba-8f6a-6136cEXAMPLE",
"ExecutionId":"76a5a04f-caf6-490c-b448-92c02EXAMPLE",
"CreatedTime":1523986028.219,
"AssociationVersion":"1"
},
{
"Status":"Success",
"DetailedStatus":"Success",
"AssociationId":"c336d2ab-09de-44ba-8f6a-6136cEXAMPLE",
"ExecutionId":"791b72e0-f0da-4021-8b35-f95dfEXAMPLE",
"CreatedTime":1523984226.074,
"AssociationVersion":"1"
},
{
"Status":"Success",
"DetailedStatus":"Success",
"AssociationId":"c336d2ab-09de-44ba-8f6a-6136cEXAMPLE",
"ExecutionId":"ecec60fa-6bb0-4d26-98c7-140308EXAMPLE",
"CreatedTime":1523982404.013,
"AssociationVersion":"1"
}
]
}
```
------
#### [ PowerShell ]
```
AssociationId : c336d2ab-09de-44ba-8f6a-6136cEXAMPLE
AssociationVersion : 1
CreatedTime : 8/18/2019 2:00:50 AM
DetailedStatus : Success
ExecutionId : 76a5a04f-caf6-490c-b448-92c02EXAMPLE
LastExecutionDate : 1/1/0001 12:00:00 AM
ResourceCountByStatus : {Success=1}
Status : Success
AssociationId : c336d2ab-09de-44ba-8f6a-6136cEXAMPLE
AssociationVersion : 1
CreatedTime : 8/11/2019 2:00:54 AM
DetailedStatus : Success
ExecutionId : 791b72e0-f0da-4021-8b35-f95dfEXAMPLE
LastExecutionDate : 1/1/0001 12:00:00 AM
ResourceCountByStatus : {Success=1}
Status : Success
AssociationId : c336d2ab-09de-44ba-8f6a-6136cEXAMPLE
AssociationVersion : 1
CreatedTime : 8/4/2019 2:01:00 AM
DetailedStatus : Success
ExecutionId : ecec60fa-6bb0-4d26-98c7-140308EXAMPLE
LastExecutionDate : 1/1/0001 12:00:00 AM
ResourceCountByStatus : {Success=1}
Status : Success
```
------
1 つ以上のフィルターを使用して、結果を制限することもできます。次の例では、特定の日時以前に実行されたすべての関連付けが返されます。
------
#### [ Linux & macOS ]
```
aws ssm describe-association-executions \
--association-id ID \
--filters Key=CreatedTime,Value="2018-04-10T19:15:38.372Z",Type=LESS_THAN
```
------
#### [ Windows ]
```
aws ssm describe-association-executions ^
--association-id ID ^
--filters Key=CreatedTime,Value="2018-04-10T19:15:38.372Z",Type=LESS_THAN
```
------
#### [ PowerShell ]
```
Get-SSMAssociationExecution `
-AssociationId 14bea65d-5ccc-462d-a2f3-e99c8EXAMPLE `
-Filter @{"Key"="CreatedTime";"Value"="2019-06-01T19:15:38.372Z";"Type"="LESS_THAN"}
```
------
次の場合、特定の日時以降に*正常に*実行されたすべての関連付けが返されます。
------
#### [ Linux & macOS ]
```
aws ssm describe-association-executions \
--association-id ID \
--filters Key=CreatedTime,Value="2018-04-10T19:15:38.372Z",Type=GREATER_THAN Key=Status,Value=Success,Type=EQUAL
```
------
#### [ Windows ]
```
aws ssm describe-association-executions ^
--association-id ID ^
--filters Key=CreatedTime,Value="2018-04-10T19:15:38.372Z",Type=GREATER_THAN Key=Status,Value=Success,Type=EQUAL
```
------
#### [ PowerShell ]
```
Get-SSMAssociationExecution `
-AssociationId 14bea65d-5ccc-462d-a2f3-e99c8EXAMPLE `
-Filter @{
"Key"="CreatedTime";
"Value"="2019-06-01T19:15:38.372Z";
"Type"="GREATER_THAN"
},
@{
"Key"="Status";
"Value"="Success";
"Type"="EQUAL"
}
```
------
1. 特定の実行のすべてのターゲットを表示するには、次のコマンドを実行します。
------
#### [ Linux & macOS ]
```
aws ssm describe-association-execution-targets \
--association-id ID \
--execution-id ID
```
------
#### [ Windows ]
```
aws ssm describe-association-execution-targets ^
--association-id ID ^
--execution-id ID
```
------
#### [ PowerShell ]
```
Get-SSMAssociationExecutionTarget `
-AssociationId 14bea65d-5ccc-462d-a2f3-e99c8EXAMPLE `
-ExecutionId 76a5a04f-caf6-490c-b448-92c02EXAMPLE
```
------
1 つ以上のフィルターを使用して、結果を制限することもできます。次の例では、特定の関連付けの実行に失敗したすべてのターゲットに関する情報が返されます。
------
#### [ Linux & macOS ]
```
aws ssm describe-association-execution-targets \
--association-id ID \
--execution-id ID \
--filters Key=Status,Value="Failed"
```
------
#### [ Windows ]
```
aws ssm describe-association-execution-targets ^
--association-id ID ^
--execution-id ID ^
--filters Key=Status,Value="Failed"
```
------
#### [ PowerShell ]
```
Get-SSMAssociationExecutionTarget `
-AssociationId 14bea65d-5ccc-462d-a2f3-e99c8EXAMPLE `
-ExecutionId 76a5a04f-caf6-490c-b448-92c02EXAMPLE `
-Filter @{
"Key"="Status";
"Value"="Failed"
}
```
------
次の例では、関連付けの実行に失敗した特定のマネージドノードに関する情報が返されます。
------
#### [ Linux & macOS ]
```
aws ssm describe-association-execution-targets \
--association-id ID \
--execution-id ID \
--filters Key=Status,Value=Failed Key=ResourceId,Value="i-02573cafcfEXAMPLE" Key=ResourceType,Value=ManagedInstance
```
------
#### [ Windows ]
```
aws ssm describe-association-execution-targets ^
--association-id ID ^
--execution-id ID ^
--filters Key=Status,Value=Failed Key=ResourceId,Value="i-02573cafcfEXAMPLE" Key=ResourceType,Value=ManagedInstance
```
------
#### [ PowerShell ]
```
Get-SSMAssociationExecutionTarget `
-AssociationId 14bea65d-5ccc-462d-a2f3-e99c8EXAMPLE `
-ExecutionId 76a5a04f-caf6-490c-b448-92c02EXAMPLE `
-Filter @{
"Key"="Status";
"Value"="Success"
},
@{
"Key"="ResourceId";
"Value"="i-02573cafcfEXAMPLE"
},
@{
"Key"="ResourceType";
"Value"="ManagedInstance"
}
```
------
1. 実行に失敗した関連付けを調査する場合、[StartAssociationsOnce](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StartAssociationsOnce.html) API オペレーションを使用して、関連付けを直ちに 1 回のみ実行できます。関連付けの実行に失敗したリソースを変更した後、関連付けをすぐに 1 回のみ実行する場合、次のコマンドを実行します。
------
#### [ Linux & macOS ]
```
aws ssm start-associations-once \
--association-id ID
```
------
#### [ Windows ]
```
aws ssm start-associations-once ^
--association-id ID
```
------
#### [ PowerShell ]
```
Start-SSMAssociationsOnce `
-AssociationId ID
```
------
# IAM を使用して関連付けを操作する
AWS Systems Manager のツールである State Manager は、[ターゲット](systems-manager-state-manager-targets-and-rate-controls.md#systems-manager-state-manager-targets-and-rate-controls-about-targets)を使用して、関連付けを設定するインスタンスを選択します。元々、関連付けはドキュメント名 (`Name`) とインスタンス ID (`InstanceId`) を指定して作成されました。これで、ドキュメントとインスタンスまたはマネージドノードの間の関連付けが作成されました。これらのパラメータによって識別に使用される関連付け。これらのパラメータは廃止されましたが、引き続きサポートされます。リソース `instance` と `managed-instance` は `Name` および `InstanceId` を使用してアクションにリソースとして追加されました。
AWS Identity and Access Management (IAM) ポリシー適用の動作は、指定されたリソースのタイプによって異なります。State Manager オペレーションのリソースは、渡された要求に基づいてのみ適用されます。State Manager は、アカウント内のリソースのプロパティのディープチェックを実行しません。リクエストパラメータに指定されたポリシーリソースが含まれている場合、リクエストはポリシーリソースに対してのみ検証されます。例えば、リソースブロックでインスタンスを指定すると、リクエストが `InstanceId` パラメータを使用する場合にポリシーが適用されます。アカウント内の各リソースの `Targets` パラメータは、`InstanceId` に対してチェックされません。
以下は、混乱を招く動作の例です。
+ [DescribeAssociation](https://docs.aws.amazon.com//systems-manager/latest/APIReference/API_DescribeActivations.html)、[DeleteAssociation](https://docs.aws.amazon.com//systems-manager/latest/APIReference/API_DeleteAssociation.html)、[UpdateAssociation](https://docs.aws.amazon.com//systems-manager/latest/APIReference/API_UpdateAssociation.html) は `instance`、`managed-instance`、および `document`リソースを使用して、関連付けを参照する非推奨の方法を指定します。これには、`InstanceId` 非推奨パラメータで作成されたすべての関連付けが含まれます。
+ [CreateAssociation](https://docs.aws.amazon.com//systems-manager/latest/APIReference/API_CreateAssociation.html)、[ CreateAssociationBatch](https://docs.aws.amazon.com//systems-manager/latest/APIReference/API_CreateAssociationBatch.html)、および [UpdateAssociation](https://docs.aws.amazon.com//systems-manager/latest/APIReference/API_UpdateAssociation.html) は、`instance` および `managed-instance` のリソースを使用して、関連付けを参照する非推奨の方法を指定します。これには、`InstanceId` 非推奨パラメータで作成されたすべての関連付けが含まれます。`document` のリソースタイプは、非推奨の関連付けを参照する方法の一部であり、関連付けの実際のプロパティです。つまり、ドキュメント名に基づいて、`Create` アクションと `Update` アクションの両方に対して、`Allow` または `Deny` のアクセス許可を持つ IAM ポリシーを作成できます。
Systems Manager と IAM ポリシーを使用する方法の詳細については、*サービス許可リファレンス*の「[AWS Systems Manager のためのアイデンティティおよびアクセス管理](security-iam.md)」または「[AWS Systems Manager のアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html)」を参照してください。