|
| Systems Manager パラメータ | AWS Systems Manager Parameter Store 内で定義された変数。ステップ入力で直接参照することはできません。パラメータにアクセスするにはアクセス許可が必要な場合があります。 |
description: Launch new Windows test instance schemaVersion: '0.3' assumeRole: '{{AutomationAssumeRole}}' parameters: AutomationAssumeRole: type: String default: '' description: >- (Required) The ARN of the role that allows Automation to perform the actions on your behalf. If no role is specified, Systems Manager Automation uses your IAM permissions to run this runbook. LatestAmi: type: String default: >- {{ssm:/aws/service/ami-windows-latest/Windows_Server-2016-English-Full-Base}} description: The latest Windows Server 2016 AMI queried from the public parameter. mainSteps: - name: launchInstance action: 'aws:runInstances' maxAttempts: 3 timeoutSeconds: 1200 onFailure: Abort inputs: ImageId: '{{LatestAmi}}' ...
... "parameters": { "amiId": { "type": "String", "default": "ami-7f2e6015", "description": "list of commands to run as part of first step" }, "alternateAmiId": { "type": "String", "description": "The alternate AMI to try if this first fails".
... mainSteps: - name: getImageId action: aws:executeAwsApi inputs: Service: ec2 Api: DescribeImages Filters: - Name: "name" Values: - "{{ImageName}}" outputs: - Name: ImageIdList Selector: "$.Images" Type: "StringList" - name: copyMyImages action: aws:copyImage maxAttempts: 3 onFailure: Abort inputs: SourceImageId: {{getImageId.ImageIdList}} SourceRegion: ap-northeast-2 ImageName: Encrypted Copies of LAMP base AMI in ap-northeast-2 Encrypted: true ... Note: You must provide the type required by the Automation action. In this case, aws:copyImage requires a "String" type variable but the preceding step outputs a "StringList" type variable.
|
# 独自のランブックの作成
オートメーションランブックは、オートメーションの実行時にマネージドインスタンスおよびその他の AWS リソースで Systems Manager が実行する*アクション*を定義します。Automation は AWS Systems Manager のツールです。ランブックには、順次実行されるステップが 1 つ以上含まれています。各ステップは、1 つのアクションを中心に構築されます。1 つのステップからの出力は、後のステップで入力として使用できます。
これらのアクションとそのステップを実行するプロセスは、*オートメーション*と呼ばれます。
ランブックでサポートされているアクションタイプを使用すると、AWS 環境でのさまざまなオペレーションを自動化できます。たとえば、`executeScript` アクションタイプを使用すると、Python または PowerShell スクリプトをランブックに直接埋め込むことができます。(カスタムランブックを作成するときは、スクリプトをインラインで追加するか、S3 バケットまたはローカルマシンからアタッチできます)。AWS CloudFormation および `createStack` アクションタイプを使用すると、`deleteStack` リソースの管理を自動化できます。また、`executeAwsApi` アクションタイプを使用すると、ステップは AWS リソースの作成または削除、他のプロセスの開始、通知の開始など、任意の AWS のサービスで任意の API オペレーションを実行できます。
オートメーションでサポートされている 20 種類のアクションタイプの一覧については、「[Systems Manager Automation アクションのリファレンス](automation-actions.md)」を参照してください。
AWS Systems Manager Automation では、1 つ以上の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの再起動や、Amazon Machine Image (AMI) の作成といった一般的なタスクを実行する際に使用することができる事前定義されたステップを含むいくつかのランブックが用意されています。また、独自のランブックを作成して他の AWS アカウント と共有したり、すべての Automation ユーザーに公開したりすることもできます。
ランブックは YAML または JSON を使用して記述されます。ただし、Systems Manager Automation コンソールの [**Document Builder (ドキュメントビルダー)**] を使用すると、ネイティブの JSON または YAML で作成しなくても、ランブックを作成できます。
**重要**
AWS Identity and Access Management (IAM) サービスロールを使用して他のサービスを呼び出す自動化ワークフローを実行する場合は、それらのサービスを呼び出すためのアクセス許可をサービスロールに設定する必要がある点に注意してください。この要件は、`AWS-ConfigureS3BucketLogging`、`AWS-CreateDynamoDBBackup`、`AWS-RestartEC2Instance` ランブックなど、すべての AWS オートメーションランブック (`AWS-*` ランブック) に適用されます。この要件は、他のサービスを呼び出すアクションを使用して他の AWS のサービスを呼び出すように作成したカスタムオートメーションランブックにも適用されます。例えば、`aws:executeAwsApi`、`aws:createStack`、または `aws:copyImage` のアクションを使用する場合は、それらのサービスを呼び出すためのアクセス許可を持つサービスロールを設定します。ロールに IAM インラインポリシーを追加することで、他の AWS のサービスへのアクセス許可を有効にできます。詳細については、「[(オプション) 他の AWS のサービス を呼び出すためのオートメーションインラインポリシーまたはカスタマー管理ポリシーを追加する](automation-setup-iam.md#add-inline-policy)」を参照してください。
ランブックで指定できるアクションまたはプラグインに関する情報を表示するには、「[Systems Manager Automation アクションのリファレンス](automation-actions.md)」を参照してください。
AWS Toolkit for Visual Studio Code を使用してランブックを作成する方法については、 *AWS Toolkit for Visual Studio Code ユーザーガイド*の「[Systems Manager Automation ドキュメントの使用](https://docs.aws.amazon.com/toolkit-for-vscode/latest/userguide/systems-manager-automation-docs.html)」を参照してください。
ビジュアルデザイナーを使用したカスタムランブックの作成については、「[オートメーションランブックのビジュアルデザインエクスペリエンス](automation-visual-designer.md)」を参照してください。
**Contents**
+ [オートメーションランブックのビジュアルデザインエクスペリエンス](automation-visual-designer.md)
+ [ビジュアルデザインエクスペリエンスのインターフェースの概要](visual-designer-interface-overview.md)
+ [アクションブラウザー](visual-designer-interface-overview.md#visual-designer-actions)
+ [キャンバス](visual-designer-interface-overview.md#visual-designer-canvas)
+ [フォーム](visual-designer-interface-overview.md#visual-designer-form)
+ [キーボードショートカット](visual-designer-interface-overview.md#visual-designer-keyboard-shortcuts)
+ [ビジュアルデザインエクスペリエンスの活用](visual-designer-use.md)
+ [ランブックワークフローを作成する](visual-designer-use.md#visual-designer-create-runbook-workflow)
+ [ランブックを作成する](visual-designer-use.md#visual-designer-build)
+ [ランブックを更新する](visual-designer-use.md#visual-designer-update-runbook)
+ [ランブックのエクスポート](visual-designer-use.md#visual-designer-export-runbook)
+ [アクションの入力と出力を構成する](visual-designer-action-inputs-outputs.md)
+ [アクションの入力データを提供する。](visual-designer-action-inputs-outputs.md#providing-input)
+ [アクションの出力データを定義します。](visual-designer-action-inputs-outputs.md#defining-output)
+ [ビジュアルデザインエクスペリエンスによるエラー処理](visual-designer-error-handling.md)
+ [エラー発生時にアクションを再試行してください。](visual-designer-error-handling.md#retry-actions)
+ [タイムアウト](visual-designer-error-handling.md#timeout-seconds)
+ [失敗したアクション](visual-designer-error-handling.md#failure-actions)
+ [キャンセルされたアクション](visual-designer-error-handling.md#cancel-actions)
+ [重要なアクション](visual-designer-error-handling.md#critical-actions)
+ [アクションを終了する](visual-designer-error-handling.md#end-actions)
+ [チュートリアル: ビジュアルデザインエクスペリエンスを使用したランブックの作成](visual-designer-tutorial.md)
+ [ステップ 1: ビジュアルデザインエクスペリエンスに移動](visual-designer-tutorial.md#navigate-console)
+ [ステップ 2: ワークフローを作成する](visual-designer-tutorial.md#create-workflow)
+ [ステップ 3: 自動生成されたコードを確認する](visual-designer-tutorial.md#view-generated-code)
+ [ステップ 4: 新しいランブックを実行する](visual-designer-tutorial.md#use-tutorial-runbook)
+ [ステップ 5:クリーンアップ](visual-designer-tutorial.md#cleanup-tutorial-runbook)
+ [オートメーションランブックのオーサリング](automation-authoring-runbooks.md)
+ [ユースケースの特定](automation-authoring-runbooks.md#automation-authoring-runbooks-use-case)
+ [開発環境をセットアップする](automation-authoring-runbooks.md#automation-authoring-runbooks-environment)
+ [ランブックコンテンツの開発](automation-authoring-runbooks.md#automation-authoring-runbooks-developing-content)
+ [例 1: 親子のランブックの作成](automation-authoring-runbooks-parent-child-example.md)
+ [子ランブックの作成](automation-authoring-runbooks-parent-child-example.md#automation-authoring-runbooks-child-runbook)
+ [親ランブックの作成](automation-authoring-runbooks-parent-child-example.md#automation-authoring-runbooks-parent-runbook)
+ [例 2: スクリプト化されたランブック](automation-authoring-runbooks-scripted-example.md)
+ [その他のランブックの例](automation-document-examples.md)
+ [VPC アーキテクチャと Microsoft Active Directory ドメインコントローラーのデプロイ](automation-document-architecture-deployment-example.md)
+ [最新のスナップショットからルートボリュームを復元する](automation-document-instance-recovery-example.md)
+ [AMI とクロスリージョンコピーの作成](automation-document-backup-maintenance-example.md)
+ [AWS リソースを設定する入力パラメーターの作成](populating-input-parameters.md)
+ [ランブック作成のためのドキュメントビルダーの使用](automation-document-builder.md)
+ [ドキュメントビルダーを使用してランブックを作成する](automation-document-builder.md#create-runbook)
+ [スクリプトを実行するランブックを作成する](automation-document-builder.md#create-runbook-scripts)
+ [ランブックでのスクリプトの使用](automation-document-script-considerations.md)
+ [ランブックを使用するためのアクセス許可](automation-document-script-considerations.md#script-permissions)
+ [スクリプトをランブックに追加する](automation-document-script-considerations.md#adding-scripts)
+ [ランブックのスクリプト制約](automation-document-script-considerations.md#script-constraints)
+ [ランブックでの条件文の使用](automation-branch-condition.md)
+ [`aws:branch` アクションの使用](automation-branch-condition.md#branch-action-explained)
+ [ランブック `aws:branch` でのステップの作成](automation-branch-condition.md#create-branch-action)
+ [出力変数の作成について](automation-branch-condition.md#branch-action-output)
+ [`aws:branch` ランブックの例](automation-branch-condition.md#branch-runbook-examples)
+ [演算子を使用した複雑な分岐オートメーションの作成](automation-branch-condition.md#branch-operators)
+ [条件オプションの使用例](automation-branch-condition.md#conditional-examples)
+ [アクション出力の入力としての使用](automation-action-outputs-inputs.md)
+ [ランブックでの JSONPath の使用](automation-action-outputs-inputs.md#automation-action-json-path)
+ [Automation 向けのウェブフック統合の作成](creating-webhook-integrations.md)
+ [統合の作成 (コンソール)](creating-webhook-integrations.md#creating-integrations-console)
+ [統合の作成 (コマンドライン)](creating-webhook-integrations.md#creating-integrations-commandline)
+ [統合用のウェブフックの作成](creating-webhook-integrations.md#creating-webhooks)
+ [ランブックでのタイムアウトの処理](automation-handling-timeouts.md)
# オートメーションランブックのビジュアルデザインエクスペリエンス
AWS Systems Manager 自動化は、自動化ランブックの作成に役立つローコードのビジュアルデザイン体験を提供します。ビジュアルデザインエクスペリエンスでは、独自のコードを追加できるドラッグアンドドロップインターフェイスが提供されるため、ランブックをより簡単に作成および編集できます。ビジュアルデザインのエクスペリエンスを使用すると、次のことを実行できます。
+ 条件ステートメント
+ アクションごとに入力と出力をどのようにフィルタリングまたは変換するかを制御します。
+ エラー処理を設定する。
+ 新しいランブックを試作する。
+ AWS Toolkit for Visual Studio Code を使用したローカル開発の出発点として、プロトタイプランブックを使用してください。
ランブックを作成または編集すると、[オートメーションコンソール](https://console.aws.amazon.com/systems-manager/automation/home?region=us-east-1#/)からビジュアルデザインエクスペリエンスにアクセスできます。ランブックを作成すると、ビジュアルデザインによって作業が検証され、コードが自動生成されます。ローカル開発または 用に生成されたコードをレビューまたはエクスポートできます。完了したら、ランブックを保存して実行し、Systems Manager Automation コンソールで結果を調べることができます。
**Topics**
+ [インターフェースの概要](visual-designer-interface-overview.md)
+ [ビジュアルデザインエクスペリエンスの活用](visual-designer-use.md)
+ [入力と出力を構成する](visual-designer-action-inputs-outputs.md)
+ [ビジュアルデザインエクスペリエンスによるエラー処理](visual-designer-error-handling.md)
+ [チュートリアル: ビジュアルデザインエクスペリエンスを使用したランブックの作成](visual-designer-tutorial.md)
# ビジュアルデザインエクスペリエンスのインターフェースの概要
Systems Manager Automation のビジュアルデザインエクスペリエンスは、自動化ランブックの作成に役立つローコードのビジュアルワークフローデザイナーです。
インターフェースコンポーネントの概要を使って、ビジュアルデザインエクスペリエンスについて理解しましょう。
![\[ビジュアルデザインエクスペリエンスコンポーネント\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/visual_designer_overview.png)
+ **[アクション]** ブラウザーには **[アクション]**、**[AWSAPI]**、**[ランブック]** タブがあります。
+ [キャンバス] は、状態をワークフローのグラフにドラッグアンドドロップし、状態の順序を変更し、状態を選択して、状態を設定または表示に選択します。
+ **[フォーム]** パネルでは、キャンバス上で選択した任意のアクションのプロパティを表示および編集できます。**[コンテンツ]** トグルを選択すると、現在選択されているアクションが強調表示された状態でランブックの YAML または JSON が表示されます。
**[Info]** (情報) リンクは、ヘルプが必要になるとコンテキスト情報を含むパネルを開きます。これらのパネルには、Systems Manager Automationドキュメントの関連トピックへのリンクも含まれます。
## アクションブラウザー
**[アクション]** ブラウザーから、アクションを選択してワークフローグラフにドラッグアンドドロップできます。すべての状態を検索するには、**[アクション]** ブラウザー上部の検索フィールドを使用します。**[アクション]** ブラウザーには以下のタブがあります。
+ **[アクション]** タブには、キャンバス内のランブックワークフローグラフにドラッグアンドドロップできるオートメーションアクションのリストが表示されます。
+ **AWS[アクション]** タブには、キャンバス内のワークフローグラフにドラッグアンドドロップできる AWS API のリストが表示されます。
+ **[ランブック]** タブには、さまざまなユースケースに使用できるビルディングブロックとして、すぐに使える再利用可能なランブックがいくつか用意されています。例えば、ランブックを使用すると、同じアクションを再作成しなくても、ワークフロー内の Amazon EC2 インスタンスで一般的な修正タスクを実行できます。
![\[ビジュアルデザインエクスペリエンス-アクションブラウザ\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/visual_designer_actions_multi_view.png)
## キャンバス
ワークフローに追加する状態を選択した後、キャンバスにドラッグし、ワークフローのグラフにドロップします。状態をドラッグアンドドロップして、ワークフローの別の場所に移動することもできます。ワークフローが複雑な場合は、キャンバスパネルでワークフローをすべて表示できない場合があります。キャンバスの上部にあるコントロールを使用して、拡大/縮小します。ワークフローのグラフのさまざまな部分を表示するには、キャンバスでワークフローのグラフをドラッグします。
**[アクション]** ブラウザーから、アクションを選択してランブックワークフローグラフにドラッグアンドドロップできます。ラインはワークフローのどこに配置されるかを示します。状態の順序を変更するには、ワークフロー内の別の場所にドラッグします。新しいワークフロー状態がワークフローに追加され、そのコードが自動生成されます。
![\[ビジュアルデザインエクスペリエンスキャンバス\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/visual_designer_canvas.png)
## フォーム
ランブックワークフローにアクションを追加したら、そのアクションをユースケースに合わせて設定できます。設定したいアクションを選択すると、**[フォーム]** パネルにそのパラメータとオプションが表示されます。**[コンテンツ]** トグルを選択すると、YAML コードまたは JSON コードを表示することもできます。選択した状態に関連付けられているコードがハイライトされます。
![\[ビジュアルデザインエクスペリエンスフォームパネル\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/visual_designer_form.png)
![\[ビジュアルデザインエクスペリエンスコンテンツパネル\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/visual_designer_content.png)
## キーボードショートカット
ビジュアルデザインエクスペリエンスは、次の表に示すキーボードショートカットをサポートします。
| キーボードショートカット | 関数 |
| --- | --- |
| Ctrl\$1Z | 直前のオペレーションを元に戻す |
| Ctrl\$1Shift\$1Z | 直前のオペレーションをやり直す |
| Alt\$1C | ワークフローをキャンバスの中央に配置する |
| Backspace | 選択した状態をすべて削除する |
| 削除 | 選択した状態をすべて削除する |
| Ctrl\$1D | 選択した状態を複製する |
# ビジュアルデザインエクスペリエンスの活用
ビジュアルデザインエクスペリエンスを使用してランブックワークフローを作成、編集、実行する方法を学習します。ワークフローの準備ができたら、ワークフローをエクスポートできます。ビジュアルデザインエクスペリエンスを使用して、ラピッドプロトタイプ作成を行うこともできます。
## ランブックワークフローを作成する
1. [Systems Manager Automation コンソール](https://console.aws.amazon.com/systems-manager/automation/home?region=us-east-1#/)にサインインします。
1. **[ランブックの作成]** を選択します。
1. **[名前]** ボックスに、ランブックの名前を入力します。例:`MyNewRunbook`
1. **[デザイン]** と **[コード]** トグルの横にある鉛筆アイコンを選択し、ランブックの名前を入力します。
これで、新しいランブックのワークフローをデザインできます。
## ランブックを作成する
ビジュアルデザインエクスペリエンスを使用してランブックワークフローをデザインするには、**[アクション]** ブラウザーからキャンバスにオートメーションアクションをドラッグし、ランブックのワークフロー内の目的の場所に配置します。また、ワークフロー内の別の場所にドラッグして、ワークフローのアクションを並べ替えることができます。アクションをキャンバスにドラッグすると、ワークフロー内でドロップできる場所にラインが表示されます。キャンバスにアクションがドロップされると、そのコードが自動生成され、ランブックのコンテンツ内に追加されます。
追加したいアクションの名前がわかっている場合は、**[アクション]** ブラウザの上部にある検索ボックスを使用して、アクションを検索します。
アクションをキャンバスにドロップしたら、右側の **[フォーム]** パネルを使用してアクションを設定します。このパネルには、キャンバスに配置した各オートメーションアクションまたは API アクションの **[一般]**、**[入力]**、**[出力]**、および **[設定]**タブがあります。例えば、**[一般]** タブは次のセクションで構成されています。
+ **[ステップ名]** はステップを識別します。ステップ名に一意の値を指定します。
+ **[説明]** は、アクションがランブックのワークフローで何をしているのかを説明するのに役立ちます。
**[入力]** タブには、アクションによって異なるフィールドがあります。例えば、`aws:executeScript` オートメーションアクションには以下のセクションがあります。
+ **[ランタイム]** は、指定されたスクリプトの実行に使用する言語です。
+ **[ハンドラー]** は、関数の名前です。ハンドラで定義された関数に、`events` と `context` の 2 つのパラメータがあることを確認する必要があります。PowerShell ランタイムはこのパラメータをサポートしていません。
+ **[スクリプト]** は、ワークフローで実行する埋め込みスクリプトです。
+ (オプション) **[添付ファイルは]**、アクションによって呼び出せるスタンドアロンスクリプトまたは.zip ファイル用です。このパラメータは、JSON ランブックでは必須です。
**[出力]** タブは、アクションから出力する値を指定するのに役立ちます。ワークフローの後のアクションで出力値を参照したり、アクションからの出力を生成してログに記録したりできます。すべてのアクションがアウトプットをサポートしているわけではないため、すべてのアクションに **[出力]** タブがあるわけではありません。例えば、`aws:pause` アクションは出力をサポートしていません。出力をサポートするアクションの場合、**[出力]** タブは次のセクションで構成されます。
+ **[名前]** は出力値に使用される名前です。出力はワークフローの後のアクションで参照できます。
+ **[セレクター]** は、`"$."` から始まる JSONPath 式文字列で、JSON 要素内の 1 つまたは複数のコンポーネントを選択するために使用されます。
+ **[タイプ]** は出力値のデータ型です。例えば、`String` または `Integer` データタイプと入力します。
**[設定]** タブには、すべてのオートメーションアクションで使用できるプロパティとオプションが含まれています。アクションには次のセクションがあります。
+ **[最大試行数]** プロパティは、失敗した場合にアクションが再試行される回数です。
+ **[タイムアウト秒]** プロパティは、アクションのタイムアウト値を指定します。
+ **[致命的か]** プロパティは、アクションが失敗したためにオートメーション全体が停止するかどうかを決定します。
+ **[次のステップ]** プロパティは、ランブック内でオートメーションが次に実行するアクションを決定します。
+ **[失敗時]** プロパティは、アクションが失敗した場合にオートメーションがランブックで次に実行するアクションを決定します。
+ **[キャンセル時]** プロパティは、アクションがユーザーによってキャンセルされた場合に、オートメーションがランブックで次に実行するアクションを決定します。
アクションを削除するには、キャンバスの上にあるツールバーの Backspace を使用するか、右クリックして **[アクションを削除]** を選択します。
ワークフローが大きくなると、キャンバスに収まらない場合があります。ワークフローがキャンバスに収まるようにするには、以下のオプションのいずれかを実行します。
+ サイドパネルのコントロールを使用して、パネルのサイズを変更するか、パネルを閉じます。
+ キャンバスの上部にあるコントロールを使用して、ワークフローのグラフをズームインまたはズームアウトします。
## ランブックを更新する
ランブックの新しいバージョンを作成することで、既存のランブックワークフローを更新できます。ランブックを更新するには、ビジュアルデザインエクスペリエンスを使用するか、コードを直接編集します。既存のランブックを更新するには、以下の手順に従います。
1. [Systems Manager Automation コンソール](https://console.aws.amazon.com/systems-manager/automation/home?region=us-east-1#/)にサインインします。
1. 更新するランブックを選択します。
1. [**Create new version (新しいバージョンの作成)**] を選択します。
1. ビジュアルデザインエクスペリエンスには、コードペインとビジュアルワークフローペインの 2 つのペインがあります。ビジュアルワークフローペインで **[デザイン]** を選択して、ビジュアルデザインエクスペリエンスでワークフローを編集します。完了したら、**[新しいバージョンを作成]** を選択して変更を保存し、終了します。
1. (オプション) コードペインを使用して、YAML または JSON のランブックコンテンツを編集します。
## ランブックのエクスポート
ランブックのワークフロー YAML または JSON コード、およびワークフローのグラフをエクスポートするには、以下の手順に従います。
1. **[ドキュメント]** コンソールでランブックを選択します。
1. [**Create new version (新しいバージョンの作成)**] を選択します。
1. **[アクション]** ドロップダウンで、グラフとランブックのどちらをエクスポートするか、またどの形式を好むかを選択します。
# アクションの入力と出力を構成する
各オートメーションアクションは、受け取った入力に基づいて応答します。ほとんどの場合、出力を後続のアクションに渡します。ビジュアルデザインエクスペリエンスでは、**[フォーム]** パネルの **[入力]** タブと **[出力]** タブでアクションの入出力データを設定できます。
オートメーションアクションの出力を定義および使用する方法の詳細については、「[アクション出力の入力としての使用](automation-action-outputs-inputs.md)」を参照してください。
## アクションの入力データを提供する。
各オートメーションアクションには、値を指定する必要がある入力が 1 つ以上あります。アクションの入力に指定する値は、アクションが受け付けるデータ型と形式によって決まります。例えば、`aws:sleep` アクションの入力には、ISO 8601 形式の文字列値が `Duration` 入力に必要です。
通常、ランブックのワークフローでは、後続のアクションで使用したい出力を返すアクションを使用します。ランブックのワークフローでエラーが発生しないように、入力値が正しいことを確認することが重要です。入力値も重要です。入力値によって、アクションが期待どおりの出力を返すかどうかが決まるからです。例えば、`aws:executeAwsApi` アクションを使用するときは、API 操作に適切な値を指定していることを確認する必要があります。
## アクションの出力データを定義します。
オートメーションアクションの中には、定義した操作を実行した後に出力を返すものもあります。出力を返すアクションには、出力が事前に定義されているか、ユーザーが出力を定義できるものがあります。例えば、`aws:createImage` アクションには `ImageId` と `ImageState` を返す出力があらかじめ定義されています。これとは対照的に、`aws:executeAwsApi` アクションでは、指定した API オペレーションから必要な出力を定義できます。そのため、1 回の API オペレーションから 1 つ以上の値を返して、後続のアクションで使用できます。
オートメーションアクションの独自の出力を定義するには、出力の名前、データ型、出力値を指定する必要があります。引き続き `aws:executeAwsApi` アクションを例として使用するために、Amazon EC2 から `DescribeInstances` API オペレーションを呼び出しているとしましょう。この例では、Amazon EC2 インスタンスの `State` を返す、あるいは出力し、その出力に基づいてランブックのワークフローを分岐させたいと考えています。**InstanceState** 出力に名前を付けることを選択し、そのデータ型 **String** を使用します。
出力の実際の値を定義するプロセスは、アクションによって異なります。例えば、`aws:executeScript` アクションを使用している場合は、出力にデータを提供するために関数内で `return` ステートメントを使用する必要があります。`aws:executeAwsApi`、`aws:waitForAwsResourceProperty`、`aws:assertAwsResourceProperty` などのアクションでは、`Selector` が必要です。`Selector`、または一部のアクションで参照されるような `PropertySelector` は、API オペレーションからの JSON レスポンスを処理するために使用される JSONPath 文字列です。出力に正しい値を選択できるように、API オペレーションからの JSON レスポンスオブジェクトがどのように構造化されているかを理解することが重要です。前述の `DescribeInstances` API オペレーションを使用する場合は、次の JSON レスポンスの例を参照してください。
```
{
"reservationSet": {
"item": {
"reservationId": "r-1234567890abcdef0",
"ownerId": 123456789012,
"groupSet": "",
"instancesSet": {
"item": {
"instanceId": "i-1234567890abcdef0",
"imageId": "ami-bff32ccc",
"instanceState": {
"code": 16,
"name": "running"
},
"privateDnsName": "ip-192-168-1-88.eu-west-1.compute.internal",
"dnsName": "ec2-54-194-252-215.eu-west-1.compute.amazonaws.com",
"reason": "",
"keyName": "my_keypair",
"amiLaunchIndex": 0,
"productCodes": "",
"instanceType": "t2.micro",
"launchTime": "2018-05-08T16:46:19.000Z",
"placement": {
"availabilityZone": "eu-west-1c",
"groupName": "",
"tenancy": "default"
},
"monitoring": {
"state": "disabled"
},
"subnetId": "subnet-56f5f000",
"vpcId": "vpc-11112222",
"privateIpAddress": "192.168.1.88",
"ipAddress": "54.194.252.215",
"sourceDestCheck": true,
"groupSet": {
"item": {
"groupId": "sg-e4076000",
"groupName": "SecurityGroup1"
}
},
"architecture": "x86_64",
"rootDeviceType": "ebs",
"rootDeviceName": "/dev/xvda",
"blockDeviceMapping": {
"item": {
"deviceName": "/dev/xvda",
"ebs": {
"volumeId": "vol-1234567890abcdef0",
"status": "attached",
"attachTime": "2015-12-22T10:44:09.000Z",
"deleteOnTermination": true
}
}
},
"virtualizationType": "hvm",
"clientToken": "xMcwG14507example",
"tagSet": {
"item": {
"key": "Name",
"value": "Server_1"
}
},
"hypervisor": "xen",
"networkInterfaceSet": {
"item": {
"networkInterfaceId": "eni-551ba000",
"subnetId": "subnet-56f5f000",
"vpcId": "vpc-11112222",
"description": "Primary network interface",
"ownerId": 123456789012,
"status": "in-use",
"macAddress": "02:dd:2c:5e:01:69",
"privateIpAddress": "192.168.1.88",
"privateDnsName": "ip-192-168-1-88.eu-west-1.compute.internal",
"sourceDestCheck": true,
"groupSet": {
"item": {
"groupId": "sg-e4076000",
"groupName": "SecurityGroup1"
}
},
"attachment": {
"attachmentId": "eni-attach-39697adc",
"deviceIndex": 0,
"status": "attached",
"attachTime": "2018-05-08T16:46:19.000Z",
"deleteOnTermination": true
},
"association": {
"publicIp": "54.194.252.215",
"publicDnsName": "ec2-54-194-252-215.eu-west-1.compute.amazonaws.com",
"ipOwnerId": "amazon"
},
"privateIpAddressesSet": {
"item": {
"privateIpAddress": "192.168.1.88",
"privateDnsName": "ip-192-168-1-88.eu-west-1.compute.internal",
"primary": true,
"association": {
"publicIp": "54.194.252.215",
"publicDnsName": "ec2-54-194-252-215.eu-west-1.compute.amazonaws.com",
"ipOwnerId": "amazon"
}
}
},
"ipv6AddressesSet": {
"item": {
"ipv6Address": "2001:db8:1234:1a2b::123"
}
}
}
},
"iamInstanceProfile": {
"arn": "arn:aws:iam::123456789012:instance-profile/AdminRole",
"id": "ABCAJEDNCAA64SSD123AB"
},
"ebsOptimized": false,
"cpuOptions": {
"coreCount": 1,
"threadsPerCore": 1
}
}
}
}
}
}
```
JSON レスポンスオブジェクトでは、`State` インスタンスは `Instances` オブジェクトにネストされ、次いで `Reservations` オブジェクトにネストされます。`State` インスタンスの値を返すには、`Selector` に文字列 (**\$1.Reservations[0].Instances[0].State.Name**) を使用して、その値を出力に使用できるようにします。
ランブックのワークフローの後続アクションで出力値を参照するには、次の形式を使用します: `{{ StepName.NameOfOutput }}`。例えば、**\$1\$1 GetInstanceState.InstanceState \$1\$1**。ビジュアルデザインエクスペリエンスでは、入力のドロップダウンを使用して、後続のアクションで使用する出力値を選択できます。後続のアクションで出力を使用する場合、出力のデータ型は入力のデータ型と一致する必要があります。この例では、`InstanceState` 出力は、`String` です。したがって、その値を後続のアクションの入力で使用するには、入力が `String` を受け入れる必要があります。
# ビジュアルデザインエクスペリエンスによるエラー処理
デフォルトでは、アクションがエラーを報告すると、オートメーションはランブックのワークフローを完全に停止します。これは、すべてのアクションの `onFailure` プロパティのデフォルト値が `Abort` であるためです。ランブックのワークフローでオートメーションがエラーを処理する方法を設定できます。エラー処理を設定した場合でも、一部のエラーによって実行が失敗する可能性があります。詳細については、「[Systems Manager Automation のトラブルシューティング](automation-troubleshooting.md)」を参照してください。ビジュアルデザインエクスペリエンスでは、**[設定]** パネルでエラー処理を設定します。
![\[エラー処理オプション\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/visual_designer_error_handling.png)
## エラー発生時にアクションを再試行してください。
エラーが発生した場合にアクションを再試行するには、**[最大試行数]** プロパティに値を指定します。デフォルト値は 1 です。指定した値が 1 より大きい場合、すべての再試行が失敗するまでステップは失敗したと見なされません。
## タイムアウト
アクションのタイムアウトを設定して、アクションが失敗するまでの最大実行秒数を設定できます。タイムアウトを設定するには、アクションが失敗するまでのアクションの待機秒数を **[タイムアウト秒数]** プロパティに入力します。タイムアウトが達したときにアクションの値が `Max attempts` 以上の場合、すべての再試行が実行されるまでこのステップはタイムアウトとは見なされません。
## 失敗したアクション
デフォルトでは、アクションが失敗すると、オートメーションはランブックのワークフローを完全に停止します。ランブック内のアクションの **[失敗時]** プロパティに代替値を指定することで、この動作を変更できます。ワークフローをランブックの次のステップに進めたい場合は、**[続行]** を選択します。ワークフローをランブック内の別の後続ステップにジャンプさせたい場合は、**[ステップ]** を選択し、ステップの名前を入力します。
## キャンセルされたアクション
デフォルトでは、アクションがユーザーによってキャンセルされると、オートメーションはランブックのワークフローを完全に停止します。ランブック内のアクションの **[キャンセル時]** プロパティに代替値を指定することで、この動作を変更できます。ワークフローをランブック内の別の後続ステップにジャンプさせたい場合は、**[ステップ]** を選択し、ステップの名前を入力します。
## 重要なアクション
アクションをクリティカルとして指定できます。クリティカルアクションによってオートメーションの全体的なレポートステータスが決まります。この指定のステップが失敗した場合、オートメーションは、他のアクションの成功の有無にかかわらず、失敗の最終的なステータスを `Failed` としてレポートします。アクションをクリティカルとして設定するには、**[クリティカルですか]** プロパティのデフォルト値を **[真]** のままにします。
## アクションを終了する
**[停止ですか]** プロパティでは、指定されたアクションの最後にオートメーションを停止します。このプロパティのデフォルト値は `false` です。アクションにこのプロパティを設定すると、アクションが成功するか失敗するかに関わらず、オートメーションは停止します。このプロパティは、予期しない入力値や未定義の入力値を処理する `aws:branch` アクションで最もよく使用されます。次の例は、`running`、`stopping` または `stopped` のどちらかのインスタンス状態を想定しているランブックを示しています。インスタンスの状態が異なる場合、自動化は終了します。
![\[ビジュアルデザインエクスペリエンスは最終例です\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/visual_designer_is_end_example.png)
# チュートリアル: ビジュアルデザインエクスペリエンスを使用したランブックの作成
このチュートリアルでは、Systems Manager Automation が提供するビジュアルデザインエクスペリエンスを使用した作業の基本について学習します。ビジュアルデザインエクスペリエンスでは、複数のアクションを使用するランブックを作成できます。ドラッグアンドドロップ機能を使用して、キャンバス上のアクションを整理します。また、これらのアクションを検索、選択、設定することもできます。次に、ランブックのワークフロー用に自動生成された YAML コードを表示したり、ビジュアルデザインエクスペリエンスを終了したり、ランブックを実行したり、実行の詳細を確認したりできます。
このチュートリアルでは、ランブックを更新して新しいバージョンを表示する方法も説明します。チュートリアルを最後までやると、クリーンアップステップを実行し、ランブックを削除します。
このチュートリアルを完了すると、ビジュアルデザインエクスペリエンスを使用してランブックを作成する方法がわかります。また、ランブックを更新、実行、削除する方法もわかります。
**注記**
このチュートリアルを開始する前に、[オートメーションの設定](automation-setup.md) を完了していることを確認してください。
**Topics**
+ [ステップ 1: ビジュアルデザインエクスペリエンスに移動](#navigate-console)
+ [ステップ 2: ワークフローを作成する](#create-workflow)
+ [ステップ 3: 自動生成されたコードを確認する](#view-generated-code)
+ [ステップ 4: 新しいランブックを実行する](#use-tutorial-runbook)
+ [ステップ 5:クリーンアップ](#cleanup-tutorial-runbook)
## ステップ 1: ビジュアルデザインエクスペリエンスに移動
1. [Systems Manager オートメーションコンソール](https://console.aws.amazon.com/systems-manager/automation/home?region=us-east-1#/)にサインインします。
1. **[オートメーションを作成]** を選択してランブックを保存します。
## ステップ 2: ワークフローを作成する
ビジュアルデザインエクスペリエンスでは、ワークフローはランブックをキャンバス上にグラフィカルに表示したものです。ビジュアルデザインエクスペリエンスを使用して、ランブックの個々のアクションを定義、設定、および検証できます。
**ワークフローを作成するには**
1. **[デザイン]** と **[コード]** トグルの横にある鉛筆アイコンを選択し、ランブックの名前を入力します。このチュートリアルでは、**VisualDesignExperienceTutorial** と入力します。
![\[ビジュアルデザイン経験のある方は、ランブックに名前を付けてください。\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/visual_designer_tutorial_name.png)
1. **[フォーム]** パネルの **[ドキュメント属性]** セクションで、**[入力パラメーター]** ドロップダウンを展開し、**[パラメーターを追加]** を選択します。
1. **[パラメータ名]** セクションに「**InstanceId**」と入力します。
1. **[タイプ]** ドロップダウンで、**[AWS:: EC2:: インスタンス]** を選択します。
1. **[必須]** トグルを選択します。
![\[ランブックのパラメーターを作成します。\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/visual_designer_actions_tutorial_parameter.png)
1. **[AWSAPI]** ブラウザで検索バーに「**DescribeInstances**」と入力します。
1. **[Amazon EC2 — DescribeInstances]** アクションを空のキャンバスにドラッグします。
1. **[名前]** に値を入力します。このチュートリアルでは、名として **GetInstanceState** を使用します。
![\[Amazon EC2 記述インスタンス API アクションを選択します。\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/visual_designer_tutorial_api_action.png)
1. **[その他の入力]** ドロップダウンを展開し、**[入力名]** フィールドに「**InstanceIds**」と入力します。
1. **[入力]** タブを選択します。
1. **[入力値]** フィールドで、**InstanceId** 文書入力を選択します。これは、プロシージャの最初に作成した入力パラメータの値を参照します。`DescribeInstances` アクションの **InstanceIds** 入力は `StringList` 値を受け入れるため、**InstanceId** 入力を角括弧で囲む必要があります。**[入力値]** の YAML は **['\$1\$1 InstanceId \$1\$1']** と一致する必要があります。
1. **[出力]** タブで **[出力を追加]** を選択し、**[名前]** フィールドに **InstanceState** を入力します。
1. **[セレクター]** フィールドに、**\$1.Reservations[0].Instances[0].State.Name** と入力します。
1. **[タイプ]** ドロップダウンで **[文字列]** を選択します。
1. **[アクション]** ブラウザーから **[ブランチ]** アクションをドラッグし、**`GetInstanceState`** ステップの下にドロップします。
1. **[名前]** に値を入力します。このチュートリアルでは、名前 `BranchOnInstanceState` を使用します。
分岐ロジックを定義するには、次の手順を実行します。
1. **`Branch`** キャンバス上の状態を選択します。次に、**[入力]** と **[選択肢]** で鉛筆アイコンを選択し、**[ルール \$11]** を編集します。
1. **[条件を追加]** を選択します。
1. **[ルール \$11 の条件]** ダイアログボックスで、**[変数]** ドロップダウンから **GetInstanceState.InstanceState** ステップ出力を選択します。
1. **[演算子]** で、**[次と等しい]** を選択します。
1. **[値]** には、ドロップダウンリストから **[文字列]** を選択します。**stopped** と入力します。
![\[ブランチアクションの条件を定義します。\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/visual_designer_tutorial_condition.png)
1. **[条件を保存]** を選択します。
1. **[新しいルールを追加]** を選択します。
1. **[ルール \$12]** の **[条件を追加]** を選択します。
1. **[ルール \$12 の条件]** ダイアログボックスで、**[変数]** ドロップダウンから **GetInstanceState.InstanceState** ステップ出力を選択します。
1. **[演算子]** で、**[次と等しい]** を選択します。
1. **[値]** には、ドロップダウンリストから **[文字列]** を選択します。**stopping** と入力します。
1. **[条件を保存]** を選択します。
1. **[新しいルールを追加]** を選択します。
1. **[ルール \$13]** で **[条件を追加]** を選択します。
1. **[ルール \$13 の条件]** ダイアログボックスで、**[変数]** ドロップダウンから **GetInstanceState.InstanceState** ステップ出力を選択します。
1. **[演算子]** で、**[次と等しい]** を選択します。
1. **[値]** には、ドロップダウンリストから **[文字列]** を選択します。**running** と入力します。
1. **[条件を保存]** を選択します。
1. **[デフォルトルール]** で、**[デフォルトステップ]** の **[最後まで進む]** を選択します。
1. **\$1\$1 GetInstanceState.InstanceState \$1\$1 == "stopped"** 条件の下にある空の **[インスタンス状態を変更]** アクションを、空の **[ここにドラッグ]** ボックスにドラッグします。
1. **[ステップ名]** には、と入力します。**StartInstance**
1. **[入力]** タブの **[インスタンス ID]** で、ドロップダウンから **[InstanceId]** ドキュメントの入力値を選択します。
1. **[希望する状態]** には **`running`** を指定します。
1. **\$1\$1 GetInstanceState.InstanceState \$1\$1 == "stopping"** 条件の下にある空の **[AWSリソースを待つ]** アクションを、空の **[ここにドラッグ]** ボックスにドラッグします。
1. **[名前]** に値を入力します。このチュートリアルでは、名前 `WaitForInstanceStop` を使用します。
1. **[サービス]** フィールドには **[Amazon EC2]** を選択します。
1. **[API]** フィールドでは、**[DescribeInstances]** を選択します。
1. **[プロパティセレクター]** フィールドには、**\$1.Reservations[0].Instances[0].State.Name** と入力します。
1. **[希望値]** パラメータには、**`["stopped"]`** と入力します。
1. **[WaitForInstanceStop]** アクションの **[設定]** タブで、**[次のステップ]** ドロップダウンから **[インスタンスを開始]** を選択します。
1. **\$1\$1 GetInstanceState.InstanceState \$1\$1 == "running"** 条件の下にある空の **[インスタンスでコマンドを実行]** アクションを、空の **[ここにドラッグ]** ボックスにドラッグします。
1. **[ステップ名]** には、と入力します。**SayHello**
1. **[入力]** タブで、**[ドキュメント名]** パラメータに「**AWS-RunShellScript**」と入力します。
1. **[InstanceIds]** については、ドロップダウンから **[InstanceId]** ドキュメントの入力値を選択します。
1. **[追加入力]** ドロップダウンを展開し、**[入力名]** ドロップダウンで **[パラメータ]** を選択します。
1. **[値入力]** フィールドに **`{"commands": "echo 'Hello World'"}`** を入力します。
1. 完成したランブックをキャンバスで確認し、**[ランブック作成]** を選択してチュートリアルランブックを保存します。
![\[ランブックを確認し、作成します。\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/visual_designer_tutorial_complete.png)
## ステップ 3: 自動生成されたコードを確認する
**[アクション]** ブラウザーからキャンバスにアクションをドラッグアンドドロップすると、ビジュアルデザインエクスペリエンスによってランブックの YAML または JSON コンテンツがリアルタイムで自動的に作成されます。このコードは表示および編集できます。自動生成されたコードを表示するには、**[デザイン]** と **[コード]** トグルの **[コード]** を選択します。
## ステップ 4: 新しいランブックを実行する
ランブックを作成したら、オートメーションを実行できます。
**新しい自動化ランブックを実行するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、[**オートメーション**]、[**オートメーションの実行**] の順に選択します。
1. [**Automation document (自動化ドキュメント)**] リストで、ランブックを選択します。[**Document categories (ドキュメントカテゴリ)**] ペインで 1 つ以上のオプションを選択して、目的に応じて SSM ドキュメントをフィルタリングします。自分が所有するランブックを表示するには、[**Owned by me (自分が所有)**] タブを選択します。自分のアカウントと共有されているランブックを表示するには、[**Shared with me (共有ファイル)**] タブを選択します。すべてのランブックを表示するには、[**すべてのドキュメント**] タブを選択します。
**注記**
ランブックの名前を選択すると、ランブックに関する情報を表示できます。
1. [**Document details (ドキュメントの詳細)**] セクションで、[**Document version (ドキュメントのバージョン)**] が実行するバージョンに設定されていることを確認します。システムには、次のバージョンのオプションが含まれています。
+ **[ランタイムのデフォルトバージョン]**: 自動化ランブックが定期的に更新され、新しいデフォルトバージョンが割り当てられている場合は、このオプションを選択します。
+ **[ランタイムの最新バージョン]**: 自動化ランブックが定期的に更新され、直前に更新されたバージョンを実行する場合は、このオプションを選択します。
+ **[1 (デフォルト)]**: ドキュメントの最初のバージョンを実行するには、このオプションを選択します。これはデフォルト設定です。
1. [**次へ**] を選択します。
1. **[オートメーションランブックの実行]** セクションで、**[シンプルな実行]** を選択します。
1. [**Input parameters (入力パラメータ)**] セクションで、必要な入力を指定します。必要に応じて、[**AutomationAssumeRole**] リストから IAM サービスロールを選択できます。
1. (オプション) モニタリング用のオートメーションに適用する Amazon CloudWatch アラームを選択します。CloudWatch アラームをオートメーションにアタッチするには、コマンドを実行する IAM プリンシパルに `iam:createServiceLinkedRole` アクションの権限が必要です。CloudWatch アラームの詳細については、「[Amazon CloudWatch でのアラームの使用](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)」を参照してください。アラームが作動すると、オートメーションは停止されます。AWS CloudTrail を使用する場合、トレイルに API コールが表示されます。
1. **[実行]** を選択してください。
## ステップ 5:クリーンアップ
**ランブックを削除するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[ドキュメント]** を選択します。
1. **[自分が所有]** タブを選択します。
1. **[ビジュアルデザインエクスペリエンスチュートリアル]** のランブックを探してください。
1. ドキュメントカードページのボタンを選択し、**[アクション]** ドロップダウンから **[ドキュメントを削除]** を選択します。
# オートメーションランブックのオーサリング
AWS Systems Manager のツールである Automation の各ランブックは、オートメーションを定義します。オートメーションランブックは、オートメーション中に実行されるアクションを定義します。ランブックコンテンツでは、Systems Manager が管理対象インスタンスと AWS リソースで実行する入力パラメータ、出力、およびアクションを定義します。
Automation には、いくつかのランブックが事前に定義されており、1 つ以上の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの再起動や、Amazon Machine Image (AMI) の作成といった一般的なタスクを実行する際に使用することができます。ただし、ユースケースは、事前定義されたランブックの機能を超える場合があります。このような場合は、独自のランブックを作成し、必要に応じて変更することができます。
ランブックは、オートメーションアクション、それらのアクションのパラメータ、および指定した入力パラメータで構成されます。ランブックのコンテンツは YAML または JSON のいずれかで記述されています。YAML と JSON のどちらにも精通していない場合は、ビジュアルデザイナーを使用するか、独自のランブックを作成する前に、いずれかのマークアップ言語について学習することをお勧めします。ビジュアルデザイナーの詳細については、「[オートメーションランブックのビジュアルデザインエクスペリエンス](automation-visual-designer.md)」を参照してください。
以降のセクションは、最初のランブックの作成に役立ちます。
## ユースケースの特定
ランブック作成の最初のステップは、ユースケースの特定です。例えば、`AWS-CreateImage` ランブックを Amazon EC2 インスタンスのすべての本番環境で毎日実行するようにスケジューリングしたとします。月末に、イメージ数がリカバリーポイント用に必要な分を超えていると判断しました。今後は、Amazon EC2 インスタンスの AMI が新しく作成されるたびに、最も古い AMI から削除したいと考えました。これを行うには、次の処理を実行するランブックを新規作成します。
1. `aws:createImage` アクションを実行して、イメージの説明でインスタンス ID を指定します。
1. `aws:waitForAwsResourceProperty` アクションを実行して、`available` になるまでイメージの状態をポーリングします。
1. イメージの状態が `available` になると、`aws:executeScript` アクションがカスタム Python スクリプトを実行し、Amazon EC2 インスタンスに関連付けられている全イメージの ID を収集します。スクリプトは、作成時に指定したイメージ記述のインスタンス ID を使用して、フィルタリングによってこれを実行します。次にスクリプトは、イメージの `creationDate` に基づいてイメージ ID のリストをソートし、最も古い AMI の ID を出力します。
1. 最後に、`aws:deleteImage` アクションが実行され、前のステップで出力された ID を使用して、最も古い AMI が削除されます。
このシナリオでは、既に `AWS-CreateImage` ランブックを使用してはいたものの、ユースケースではさらなる柔軟性が必要であることがわかりました。ランブックとオートメーションアクションが重複する可能性があるため、これは一般的な状況です。結果として、ユースケースに対処するために使用するランブックやアクションを調整する必要がある場合があります。
例えば、`aws:executeScript` と `aws:invokeLambdaFunction` のアクションでは、どちらでもオートメーションの一部としてカスタムスクリプトを実行できます。この 2 つの間では、サポートされているランタイム言語が追加されているため、`aws:invokeLambdaFunction` の方を選ぶことにになるかもしれません。ただし、スクリプトコンテンツを YAML ランブックで直接作成でき、スクリプトコンテンツを JSON ランブックの添付ファイルとして提供できるため、`aws:executeScript` の方がよいこともあります。また、`aws:executeScript` のほうが AWS Identity and Access Management (IAM) のセットアップという観点からはよりシンプルであるという点も検討すべきかもしれません。`AutomationAssumeRole` で提供されるアクセス許可を使用するため、`aws:executeScript` では、追加の AWS Lambda 関数の実行ロールは必要ありません。
特定のシナリオでは、あるアクションが別のアクションよりも柔軟性、または追加機能を提供する可能性があります。したがって、使用するランブックまたはアクションで使用可能な入力パラメータを確認して、ユースケースとプリファレンスに最適なものを判断することをお勧めします。
## 開発環境をセットアップする
ユースケースと、ランブックで使用する事前定義済みのランブックまたはオートメーションアクションを特定したら、ランブックのコンテンツ用に開発環境をセットアップします。ランブックコンテンツを開発するには、Systems Manager ドキュメントコンソールよりも AWS Toolkit for Visual Studio Code を使用することを推奨します。
Toolkit for VS Code は、Visual Studio Code (VS Code) のオープンソースの拡張機能であり、Systems Manager ドキュメントコンソールよりも多くの機能を提供します。便利な機能には、YAML と JSON の両方のスキーマ検証、オートメーションアクションタイプのスニペット、YAML と JSON の両方のさまざまなオプションのオートコンプリートのサポートなどがあります。
Toolkit for VS Code のインストールについては、[AWS Toolkit for Visual Studio Code のインストール](https://docs.aws.amazon.com/toolkit-for-vscode/latest/userguide/setup-toolkit.html)を参照してください。Toolkit for VS Code を使用してランブックを作成する方法については、*AWS Toolkit for Visual Studio Code ユーザーガイド*の「[Systems Manager オートメーションドキュメントの使用](https://docs.aws.amazon.com/toolkit-for-vscode/latest/userguide/systems-manager-automation-docs.html)」を参照してください。
## ランブックコンテンツの開発
ユースケースを特定して環境をセットアップしたら、ランブック用のコンテンツを開発できます。ユースケースとプリファレンスは、ランブックコンテンツで使用するオートメーションアクションまたはランブックに大きく影響します。一部のアクションでは、同様のタスクを実行できる別のアクションと比較して、入力パラメータのサブセットのみがサポートされます。`aws:createImage` のように特定の出力を持つアクションがありますが、中には独自の出力 (`aws:executeAwsApi` など)を定義できるアクションもあります。
ランブックで特定のアクションを使用する方法がわからない場合は、[Systems Manager Automation アクションのリファレンス](automation-actions.md) のアクションに対応するエントリを見直すことをお勧めします。また、定義済みのランブックの内容を確認して、これらのアクションの使用方法の実例を確認することもお勧めします。ランブックの実際のアプリケーションの例については、[その他のランブックの例](automation-document-examples.md) を参照してください。
ランブックのコンテンツが提供するシンプルさと柔軟性の違いを実証するために、以下のチュートリアルでは、Amazon EC2 インスタンスのグループに段階的にパッチを適用する方法の例を示します。
+ [例 1: 親子のランブックの作成](automation-authoring-runbooks-parent-child-example.md) — この例では、2 つのランブックが親子関係で使用されています。親ランブックが、子ランブックのレート制御のオートメーションを開始します。
+ [例 2: スクリプト化されたランブック](automation-authoring-runbooks-scripted-example.md) — この例では、コンテンツを 1 つのランブックと判断してランブックでスクリプトを使用することにより、例 1 と同じタスクを実行する方法を示します。
# 例 1: 親子のランブックの作成
以下の例は、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのタグ付きグループに段階的にパッチを適用する 2 つのランブックを作成する方法を示しています。これらのランブックは、親ランブックを使用して子ランブックのレート制御のオートメーションを開始する、親子の関係で使用されます。レート制御のオートメーションの詳細については、「[自動オペレーションを大規模に実行する](running-automations-scale.md)」を参照してください。この例で使用されているオートメーションアクションの詳細については、「[Systems Manager Automation アクションのリファレンス](automation-actions.md)」を参照してください。
## 子ランブックの作成
このランブック例では、次のシナリオに対処します。Emily は AnyCompany Consultants, LLC のシステムエンジニアです。プライマリデータベースとセカンダリデータベースをホスティングしている Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのグループに対して、パッチ適用を設定する必要があります。アプリケーションはこれらのデータベースに 24 時間アクセスするため、データベースインスタンスのいずれかは常に利用可能でなければなりません。
彼女は、段階的にインスタンスにパッチを適用することが最善のアプローチであると判断しました。まずはデータベースインスタンスのプライマリグループにパッチが適用され、続いてデータベースインスタンスのセカンダリグループにパッチが適用される予定です。また、以前に停止したインスタンスを実行したままにすることで追加コストが発生しないように、Emily はパッチ適用されたインスタンスをパッチ適用前の元の状態に戻したいと考えています。
Emily は、インスタンスに関連付けられたタグによって、データベースインスタンスのプライマリグループとセカンダリグループを識別します。子ランブックのレート制御のオートメーションを開始する親ランブックを作成することにしました。これにより、データベースインスタンスのプライマリグループとセカンダリグループに関連付けられたタグをターゲットにし、子のオートメーションの同時実行を管理できます。パッチ適用に使用できる Systems Manager (SSM) ドキュメントを確認した後、`AWS-RunPatchBaseline` ドキュメントを選択します。この SSM ドキュメントを使用することで、同僚は、パッチ適用操作の完了後に、関連するパッチコンプライアンス情報を確認できます。
ランブックコンテンツの作成を開始するために、Emily は利用可能なオートメーションアクションを確認し、子ランブックのコンテンツの作成を次のように開始します。
1. まず、ランブックのスキーマの値と説明を提供し、子ランブックの入力パラメータを定義します。
`AutomationAssumeRole` パラメータを使用すると、Emily とその同僚は、ランブックで彼らに代わってアクションを実行することをオートメーションに許可する既存の IAM ロールを使用できます。Emily は `InstanceId` パラメータを使用して、パッチを適用するインスタンスを決定します。オプションで、`Operation`、`RebootOption`、および `SnapshotId` パラメータを使用して、`AWS-RunPatchBaseline` のドキュメントパラメータに値を提供できます。これらのドキュメントパラメータに無効な値が提供されるのを防ぐために、必要に応じて `allowedValues` を定義します。
------
#### [ YAML ]
```
schemaVersion: '0.3'
description: 'An example of an Automation runbook that patches groups of Amazon EC2 instances in stages.'
assumeRole: '{{AutomationAssumeRole}}'
parameters:
AutomationAssumeRole:
type: String
description: >-
'(Optional) The Amazon Resource Name (ARN) of the IAM role that allows Automation to perform the
actions on your behalf. If no role is specified, Systems Manager
Automation uses your IAM permissions to operate this runbook.'
default: ''
InstanceId:
type: String
description: >-
'(Required) The instance you want to patch.'
SnapshotId:
type: String
description: '(Optional) The snapshot ID to use to retrieve a patch baseline snapshot.'
default: ''
RebootOption:
type: String
description: '(Optional) Reboot behavior after a patch Install operation. If you choose NoReboot and patches are installed, the instance is marked as non-compliant until a subsequent reboot and scan.'
allowedValues:
- NoReboot
- RebootIfNeeded
default: RebootIfNeeded
Operation:
type: String
description: '(Optional) The update or configuration to perform on the instance. The system checks if patches specified in the patch baseline are installed on the instance. The install operation installs patches missing from the baseline.'
allowedValues:
- Install
- Scan
default: Install
```
------
#### [ JSON ]
```
{
"schemaVersion":"0.3",
"description":"An example of an Automation runbook that patches groups of Amazon EC2 instances in stages.",
"assumeRole":"{{AutomationAssumeRole}}",
"parameters":{
"AutomationAssumeRole":{
"type":"String",
"description":"(Optional) The Amazon Resource Name (ARN) of the IAM role that allows Automation to perform the actions on your behalf. If no role is specified, Systems Manager Automation uses your IAM permissions to operate this runbook.",
"default":""
},
"InstanceId":{
"type":"String",
"description":"(Required) The instance you want to patch."
},
"SnapshotId":{
"type":"String",
"description":"(Optional) The snapshot ID to use to retrieve a patch baseline snapshot.",
"default":""
},
"RebootOption":{
"type":"String",
"description":"(Optional) Reboot behavior after a patch Install operation. If you choose NoReboot and patches are installed, the instance is marked as non-compliant until a subsequent reboot and scan.",
"allowedValues":[
"NoReboot",
"RebootIfNeeded"
],
"default":"RebootIfNeeded"
},
"Operation":{
"type":"String",
"description":"(Optional) The update or configuration to perform on the instance. The system checks if patches specified in the patch baseline are installed on the instance. The install operation installs patches missing from the baseline.",
"allowedValues":[
"Install",
"Scan"
],
"default":"Install"
}
}
},
```
------
1. 最上位の要素が定義された状態で、Emily はランブックの `mainSteps` を構成するアクションの作成に進みます。最初のステップでは、`aws:executeAwsApi` アクションを使用して、`InstanceId` 出力パラメータで指定したターゲットインスタンスの現在の状態を出力します。このアクションの出力は、後のアクションで使用します。
------
#### [ YAML ]
```
mainSteps:
- name: getInstanceState
action: 'aws:executeAwsApi'
onFailure: Abort
inputs:
inputs:
Service: ec2
Api: DescribeInstances
InstanceIds:
- '{{InstanceId}}'
outputs:
- Name: instanceState
Selector: '$.Reservations[0].Instances[0].State.Name'
Type: String
nextStep: branchOnInstanceState
```
------
#### [ JSON ]
```
"mainSteps":[
{
"name":"getInstanceState",
"action":"aws:executeAwsApi",
"onFailure":"Abort",
"inputs":{
"inputs":null,
"Service":"ec2",
"Api":"DescribeInstances",
"InstanceIds":[
"{{InstanceId}}"
]
},
"outputs":[
{
"Name":"instanceState",
"Selector":"$.Reservations[0].Instances[0].State.Name",
"Type":"String"
}
],
"nextStep":"branchOnInstanceState"
},
```
------
1. Emily は、手動で開始してパッチを適用する必要があるすべてのインスタンスの元の状態を追跡するのではなく、前のアクションの出力を使用して、ターゲットインスタンスの状態に基づいてオートメーションを分岐します。こうすることで、`aws:branch` アクションで定義される条件に応じてオートメーションで異なるステップを実行し、手動による介入なしにオートメーションの全体的な効率を向上させることができます。
インスタンスの状態がすでに `running` の場合、`aws:runCommand` アクションを使用する `AWS-RunPatchBaseline` ドキュメントで、インスタンスにパッチを適用しオートメーションが進められます。
インスタンスの状態が `stopping` の場合、オートメーションは `aws:waitForAwsResourceProperty` アクションを使用して `stopped` 状態になるまでインスタンスにポーリングし、`executeAwsApi` アクションを使用してインスタンスを起動し、インスタンスにパッチを適用する前に `running` の状態になるまでインスタンスにポーリングします。
インスタンスの状態が `stopped` の場合、自動化によってインスタンスが起動され、インスタンスが `running` 状態になるまでポーリングしてから、同じアクションを使用してインスタンスにパッチを適用します。
------
#### [ YAML ]
```
- name: branchOnInstanceState
action: 'aws:branch'
onFailure: Abort
inputs:
Choices:
- NextStep: startInstance
Variable: '{{getInstanceState.instanceState}}'
StringEquals: stopped
- NextStep: verifyInstanceStopped
Variable: '{{getInstanceState.instanceState}}'
StringEquals: stopping
- NextStep: patchInstance
Variable: '{{getInstanceState.instanceState}}'
StringEquals: running
isEnd: true
- name: startInstance
action: 'aws:executeAwsApi'
onFailure: Abort
inputs:
Service: ec2
Api: StartInstances
InstanceIds:
- '{{InstanceId}}'
nextStep: verifyInstanceRunning
- name: verifyInstanceRunning
action: 'aws:waitForAwsResourceProperty'
timeoutSeconds: 120
inputs:
Service: ec2
Api: DescribeInstances
InstanceIds:
- '{{InstanceId}}'
PropertySelector: '$.Reservations[0].Instances[0].State.Name'
DesiredValues:
- running
nextStep: patchInstance
- name: verifyInstanceStopped
action: 'aws:waitForAwsResourceProperty'
timeoutSeconds: 120
inputs:
Service: ec2
Api: DescribeInstances
InstanceIds:
- '{{InstanceId}}'
PropertySelector: '$.Reservations[0].Instances[0].State.Name'
DesiredValues:
- stopped
nextStep: startInstance
- name: patchInstance
action: 'aws:runCommand'
onFailure: Abort
timeoutSeconds: 5400
inputs:
DocumentName: 'AWS-RunPatchBaseline'
InstanceIds:
- '{{InstanceId}}'
Parameters:
SnapshotId: '{{SnapshotId}}'
RebootOption: '{{RebootOption}}'
Operation: '{{Operation}}'
```
------
#### [ JSON ]
```
{
"name":"branchOnInstanceState",
"action":"aws:branch",
"onFailure":"Abort",
"inputs":{
"Choices":[
{
"NextStep":"startInstance",
"Variable":"{{getInstanceState.instanceState}}",
"StringEquals":"stopped"
},
{
"Or":[
{
"Variable":"{{getInstanceState.instanceState}}",
"StringEquals":"stopping"
}
],
"NextStep":"verifyInstanceStopped"
},
{
"NextStep":"patchInstance",
"Variable":"{{getInstanceState.instanceState}}",
"StringEquals":"running"
}
]
},
"isEnd":true
},
{
"name":"startInstance",
"action":"aws:executeAwsApi",
"onFailure":"Abort",
"inputs":{
"Service":"ec2",
"Api":"StartInstances",
"InstanceIds":[
"{{InstanceId}}"
]
},
"nextStep":"verifyInstanceRunning"
},
{
"name":"verifyInstanceRunning",
"action":"aws:waitForAwsResourceProperty",
"timeoutSeconds":120,
"inputs":{
"Service":"ec2",
"Api":"DescribeInstances",
"InstanceIds":[
"{{InstanceId}}"
],
"PropertySelector":"$.Reservations[0].Instances[0].State.Name",
"DesiredValues":[
"running"
]
},
"nextStep":"patchInstance"
},
{
"name":"verifyInstanceStopped",
"action":"aws:waitForAwsResourceProperty",
"timeoutSeconds":120,
"inputs":{
"Service":"ec2",
"Api":"DescribeInstances",
"InstanceIds":[
"{{InstanceId}}"
],
"PropertySelector":"$.Reservations[0].Instances[0].State.Name",
"DesiredValues":[
"stopped"
],
"nextStep":"startInstance"
}
},
{
"name":"patchInstance",
"action":"aws:runCommand",
"onFailure":"Abort",
"timeoutSeconds":5400,
"inputs":{
"DocumentName":"AWS-RunPatchBaseline",
"InstanceIds":[
"{{InstanceId}}"
],
"Parameters":{
"SnapshotId":"{{SnapshotId}}",
"RebootOption":"{{RebootOption}}",
"Operation":"{{Operation}}"
}
}
},
```
------
1. パッチ適用操作が完了した後、Emily は、オートメーションがターゲットインスタンスをオートメーション開始前と同じ状態に戻すようにしたいと考えています。これは、最初のアクションでの出力を再び使用して行います。オートメーションは、`aws:branch` アクションを使用してターゲットインスタンスの元の状態に基づいて分岐します。インスタンスが以前 `running` 以外の状態にあった場合、インスタンスは停止します。インスタンスの状態が `running` であれば、オートメーションが終了します。
------
#### [ YAML ]
```
- name: branchOnOriginalInstanceState
action: 'aws:branch'
onFailure: Abort
inputs:
Choices:
- NextStep: stopInstance
Not:
Variable: '{{getInstanceState.instanceState}}'
StringEquals: running
isEnd: true
- name: stopInstance
action: 'aws:executeAwsApi'
onFailure: Abort
inputs:
Service: ec2
Api: StopInstances
InstanceIds:
- '{{InstanceId}}'
```
------
#### [ JSON ]
```
{
"name":"branchOnOriginalInstanceState",
"action":"aws:branch",
"onFailure":"Abort",
"inputs":{
"Choices":[
{
"NextStep":"stopInstance",
"Not":{
"Variable":"{{getInstanceState.instanceState}}",
"StringEquals":"running"
}
}
]
},
"isEnd":true
},
{
"name":"stopInstance",
"action":"aws:executeAwsApi",
"onFailure":"Abort",
"inputs":{
"Service":"ec2",
"Api":"StopInstances",
"InstanceIds":[
"{{InstanceId}}"
]
}
}
]
}
```
------
1. Emily は完成した子ランブックコンテンツをレビューし、ターゲットインスタンスと同じ AWS アカウント と AWS リージョン でランブックを作成します。これで、親ランブックのコンテンツの作成を続行する準備が整いました。完成した子ランブックのコンテンツは次のとおりです。
------
#### [ YAML ]
```
schemaVersion: '0.3'
description: 'An example of an Automation runbook that patches groups of Amazon EC2 instances in stages.'
assumeRole: '{{AutomationAssumeRole}}'
parameters:
AutomationAssumeRole:
type: String
description: >-
'(Optional) The Amazon Resource Name (ARN) of the IAM role that allows Automation to perform the
actions on your behalf. If no role is specified, Systems Manager
Automation uses your IAM permissions to operate this runbook.'
default: ''
InstanceId:
type: String
description: >-
'(Required) The instance you want to patch.'
SnapshotId:
type: String
description: '(Optional) The snapshot ID to use to retrieve a patch baseline snapshot.'
default: ''
RebootOption:
type: String
description: '(Optional) Reboot behavior after a patch Install operation. If you choose NoReboot and patches are installed, the instance is marked as non-compliant until a subsequent reboot and scan.'
allowedValues:
- NoReboot
- RebootIfNeeded
default: RebootIfNeeded
Operation:
type: String
description: '(Optional) The update or configuration to perform on the instance. The system checks if patches specified in the patch baseline are installed on the instance. The install operation installs patches missing from the baseline.'
allowedValues:
- Install
- Scan
default: Install
mainSteps:
- name: getInstanceState
action: 'aws:executeAwsApi'
onFailure: Abort
inputs:
inputs:
Service: ec2
Api: DescribeInstances
InstanceIds:
- '{{InstanceId}}'
outputs:
- Name: instanceState
Selector: '$.Reservations[0].Instances[0].State.Name'
Type: String
nextStep: branchOnInstanceState
- name: branchOnInstanceState
action: 'aws:branch'
onFailure: Abort
inputs:
Choices:
- NextStep: startInstance
Variable: '{{getInstanceState.instanceState}}'
StringEquals: stopped
- Or:
- Variable: '{{getInstanceState.instanceState}}'
StringEquals: stopping
NextStep: verifyInstanceStopped
- NextStep: patchInstance
Variable: '{{getInstanceState.instanceState}}'
StringEquals: running
isEnd: true
- name: startInstance
action: 'aws:executeAwsApi'
onFailure: Abort
inputs:
Service: ec2
Api: StartInstances
InstanceIds:
- '{{InstanceId}}'
nextStep: verifyInstanceRunning
- name: verifyInstanceRunning
action: 'aws:waitForAwsResourceProperty'
timeoutSeconds: 120
inputs:
Service: ec2
Api: DescribeInstances
InstanceIds:
- '{{InstanceId}}'
PropertySelector: '$.Reservations[0].Instances[0].State.Name'
DesiredValues:
- running
nextStep: patchInstance
- name: verifyInstanceStopped
action: 'aws:waitForAwsResourceProperty'
timeoutSeconds: 120
inputs:
Service: ec2
Api: DescribeInstances
InstanceIds:
- '{{InstanceId}}'
PropertySelector: '$.Reservations[0].Instances[0].State.Name'
DesiredValues:
- stopped
nextStep: startInstance
- name: patchInstance
action: 'aws:runCommand'
onFailure: Abort
timeoutSeconds: 5400
inputs:
DocumentName: 'AWS-RunPatchBaseline'
InstanceIds:
- '{{InstanceId}}'
Parameters:
SnapshotId: '{{SnapshotId}}'
RebootOption: '{{RebootOption}}'
Operation: '{{Operation}}'
- name: branchOnOriginalInstanceState
action: 'aws:branch'
onFailure: Abort
inputs:
Choices:
- NextStep: stopInstance
Not:
Variable: '{{getInstanceState.instanceState}}'
StringEquals: running
isEnd: true
- name: stopInstance
action: 'aws:executeAwsApi'
onFailure: Abort
inputs:
Service: ec2
Api: StopInstances
InstanceIds:
- '{{InstanceId}}'
```
------
#### [ JSON ]
```
{
"schemaVersion":"0.3",
"description":"An example of an Automation runbook that patches groups of Amazon EC2 instances in stages.",
"assumeRole":"{{AutomationAssumeRole}}",
"parameters":{
"AutomationAssumeRole":{
"type":"String",
"description":"'(Optional) The Amazon Resource Name (ARN) of the IAM role that allows Automation to perform the actions on your behalf. If no role is specified, Systems Manager Automation uses your IAM permissions to operate this runbook.'",
"default":""
},
"InstanceId":{
"type":"String",
"description":"'(Required) The instance you want to patch.'"
},
"SnapshotId":{
"type":"String",
"description":"(Optional) The snapshot ID to use to retrieve a patch baseline snapshot.",
"default":""
},
"RebootOption":{
"type":"String",
"description":"(Optional) Reboot behavior after a patch Install operation. If you choose NoReboot and patches are installed, the instance is marked as non-compliant until a subsequent reboot and scan.",
"allowedValues":[
"NoReboot",
"RebootIfNeeded"
],
"default":"RebootIfNeeded"
},
"Operation":{
"type":"String",
"description":"(Optional) The update or configuration to perform on the instance. The system checks if patches specified in the patch baseline are installed on the instance. The install operation installs patches missing from the baseline.",
"allowedValues":[
"Install",
"Scan"
],
"default":"Install"
}
},
"mainSteps":[
{
"name":"getInstanceState",
"action":"aws:executeAwsApi",
"onFailure":"Abort",
"inputs":{
"inputs":null,
"Service":"ec2",
"Api":"DescribeInstances",
"InstanceIds":[
"{{InstanceId}}"
]
},
"outputs":[
{
"Name":"instanceState",
"Selector":"$.Reservations[0].Instances[0].State.Name",
"Type":"String"
}
],
"nextStep":"branchOnInstanceState"
},
{
"name":"branchOnInstanceState",
"action":"aws:branch",
"onFailure":"Abort",
"inputs":{
"Choices":[
{
"NextStep":"startInstance",
"Variable":"{{getInstanceState.instanceState}}",
"StringEquals":"stopped"
},
{
"Or":[
{
"Variable":"{{getInstanceState.instanceState}}",
"StringEquals":"stopping"
}
],
"NextStep":"verifyInstanceStopped"
},
{
"NextStep":"patchInstance",
"Variable":"{{getInstanceState.instanceState}}",
"StringEquals":"running"
}
]
},
"isEnd":true
},
{
"name":"startInstance",
"action":"aws:executeAwsApi",
"onFailure":"Abort",
"inputs":{
"Service":"ec2",
"Api":"StartInstances",
"InstanceIds":[
"{{InstanceId}}"
]
},
"nextStep":"verifyInstanceRunning"
},
{
"name":"verifyInstanceRunning",
"action":"aws:waitForAwsResourceProperty",
"timeoutSeconds":120,
"inputs":{
"Service":"ec2",
"Api":"DescribeInstances",
"InstanceIds":[
"{{InstanceId}}"
],
"PropertySelector":"$.Reservations[0].Instances[0].State.Name",
"DesiredValues":[
"running"
]
},
"nextStep":"patchInstance"
},
{
"name":"verifyInstanceStopped",
"action":"aws:waitForAwsResourceProperty",
"timeoutSeconds":120,
"inputs":{
"Service":"ec2",
"Api":"DescribeInstances",
"InstanceIds":[
"{{InstanceId}}"
],
"PropertySelector":"$.Reservations[0].Instances[0].State.Name",
"DesiredValues":[
"stopped"
],
"nextStep":"startInstance"
}
},
{
"name":"patchInstance",
"action":"aws:runCommand",
"onFailure":"Abort",
"timeoutSeconds":5400,
"inputs":{
"DocumentName":"AWS-RunPatchBaseline",
"InstanceIds":[
"{{InstanceId}}"
],
"Parameters":{
"SnapshotId":"{{SnapshotId}}",
"RebootOption":"{{RebootOption}}",
"Operation":"{{Operation}}"
}
}
},
{
"name":"branchOnOriginalInstanceState",
"action":"aws:branch",
"onFailure":"Abort",
"inputs":{
"Choices":[
{
"NextStep":"stopInstance",
"Not":{
"Variable":"{{getInstanceState.instanceState}}",
"StringEquals":"running"
}
}
]
},
"isEnd":true
},
{
"name":"stopInstance",
"action":"aws:executeAwsApi",
"onFailure":"Abort",
"inputs":{
"Service":"ec2",
"Api":"StopInstances",
"InstanceIds":[
"{{InstanceId}}"
]
}
}
]
}
```
------
この例で使用されているオートメーションアクションの詳細については、「[Systems Manager Automation アクションのリファレンス](automation-actions.md)」を参照してください。
## 親ランブックの作成
この例のランブックのシナリオは、前のセクションで説明したシナリオと同じです。子ランブックを作成した Emily は、次のように親ランブックのコンテンツの作成を開始します。
1. まず、ランブックのスキーマの値と説明を提供し、親ランブックの入力パラメータを定義します。
`AutomationAssumeRole` パラメータを使用すると、Emily とその同僚は、ランブックで彼らに代わってアクションを実行することをオートメーションに許可する既存の IAM ロールを使用できます。Emily は `PatchGroupPrimaryKey` と `PatchGroupPrimaryValue` のパラメータを使用して、パッチを適用するデータベースインスタンスのプライマリグループに関連付けられたタグを指定します。`PatchGroupSecondaryKey` と `PatchGroupSecondaryValue` のパラメータを使用して、パッチを適用するデータベースインスタンスのセカンダリグループに関連付けられたタグを指定します。
------
#### [ YAML ]
```
description: 'An example of an Automation runbook that patches groups of Amazon EC2 instances in stages.'
schemaVersion: '0.3'
assumeRole: '{{AutomationAssumeRole}}'
parameters:
AutomationAssumeRole:
type: String
description: '(Optional) The Amazon Resource Name (ARN) of the IAM role that allows Automation to perform the actions on your behalf. If no role is specified, Systems Manager Automation uses your IAM permissions to operate this runbook.'
default: ''
PatchGroupPrimaryKey:
type: String
description: '(Required) The key of the tag for the primary group of instances you want to patch.''
PatchGroupPrimaryValue:
type: String
description: '(Required) The value of the tag for the primary group of instances you want to patch.'
PatchGroupSecondaryKey:
type: String
description: '(Required) The key of the tag for the secondary group of instances you want to patch.'
PatchGroupSecondaryValue:
type: String
description: '(Required) The value of the tag for the secondary group of instances you want to patch.'
```
------
#### [ JSON ]
```
{
"schemaVersion": "0.3",
"description": "An example of an Automation runbook that patches groups of Amazon EC2 instances in stages.",
"assumeRole": "{{AutomationAssumeRole}}",
"parameters": {
"AutomationAssumeRole": {
"type": "String",
"description": "(Optional) The Amazon Resource Name (ARN) of the IAM role that allows Automation to perform the actions on your behalf. If no role is specified, Systems Manager Automation uses your IAM permissions to operate this runbook.",
"default": ""
},
"PatchGroupPrimaryKey": {
"type": "String",
"description": "(Required) The key of the tag for the primary group of instances you want to patch."
},
"PatchGroupPrimaryValue": {
"type": "String",
"description": "(Required) The value of the tag for the primary group of instances you want to patch."
},
"PatchGroupSecondaryKey": {
"type": "String",
"description": "(Required) The key of the tag for the secondary group of instances you want to patch."
},
"PatchGroupSecondaryValue": {
"type": "String",
"description": "(Required) The value of the tag for the secondary group of instances you want to patch."
}
}
},
```
------
1. 最上位の要素が定義された状態で、Emily はランブックの `mainSteps` を構成するアクションの作成に進みます。
最初のアクションは、作成した子ランブックを使用してレート制御のオートメーションを開始します。この子ランブックは、`PatchGroupPrimaryKey` と `PatchGroupPrimaryValue` の入力パラメータで指定されるタグに関連付けられたインスタンスをターゲットしています。入力パラメータに指定された値を使用して、パッチを適用するデータベースインスタンスのプライマリグループに関連付けられたタグのキーと値を指定します。
最初のオートメーションが完了すると、2 番目のアクションが子ランブックを使用して別のレート制御のオートメーションを開始します。この子ランブックは、`PatchGroupSecondaryKey` と `PatchGroupSecondaryValue` の入力パラメータで指定されるタグに関連付けられたインスタンスをターゲットしています。入力パラメータに指定された値を使用して、パッチを適用するデータベースインスタンスのセカンダリグループに関連付けられたタグのキーと値を指定します。
------
#### [ YAML ]
```
mainSteps:
- name: patchPrimaryTargets
action: 'aws:executeAutomation'
onFailure: Abort
timeoutSeconds: 7200
inputs:
DocumentName: RunbookTutorialChildAutomation
Targets:
- Key: 'tag:{{PatchGroupPrimaryKey}}'
Values:
- '{{PatchGroupPrimaryValue}}'
TargetParameterName: 'InstanceId'
- name: patchSecondaryTargets
action: 'aws:executeAutomation'
onFailure: Abort
timeoutSeconds: 7200
inputs:
DocumentName: RunbookTutorialChildAutomation
Targets:
- Key: 'tag:{{PatchGroupSecondaryKey}}'
Values:
- '{{PatchGroupSecondaryValue}}'
TargetParameterName: 'InstanceId'
```
------
#### [ JSON ]
```
"mainSteps":[
{
"name":"patchPrimaryTargets",
"action":"aws:executeAutomation",
"onFailure":"Abort",
"timeoutSeconds":7200,
"inputs":{
"DocumentName":"RunbookTutorialChildAutomation",
"Targets":[
{
"Key":"tag:{{PatchGroupPrimaryKey}}",
"Values":[
"{{PatchGroupPrimaryValue}}"
]
}
],
"TargetParameterName":"InstanceId"
}
},
{
"name":"patchSecondaryTargets",
"action":"aws:executeAutomation",
"onFailure":"Abort",
"timeoutSeconds":7200,
"inputs":{
"DocumentName":"RunbookTutorialChildAutomation",
"Targets":[
{
"Key":"tag:{{PatchGroupSecondaryKey}}",
"Values":[
"{{PatchGroupSecondaryValue}}"
]
}
],
"TargetParameterName":"InstanceId"
}
}
]
}
```
------
1. Emily は完成した親ランブックコンテンツをレビューし、ターゲットインスタンスと同じ AWS アカウント と AWS リージョン でランブックを作成します。これで、ランブックをテストして、オートメーションが希望どおりに動作していることを確認してから、本番環境に実装する準備が整いました。完成した親ランブックのコンテンツは次のとおりです。
------
#### [ YAML ]
```
description: An example of an Automation runbook that patches groups of Amazon EC2 instances in stages.
schemaVersion: '0.3'
assumeRole: '{{AutomationAssumeRole}}'
parameters:
AutomationAssumeRole:
type: String
description: '(Optional) The Amazon Resource Name (ARN) of the IAM role that allows Automation to perform the actions on your behalf. If no role is specified, Systems Manager Automation uses your IAM permissions to operate this runbook.'
default: ''
PatchGroupPrimaryKey:
type: String
description: (Required) The key of the tag for the primary group of instances you want to patch.
PatchGroupPrimaryValue:
type: String
description: '(Required) The value of the tag for the primary group of instances you want to patch. '
PatchGroupSecondaryKey:
type: String
description: (Required) The key of the tag for the secondary group of instances you want to patch.
PatchGroupSecondaryValue:
type: String
description: '(Required) The value of the tag for the secondary group of instances you want to patch. '
mainSteps:
- name: patchPrimaryTargets
action: 'aws:executeAutomation'
onFailure: Abort
timeoutSeconds: 7200
inputs:
DocumentName: RunbookTutorialChildAutomation
Targets:
- Key: 'tag:{{PatchGroupPrimaryKey}}'
Values:
- '{{PatchGroupPrimaryValue}}'
TargetParameterName: 'InstanceId'
- name: patchSecondaryTargets
action: 'aws:executeAutomation'
onFailure: Abort
timeoutSeconds: 7200
inputs:
DocumentName: RunbookTutorialChildAutomation
Targets:
- Key: 'tag:{{PatchGroupSecondaryKey}}'
Values:
- '{{PatchGroupSecondaryValue}}'
TargetParameterName: 'InstanceId'
```
------
#### [ JSON ]
```
{
"description":"An example of an Automation runbook that patches groups of Amazon EC2 instances in stages.",
"schemaVersion":"0.3",
"assumeRole":"{{AutomationAssumeRole}}",
"parameters":{
"AutomationAssumeRole":{
"type":"String",
"description":"(Optional) The Amazon Resource Name (ARN) of the IAM role that allows Automation to perform the actions on your behalf. If no role is specified, Systems Manager Automation uses your IAM permissions to operate this runbook.",
"default":""
},
"PatchGroupPrimaryKey":{
"type":"String",
"description":"(Required) The key of the tag for the primary group of instances you want to patch."
},
"PatchGroupPrimaryValue":{
"type":"String",
"description":"(Required) The value of the tag for the primary group of instances you want to patch. "
},
"PatchGroupSecondaryKey":{
"type":"String",
"description":"(Required) The key of the tag for the secondary group of instances you want to patch."
},
"PatchGroupSecondaryValue":{
"type":"String",
"description":"(Required) The value of the tag for the secondary group of instances you want to patch. "
}
},
"mainSteps":[
{
"name":"patchPrimaryTargets",
"action":"aws:executeAutomation",
"onFailure":"Abort",
"timeoutSeconds":7200,
"inputs":{
"DocumentName":"RunbookTutorialChildAutomation",
"Targets":[
{
"Key":"tag:{{PatchGroupPrimaryKey}}",
"Values":[
"{{PatchGroupPrimaryValue}}"
]
}
],
"TargetParameterName":"InstanceId"
}
},
{
"name":"patchSecondaryTargets",
"action":"aws:executeAutomation",
"onFailure":"Abort",
"timeoutSeconds":7200,
"inputs":{
"DocumentName":"RunbookTutorialChildAutomation",
"Targets":[
{
"Key":"tag:{{PatchGroupSecondaryKey}}",
"Values":[
"{{PatchGroupSecondaryValue}}"
]
}
],
"TargetParameterName":"InstanceId"
}
}
]
}
```
------
この例で使用されているオートメーションアクションの詳細については、「[Systems Manager Automation アクションのリファレンス](automation-actions.md)」を参照してください。
# 例 2: スクリプト化されたランブック
このランブック例では、次のシナリオに対処します。Emily は AnyCompany Consultants, LLC のシステムエンジニアです。彼女は先に、プライマリデータベースとセカンダリデータベースをホスティングする Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのパッチグループに対して、親子関係で使用されるランブックを 2 つ作成しました。アプリケーションはこれらのデータベースに 24 時間アクセスするため、データベースインスタンスのいずれかは常に利用可能でなければなりません。
この要件に基づいて、彼女は `AWS-RunPatchBaseline` Systems Manager (SSM) ドキュメントを使用してインスタンスを段階的にパッチするソリューションを構築しました。この SSM ドキュメントを使用することで、同僚は、パッチ適用操作の完了後に、関連するパッチコンプライアンス情報を確認できます。
まずはデータベースインスタンスのプライマリグループにパッチが適用され、続いてデータベースインスタンスのセカンダリグループにパッチが適用されます。また、以前に停止したインスタンスを実行したままにすることで追加コストが発生しないように、Emily は、オートメーションがパッチ適用されたインスタンスをパッチ適用前の元の状態に戻したことを確認しました。Emily は、データベースインスタンスのプライマリグループとセカンダリグループに関連付けられたタグを使用して、パッチを適用する必要があるインスタンスを希望する順序で特定しました。
既存の自動ソリューションは機能しますが、可能であればソリューションを改善したいと考えています。ランブックコンテンツのメンテナンスを支援し、トラブルシューティングを容易にするため、オートメーションを 1 つのランブックにまとめて、入力パラメータの数を簡素化したいと考えています。また、複数の子オートメーションは作成しないようにしたいと考えています。
利用可能なオートメーションアクションを確認した後、Emily は、`aws:executeScript` アクションを使用すればソリューションをさらに改善し、カスタム Python スクリプトを実行できると判断しました。次のようにランブックのコンテンツの作成を開始しました。
1. まず、ランブックのスキーマの値と説明を提供し、親ランブックの入力パラメータを定義します。
`AutomationAssumeRole` パラメータを使用すると、Emily とその同僚は、ランブックで彼らに代わってアクションを実行することをオートメーションに許可する既存の IAM ロールを使用できます。[例 1](automation-authoring-runbooks-parent-child-example.md) とは異なり、`AutomationAssumeRole` パラメータはオプションではなく必須になりました。このランブックには `aws:executeScript` アクションが含まれるため、AWS Identity and Access Management (IAM) サービスロール (または継承ロール) が常に必要です。アクションに指定された Python スクリプトの一部が AWS API オペレーションを呼び出すため、この要件が必要になります。
Emily は `PrimaryPatchGroupTag` と `SecondaryPatchGroupTag` のパラメータを使用して、パッチを適用するデータベースインスタンスのプライマリグループとセカンダリグループに関連付けられたタグを指定します。必要な入力パラメータを単純化するために、例 1 のランブックで使用したように複数の `String` パラメータを使用するのではなく、`StringMap` パラメータを使用することにしました。オプションで、`Operation`、`RebootOption`、および `SnapshotId` パラメータを使用して、`AWS-RunPatchBaseline` のドキュメントパラメータに値を提供できます。これらのドキュメントパラメータに無効な値が提供されるのを防ぐために、必要に応じて `allowedValues` を定義します。
------
#### [ YAML ]
```
description: 'An example of an Automation runbook that patches groups of Amazon EC2 instances in stages.'
schemaVersion: '0.3'
assumeRole: '{{AutomationAssumeRole}}'
parameters:
AutomationAssumeRole:
type: String
description: '(Required) The Amazon Resource Name (ARN) of the IAM role that allows Automation to perform the actions on your behalf. If no role is specified, Systems Manager Automation uses your IAM permissions to operate this runbook.'
PrimaryPatchGroupTag:
type: StringMap
description: '(Required) The tag for the primary group of instances you want to patch. Specify a key-value pair. Example: {"key" : "value"}'
SecondaryPatchGroupTag:
type: StringMap
description: '(Required) The tag for the secondary group of instances you want to patch. Specify a key-value pair. Example: {"key" : "value"}'
SnapshotId:
type: String
description: '(Optional) The snapshot ID to use to retrieve a patch baseline snapshot.'
default: ''
RebootOption:
type: String
description: '(Optional) Reboot behavior after a patch Install operation. If you choose NoReboot and patches are installed, the instance is marked as non-compliant until a subsequent reboot and scan.'
allowedValues:
- NoReboot
- RebootIfNeeded
default: RebootIfNeeded
Operation:
type: String
description: '(Optional) The update or configuration to perform on the instance. The system checks if patches specified in the patch baseline are installed on the instance. The install operation installs patches missing from the baseline.'
allowedValues:
- Install
- Scan
default: Install
```
------
#### [ JSON ]
```
{
"description":"An example of an Automation runbook that patches groups of Amazon EC2 instances in stages.",
"schemaVersion":"0.3",
"assumeRole":"{{AutomationAssumeRole}}",
"parameters":{
"AutomationAssumeRole":{
"type":"String",
"description":"(Required) The Amazon Resource Name (ARN) of the IAM role that allows Automation to perform the actions on your behalf. If no role is specified, Systems Manager Automation uses your IAM permissions to operate this runbook."
},
"PrimaryPatchGroupTag":{
"type":"StringMap",
"description":"(Required) The tag for the primary group of instances you want to patch. Specify a key-value pair. Example: {\"key\" : \"value\"}"
},
"SecondaryPatchGroupTag":{
"type":"StringMap",
"description":"(Required) The tag for the secondary group of instances you want to patch. Specify a key-value pair. Example: {\"key\" : \"value\"}"
},
"SnapshotId":{
"type":"String",
"description":"(Optional) The snapshot ID to use to retrieve a patch baseline snapshot.",
"default":""
},
"RebootOption":{
"type":"String",
"description":"(Optional) Reboot behavior after a patch Install operation. If you choose NoReboot and patches are installed, the instance is marked as non-compliant until a subsequent reboot and scan.",
"allowedValues":[
"NoReboot",
"RebootIfNeeded"
],
"default":"RebootIfNeeded"
},
"Operation":{
"type":"String",
"description":"(Optional) The update or configuration to perform on the instance. The system checks if patches specified in the patch baseline are installed on the instance. The install operation installs patches missing from the baseline.",
"allowedValues":[
"Install",
"Scan"
],
"default":"Install"
}
}
},
```
------
1. 最上位の要素が定義された状態で、Emily はランブックの `mainSteps` を構成するアクションの作成に進みます。最初のステップでは、`PrimaryPatchGroupTag` パラメータで指定されるタグに関連付けられたすべてのインスタンスの ID を収集し、インスタンス ID とインスタンスの現在の状態を含む `StringMap` パラメータを出力します。このアクションの出力は、後のアクションで使用します。
`script` 入力パラメータは、JSON ランブックではサポートされていませんのでご注意ください。JSON ランブックでは、`attachment` 入力パラメータを使用してスクリプトコンテンツを指定する必要があります。
------
#### [ YAML ]
```
mainSteps:
- name: getPrimaryInstanceState
action: 'aws:executeScript'
timeoutSeconds: 120
onFailure: Abort
inputs:
Runtime: python3.11
Handler: getInstanceStates
InputPayload:
primaryTag: '{{PrimaryPatchGroupTag}}'
Script: |-
def getInstanceStates(events,context):
import boto3
#Initialize client
ec2 = boto3.client('ec2')
tag = events['primaryTag']
tagKey, tagValue = list(tag.items())[0]
instanceQuery = ec2.describe_instances(
Filters=[
{
"Name": "tag:" + tagKey,
"Values": [tagValue]
}]
)
if not instanceQuery['Reservations']:
noInstancesForTagString = "No instances found for specified tag."
return({ 'noInstancesFound' : noInstancesForTagString })
else:
queryResponse = instanceQuery['Reservations']
originalInstanceStates = {}
for results in queryResponse:
instanceSet = results['Instances']
for instance in instanceSet:
instanceId = instance['InstanceId']
originalInstanceStates[instanceId] = instance['State']['Name']
return originalInstanceStates
outputs:
- Name: originalInstanceStates
Selector: $.Payload
Type: StringMap
nextStep: verifyPrimaryInstancesRunning
```
------
#### [ JSON ]
```
"mainSteps":[
{
"name":"getPrimaryInstanceState",
"action":"aws:executeScript",
"timeoutSeconds":120,
"onFailure":"Abort",
"inputs":{
"Runtime":"python3.11",
"Handler":"getInstanceStates",
"InputPayload":{
"primaryTag":"{{PrimaryPatchGroupTag}}"
},
"Script":"..."
},
"outputs":[
{
"Name":"originalInstanceStates",
"Selector":"$.Payload",
"Type":"StringMap"
}
],
"nextStep":"verifyPrimaryInstancesRunning"
},
```
------
1. Emily は、前のアクションの出力を別の `aws:executeScript` アクションで使用して、`PrimaryPatchGroupTag` パラメータで指定されたタグに関連付けられたすべてのインスタンスが `running` の状態にあることを検証します。
インスタンスの状態がすでに `running` または `shutting-down` の場合、スクリプトは残りのインスタンスをループし続けます。
インスタンスの状態が `stopping` の場合、スクリプトは `stopped` の状態になるまでインスタンスにポーリングし、インスタンスを起動します。
インスタンスの状態が `stopped` の場合、スクリプトはインスタンスを起動します。
------
#### [ YAML ]
```
- name: verifyPrimaryInstancesRunning
action: 'aws:executeScript'
timeoutSeconds: 600
onFailure: Abort
inputs:
Runtime: python3.11
Handler: verifyInstancesRunning
InputPayload:
targetInstances: '{{getPrimaryInstanceState.originalInstanceStates}}'
Script: |-
def verifyInstancesRunning(events,context):
import boto3
#Initialize client
ec2 = boto3.client('ec2')
instanceDict = events['targetInstances']
for instance in instanceDict:
if instanceDict[instance] == 'stopped':
print("The target instance " + instance + " is stopped. The instance will now be started.")
ec2.start_instances(
InstanceIds=[instance]
)
elif instanceDict[instance] == 'stopping':
print("The target instance " + instance + " is stopping. Polling for instance to reach stopped state.")
while instanceDict[instance] != 'stopped':
poll = ec2.get_waiter('instance_stopped')
poll.wait(
InstanceIds=[instance]
)
ec2.start_instances(
InstanceIds=[instance]
)
else:
pass
nextStep: waitForPrimaryRunningInstances
```
------
#### [ JSON ]
```
{
"name":"verifyPrimaryInstancesRunning",
"action":"aws:executeScript",
"timeoutSeconds":600,
"onFailure":"Abort",
"inputs":{
"Runtime":"python3.11",
"Handler":"verifyInstancesRunning",
"InputPayload":{
"targetInstances":"{{getPrimaryInstanceState.originalInstanceStates}}"
},
"Script":"..."
},
"nextStep":"waitForPrimaryRunningInstances"
},
```
------
1. Emily は、`PrimaryPatchGroupTag` パラメータで指定されたタグに関連付けられたすべてのインスタンスが開始されているか、もしくは既に `running` の状態にあることを検証します。次に、別のスクリプトを使用して、前のアクションで開始されたインスタンスも含め、すべてのインスタンスが `running` の状態に到達していることを確認します。
------
#### [ YAML ]
```
- name: waitForPrimaryRunningInstances
action: 'aws:executeScript'
timeoutSeconds: 300
onFailure: Abort
inputs:
Runtime: python3.11
Handler: waitForRunningInstances
InputPayload:
targetInstances: '{{getPrimaryInstanceState.originalInstanceStates}}'
Script: |-
def waitForRunningInstances(events,context):
import boto3
#Initialize client
ec2 = boto3.client('ec2')
instanceDict = events['targetInstances']
for instance in instanceDict:
poll = ec2.get_waiter('instance_running')
poll.wait(
InstanceIds=[instance]
)
nextStep: returnPrimaryTagKey
```
------
#### [ JSON ]
```
{
"name":"waitForPrimaryRunningInstances",
"action":"aws:executeScript",
"timeoutSeconds":300,
"onFailure":"Abort",
"inputs":{
"Runtime":"python3.11",
"Handler":"waitForRunningInstances",
"InputPayload":{
"targetInstances":"{{getPrimaryInstanceState.originalInstanceStates}}"
},
"Script":"..."
},
"nextStep":"returnPrimaryTagKey"
},
```
------
1. Emilyは、さらに 2 つのスクリプトを使用して、`PrimaryPatchGroupTag` パラメータで指定された個々のキー `String` の値とのタグの値を返します。これらのアクションで返された値により、`AWS-RunPatchBaseline` ドキュメントの `Targets` パラメータに直接値を提供できます。その後、`aws:runCommand` アクションを使用する `AWS-RunPatchBaseline` ドキュメントで、インスタンスにパッチを適用しオートメーションが進められます。
------
#### [ YAML ]
```
- name: returnPrimaryTagKey
action: 'aws:executeScript'
timeoutSeconds: 120
onFailure: Abort
inputs:
Runtime: python3.11
Handler: returnTagValues
InputPayload:
primaryTag: '{{PrimaryPatchGroupTag}}'
Script: |-
def returnTagValues(events,context):
tag = events['primaryTag']
tagKey = list(tag)[0]
stringKey = "tag:" + tagKey
return {'tagKey' : stringKey}
outputs:
- Name: Payload
Selector: $.Payload
Type: StringMap
- Name: primaryPatchGroupKey
Selector: $.Payload.tagKey
Type: String
nextStep: returnPrimaryTagValue
- name: returnPrimaryTagValue
action: 'aws:executeScript'
timeoutSeconds: 120
onFailure: Abort
inputs:
Runtime: python3.11
Handler: returnTagValues
InputPayload:
primaryTag: '{{PrimaryPatchGroupTag}}'
Script: |-
def returnTagValues(events,context):
tag = events['primaryTag']
tagKey = list(tag)[0]
tagValue = tag[tagKey]
return {'tagValue' : tagValue}
outputs:
- Name: Payload
Selector: $.Payload
Type: StringMap
- Name: primaryPatchGroupValue
Selector: $.Payload.tagValue
Type: String
nextStep: patchPrimaryInstances
- name: patchPrimaryInstances
action: 'aws:runCommand'
onFailure: Abort
timeoutSeconds: 7200
inputs:
DocumentName: AWS-RunPatchBaseline
Parameters:
SnapshotId: '{{SnapshotId}}'
RebootOption: '{{RebootOption}}'
Operation: '{{Operation}}'
Targets:
- Key: '{{returnPrimaryTagKey.primaryPatchGroupKey}}'
Values:
- '{{returnPrimaryTagValue.primaryPatchGroupValue}}'
MaxConcurrency: 10%
MaxErrors: 10%
nextStep: returnPrimaryToOriginalState
```
------
#### [ JSON ]
```
{
"name":"returnPrimaryTagKey",
"action":"aws:executeScript",
"timeoutSeconds":120,
"onFailure":"Abort",
"inputs":{
"Runtime":"python3.11",
"Handler":"returnTagValues",
"InputPayload":{
"primaryTag":"{{PrimaryPatchGroupTag}}"
},
"Script":"..."
},
"outputs":[
{
"Name":"Payload",
"Selector":"$.Payload",
"Type":"StringMap"
},
{
"Name":"primaryPatchGroupKey",
"Selector":"$.Payload.tagKey",
"Type":"String"
}
],
"nextStep":"returnPrimaryTagValue"
},
{
"name":"returnPrimaryTagValue",
"action":"aws:executeScript",
"timeoutSeconds":120,
"onFailure":"Abort",
"inputs":{
"Runtime":"python3.11",
"Handler":"returnTagValues",
"InputPayload":{
"primaryTag":"{{PrimaryPatchGroupTag}}"
},
"Script":"..."
},
"outputs":[
{
"Name":"Payload",
"Selector":"$.Payload",
"Type":"StringMap"
},
{
"Name":"primaryPatchGroupValue",
"Selector":"$.Payload.tagValue",
"Type":"String"
}
],
"nextStep":"patchPrimaryInstances"
},
{
"name":"patchPrimaryInstances",
"action":"aws:runCommand",
"onFailure":"Abort",
"timeoutSeconds":7200,
"inputs":{
"DocumentName":"AWS-RunPatchBaseline",
"Parameters":{
"SnapshotId":"{{SnapshotId}}",
"RebootOption":"{{RebootOption}}",
"Operation":"{{Operation}}"
},
"Targets":[
{
"Key":"{{returnPrimaryTagKey.primaryPatchGroupKey}}",
"Values":[
"{{returnPrimaryTagValue.primaryPatchGroupValue}}"
]
}
],
"MaxConcurrency":"10%",
"MaxErrors":"10%"
},
"nextStep":"returnPrimaryToOriginalState"
},
```
------
1. パッチ適用操作が完了した後、Emily はオートメーションが、`PrimaryPatchGroupTag` パラメータで指定したタグに関連付けられたターゲットインスタンスを、オートメーション開始前と同じ状態に戻すようにしたいと考えています。これは、スクリプトの最初のアクションでの出力を再び使用して行います。ターゲットインスタンスの元の状態に基づいて、インスタンスが以前 `running` 以外の状態にあった場合、インスタンスは停止します。インスタンスの状態が `running` であれば、スクリプトは残りのインスタンスをループし続けます。
------
#### [ YAML ]
```
- name: returnPrimaryToOriginalState
action: 'aws:executeScript'
timeoutSeconds: 600
onFailure: Abort
inputs:
Runtime: python3.11
Handler: returnToOriginalState
InputPayload:
targetInstances: '{{getPrimaryInstanceState.originalInstanceStates}}'
Script: |-
def returnToOriginalState(events,context):
import boto3
#Initialize client
ec2 = boto3.client('ec2')
instanceDict = events['targetInstances']
for instance in instanceDict:
if instanceDict[instance] == 'stopped' or instanceDict[instance] == 'stopping':
ec2.stop_instances(
InstanceIds=[instance]
)
else:
pass
nextStep: getSecondaryInstanceState
```
------
#### [ JSON ]
```
{
"name":"returnPrimaryToOriginalState",
"action":"aws:executeScript",
"timeoutSeconds":600,
"onFailure":"Abort",
"inputs":{
"Runtime":"python3.11",
"Handler":"returnToOriginalState",
"InputPayload":{
"targetInstances":"{{getPrimaryInstanceState.originalInstanceStates}}"
},
"Script":"..."
},
"nextStep":"getSecondaryInstanceState"
},
```
------
1. `PrimaryPatchGroupTag` パラメータで指定したタグに関連付けられたインスタンスのパッチ適用操作は完了しました。これで、Emily はランブックコンテンツ内の以前のアクションをすべて複製し、`SecondaryPatchGroupTag` パラメータで指定したタグに関連付けられたインスタンスをターゲットにできるようになりました。
------
#### [ YAML ]
```
- name: getSecondaryInstanceState
action: 'aws:executeScript'
timeoutSeconds: 120
onFailure: Abort
inputs:
Runtime: python3.11
Handler: getInstanceStates
InputPayload:
secondaryTag: '{{SecondaryPatchGroupTag}}'
Script: |-
def getInstanceStates(events,context):
import boto3
#Initialize client
ec2 = boto3.client('ec2')
tag = events['secondaryTag']
tagKey, tagValue = list(tag.items())[0]
instanceQuery = ec2.describe_instances(
Filters=[
{
"Name": "tag:" + tagKey,
"Values": [tagValue]
}]
)
if not instanceQuery['Reservations']:
noInstancesForTagString = "No instances found for specified tag."
return({ 'noInstancesFound' : noInstancesForTagString })
else:
queryResponse = instanceQuery['Reservations']
originalInstanceStates = {}
for results in queryResponse:
instanceSet = results['Instances']
for instance in instanceSet:
instanceId = instance['InstanceId']
originalInstanceStates[instanceId] = instance['State']['Name']
return originalInstanceStates
outputs:
- Name: originalInstanceStates
Selector: $.Payload
Type: StringMap
nextStep: verifySecondaryInstancesRunning
- name: verifySecondaryInstancesRunning
action: 'aws:executeScript'
timeoutSeconds: 600
onFailure: Abort
inputs:
Runtime: python3.11
Handler: verifyInstancesRunning
InputPayload:
targetInstances: '{{getSecondaryInstanceState.originalInstanceStates}}'
Script: |-
def verifyInstancesRunning(events,context):
import boto3
#Initialize client
ec2 = boto3.client('ec2')
instanceDict = events['targetInstances']
for instance in instanceDict:
if instanceDict[instance] == 'stopped':
print("The target instance " + instance + " is stopped. The instance will now be started.")
ec2.start_instances(
InstanceIds=[instance]
)
elif instanceDict[instance] == 'stopping':
print("The target instance " + instance + " is stopping. Polling for instance to reach stopped state.")
while instanceDict[instance] != 'stopped':
poll = ec2.get_waiter('instance_stopped')
poll.wait(
InstanceIds=[instance]
)
ec2.start_instances(
InstanceIds=[instance]
)
else:
pass
nextStep: waitForSecondaryRunningInstances
- name: waitForSecondaryRunningInstances
action: 'aws:executeScript'
timeoutSeconds: 300
onFailure: Abort
inputs:
Runtime: python3.11
Handler: waitForRunningInstances
InputPayload:
targetInstances: '{{getSecondaryInstanceState.originalInstanceStates}}'
Script: |-
def waitForRunningInstances(events,context):
import boto3
#Initialize client
ec2 = boto3.client('ec2')
instanceDict = events['targetInstances']
for instance in instanceDict:
poll = ec2.get_waiter('instance_running')
poll.wait(
InstanceIds=[instance]
)
nextStep: returnSecondaryTagKey
- name: returnSecondaryTagKey
action: 'aws:executeScript'
timeoutSeconds: 120
onFailure: Abort
inputs:
Runtime: python3.11
Handler: returnTagValues
InputPayload:
secondaryTag: '{{SecondaryPatchGroupTag}}'
Script: |-
def returnTagValues(events,context):
tag = events['secondaryTag']
tagKey = list(tag)[0]
stringKey = "tag:" + tagKey
return {'tagKey' : stringKey}
outputs:
- Name: Payload
Selector: $.Payload
Type: StringMap
- Name: secondaryPatchGroupKey
Selector: $.Payload.tagKey
Type: String
nextStep: returnSecondaryTagValue
- name: returnSecondaryTagValue
action: 'aws:executeScript'
timeoutSeconds: 120
onFailure: Abort
inputs:
Runtime: python3.11
Handler: returnTagValues
InputPayload:
secondaryTag: '{{SecondaryPatchGroupTag}}'
Script: |-
def returnTagValues(events,context):
tag = events['secondaryTag']
tagKey = list(tag)[0]
tagValue = tag[tagKey]
return {'tagValue' : tagValue}
outputs:
- Name: Payload
Selector: $.Payload
Type: StringMap
- Name: secondaryPatchGroupValue
Selector: $.Payload.tagValue
Type: String
nextStep: patchSecondaryInstances
- name: patchSecondaryInstances
action: 'aws:runCommand'
onFailure: Abort
timeoutSeconds: 7200
inputs:
DocumentName: AWS-RunPatchBaseline
Parameters:
SnapshotId: '{{SnapshotId}}'
RebootOption: '{{RebootOption}}'
Operation: '{{Operation}}'
Targets:
- Key: '{{returnSecondaryTagKey.secondaryPatchGroupKey}}'
Values:
- '{{returnSecondaryTagValue.secondaryPatchGroupValue}}'
MaxConcurrency: 10%
MaxErrors: 10%
nextStep: returnSecondaryToOriginalState
- name: returnSecondaryToOriginalState
action: 'aws:executeScript'
timeoutSeconds: 600
onFailure: Abort
inputs:
Runtime: python3.11
Handler: returnToOriginalState
InputPayload:
targetInstances: '{{getSecondaryInstanceState.originalInstanceStates}}'
Script: |-
def returnToOriginalState(events,context):
import boto3
#Initialize client
ec2 = boto3.client('ec2')
instanceDict = events['targetInstances']
for instance in instanceDict:
if instanceDict[instance] == 'stopped' or instanceDict[instance] == 'stopping':
ec2.stop_instances(
InstanceIds=[instance]
)
else:
pass
```
------
#### [ JSON ]
```
{
"name":"getSecondaryInstanceState",
"action":"aws:executeScript",
"timeoutSeconds":120,
"onFailure":"Abort",
"inputs":{
"Runtime":"python3.11",
"Handler":"getInstanceStates",
"InputPayload":{
"secondaryTag":"{{SecondaryPatchGroupTag}}"
},
"Script":"..."
},
"outputs":[
{
"Name":"originalInstanceStates",
"Selector":"$.Payload",
"Type":"StringMap"
}
],
"nextStep":"verifySecondaryInstancesRunning"
},
{
"name":"verifySecondaryInstancesRunning",
"action":"aws:executeScript",
"timeoutSeconds":600,
"onFailure":"Abort",
"inputs":{
"Runtime":"python3.11",
"Handler":"verifyInstancesRunning",
"InputPayload":{
"targetInstances":"{{getSecondaryInstanceState.originalInstanceStates}}"
},
"Script":"..."
},
"nextStep":"waitForSecondaryRunningInstances"
},
{
"name":"waitForSecondaryRunningInstances",
"action":"aws:executeScript",
"timeoutSeconds":300,
"onFailure":"Abort",
"inputs":{
"Runtime":"python3.11",
"Handler":"waitForRunningInstances",
"InputPayload":{
"targetInstances":"{{getSecondaryInstanceState.originalInstanceStates}}"
},
"Script":"..."
},
"nextStep":"returnSecondaryTagKey"
},
{
"name":"returnSecondaryTagKey",
"action":"aws:executeScript",
"timeoutSeconds":120,
"onFailure":"Abort",
"inputs":{
"Runtime":"python3.11",
"Handler":"returnTagValues",
"InputPayload":{
"secondaryTag":"{{SecondaryPatchGroupTag}}"
},
"Script":"..."
},
"outputs":[
{
"Name":"Payload",
"Selector":"$.Payload",
"Type":"StringMap"
},
{
"Name":"secondaryPatchGroupKey",
"Selector":"$.Payload.tagKey",
"Type":"String"
}
],
"nextStep":"returnSecondaryTagValue"
},
{
"name":"returnSecondaryTagValue",
"action":"aws:executeScript",
"timeoutSeconds":120,
"onFailure":"Abort",
"inputs":{
"Runtime":"python3.11",
"Handler":"returnTagValues",
"InputPayload":{
"secondaryTag":"{{SecondaryPatchGroupTag}}"
},
"Script":"..."
},
"outputs":[
{
"Name":"Payload",
"Selector":"$.Payload",
"Type":"StringMap"
},
{
"Name":"secondaryPatchGroupValue",
"Selector":"$.Payload.tagValue",
"Type":"String"
}
],
"nextStep":"patchSecondaryInstances"
},
{
"name":"patchSecondaryInstances",
"action":"aws:runCommand",
"onFailure":"Abort",
"timeoutSeconds":7200,
"inputs":{
"DocumentName":"AWS-RunPatchBaseline",
"Parameters":{
"SnapshotId":"{{SnapshotId}}",
"RebootOption":"{{RebootOption}}",
"Operation":"{{Operation}}"
},
"Targets":[
{
"Key":"{{returnSecondaryTagKey.secondaryPatchGroupKey}}",
"Values":[
"{{returnSecondaryTagValue.secondaryPatchGroupValue}}"
]
}
],
"MaxConcurrency":"10%",
"MaxErrors":"10%"
},
"nextStep":"returnSecondaryToOriginalState"
},
{
"name":"returnSecondaryToOriginalState",
"action":"aws:executeScript",
"timeoutSeconds":600,
"onFailure":"Abort",
"inputs":{
"Runtime":"python3.11",
"Handler":"returnToOriginalState",
"InputPayload":{
"targetInstances":"{{getSecondaryInstanceState.originalInstanceStates}}"
},
"Script":"..."
}
}
]
}
```
------
1. Emily は完成したスクリプトのランブックコンテンツをレビューし、ターゲットインスタンスと同じ AWS アカウント と AWS リージョン でランブックを作成します。これで、ランブックをテストして、オートメーションが希望どおりに動作していることを確認してから、本番環境に実装する準備が整いました。以下は、完成したスクリプト化されたランブックコンテンツです。
------
#### [ YAML ]
```
description: An example of an Automation runbook that patches groups of Amazon EC2 instances in stages.
schemaVersion: '0.3'
assumeRole: '{{AutomationAssumeRole}}'
parameters:
AutomationAssumeRole:
type: String
description: '(Required) The Amazon Resource Name (ARN) of the IAM role that allows Automation to perform the actions on your behalf. If no role is specified, Systems Manager Automation uses your IAM permissions to operate this runbook.'
PrimaryPatchGroupTag:
type: StringMap
description: '(Required) The tag for the primary group of instances you want to patch. Specify a key-value pair. Example: {"key" : "value"}'
SecondaryPatchGroupTag:
type: StringMap
description: '(Required) The tag for the secondary group of instances you want to patch. Specify a key-value pair. Example: {"key" : "value"}'
SnapshotId:
type: String
description: '(Optional) The snapshot ID to use to retrieve a patch baseline snapshot.'
default: ''
RebootOption:
type: String
description: '(Optional) Reboot behavior after a patch Install operation. If you choose NoReboot and patches are installed, the instance is marked as non-compliant until a subsequent reboot and scan.'
allowedValues:
- NoReboot
- RebootIfNeeded
default: RebootIfNeeded
Operation:
type: String
description: '(Optional) The update or configuration to perform on the instance. The system checks if patches specified in the patch baseline are installed on the instance. The install operation installs patches missing from the baseline.'
allowedValues:
- Install
- Scan
default: Install
mainSteps:
- name: getPrimaryInstanceState
action: 'aws:executeScript'
timeoutSeconds: 120
onFailure: Abort
inputs:
Runtime: python3.11
Handler: getInstanceStates
InputPayload:
primaryTag: '{{PrimaryPatchGroupTag}}'
Script: |-
def getInstanceStates(events,context):
import boto3
#Initialize client
ec2 = boto3.client('ec2')
tag = events['primaryTag']
tagKey, tagValue = list(tag.items())[0]
instanceQuery = ec2.describe_instances(
Filters=[
{
"Name": "tag:" + tagKey,
"Values": [tagValue]
}]
)
if not instanceQuery['Reservations']:
noInstancesForTagString = "No instances found for specified tag."
return({ 'noInstancesFound' : noInstancesForTagString })
else:
queryResponse = instanceQuery['Reservations']
originalInstanceStates = {}
for results in queryResponse:
instanceSet = results['Instances']
for instance in instanceSet:
instanceId = instance['InstanceId']
originalInstanceStates[instanceId] = instance['State']['Name']
return originalInstanceStates
outputs:
- Name: originalInstanceStates
Selector: $.Payload
Type: StringMap
nextStep: verifyPrimaryInstancesRunning
- name: verifyPrimaryInstancesRunning
action: 'aws:executeScript'
timeoutSeconds: 600
onFailure: Abort
inputs:
Runtime: python3.11
Handler: verifyInstancesRunning
InputPayload:
targetInstances: '{{getPrimaryInstanceState.originalInstanceStates}}'
Script: |-
def verifyInstancesRunning(events,context):
import boto3
#Initialize client
ec2 = boto3.client('ec2')
instanceDict = events['targetInstances']
for instance in instanceDict:
if instanceDict[instance] == 'stopped':
print("The target instance " + instance + " is stopped. The instance will now be started.")
ec2.start_instances(
InstanceIds=[instance]
)
elif instanceDict[instance] == 'stopping':
print("The target instance " + instance + " is stopping. Polling for instance to reach stopped state.")
while instanceDict[instance] != 'stopped':
poll = ec2.get_waiter('instance_stopped')
poll.wait(
InstanceIds=[instance]
)
ec2.start_instances(
InstanceIds=[instance]
)
else:
pass
nextStep: waitForPrimaryRunningInstances
- name: waitForPrimaryRunningInstances
action: 'aws:executeScript'
timeoutSeconds: 300
onFailure: Abort
inputs:
Runtime: python3.11
Handler: waitForRunningInstances
InputPayload:
targetInstances: '{{getPrimaryInstanceState.originalInstanceStates}}'
Script: |-
def waitForRunningInstances(events,context):
import boto3
#Initialize client
ec2 = boto3.client('ec2')
instanceDict = events['targetInstances']
for instance in instanceDict:
poll = ec2.get_waiter('instance_running')
poll.wait(
InstanceIds=[instance]
)
nextStep: returnPrimaryTagKey
- name: returnPrimaryTagKey
action: 'aws:executeScript'
timeoutSeconds: 120
onFailure: Abort
inputs:
Runtime: python3.11
Handler: returnTagValues
InputPayload:
primaryTag: '{{PrimaryPatchGroupTag}}'
Script: |-
def returnTagValues(events,context):
tag = events['primaryTag']
tagKey = list(tag)[0]
stringKey = "tag:" + tagKey
return {'tagKey' : stringKey}
outputs:
- Name: Payload
Selector: $.Payload
Type: StringMap
- Name: primaryPatchGroupKey
Selector: $.Payload.tagKey
Type: String
nextStep: returnPrimaryTagValue
- name: returnPrimaryTagValue
action: 'aws:executeScript'
timeoutSeconds: 120
onFailure: Abort
inputs:
Runtime: python3.11
Handler: returnTagValues
InputPayload:
primaryTag: '{{PrimaryPatchGroupTag}}'
Script: |-
def returnTagValues(events,context):
tag = events['primaryTag']
tagKey = list(tag)[0]
tagValue = tag[tagKey]
return {'tagValue' : tagValue}
outputs:
- Name: Payload
Selector: $.Payload
Type: StringMap
- Name: primaryPatchGroupValue
Selector: $.Payload.tagValue
Type: String
nextStep: patchPrimaryInstances
- name: patchPrimaryInstances
action: 'aws:runCommand'
onFailure: Abort
timeoutSeconds: 7200
inputs:
DocumentName: AWS-RunPatchBaseline
Parameters:
SnapshotId: '{{SnapshotId}}'
RebootOption: '{{RebootOption}}'
Operation: '{{Operation}}'
Targets:
- Key: '{{returnPrimaryTagKey.primaryPatchGroupKey}}'
Values:
- '{{returnPrimaryTagValue.primaryPatchGroupValue}}'
MaxConcurrency: 10%
MaxErrors: 10%
nextStep: returnPrimaryToOriginalState
- name: returnPrimaryToOriginalState
action: 'aws:executeScript'
timeoutSeconds: 600
onFailure: Abort
inputs:
Runtime: python3.11
Handler: returnToOriginalState
InputPayload:
targetInstances: '{{getPrimaryInstanceState.originalInstanceStates}}'
Script: |-
def returnToOriginalState(events,context):
import boto3
#Initialize client
ec2 = boto3.client('ec2')
instanceDict = events['targetInstances']
for instance in instanceDict:
if instanceDict[instance] == 'stopped' or instanceDict[instance] == 'stopping':
ec2.stop_instances(
InstanceIds=[instance]
)
else:
pass
nextStep: getSecondaryInstanceState
- name: getSecondaryInstanceState
action: 'aws:executeScript'
timeoutSeconds: 120
onFailure: Abort
inputs:
Runtime: python3.11
Handler: getInstanceStates
InputPayload:
secondaryTag: '{{SecondaryPatchGroupTag}}'
Script: |-
def getInstanceStates(events,context):
import boto3
#Initialize client
ec2 = boto3.client('ec2')
tag = events['secondaryTag']
tagKey, tagValue = list(tag.items())[0]
instanceQuery = ec2.describe_instances(
Filters=[
{
"Name": "tag:" + tagKey,
"Values": [tagValue]
}]
)
if not instanceQuery['Reservations']:
noInstancesForTagString = "No instances found for specified tag."
return({ 'noInstancesFound' : noInstancesForTagString })
else:
queryResponse = instanceQuery['Reservations']
originalInstanceStates = {}
for results in queryResponse:
instanceSet = results['Instances']
for instance in instanceSet:
instanceId = instance['InstanceId']
originalInstanceStates[instanceId] = instance['State']['Name']
return originalInstanceStates
outputs:
- Name: originalInstanceStates
Selector: $.Payload
Type: StringMap
nextStep: verifySecondaryInstancesRunning
- name: verifySecondaryInstancesRunning
action: 'aws:executeScript'
timeoutSeconds: 600
onFailure: Abort
inputs:
Runtime: python3.11
Handler: verifyInstancesRunning
InputPayload:
targetInstances: '{{getSecondaryInstanceState.originalInstanceStates}}'
Script: |-
def verifyInstancesRunning(events,context):
import boto3
#Initialize client
ec2 = boto3.client('ec2')
instanceDict = events['targetInstances']
for instance in instanceDict:
if instanceDict[instance] == 'stopped':
print("The target instance " + instance + " is stopped. The instance will now be started.")
ec2.start_instances(
InstanceIds=[instance]
)
elif instanceDict[instance] == 'stopping':
print("The target instance " + instance + " is stopping. Polling for instance to reach stopped state.")
while instanceDict[instance] != 'stopped':
poll = ec2.get_waiter('instance_stopped')
poll.wait(
InstanceIds=[instance]
)
ec2.start_instances(
InstanceIds=[instance]
)
else:
pass
nextStep: waitForSecondaryRunningInstances
- name: waitForSecondaryRunningInstances
action: 'aws:executeScript'
timeoutSeconds: 300
onFailure: Abort
inputs:
Runtime: python3.11
Handler: waitForRunningInstances
InputPayload:
targetInstances: '{{getSecondaryInstanceState.originalInstanceStates}}'
Script: |-
def waitForRunningInstances(events,context):
import boto3
#Initialize client
ec2 = boto3.client('ec2')
instanceDict = events['targetInstances']
for instance in instanceDict:
poll = ec2.get_waiter('instance_running')
poll.wait(
InstanceIds=[instance]
)
nextStep: returnSecondaryTagKey
- name: returnSecondaryTagKey
action: 'aws:executeScript'
timeoutSeconds: 120
onFailure: Abort
inputs:
Runtime: python3.11
Handler: returnTagValues
InputPayload:
secondaryTag: '{{SecondaryPatchGroupTag}}'
Script: |-
def returnTagValues(events,context):
tag = events['secondaryTag']
tagKey = list(tag)[0]
stringKey = "tag:" + tagKey
return {'tagKey' : stringKey}
outputs:
- Name: Payload
Selector: $.Payload
Type: StringMap
- Name: secondaryPatchGroupKey
Selector: $.Payload.tagKey
Type: String
nextStep: returnSecondaryTagValue
- name: returnSecondaryTagValue
action: 'aws:executeScript'
timeoutSeconds: 120
onFailure: Abort
inputs:
Runtime: python3.11
Handler: returnTagValues
InputPayload:
secondaryTag: '{{SecondaryPatchGroupTag}}'
Script: |-
def returnTagValues(events,context):
tag = events['secondaryTag']
tagKey = list(tag)[0]
tagValue = tag[tagKey]
return {'tagValue' : tagValue}
outputs:
- Name: Payload
Selector: $.Payload
Type: StringMap
- Name: secondaryPatchGroupValue
Selector: $.Payload.tagValue
Type: String
nextStep: patchSecondaryInstances
- name: patchSecondaryInstances
action: 'aws:runCommand'
onFailure: Abort
timeoutSeconds: 7200
inputs:
DocumentName: AWS-RunPatchBaseline
Parameters:
SnapshotId: '{{SnapshotId}}'
RebootOption: '{{RebootOption}}'
Operation: '{{Operation}}'
Targets:
- Key: '{{returnSecondaryTagKey.secondaryPatchGroupKey}}'
Values:
- '{{returnSecondaryTagValue.secondaryPatchGroupValue}}'
MaxConcurrency: 10%
MaxErrors: 10%
nextStep: returnSecondaryToOriginalState
- name: returnSecondaryToOriginalState
action: 'aws:executeScript'
timeoutSeconds: 600
onFailure: Abort
inputs:
Runtime: python3.11
Handler: returnToOriginalState
InputPayload:
targetInstances: '{{getSecondaryInstanceState.originalInstanceStates}}'
Script: |-
def returnToOriginalState(events,context):
import boto3
#Initialize client
ec2 = boto3.client('ec2')
instanceDict = events['targetInstances']
for instance in instanceDict:
if instanceDict[instance] == 'stopped' or instanceDict[instance] == 'stopping':
ec2.stop_instances(
InstanceIds=[instance]
)
else:
pass
```
------
#### [ JSON ]
```
{
"description":"An example of an Automation runbook that patches groups of Amazon EC2 instances in stages.",
"schemaVersion":"0.3",
"assumeRole":"{{AutomationAssumeRole}}",
"parameters":{
"AutomationAssumeRole":{
"type":"String",
"description":"(Required) The Amazon Resource Name (ARN) of the IAM role that allows Automation to perform the actions on your behalf. If no role is specified, Systems Manager Automation uses your IAM permissions to operate this runbook."
},
"PrimaryPatchGroupTag":{
"type":"StringMap",
"description":"(Required) The tag for the primary group of instances you want to patch. Specify a key-value pair. Example: {\"key\" : \"value\"}"
},
"SecondaryPatchGroupTag":{
"type":"StringMap",
"description":"(Required) The tag for the secondary group of instances you want to patch. Specify a key-value pair. Example: {\"key\" : \"value\"}"
},
"SnapshotId":{
"type":"String",
"description":"(Optional) The snapshot ID to use to retrieve a patch baseline snapshot.",
"default":""
},
"RebootOption":{
"type":"String",
"description":"(Optional) Reboot behavior after a patch Install operation. If you choose NoReboot and patches are installed, the instance is marked as non-compliant until a subsequent reboot and scan.",
"allowedValues":[
"NoReboot",
"RebootIfNeeded"
],
"default":"RebootIfNeeded"
},
"Operation":{
"type":"String",
"description":"(Optional) The update or configuration to perform on the instance. The system checks if patches specified in the patch baseline are installed on the instance. The install operation installs patches missing from the baseline.",
"allowedValues":[
"Install",
"Scan"
],
"default":"Install"
}
},
"mainSteps":[
{
"name":"getPrimaryInstanceState",
"action":"aws:executeScript",
"timeoutSeconds":120,
"onFailure":"Abort",
"inputs":{
"Runtime":"python3.11",
"Handler":"getInstanceStates",
"InputPayload":{
"primaryTag":"{{PrimaryPatchGroupTag}}"
},
"Script":"..."
},
"outputs":[
{
"Name":"originalInstanceStates",
"Selector":"$.Payload",
"Type":"StringMap"
}
],
"nextStep":"verifyPrimaryInstancesRunning"
},
{
"name":"verifyPrimaryInstancesRunning",
"action":"aws:executeScript",
"timeoutSeconds":600,
"onFailure":"Abort",
"inputs":{
"Runtime":"python3.11",
"Handler":"verifyInstancesRunning",
"InputPayload":{
"targetInstances":"{{getPrimaryInstanceState.originalInstanceStates}}"
},
"Script":"..."
},
"nextStep":"waitForPrimaryRunningInstances"
},
{
"name":"waitForPrimaryRunningInstances",
"action":"aws:executeScript",
"timeoutSeconds":300,
"onFailure":"Abort",
"inputs":{
"Runtime":"python3.11",
"Handler":"waitForRunningInstances",
"InputPayload":{
"targetInstances":"{{getPrimaryInstanceState.originalInstanceStates}}"
},
"Script":"..."
},
"nextStep":"returnPrimaryTagKey"
},
{
"name":"returnPrimaryTagKey",
"action":"aws:executeScript",
"timeoutSeconds":120,
"onFailure":"Abort",
"inputs":{
"Runtime":"python3.11",
"Handler":"returnTagValues",
"InputPayload":{
"primaryTag":"{{PrimaryPatchGroupTag}}"
},
"Script":"..."
},
"outputs":[
{
"Name":"Payload",
"Selector":"$.Payload",
"Type":"StringMap"
},
{
"Name":"primaryPatchGroupKey",
"Selector":"$.Payload.tagKey",
"Type":"String"
}
],
"nextStep":"returnPrimaryTagValue"
},
{
"name":"returnPrimaryTagValue",
"action":"aws:executeScript",
"timeoutSeconds":120,
"onFailure":"Abort",
"inputs":{
"Runtime":"python3.11",
"Handler":"returnTagValues",
"InputPayload":{
"primaryTag":"{{PrimaryPatchGroupTag}}"
},
"Script":"..."
},
"outputs":[
{
"Name":"Payload",
"Selector":"$.Payload",
"Type":"StringMap"
},
{
"Name":"primaryPatchGroupValue",
"Selector":"$.Payload.tagValue",
"Type":"String"
}
],
"nextStep":"patchPrimaryInstances"
},
{
"name":"patchPrimaryInstances",
"action":"aws:runCommand",
"onFailure":"Abort",
"timeoutSeconds":7200,
"inputs":{
"DocumentName":"AWS-RunPatchBaseline",
"Parameters":{
"SnapshotId":"{{SnapshotId}}",
"RebootOption":"{{RebootOption}}",
"Operation":"{{Operation}}"
},
"Targets":[
{
"Key":"{{returnPrimaryTagKey.primaryPatchGroupKey}}",
"Values":[
"{{returnPrimaryTagValue.primaryPatchGroupValue}}"
]
}
],
"MaxConcurrency":"10%",
"MaxErrors":"10%"
},
"nextStep":"returnPrimaryToOriginalState"
},
{
"name":"returnPrimaryToOriginalState",
"action":"aws:executeScript",
"timeoutSeconds":600,
"onFailure":"Abort",
"inputs":{
"Runtime":"python3.11",
"Handler":"returnToOriginalState",
"InputPayload":{
"targetInstances":"{{getPrimaryInstanceState.originalInstanceStates}}"
},
"Script":"..."
},
"nextStep":"getSecondaryInstanceState"
},
{
"name":"getSecondaryInstanceState",
"action":"aws:executeScript",
"timeoutSeconds":120,
"onFailure":"Abort",
"inputs":{
"Runtime":"python3.11",
"Handler":"getInstanceStates",
"InputPayload":{
"secondaryTag":"{{SecondaryPatchGroupTag}}"
},
"Script":"..."
},
"outputs":[
{
"Name":"originalInstanceStates",
"Selector":"$.Payload",
"Type":"StringMap"
}
],
"nextStep":"verifySecondaryInstancesRunning"
},
{
"name":"verifySecondaryInstancesRunning",
"action":"aws:executeScript",
"timeoutSeconds":600,
"onFailure":"Abort",
"inputs":{
"Runtime":"python3.11",
"Handler":"verifyInstancesRunning",
"InputPayload":{
"targetInstances":"{{getSecondaryInstanceState.originalInstanceStates}}"
},
"Script":"..."
},
"nextStep":"waitForSecondaryRunningInstances"
},
{
"name":"waitForSecondaryRunningInstances",
"action":"aws:executeScript",
"timeoutSeconds":300,
"onFailure":"Abort",
"inputs":{
"Runtime":"python3.11",
"Handler":"waitForRunningInstances",
"InputPayload":{
"targetInstances":"{{getSecondaryInstanceState.originalInstanceStates}}"
},
"Script":"..."
},
"nextStep":"returnSecondaryTagKey"
},
{
"name":"returnSecondaryTagKey",
"action":"aws:executeScript",
"timeoutSeconds":120,
"onFailure":"Abort",
"inputs":{
"Runtime":"python3.11",
"Handler":"returnTagValues",
"InputPayload":{
"secondaryTag":"{{SecondaryPatchGroupTag}}"
},
"Script":"..."
},
"outputs":[
{
"Name":"Payload",
"Selector":"$.Payload",
"Type":"StringMap"
},
{
"Name":"secondaryPatchGroupKey",
"Selector":"$.Payload.tagKey",
"Type":"String"
}
],
"nextStep":"returnSecondaryTagValue"
},
{
"name":"returnSecondaryTagValue",
"action":"aws:executeScript",
"timeoutSeconds":120,
"onFailure":"Abort",
"inputs":{
"Runtime":"python3.11",
"Handler":"returnTagValues",
"InputPayload":{
"secondaryTag":"{{SecondaryPatchGroupTag}}"
},
"Script":"..."
},
"outputs":[
{
"Name":"Payload",
"Selector":"$.Payload",
"Type":"StringMap"
},
{
"Name":"secondaryPatchGroupValue",
"Selector":"$.Payload.tagValue",
"Type":"String"
}
],
"nextStep":"patchSecondaryInstances"
},
{
"name":"patchSecondaryInstances",
"action":"aws:runCommand",
"onFailure":"Abort",
"timeoutSeconds":7200,
"inputs":{
"DocumentName":"AWS-RunPatchBaseline",
"Parameters":{
"SnapshotId":"{{SnapshotId}}",
"RebootOption":"{{RebootOption}}",
"Operation":"{{Operation}}"
},
"Targets":[
{
"Key":"{{returnSecondaryTagKey.secondaryPatchGroupKey}}",
"Values":[
"{{returnSecondaryTagValue.secondaryPatchGroupValue}}"
]
}
],
"MaxConcurrency":"10%",
"MaxErrors":"10%"
},
"nextStep":"returnSecondaryToOriginalState"
},
{
"name":"returnSecondaryToOriginalState",
"action":"aws:executeScript",
"timeoutSeconds":600,
"onFailure":"Abort",
"inputs":{
"Runtime":"python3.11",
"Handler":"returnToOriginalState",
"InputPayload":{
"targetInstances":"{{getSecondaryInstanceState.originalInstanceStates}}"
},
"Script":"..."
}
}
]
}
```
------
この例で使用されているオートメーションアクションの詳細については、「[Systems Manager Automation アクションのリファレンス](automation-actions.md)」を参照してください。
# その他のランブックの例
次のランブック例により、AWS Systems Manager オートメーションアクションを使用して、一般的なデプロイ、トラブルシューティング、および保守タスクを自動化する方法が確認できます。
**注記**
このセクションでは、運用上の特定のニーズをサポートするカスタムランブックを作成する方法を示すために、ランブックの例を提供しています。これらのランブックは、本番環境での使用を目的としていません。ただし、ユーザー自身で使用するためにカスタマイズすることはできます。
**Topics**
+ [VPC アーキテクチャと Microsoft Active Directory ドメインコントローラーのデプロイ](automation-document-architecture-deployment-example.md)
+ [最新のスナップショットからルートボリュームを復元する](automation-document-instance-recovery-example.md)
+ [AMI とクロスリージョンコピーの作成](automation-document-backup-maintenance-example.md)
# VPC アーキテクチャと Microsoft Active Directory ドメインコントローラーのデプロイ
効率を高め、一般的なタスクを標準化するために、デプロイを自動化することができます。これは、定期的に複数のアカウントと に同じアーキテクチャをデプロイする場合に便利ですAWS リージョン また、アーキテクチャのデプロイを自動化することで、アーキテクチャを手動でデプロイするときに発生する人為的エラーの発生率を減らすことができます。AWS Systems Managerオートメーションアクションが、これを実現するのに役立ちます。Automation は AWS Systems Manager のツールです。
次の AWS Systems Manager ランブックの例では、これらのアクションを実行します。
+ ドメインコントローラーとして設定して EC2 インスタンスを起動する際に、Systems Manager Parameter Store を使用して、最新の Windows Server 2016 Amazon Machine Image (AMI) を取得します。Parameter Store は AWS Systems Manager のツールです。
+ `aws:executeAwsApi` オートメーションアクションを使用して、複数の AWS API オペレーションを呼び出して VPC アーキテクチャを作成します。ドメインコントローラーインスタンスはプライベートサブネットで起動され、NAT ゲートウェイを使用してインターネットに接続されます。これにより、インスタンスの SSM Agent は、必要な Systems Manager エンドポイントにアクセスできるようになります。
+ `aws:waitForAwsResourceProperty` オートメーションアクションを使用して、前のアクションによって起動されたインスタンスが `Online` に対してAWS Systems Manager であることを確認します。
+ `aws:runCommand` オートメーションアクションを使用して、Microsoft Active Directory ドメインコントローラーとして起動されるインスタンスを設定します。
------
#### [ YAML ]
```
---
description: Custom Automation Deployment Example
schemaVersion: '0.3'
parameters:
AutomationAssumeRole:
type: String
default: ''
description: >-
(Optional) The ARN of the role that allows Automation to perform the
actions on your behalf. If no role is specified, Systems Manager
Automation uses your IAM permissions to run this runbook.
mainSteps:
- name: getLatestWindowsAmi
action: aws:executeAwsApi
onFailure: Abort
inputs:
Service: ssm
Api: GetParameter
Name: >-
/aws/service/ami-windows-latest/Windows_Server-2016-English-Full-Base
outputs:
- Name: amiId
Selector: $.Parameter.Value
Type: String
nextStep: createSSMInstanceRole
- name: createSSMInstanceRole
action: aws:executeAwsApi
onFailure: Abort
inputs:
Service: iam
Api: CreateRole
AssumeRolePolicyDocument: >-
{"Version": "2012-10-17", "Statement":[{"Effect":"Allow","Principal":{"Service":["ec2.amazonaws.com"]},"Action":["sts:AssumeRole"]}]}
RoleName: sampleSSMInstanceRole
nextStep: attachManagedSSMPolicy
- name: attachManagedSSMPolicy
action: aws:executeAwsApi
onFailure: Abort
inputs:
Service: iam
Api: AttachRolePolicy
PolicyArn: 'arn:aws:iam::aws:policy/service-role/AmazonSSMManagedInstanceCore'
RoleName: sampleSSMInstanceRole
nextStep: createSSMInstanceProfile
- name: createSSMInstanceProfile
action: aws:executeAwsApi
onFailure: Abort
inputs:
Service: iam
Api: CreateInstanceProfile
InstanceProfileName: sampleSSMInstanceRole
outputs:
- Name: instanceProfileArn
Selector: $.InstanceProfile.Arn
Type: String
nextStep: addSSMInstanceRoleToProfile
- name: addSSMInstanceRoleToProfile
action: aws:executeAwsApi
onFailure: Abort
inputs:
Service: iam
Api: AddRoleToInstanceProfile
InstanceProfileName: sampleSSMInstanceRole
RoleName: sampleSSMInstanceRole
nextStep: createVpc
- name: createVpc
action: aws:executeAwsApi
onFailure: Abort
inputs:
Service: ec2
Api: CreateVpc
CidrBlock: 10.0.100.0/22
outputs:
- Name: vpcId
Selector: $.Vpc.VpcId
Type: String
nextStep: getMainRtb
- name: getMainRtb
action: aws:executeAwsApi
onFailure: Abort
inputs:
Service: ec2
Api: DescribeRouteTables
Filters:
- Name: vpc-id
Values:
- '{{ createVpc.vpcId }}'
outputs:
- Name: mainRtbId
Selector: '$.RouteTables[0].RouteTableId'
Type: String
nextStep: verifyMainRtb
- name: verifyMainRtb
action: aws:assertAwsResourceProperty
onFailure: Abort
inputs:
Service: ec2
Api: DescribeRouteTables
RouteTableIds:
- '{{ getMainRtb.mainRtbId }}'
PropertySelector: '$.RouteTables[0].Associations[0].Main'
DesiredValues:
- 'True'
nextStep: createPubSubnet
- name: createPubSubnet
action: aws:executeAwsApi
onFailure: Abort
inputs:
Service: ec2
Api: CreateSubnet
CidrBlock: 10.0.103.0/24
AvailabilityZone: us-west-2c
VpcId: '{{ createVpc.vpcId }}'
outputs:
- Name: pubSubnetId
Selector: $.Subnet.SubnetId
Type: String
nextStep: createPubRtb
- name: createPubRtb
action: aws:executeAwsApi
onFailure: Abort
inputs:
Service: ec2
Api: CreateRouteTable
VpcId: '{{ createVpc.vpcId }}'
outputs:
- Name: pubRtbId
Selector: $.RouteTable.RouteTableId
Type: String
nextStep: createIgw
- name: createIgw
action: aws:executeAwsApi
onFailure: Abort
inputs:
Service: ec2
Api: CreateInternetGateway
outputs:
- Name: igwId
Selector: $.InternetGateway.InternetGatewayId
Type: String
nextStep: attachIgw
- name: attachIgw
action: aws:executeAwsApi
onFailure: Abort
inputs:
Service: ec2
Api: AttachInternetGateway
InternetGatewayId: '{{ createIgw.igwId }}'
VpcId: '{{ createVpc.vpcId }}'
nextStep: allocateEip
- name: allocateEip
action: aws:executeAwsApi
onFailure: Abort
inputs:
Service: ec2
Api: AllocateAddress
Domain: vpc
outputs:
- Name: eipAllocationId
Selector: $.AllocationId
Type: String
nextStep: createNatGw
- name: createNatGw
action: aws:executeAwsApi
onFailure: Abort
inputs:
Service: ec2
Api: CreateNatGateway
AllocationId: '{{ allocateEip.eipAllocationId }}'
SubnetId: '{{ createPubSubnet.pubSubnetId }}'
outputs:
- Name: natGwId
Selector: $.NatGateway.NatGatewayId
Type: String
nextStep: verifyNatGwAvailable
- name: verifyNatGwAvailable
action: aws:waitForAwsResourceProperty
timeoutSeconds: 150
inputs:
Service: ec2
Api: DescribeNatGateways
NatGatewayIds:
- '{{ createNatGw.natGwId }}'
PropertySelector: '$.NatGateways[0].State'
DesiredValues:
- available
nextStep: createNatRoute
- name: createNatRoute
action: aws:executeAwsApi
onFailure: Abort
inputs:
Service: ec2
Api: CreateRoute
DestinationCidrBlock: 0.0.0.0/0
NatGatewayId: '{{ createNatGw.natGwId }}'
RouteTableId: '{{ getMainRtb.mainRtbId }}'
nextStep: createPubRoute
- name: createPubRoute
action: aws:executeAwsApi
onFailure: Abort
inputs:
Service: ec2
Api: CreateRoute
DestinationCidrBlock: 0.0.0.0/0
GatewayId: '{{ createIgw.igwId }}'
RouteTableId: '{{ createPubRtb.pubRtbId }}'
nextStep: setPubSubAssoc
- name: setPubSubAssoc
action: aws:executeAwsApi
onFailure: Abort
inputs:
Service: ec2
Api: AssociateRouteTable
RouteTableId: '{{ createPubRtb.pubRtbId }}'
SubnetId: '{{ createPubSubnet.pubSubnetId }}'
- name: createDhcpOptions
action: aws:executeAwsApi
onFailure: Abort
inputs:
Service: ec2
Api: CreateDhcpOptions
DhcpConfigurations:
- Key: domain-name-servers
Values:
- '10.0.100.50,10.0.101.50'
- Key: domain-name
Values:
- sample.com
outputs:
- Name: dhcpOptionsId
Selector: $.DhcpOptions.DhcpOptionsId
Type: String
nextStep: createDCSubnet1
- name: createDCSubnet1
action: aws:executeAwsApi
onFailure: Abort
inputs:
Service: ec2
Api: CreateSubnet
CidrBlock: 10.0.100.0/24
AvailabilityZone: us-west-2a
VpcId: '{{ createVpc.vpcId }}'
outputs:
- Name: firstSubnetId
Selector: $.Subnet.SubnetId
Type: String
nextStep: createDCSubnet2
- name: createDCSubnet2
action: aws:executeAwsApi
onFailure: Abort
inputs:
Service: ec2
Api: CreateSubnet
CidrBlock: 10.0.101.0/24
AvailabilityZone: us-west-2b
VpcId: '{{ createVpc.vpcId }}'
outputs:
- Name: secondSubnetId
Selector: $.Subnet.SubnetId
Type: String
nextStep: createDCSecGroup
- name: createDCSecGroup
action: aws:executeAwsApi
onFailure: Abort
inputs:
Service: ec2
Api: CreateSecurityGroup
GroupName: SampleDCSecGroup
Description: Security Group for Sample Domain Controllers
VpcId: '{{ createVpc.vpcId }}'
outputs:
- Name: dcSecGroupId
Selector: $.GroupId
Type: String
nextStep: authIngressDCTraffic
- name: authIngressDCTraffic
action: aws:executeAwsApi
onFailure: Abort
inputs:
Service: ec2
Api: AuthorizeSecurityGroupIngress
GroupId: '{{ createDCSecGroup.dcSecGroupId }}'
IpPermissions:
- FromPort: -1
IpProtocol: '-1'
IpRanges:
- CidrIp: 0.0.0.0/0
Description: Allow all traffic between Domain Controllers
nextStep: verifyInstanceProfile
- name: verifyInstanceProfile
action: aws:waitForAwsResourceProperty
maxAttempts: 5
onFailure: Abort
inputs:
Service: iam
Api: ListInstanceProfilesForRole
RoleName: sampleSSMInstanceRole
PropertySelector: '$.InstanceProfiles[0].Arn'
DesiredValues:
- '{{ createSSMInstanceProfile.instanceProfileArn }}'
nextStep: iamEventualConsistency
- name: iamEventualConsistency
action: aws:sleep
inputs:
Duration: PT2M
nextStep: launchDC1
- name: launchDC1
action: aws:executeAwsApi
onFailure: Abort
inputs:
Service: ec2
Api: RunInstances
BlockDeviceMappings:
- DeviceName: /dev/sda1
Ebs:
DeleteOnTermination: true
VolumeSize: 50
VolumeType: gp2
- DeviceName: xvdf
Ebs:
DeleteOnTermination: true
VolumeSize: 100
VolumeType: gp2
IamInstanceProfile:
Arn: '{{ createSSMInstanceProfile.instanceProfileArn }}'
ImageId: '{{ getLatestWindowsAmi.amiId }}'
InstanceType: t2.micro
MaxCount: 1
MinCount: 1
PrivateIpAddress: 10.0.100.50
SecurityGroupIds:
- '{{ createDCSecGroup.dcSecGroupId }}'
SubnetId: '{{ createDCSubnet1.firstSubnetId }}'
TagSpecifications:
- ResourceType: instance
Tags:
- Key: Name
Value: SampleDC1
outputs:
- Name: pdcInstanceId
Selector: '$.Instances[0].InstanceId'
Type: String
nextStep: launchDC2
- name: launchDC2
action: aws:executeAwsApi
onFailure: Abort
inputs:
Service: ec2
Api: RunInstances
BlockDeviceMappings:
- DeviceName: /dev/sda1
Ebs:
DeleteOnTermination: true
VolumeSize: 50
VolumeType: gp2
- DeviceName: xvdf
Ebs:
DeleteOnTermination: true
VolumeSize: 100
VolumeType: gp2
IamInstanceProfile:
Arn: '{{ createSSMInstanceProfile.instanceProfileArn }}'
ImageId: '{{ getLatestWindowsAmi.amiId }}'
InstanceType: t2.micro
MaxCount: 1
MinCount: 1
PrivateIpAddress: 10.0.101.50
SecurityGroupIds:
- '{{ createDCSecGroup.dcSecGroupId }}'
SubnetId: '{{ createDCSubnet2.secondSubnetId }}'
TagSpecifications:
- ResourceType: instance
Tags:
- Key: Name
Value: SampleDC2
outputs:
- Name: adcInstanceId
Selector: '$.Instances[0].InstanceId'
Type: String
nextStep: verifyDCInstanceState
- name: verifyDCInstanceState
action: aws:waitForAwsResourceProperty
inputs:
Service: ec2
Api: DescribeInstanceStatus
IncludeAllInstances: true
InstanceIds:
- '{{ launchDC1.pdcInstanceId }}'
- '{{ launchDC2.adcInstanceId }}'
PropertySelector: '$.InstanceStatuses..InstanceState.Name'
DesiredValues:
- running
nextStep: verifyInstancesOnlineSSM
- name: verifyInstancesOnlineSSM
action: aws:waitForAwsResourceProperty
timeoutSeconds: 600
inputs:
Service: ssm
Api: DescribeInstanceInformation
InstanceInformationFilterList:
- key: InstanceIds
valueSet:
- '{{ launchDC1.pdcInstanceId }}'
- '{{ launchDC2.adcInstanceId }}'
PropertySelector: '$.InstanceInformationList..PingStatus'
DesiredValues:
- Online
nextStep: installADRoles
- name: installADRoles
action: aws:runCommand
inputs:
DocumentName: AWS-RunPowerShellScript
InstanceIds:
- '{{ launchDC1.pdcInstanceId }}'
- '{{ launchDC2.adcInstanceId }}'
Parameters:
commands: |-
try {
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
}
catch {
Write-Error "Failed to install ADDS Role."
}
nextStep: setAdminPassword
- name: setAdminPassword
action: aws:runCommand
inputs:
DocumentName: AWS-RunPowerShellScript
InstanceIds:
- '{{ launchDC1.pdcInstanceId }}'
Parameters:
commands:
- net user Administrator "sampleAdminPass123!"
nextStep: createForest
- name: createForest
action: aws:runCommand
inputs:
DocumentName: AWS-RunPowerShellScript
InstanceIds:
- '{{ launchDC1.pdcInstanceId }}'
Parameters:
commands: |-
$dsrmPass = 'sample123!' | ConvertTo-SecureString -asPlainText -Force
try {
Install-ADDSForest -DomainName "sample.com" -DomainMode 6 -ForestMode 6 -InstallDNS -DatabasePath "D:\NTDS" -SysvolPath "D:\SYSVOL" -SafeModeAdministratorPassword $dsrmPass -Force
}
catch {
Write-Error $_
}
try {
Add-DnsServerForwarder -IPAddress "10.0.100.2"
}
catch {
Write-Error $_
}
nextStep: associateDhcpOptions
- name: associateDhcpOptions
action: aws:executeAwsApi
onFailure: Abort
inputs:
Service: ec2
Api: AssociateDhcpOptions
DhcpOptionsId: '{{ createDhcpOptions.dhcpOptionsId }}'
VpcId: '{{ createVpc.vpcId }}'
nextStep: waitForADServices
- name: waitForADServices
action: aws:sleep
inputs:
Duration: PT1M
nextStep: promoteADC
- name: promoteADC
action: aws:runCommand
inputs:
DocumentName: AWS-RunPowerShellScript
InstanceIds:
- '{{ launchDC2.adcInstanceId }}'
Parameters:
commands: |-
ipconfig /renew
$dsrmPass = 'sample123!' | ConvertTo-SecureString -asPlainText -Force
$domAdminUser = "sample\Administrator"
$domAdminPass = "sampleAdminPass123!" | ConvertTo-SecureString -asPlainText -Force
$domAdminCred = New-Object System.Management.Automation.PSCredential($domAdminUser,$domAdminPass)
try {
Install-ADDSDomainController -DomainName "sample.com" -InstallDNS -DatabasePath "D:\NTDS" -SysvolPath "D:\SYSVOL" -SafeModeAdministratorPassword $dsrmPass -Credential $domAdminCred -Force
}
catch {
Write-Error $_
}
```
------
#### [ JSON ]
```
{
"description": "Custom Automation Deployment Example",
"schemaVersion": "0.3",
"assumeRole": "{{ AutomationAssumeRole }}",
"parameters": {
"AutomationAssumeRole": {
"type": "String",
"description": "(Optional) The ARN of the role that allows Automation to perform the actions on your behalf. If no role is specified, Systems Manager Automation uses your IAM permissions to run this runbook.",
"default": ""
}
},
"mainSteps": [
{
"name": "getLatestWindowsAmi",
"action": "aws:executeAwsApi",
"onFailure": "Abort",
"inputs": {
"Service": "ssm",
"Api": "GetParameter",
"Name": "/aws/service/ami-windows-latest/Windows_Server-2016-English-Full-Base"
},
"outputs": [
{
"Name": "amiId",
"Selector": "$.Parameter.Value",
"Type": "String"
}
],
"nextStep": "createSSMInstanceRole"
},
{
"name": "createSSMInstanceRole",
"action": "aws:executeAwsApi",
"onFailure": "Abort",
"inputs": {
"Service": "iam",
"Api": "CreateRole",
"AssumeRolePolicyDocument": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":[\"ec2.amazonaws.com\"]},\"Action\":[\"sts:AssumeRole\"]}]}",
"RoleName": "sampleSSMInstanceRole"
},
"nextStep": "attachManagedSSMPolicy"
},
{
"name": "attachManagedSSMPolicy",
"action": "aws:executeAwsApi",
"onFailure": "Abort",
"inputs": {
"Service": "iam",
"Api": "AttachRolePolicy",
"PolicyArn": "arn:aws:iam::aws:policy/service-role/AmazonSSMManagedInstanceCore",
"RoleName": "sampleSSMInstanceRole"
},
"nextStep": "createSSMInstanceProfile"
},
{
"name": "createSSMInstanceProfile",
"action":"aws:executeAwsApi",
"onFailure": "Abort",
"inputs": {
"Service": "iam",
"Api": "CreateInstanceProfile",
"InstanceProfileName": "sampleSSMInstanceRole"
},
"outputs": [
{
"Name": "instanceProfileArn",
"Selector": "$.InstanceProfile.Arn",
"Type": "String"
}
],
"nextStep": "addSSMInstanceRoleToProfile"
},
{
"name": "addSSMInstanceRoleToProfile",
"action": "aws:executeAwsApi",
"onFailure": "Abort",
"inputs": {
"Service": "iam",
"Api": "AddRoleToInstanceProfile",
"InstanceProfileName": "sampleSSMInstanceRole",
"RoleName": "sampleSSMInstanceRole"
},
"nextStep": "createVpc"
},
{
"name": "createVpc",
"action": "aws:executeAwsApi",
"onFailure": "Abort",
"inputs": {
"Service": "ec2",
"Api": "CreateVpc",
"CidrBlock": "10.0.100.0/22"
},
"outputs": [
{
"Name": "vpcId",
"Selector": "$.Vpc.VpcId",
"Type": "String"
}
],
"nextStep": "getMainRtb"
},
{
"name": "getMainRtb",
"action": "aws:executeAwsApi",
"onFailure": "Abort",
"inputs": {
"Service": "ec2",
"Api": "DescribeRouteTables",
"Filters": [
{
"Name": "vpc-id",
"Values": ["{{ createVpc.vpcId }}"]
}
]
},
"outputs": [
{
"Name": "mainRtbId",
"Selector": "$.RouteTables[0].RouteTableId",
"Type": "String"
}
],
"nextStep": "verifyMainRtb"
},
{
"name": "verifyMainRtb",
"action": "aws:assertAwsResourceProperty",
"onFailure": "Abort",
"inputs": {
"Service": "ec2",
"Api": "DescribeRouteTables",
"RouteTableIds": ["{{ getMainRtb.mainRtbId }}"],
"PropertySelector": "$.RouteTables[0].Associations[0].Main",
"DesiredValues": ["True"]
},
"nextStep": "createPubSubnet"
},
{
"name": "createPubSubnet",
"action": "aws:executeAwsApi",
"onFailure": "Abort",
"inputs": {
"Service": "ec2",
"Api": "CreateSubnet",
"CidrBlock": "10.0.103.0/24",
"AvailabilityZone": "us-west-2c",
"VpcId": "{{ createVpc.vpcId }}"
},
"outputs":[
{
"Name": "pubSubnetId",
"Selector": "$.Subnet.SubnetId",
"Type": "String"
}
],
"nextStep": "createPubRtb"
},
{
"name": "createPubRtb",
"action": "aws:executeAwsApi",
"onFailure": "Abort",
"inputs": {
"Service": "ec2",
"Api": "CreateRouteTable",
"VpcId": "{{ createVpc.vpcId }}"
},
"outputs": [
{
"Name": "pubRtbId",
"Selector": "$.RouteTable.RouteTableId",
"Type": "String"
}
],
"nextStep": "createIgw"
},
{
"name": "createIgw",
"action": "aws:executeAwsApi",
"onFailure": "Abort",
"inputs": {
"Service": "ec2",
"Api": "CreateInternetGateway"
},
"outputs": [
{
"Name": "igwId",
"Selector": "$.InternetGateway.InternetGatewayId",
"Type": "String"
}
],
"nextStep": "attachIgw"
},
{
"name": "attachIgw",
"action": "aws:executeAwsApi",
"onFailure": "Abort",
"inputs": {
"Service": "ec2",
"Api": "AttachInternetGateway",
"InternetGatewayId": "{{ createIgw.igwId }}",
"VpcId": "{{ createVpc.vpcId }}"
},
"nextStep": "allocateEip"
},
{
"name": "allocateEip",
"action": "aws:executeAwsApi",
"onFailure": "Abort",
"inputs": {
"Service": "ec2",
"Api": "AllocateAddress",
"Domain": "vpc"
},
"outputs": [
{
"Name": "eipAllocationId",
"Selector": "$.AllocationId",
"Type": "String"
}
],
"nextStep": "createNatGw"
},
{
"name": "createNatGw",
"action": "aws:executeAwsApi",
"onFailure": "Abort",
"inputs": {
"Service": "ec2",
"Api": "CreateNatGateway",
"AllocationId": "{{ allocateEip.eipAllocationId }}",
"SubnetId": "{{ createPubSubnet.pubSubnetId }}"
},
"outputs":[
{
"Name": "natGwId",
"Selector": "$.NatGateway.NatGatewayId",
"Type": "String"
}
],
"nextStep": "verifyNatGwAvailable"
},
{
"name": "verifyNatGwAvailable",
"action": "aws:waitForAwsResourceProperty",
"timeoutSeconds": 150,
"inputs": {
"Service": "ec2",
"Api": "DescribeNatGateways",
"NatGatewayIds": [
"{{ createNatGw.natGwId }}"
],
"PropertySelector": "$.NatGateways[0].State",
"DesiredValues": [
"available"
]
},
"nextStep": "createNatRoute"
},
{
"name": "createNatRoute",
"action": "aws:executeAwsApi",
"onFailure": "Abort",
"inputs": {
"Service": "ec2",
"Api": "CreateRoute",
"DestinationCidrBlock": "0.0.0.0/0",
"NatGatewayId": "{{ createNatGw.natGwId }}",
"RouteTableId": "{{ getMainRtb.mainRtbId }}"
},
"nextStep": "createPubRoute"
},
{
"name": "createPubRoute",
"action": "aws:executeAwsApi",
"onFailure": "Abort",
"inputs": {
"Service": "ec2",
"Api": "CreateRoute",
"DestinationCidrBlock": "0.0.0.0/0",
"GatewayId": "{{ createIgw.igwId }}",
"RouteTableId": "{{ createPubRtb.pubRtbId }}"
},
"nextStep": "setPubSubAssoc"
},
{
"name": "setPubSubAssoc",
"action": "aws:executeAwsApi",
"onFailure": "Abort",
"inputs": {
"Service": "ec2",
"Api": "AssociateRouteTable",
"RouteTableId": "{{ createPubRtb.pubRtbId }}",
"SubnetId": "{{ createPubSubnet.pubSubnetId }}"
}
},
{
"name": "createDhcpOptions",
"action": "aws:executeAwsApi",
"onFailure": "Abort",
"inputs": {
"Service": "ec2",
"Api": "CreateDhcpOptions",
"DhcpConfigurations": [
{
"Key": "domain-name-servers",
"Values": ["10.0.100.50,10.0.101.50"]
},
{
"Key": "domain-name",
"Values": ["sample.com"]
}
]
},
"outputs": [
{
"Name": "dhcpOptionsId",
"Selector": "$.DhcpOptions.DhcpOptionsId",
"Type": "String"
}
],
"nextStep": "createDCSubnet1"
},
{
"name": "createDCSubnet1",
"action": "aws:executeAwsApi",
"onFailure": "Abort",
"inputs": {
"Service": "ec2",
"Api": "CreateSubnet",
"CidrBlock": "10.0.100.0/24",
"AvailabilityZone": "us-west-2a",
"VpcId": "{{ createVpc.vpcId }}"
},
"outputs": [
{
"Name": "firstSubnetId",
"Selector": "$.Subnet.SubnetId",
"Type": "String"
}
],
"nextStep": "createDCSubnet2"
},
{
"name": "createDCSubnet2",
"action": "aws:executeAwsApi",
"onFailure": "Abort",
"inputs": {
"Service": "ec2",
"Api": "CreateSubnet",
"CidrBlock": "10.0.101.0/24",
"AvailabilityZone": "us-west-2b",
"VpcId": "{{ createVpc.vpcId }}"
},
"outputs": [
{
"Name": "secondSubnetId",
"Selector": "$.Subnet.SubnetId",
"Type": "String"
}
],
"nextStep": "createDCSecGroup"
},
{
"name": "createDCSecGroup",
"action": "aws:executeAwsApi",
"onFailure": "Abort",
"inputs": {
"Service": "ec2",
"Api": "CreateSecurityGroup",
"GroupName": "SampleDCSecGroup",
"Description": "Security Group for Example Domain Controllers",
"VpcId": "{{ createVpc.vpcId }}"
},
"outputs": [
{
"Name": "dcSecGroupId",
"Selector": "$.GroupId",
"Type": "String"
}
],
"nextStep": "authIngressDCTraffic"
},
{
"name": "authIngressDCTraffic",
"action": "aws:executeAwsApi",
"onFailure": "Abort",
"inputs": {
"Service": "ec2",
"Api": "AuthorizeSecurityGroupIngress",
"GroupId": "{{ createDCSecGroup.dcSecGroupId }}",
"IpPermissions": [
{
"FromPort": -1,
"IpProtocol": "-1",
"IpRanges": [
{
"CidrIp": "0.0.0.0/0",
"Description": "Allow all traffic between Domain Controllers"
}
]
}
]
},
"nextStep": "verifyInstanceProfile"
},
{
"name": "verifyInstanceProfile",
"action": "aws:waitForAwsResourceProperty",
"maxAttempts": 5,
"onFailure": "Abort",
"inputs": {
"Service": "iam",
"Api": "ListInstanceProfilesForRole",
"RoleName": "sampleSSMInstanceRole",
"PropertySelector": "$.InstanceProfiles[0].Arn",
"DesiredValues": [
"{{ createSSMInstanceProfile.instanceProfileArn }}"
]
},
"nextStep": "iamEventualConsistency"
},
{
"name": "iamEventualConsistency",
"action": "aws:sleep",
"inputs": {
"Duration": "PT2M"
},
"nextStep": "launchDC1"
},
{
"name": "launchDC1",
"action": "aws:executeAwsApi",
"onFailure": "Abort",
"inputs": {
"Service": "ec2",
"Api": "RunInstances",
"BlockDeviceMappings": [
{
"DeviceName": "/dev/sda1",
"Ebs": {
"DeleteOnTermination": true,
"VolumeSize": 50,
"VolumeType": "gp2"
}
},
{
"DeviceName": "xvdf",
"Ebs": {
"DeleteOnTermination": true,
"VolumeSize": 100,
"VolumeType": "gp2"
}
}
],
"IamInstanceProfile": {
"Arn": "{{ createSSMInstanceProfile.instanceProfileArn }}"
},
"ImageId": "{{ getLatestWindowsAmi.amiId }}",
"InstanceType": "t2.micro",
"MaxCount": 1,
"MinCount": 1,
"PrivateIpAddress": "10.0.100.50",
"SecurityGroupIds": [
"{{ createDCSecGroup.dcSecGroupId }}"
],
"SubnetId": "{{ createDCSubnet1.firstSubnetId }}",
"TagSpecifications": [
{
"ResourceType": "instance",
"Tags": [
{
"Key": "Name",
"Value": "SampleDC1"
}
]
}
]
},
"outputs": [
{
"Name": "pdcInstanceId",
"Selector": "$.Instances[0].InstanceId",
"Type": "String"
}
],
"nextStep": "launchDC2"
},
{
"name": "launchDC2",
"action": "aws:executeAwsApi",
"onFailure": "Abort",
"inputs": {
"Service": "ec2",
"Api": "RunInstances",
"BlockDeviceMappings": [
{
"DeviceName": "/dev/sda1",
"Ebs": {
"DeleteOnTermination": true,
"VolumeSize": 50,
"VolumeType": "gp2"
}
},
{
"DeviceName": "xvdf",
"Ebs": {
"DeleteOnTermination": true,
"VolumeSize": 100,
"VolumeType": "gp2"
}
}
],
"IamInstanceProfile": {
"Arn": "{{ createSSMInstanceProfile.instanceProfileArn }}"
},
"ImageId": "{{ getLatestWindowsAmi.amiId }}",
"InstanceType": "t2.micro",
"MaxCount": 1,
"MinCount": 1,
"PrivateIpAddress": "10.0.101.50",
"SecurityGroupIds": [
"{{ createDCSecGroup.dcSecGroupId }}"
],
"SubnetId": "{{ createDCSubnet2.secondSubnetId }}",
"TagSpecifications": [
{
"ResourceType": "instance",
"Tags": [
{
"Key": "Name",
"Value": "SampleDC2"
}
]
}
]
},
"outputs": [
{
"Name": "adcInstanceId",
"Selector": "$.Instances[0].InstanceId",
"Type": "String"
}
],
"nextStep": "verifyDCInstanceState"
},
{
"name": "verifyDCInstanceState",
"action": "aws:waitForAwsResourceProperty",
"inputs": {
"Service": "ec2",
"Api": "DescribeInstanceStatus",
"IncludeAllInstances": true,
"InstanceIds": [
"{{ launchDC1.pdcInstanceId }}",
"{{ launchDC2.adcInstanceId }}"
],
"PropertySelector": "$.InstanceStatuses[0].InstanceState.Name",
"DesiredValues": [
"running"
]
},
"nextStep": "verifyInstancesOnlineSSM"
},
{
"name": "verifyInstancesOnlineSSM",
"action": "aws:waitForAwsResourceProperty",
"timeoutSeconds": 600,
"inputs": {
"Service": "ssm",
"Api": "DescribeInstanceInformation",
"InstanceInformationFilterList": [
{
"key": "InstanceIds",
"valueSet": [
"{{ launchDC1.pdcInstanceId }}",
"{{ launchDC2.adcInstanceId }}"
]
}
],
"PropertySelector": "$.InstanceInformationList[0].PingStatus",
"DesiredValues": [
"Online"
]
},
"nextStep": "installADRoles"
},
{
"name": "installADRoles",
"action": "aws:runCommand",
"inputs": {
"DocumentName": "AWS-RunPowerShellScript",
"InstanceIds": [
"{{ launchDC1.pdcInstanceId }}",
"{{ launchDC2.adcInstanceId }}"
],
"Parameters": {
"commands": [
"try {",
" Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools",
"}",
"catch {",
" Write-Error \"Failed to install ADDS Role.\"",
"}"
]
}
},
"nextStep": "setAdminPassword"
},
{
"name": "setAdminPassword",
"action": "aws:runCommand",
"inputs": {
"DocumentName": "AWS-RunPowerShellScript",
"InstanceIds": [
"{{ launchDC1.pdcInstanceId }}"
],
"Parameters": {
"commands": [
"net user Administrator \"sampleAdminPass123!\""
]
}
},
"nextStep": "createForest"
},
{
"name": "createForest",
"action": "aws:runCommand",
"inputs": {
"DocumentName": "AWS-RunPowerShellScript",
"InstanceIds": [
"{{ launchDC1.pdcInstanceId }}"
],
"Parameters": {
"commands": [
"$dsrmPass = 'sample123!' | ConvertTo-SecureString -asPlainText -Force",
"try {",
" Install-ADDSForest -DomainName \"sample.com\" -DomainMode 6 -ForestMode 6 -InstallDNS -DatabasePath \"D:\\NTDS\" -SysvolPath \"D:\\SYSVOL\" -SafeModeAdministratorPassword $dsrmPass -Force",
"}",
"catch {",
" Write-Error $_",
"}",
"try {",
" Add-DnsServerForwarder -IPAddress \"10.0.100.2\"",
"}",
"catch {",
" Write-Error $_",
"}"
]
}
},
"nextStep": "associateDhcpOptions"
},
{
"name": "associateDhcpOptions",
"action": "aws:executeAwsApi",
"onFailure": "Abort",
"inputs": {
"Service": "ec2",
"Api": "AssociateDhcpOptions",
"DhcpOptionsId": "{{ createDhcpOptions.dhcpOptionsId }}",
"VpcId": "{{ createVpc.vpcId }}"
},
"nextStep": "waitForADServices"
},
{
"name": "waitForADServices",
"action": "aws:sleep",
"inputs": {
"Duration": "PT1M"
},
"nextStep": "promoteADC"
},
{
"name": "promoteADC",
"action": "aws:runCommand",
"inputs": {
"DocumentName": "AWS-RunPowerShellScript",
"InstanceIds": [
"{{ launchDC2.adcInstanceId }}"
],
"Parameters": {
"commands": [
"ipconfig /renew",
"$dsrmPass = 'sample123!' | ConvertTo-SecureString -asPlainText -Force",
"$domAdminUser = \"sample\\Administrator\"",
"$domAdminPass = \"sampleAdminPass123!\" | ConvertTo-SecureString -asPlainText -Force",
"$domAdminCred = New-Object System.Management.Automation.PSCredential($domAdminUser,$domAdminPass)",
"try {",
" Install-ADDSDomainController -DomainName \"sample.com\" -InstallDNS -DatabasePath \"D:\\NTDS\" -SysvolPath \"D:\\SYSVOL\" -SafeModeAdministratorPassword $dsrmPass -Credential $domAdminCred -Force",
"}",
"catch {",
" Write-Error $_",
"}"
]
}
}
}
]
}
```
------
# 最新のスナップショットからルートボリュームを復元する
ルートボリューム上のオペレーティングシステムは、さまざまな理由で破損する可能性があります。例えば、パッチ適用オペレーション後、カーネルまたはレジストリが破損しているため、インスタンスが正常に起動しない場合があります。パッチ適用操作の前に作成された最新のスナップショットからルートボリュームを復元するなどの一般的なトラブルシューティングタスクを自動化することで、ダウンタイムを短縮し、トラブルシューティング作業を迅速化できます。AWS Systems Managerオートメーションアクションが、これを実現するのに役立ちます。Automation は AWS Systems Manager のツールです。
次の AWS Systems Manager ランブックの例では、これらのアクションを実行します。
+ `aws:executeAwsApi` オートメーションアクションを使用して、インスタンスのルートボリュームから詳細を取得します。
+ `aws:executeScript` オートメーションアクションを使用して、ルートボリュームの最新のスナップショットを取得します。
+ ルートボリュームのスナップショットが見つかった場合、`aws:branch` オートメーションアクションを使用して実行を続行します。
------
#### [ YAML ]
```
---
description: Custom Automation Troubleshooting Example
schemaVersion: '0.3'
assumeRole: "{{ AutomationAssumeRole }}"
parameters:
AutomationAssumeRole:
type: String
description: "(Required) The ARN of the role that allows Automation to perform
the actions on your behalf. If no role is specified, Systems Manager Automation
uses your IAM permissions to use this runbook."
default: ''
InstanceId:
type: String
description: "(Required) The Instance Id whose root EBS volume you want to restore the latest Snapshot."
default: ''
mainSteps:
- name: getInstanceDetails
action: aws:executeAwsApi
onFailure: Abort
inputs:
Service: ec2
Api: DescribeInstances
InstanceIds:
- "{{ InstanceId }}"
outputs:
- Name: availabilityZone
Selector: "$.Reservations[0].Instances[0].Placement.AvailabilityZone"
Type: String
- Name: rootDeviceName
Selector: "$.Reservations[0].Instances[0].RootDeviceName"
Type: String
nextStep: getRootVolumeId
- name: getRootVolumeId
action: aws:executeAwsApi
onFailure: Abort
inputs:
Service: ec2
Api: DescribeVolumes
Filters:
- Name: attachment.device
Values: ["{{ getInstanceDetails.rootDeviceName }}"]
- Name: attachment.instance-id
Values: ["{{ InstanceId }}"]
outputs:
- Name: rootVolumeId
Selector: "$.Volumes[0].VolumeId"
Type: String
nextStep: getSnapshotsByStartTime
- name: getSnapshotsByStartTime
action: aws:executeScript
timeoutSeconds: 45
onFailure: Abort
inputs:
Runtime: python3.11
Handler: getSnapshotsByStartTime
InputPayload:
rootVolumeId : "{{ getRootVolumeId.rootVolumeId }}"
Script: |-
def getSnapshotsByStartTime(events,context):
import boto3
#Initialize client
ec2 = boto3.client('ec2')
rootVolumeId = events['rootVolumeId']
snapshotsQuery = ec2.describe_snapshots(
Filters=[
{
"Name": "volume-id",
"Values": [rootVolumeId]
}
]
)
if not snapshotsQuery['Snapshots']:
noSnapshotFoundString = "NoSnapshotFound"
return { 'noSnapshotFound' : noSnapshotFoundString }
else:
jsonSnapshots = snapshotsQuery['Snapshots']
sortedSnapshots = sorted(jsonSnapshots, key=lambda k: k['StartTime'], reverse=True)
latestSortedSnapshotId = sortedSnapshots[0]['SnapshotId']
return { 'latestSnapshotId' : latestSortedSnapshotId }
outputs:
- Name: Payload
Selector: $.Payload
Type: StringMap
- Name: latestSnapshotId
Selector: $.Payload.latestSnapshotId
Type: String
- Name: noSnapshotFound
Selector: $.Payload.noSnapshotFound
Type: String
nextStep: branchFromResults
- name: branchFromResults
action: aws:branch
onFailure: Abort
inputs:
Choices:
- NextStep: createNewRootVolumeFromSnapshot
Not:
Variable: "{{ getSnapshotsByStartTime.noSnapshotFound }}"
StringEquals: "NoSnapshotFound"
isEnd: true
- name: createNewRootVolumeFromSnapshot
action: aws:executeAwsApi
onFailure: Abort
inputs:
Service: ec2
Api: CreateVolume
AvailabilityZone: "{{ getInstanceDetails.availabilityZone }}"
SnapshotId: "{{ getSnapshotsByStartTime.latestSnapshotId }}"
outputs:
- Name: newRootVolumeId
Selector: "$.VolumeId"
Type: String
nextStep: stopInstance
- name: stopInstance
action: aws:executeAwsApi
onFailure: Abort
inputs:
Service: ec2
Api: StopInstances
InstanceIds:
- "{{ InstanceId }}"
nextStep: verifyVolumeAvailability
- name: verifyVolumeAvailability
action: aws:waitForAwsResourceProperty
timeoutSeconds: 120
inputs:
Service: ec2
Api: DescribeVolumes
VolumeIds:
- "{{ createNewRootVolumeFromSnapshot.newRootVolumeId }}"
PropertySelector: "$.Volumes[0].State"
DesiredValues:
- "available"
nextStep: verifyInstanceStopped
- name: verifyInstanceStopped
action: aws:waitForAwsResourceProperty
timeoutSeconds: 120
inputs:
Service: ec2
Api: DescribeInstances
InstanceIds:
- "{{ InstanceId }}"
PropertySelector: "$.Reservations[0].Instances[0].State.Name"
DesiredValues:
- "stopped"
nextStep: detachRootVolume
- name: detachRootVolume
action: aws:executeAwsApi
onFailure: Abort
inputs:
Service: ec2
Api: DetachVolume
VolumeId: "{{ getRootVolumeId.rootVolumeId }}"
nextStep: verifyRootVolumeDetached
- name: verifyRootVolumeDetached
action: aws:waitForAwsResourceProperty
timeoutSeconds: 30
inputs:
Service: ec2
Api: DescribeVolumes
VolumeIds:
- "{{ getRootVolumeId.rootVolumeId }}"
PropertySelector: "$.Volumes[0].State"
DesiredValues:
- "available"
nextStep: attachNewRootVolume
- name: attachNewRootVolume
action: aws:executeAwsApi
onFailure: Abort
inputs:
Service: ec2
Api: AttachVolume
Device: "{{ getInstanceDetails.rootDeviceName }}"
InstanceId: "{{ InstanceId }}"
VolumeId: "{{ createNewRootVolumeFromSnapshot.newRootVolumeId }}"
nextStep: verifyNewRootVolumeAttached
- name: verifyNewRootVolumeAttached
action: aws:waitForAwsResourceProperty
timeoutSeconds: 30
inputs:
Service: ec2
Api: DescribeVolumes
VolumeIds:
- "{{ createNewRootVolumeFromSnapshot.newRootVolumeId }}"
PropertySelector: "$.Volumes[0].Attachments[0].State"
DesiredValues:
- "attached"
nextStep: startInstance
- name: startInstance
action: aws:executeAwsApi
onFailure: Abort
inputs:
Service: ec2
Api: StartInstances
InstanceIds:
- "{{ InstanceId }}"
```
------
#### [ JSON ]
```
{
"description": "Custom Automation Troubleshooting Example",
"schemaVersion": "0.3",
"assumeRole": "{{ AutomationAssumeRole }}",
"parameters": {
"AutomationAssumeRole": {
"type": "String",
"description": "(Required) The ARN of the role that allows Automation to perform the actions on your behalf. If no role is specified, Systems Manager Automation uses your IAM permissions to run this runbook.",
"default": ""
},
"InstanceId": {
"type": "String",
"description": "(Required) The Instance Id whose root EBS volume you want to restore the latest Snapshot.",
"default": ""
}
},
"mainSteps": [
{
"name": "getInstanceDetails",
"action": "aws:executeAwsApi",
"onFailure": "Abort",
"inputs": {
"Service": "ec2",
"Api": "DescribeInstances",
"InstanceIds": [
"{{ InstanceId }}"
]
},
"outputs": [
{
"Name": "availabilityZone",
"Selector": "$.Reservations[0].Instances[0].Placement.AvailabilityZone",
"Type": "String"
},
{
"Name": "rootDeviceName",
"Selector": "$.Reservations[0].Instances[0].RootDeviceName",
"Type": "String"
}
],
"nextStep": "getRootVolumeId"
},
{
"name": "getRootVolumeId",
"action": "aws:executeAwsApi",
"onFailure": "Abort",
"inputs": {
"Service": "ec2",
"Api": "DescribeVolumes",
"Filters": [
{
"Name": "attachment.device",
"Values": [
"{{ getInstanceDetails.rootDeviceName }}"
]
},
{
"Name": "attachment.instance-id",
"Values": [
"{{ InstanceId }}"
]
}
]
},
"outputs": [
{
"Name": "rootVolumeId",
"Selector": "$.Volumes[0].VolumeId",
"Type": "String"
}
],
"nextStep": "getSnapshotsByStartTime"
},
{
"name": "getSnapshotsByStartTime",
"action": "aws:executeScript",
"timeoutSeconds": 45,
"onFailure": "Continue",
"inputs": {
"Runtime": "python3.11",
"Handler": "getSnapshotsByStartTime",
"InputPayload": {
"rootVolumeId": "{{ getRootVolumeId.rootVolumeId }}"
},
"Attachment": "getSnapshotsByStartTime.py"
},
"outputs": [
{
"Name": "Payload",
"Selector": "$.Payload",
"Type": "StringMap"
},
{
"Name": "latestSnapshotId",
"Selector": "$.Payload.latestSnapshotId",
"Type": "String"
},
{
"Name": "noSnapshotFound",
"Selector": "$.Payload.noSnapshotFound",
"Type": "String"
}
],
"nextStep": "branchFromResults"
},
{
"name": "branchFromResults",
"action": "aws:branch",
"onFailure": "Abort",
"inputs": {
"Choices": [
{
"NextStep": "createNewRootVolumeFromSnapshot",
"Not": {
"Variable": "{{ getSnapshotsByStartTime.noSnapshotFound }}",
"StringEquals": "NoSnapshotFound"
}
}
]
},
"isEnd": true
},
{
"name": "createNewRootVolumeFromSnapshot",
"action": "aws:executeAwsApi",
"onFailure": "Abort",
"inputs": {
"Service": "ec2",
"Api": "CreateVolume",
"AvailabilityZone": "{{ getInstanceDetails.availabilityZone }}",
"SnapshotId": "{{ getSnapshotsByStartTime.latestSnapshotId }}"
},
"outputs": [
{
"Name": "newRootVolumeId",
"Selector": "$.VolumeId",
"Type": "String"
}
],
"nextStep": "stopInstance"
},
{
"name": "stopInstance",
"action": "aws:executeAwsApi",
"onFailure": "Abort",
"inputs": {
"Service": "ec2",
"Api": "StopInstances",
"InstanceIds": [
"{{ InstanceId }}"
]
},
"nextStep": "verifyVolumeAvailability"
},
{
"name": "verifyVolumeAvailability",
"action": "aws:waitForAwsResourceProperty",
"timeoutSeconds": 120,
"inputs": {
"Service": "ec2",
"Api": "DescribeVolumes",
"VolumeIds": [
"{{ createNewRootVolumeFromSnapshot.newRootVolumeId }}"
],
"PropertySelector": "$.Volumes[0].State",
"DesiredValues": [
"available"
]
},
"nextStep": "verifyInstanceStopped"
},
{
"name": "verifyInstanceStopped",
"action": "aws:waitForAwsResourceProperty",
"timeoutSeconds": 120,
"inputs": {
"Service": "ec2",
"Api": "DescribeInstances",
"InstanceIds": [
"{{ InstanceId }}"
],
"PropertySelector": "$.Reservations[0].Instances[0].State.Name",
"DesiredValues": [
"stopped"
]
},
"nextStep": "detachRootVolume"
},
{
"name": "detachRootVolume",
"action": "aws:executeAwsApi",
"onFailure": "Abort",
"inputs": {
"Service": "ec2",
"Api": "DetachVolume",
"VolumeId": "{{ getRootVolumeId.rootVolumeId }}"
},
"nextStep": "verifyRootVolumeDetached"
},
{
"name": "verifyRootVolumeDetached",
"action": "aws:waitForAwsResourceProperty",
"timeoutSeconds": 30,
"inputs": {
"Service": "ec2",
"Api": "DescribeVolumes",
"VolumeIds": [
"{{ getRootVolumeId.rootVolumeId }}"
],
"PropertySelector": "$.Volumes[0].State",
"DesiredValues": [
"available"
]
},
"nextStep": "attachNewRootVolume"
},
{
"name": "attachNewRootVolume",
"action": "aws:executeAwsApi",
"onFailure": "Abort",
"inputs": {
"Service": "ec2",
"Api": "AttachVolume",
"Device": "{{ getInstanceDetails.rootDeviceName }}",
"InstanceId": "{{ InstanceId }}",
"VolumeId": "{{ createNewRootVolumeFromSnapshot.newRootVolumeId }}"
},
"nextStep": "verifyNewRootVolumeAttached"
},
{
"name": "verifyNewRootVolumeAttached",
"action": "aws:waitForAwsResourceProperty",
"timeoutSeconds": 30,
"inputs": {
"Service": "ec2",
"Api": "DescribeVolumes",
"VolumeIds": [
"{{ createNewRootVolumeFromSnapshot.newRootVolumeId }}"
],
"PropertySelector": "$.Volumes[0].Attachments[0].State",
"DesiredValues": [
"attached"
]
},
"nextStep": "startInstance"
},
{
"name": "startInstance",
"action": "aws:executeAwsApi",
"onFailure": "Abort",
"inputs": {
"Service": "ec2",
"Api": "StartInstances",
"InstanceIds": [
"{{ InstanceId }}"
]
}
}
],
"files": {
"getSnapshotsByStartTime.py": {
"checksums": {
"sha256": "sampleETagValue"
}
}
}
}
```
------
# AMI とクロスリージョンコピーの作成
インスタンスの Amazon Machine Image (AMI) の作成は、バックアップと復旧で使用される一般的なプロセスです。災害対策アーキテクチャの一部として、AMI を別の AWS リージョン にコピーすることも選択できます。一般的なメンテナンスタスクを自動化することで、フェイルオーバーが必要な問題が発生した場合にダウンタイムを短縮できます。AWS Systems Managerオートメーションアクションが、これを実現するのに役立ちます。Automation は AWS Systems Manager のツールです。
次の AWS Systems Manager ランブックの例では、これらのアクションを実行します。
+ `aws:executeAwsApi` オートメーションアクションを使用して、AMI を作成します。
+ `aws:waitForAwsResourceProperty` オートメーションアクションを使用して、AMI の可用性を確認します。
+ `aws:executeScript` オートメーションアクションを使用して、AMI を送信先リージョンにコピーします。
------
#### [ YAML ]
```
---
description: Custom Automation Backup and Recovery Example
schemaVersion: '0.3'
assumeRole: "{{ AutomationAssumeRole }}"
parameters:
AutomationAssumeRole:
type: String
description: "(Required) The ARN of the role that allows Automation to perform
the actions on your behalf. If no role is specified, Systems Manager Automation
uses your IAM permissions to use this runbook."
default: ''
InstanceId:
type: String
description: "(Required) The ID of the EC2 instance."
default: ''
mainSteps:
- name: createImage
action: aws:executeAwsApi
onFailure: Abort
inputs:
Service: ec2
Api: CreateImage
InstanceId: "{{ InstanceId }}"
Name: "Automation Image for {{ InstanceId }}"
NoReboot: false
outputs:
- Name: newImageId
Selector: "$.ImageId"
Type: String
nextStep: verifyImageAvailability
- name: verifyImageAvailability
action: aws:waitForAwsResourceProperty
timeoutSeconds: 600
inputs:
Service: ec2
Api: DescribeImages
ImageIds:
- "{{ createImage.newImageId }}"
PropertySelector: "$.Images[0].State"
DesiredValues:
- available
nextStep: copyImage
- name: copyImage
action: aws:executeScript
timeoutSeconds: 45
onFailure: Abort
inputs:
Runtime: python3.11
Handler: crossRegionImageCopy
InputPayload:
newImageId : "{{ createImage.newImageId }}"
Script: |-
def crossRegionImageCopy(events,context):
import boto3
#Initialize client
ec2 = boto3.client('ec2', region_name='us-east-1')
newImageId = events['newImageId']
ec2.copy_image(
Name='DR Copy for ' + newImageId,
SourceImageId=newImageId,
SourceRegion='us-west-2'
)
```
------
#### [ JSON ]
```
{
"description": "Custom Automation Backup and Recovery Example",
"schemaVersion": "0.3",
"assumeRole": "{{ AutomationAssumeRole }}",
"parameters": {
"AutomationAssumeRole": {
"type": "String",
"description": "(Required) The ARN of the role that allows Automation to perform\nthe actions on your behalf. If no role is specified, Systems Manager Automation\nuses your IAM permissions to run this runbook.",
"default": ""
},
"InstanceId": {
"type": "String",
"description": "(Required) The ID of the EC2 instance.",
"default": ""
}
},
"mainSteps": [
{
"name": "createImage",
"action": "aws:executeAwsApi",
"onFailure": "Abort",
"inputs": {
"Service": "ec2",
"Api": "CreateImage",
"InstanceId": "{{ InstanceId }}",
"Name": "Automation Image for {{ InstanceId }}",
"NoReboot": false
},
"outputs": [
{
"Name": "newImageId",
"Selector": "$.ImageId",
"Type": "String"
}
],
"nextStep": "verifyImageAvailability"
},
{
"name": "verifyImageAvailability",
"action": "aws:waitForAwsResourceProperty",
"timeoutSeconds": 600,
"inputs": {
"Service": "ec2",
"Api": "DescribeImages",
"ImageIds": [
"{{ createImage.newImageId }}"
],
"PropertySelector": "$.Images[0].State",
"DesiredValues": [
"available"
]
},
"nextStep": "copyImage"
},
{
"name": "copyImage",
"action": "aws:executeScript",
"timeoutSeconds": 45,
"onFailure": "Abort",
"inputs": {
"Runtime": "python3.11",
"Handler": "crossRegionImageCopy",
"InputPayload": {
"newImageId": "{{ createImage.newImageId }}"
},
"Attachment": "crossRegionImageCopy.py"
}
}
],
"files": {
"crossRegionImageCopy.py": {
"checksums": {
"sha256": "sampleETagValue"
}
}
}
}
```
------
# AWS リソースを設定する入力パラメーターの作成
Systems Manager のツールである Automation は、入力パラメータに対して定義したリソースタイプに一致する AWS リソースを AWS マネジメントコンソールに入力します。リソースタイプと一致する AWS アカウント のリソースがドロップダウンリストに表示され、選択できます。Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、Amazon Simple Storage Service (Amazon S3) バケット、および AWS Identity and Access Management (IAM) ロールに対して、入力パラメータを定義できます。サポートされているタイプ定義と、一致するリソースを検索するために使用される正規表現は次のとおりです。
+ `AWS::EC2::Instance::Id` - `^m?i-([a-z0-9]{8}|[a-z0-9]{17})$`
+ `List` - `^m?i-([a-z0-9]{8}|[a-z0-9]{17})$`
+ `AWS::S3::Bucket::Name` - `^[0-9a-z][a-z0-9\\-\\.]{3,63}$`
+ `List` - `^[0-9a-z][a-z0-9\\-\\.]{3,63}$`
+ `AWS::IAM::Role::Arn` - `^arn:(aws|aws-cn|aws-us-gov|aws-iso|aws-iso-b):iam::[0-9]{12}:role/.*$`
+ `List` - `^arn:(aws|aws-cn|aws-us-gov|aws-iso|aws-iso-b):iam::[0-9]{12}:role/.*$`
以下は、ランブックコンテンツで定義される入力パラメータタイプの例です。
------
#### [ YAML ]
```
description: Enables encryption on an Amazon S3 bucket
schemaVersion: '0.3'
assumeRole: '{{ AutomationAssumeRole }}'
parameters:
BucketName:
type: 'AWS::S3::Bucket::Name'
description: (Required) The name of the Amazon S3 bucket you want to encrypt.
SSEAlgorithm:
type: String
description: (Optional) The server-side encryption algorithm to use for the default encryption.
default: AES256
AutomationAssumeRole:
type: 'AWS::IAM::Role::Arn'
description: (Optional) The Amazon Resource Name (ARN) of the role that allows Automation to perform the actions on your behalf.
default: ''
mainSteps:
- name: enableBucketEncryption
action: 'aws:executeAwsApi'
inputs:
Service: s3
Api: PutBucketEncryption
Bucket: '{{BucketName}}'
ServerSideEncryptionConfiguration:
Rules:
- ApplyServerSideEncryptionByDefault:
SSEAlgorithm: '{{SSEAlgorithm}}'
isEnd: true
```
------
#### [ JSON ]
```
{
"description": "Enables encryption on an Amazon S3 bucket",
"schemaVersion": "0.3",
"assumeRole": "{{ AutomationAssumeRole }}",
"parameters": {
"BucketName": {
"type": "AWS::S3::Bucket::Name",
"description": "(Required) The name of the Amazon S3 bucket you want to encrypt."
},
"SSEAlgorithm": {
"type": "String",
"description": "(Optional) The server-side encryption algorithm to use for the default encryption.",
"default": "AES256"
},
"AutomationAssumeRole": {
"type": "AWS::IAM::Role::Arn",
"description": "(Optional) The Amazon Resource Name (ARN) of the role that allows Automation to perform the actions on your behalf.",
"default": ""
}
},
"mainSteps": [
{
"name": "enableBucketEncryption",
"action": "aws:executeAwsApi",
"inputs": {
"Service": "s3",
"Api": "PutBucketEncryption",
"Bucket": "{{BucketName}}",
"ServerSideEncryptionConfiguration": {
"Rules": [
{
"ApplyServerSideEncryptionByDefault": {
"SSEAlgorithm": "{{SSEAlgorithm}}"
}
}
]
}
},
"isEnd": true
}
]
}
```
------
# ランブック作成のためのドキュメントビルダーの使用
AWS Systems Manager の公開ランブックが、AWS リソースで実行するすべてのアクションをサポートしない場合、独自のランブックを作成できます。カスタムランブックを作成するには、適切なオートメーションアクションを含むローカルの YAML または JSON 形式のファイルを手動で作成します。また別の方法として、Systems Manager Automation コンソールでドキュメントビルダーを使用し、カスタムランブックを構築することも可能です
ドキュメントビルダーを使用すると、JSON または YAML 構文を使用しなくても、オートメーションアクションをカスタムランブックに追加し、必要なパラメータを指定できます。ステップを追加してランブックを作成すると、追加したアクションが、Systems Manager がオートメーションの実行に使用できる YAML 形式に変換されます。
ランブックでは、マークアップ言語である Markdown の使用がサポートされています。これにより、wiki スタイルの説明をランブックやランブック内の個々のステップに追加できます。Markdown の使用に関する詳細については、「[AWS での Markdown の使用](https://docs.aws.amazon.com/general/latest/gr/aws-markdown.html)」を参照してください。
## ドキュメントビルダーを使用してランブックを作成する
**[開始する前に]**
ランブック内で使用できる他のさまざまなアクションについても、確認してみることをお勧めします。詳細については、「[Systems Manager Automation アクションのリファレンス](automation-actions.md)」を参照してください。
**ドキュメントビルダーを使用してランブックを作成するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[ドキュメント]** を選択します。
1. [**Create automation (オートメーションを作成)**] を選択します。
1. [**名前**] に、ランブックのわかりやすい名前を入力します。
1. [**Document description (ドキュメントの説明)**] に、ランブックのマークダウンスタイルの説明を入力します。ランブック、番号付きステップ、またはその他の種類の情報を使用してランブックを説明できます。コンテンツの書式設定については、デフォルトのテキストを参照してください。
**ヒント**
[**Hide preview (プレビューを非表示)**] と [**Show preview (プレビューを表示)**] を切り替えて、作成時に説明の内容がどのように表示されるかを確認します。
1. (オプション) [**Assume role (ロールの継承)**] に、ユーザーに代わってアクションを実行するサービスロールの名前または ARN を入力します。ロールを指定しない場合、オートメーションはオートメーションを実行するユーザーのアクセス許可を使用します。
**重要**
`aws:executeScript` アクションを使用する Amazon が所有していないランブックの場合、ロールを指定する必要があります。詳細については、「[ランブックを使用するためのアクセス許可](automation-document-script-considerations.md#script-permissions)」を参照してください。
1. (オプション) [**Outputs (出力)**] に、このランブックを実行するための出力を入力して、他のプロセスで使用できるようにします。
たとえば、ドキュメントが新しい AMI を作成する場合、["CreateImage.ImageId"] を指定し、この出力を使用して後続のオートメーションで新しいインスタンスを作成します。
1. (オプション) [**Input parameters (入力パラメータ)**] セクションを展開し、次の操作を行います。
1. [**Parameter name (パラメータ名)**] に、作成するランブックパラメータのわかりやすい名前を入力します。
1. [**Type (タイプ)**] で、パラメータのタイプ(`String` や `MapList` など)を選択します。
1. [**Required (必須)**] で、次のいずれかの操作を行います。
+ ランタイムにこのランブックパラメータの値を指定する必要がある場合は、[**Yes (はい)**] を選択します。
+ パラメータが不要な場合は、[**No (いいえ)**] を選択し、(オプション) [**Default value (デフォルト値)**] にデフォルトのパラメータ値を入力します。
1. [**Description (説明)**] に、ランブックパラメータの説明を入力します。
**注記**
ランブックパラメータをさらに追加するには、[**Add a parameter (パラメータを追加)**] を選択します。ランブックパラメータを削除するには、[**X**] (削除) ボタンを選択します。
1. (オプション) [**Target type (ターゲットタイプ)**] セクションを展開し、ターゲットタイプを選択して、オートメーションが実行できるリソースの種類を定義します。たとえば、EC2 インスタンスでランブックを使用するには、`/AWS::EC2::Instance` を選択します。
**注記**
「`/`」の値を指定すると、ランブックはすべてのタイプのリソースで実行できます。有効なリソースタイプのリストについては、*AWS CloudFormation ユーザーガイド*の [AWS リソースタイプのリファレンス](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-template-resource-type-ref.html)をご参照ください。
1. (オプション) [**Document tags (ドキュメントタグ)**] セクションを展開し、ランブックに適用するタグキーと値のペアを 1 つ以上入力します。タグを使用すると、リソースの識別、整理、検索が容易になります。
1. [**Step 1 (ステップ 1)**] セクションで、次の情報を入力します。
+ [**Step name (ステップ名)**] に、オートメーションの最初のステップのわかりやすい名前を入力します。
+ [**Action type (アクションタイプ)**] で、このステップで使用するアクションタイプを選択します。
使用可能なアクションタイプのリストと情報については、「[Systems Manager Automation アクションのリファレンス](automation-actions.md)」を参照してください。
+ [**Description (説明)**] に、オートメーションステップの説明を入力します。Markdown を使用してテキストの書式を設定できます。
+ 選択した [**Action type (アクションタイプ)**] に応じて、[**Step inputs (ステップ入力)**] セクションにアクションタイプに必要な入力を入力します。たとえば、アクション `aws:approve` を選択した場合は、`Approvers` プロパティの値を指定する必要があります。
ステップ入力フィールドの詳細については、選択したアクションタイプの「[Systems Manager Automation アクションのリファレンス](automation-actions.md)」のエントリを参照してください。例: [`aws:executeStateMachine` – AWS Step Functions ステートマシンを実行する](automation-action-executeStateMachine.md)。
+ (オプション) [**Additional inputs (追加入力)**] で、ランブックに必要な追加の入力値を指定します。使用可能な入力タイプは、ステップで選択したアクションタイプによって異なります。(一部のアクションタイプには入力値が必要です)。
**注記**
さらに入力を追加するには、[**Add optional input (オプションの入力を追加)**] を選択します。入力を削除するには、[**X**] (削除)ボタンを選択します。
+ (オプション) [**Outputs (入力)**] に、このステップの出力を入力して、他のプロセスで使用できるようにします。
**注記**
[**Outputs (出力)**] は、すべてのアクションタイプで使用できるわけではありません。
+ (オプション) [**Common properties (共通プロパティ)**] セクションを展開し、すべてのオートメーションアクションに共通するアクションのプロパティを指定します。例えば、[**Timeout seconds (タイムアウト秒)**] には、ステップが停止するまでの実行時間を指定するための値を秒単位で指定できます。
詳細については、「[すべてのアクションで共有されるプロパティ](automation-actions.md#automation-common)」を参照してください。
**注記**
ステップをさらに追加するには、[**Add step (ステップを追加)**] を選択し、ステップを作成する手順を繰り返します。ステップを削除するには、[**Remove step (ステップを削除)**] を選択します。
1. [**Create automation (オートメーションを作成)**] を選択してランブックを保存します。
## スクリプトを実行するランブックを作成する
次の手順で、AWS Systems Manager Automation コンソールでドキュメントビルダーを使用し、スクリプトを実行するためにカスタムランブックを作成する方法について説明します。
作成したランブックの最初のステップでは、スクリプトを実行して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを起動します。2 番目のステップでは、インスタンスのステータスチェックが `ok` に変更されるかどうかを監視する別のスクリプトが実行されます。次に、オートメーション実行の全体的なステータス `Success` が報告されます。
**[開始する前に]**
次の手順を完了していることを確認してください。
+ 管理者権限を持っているか、または AWS Identity and Access Management (IAM) で Systems Manager にアクセスするための適切なアクセス許可が付与されていることを確認します。
詳細については、[ランブックへのユーザーアクセスの確認](automation-setup.md#automation-setup-user-access) を参照してください。
+ AWS アカウント に Automation の IAM サービスロール (*継承ロール*とも呼ばれる) があることを確認します。このチュートリアルでは `aws:executeScript` アクションを使用するため、このロールが必要です。
このロールの作成の詳細については、「[オートメーションのサービスロール(ロールを引き受ける)アクセスの設定](automation-setup.md#automation-setup-configure-role)」を参照してください。
[`aws:executeScript`] を実行するための IAM サービスロールの要件については、「[ランブックを使用するためのアクセス許可](automation-document-script-considerations.md#script-permissions)」を参照してください。
+ EC2 インスタンスを起動するアクセス許可があることを確認します。
詳細については、「Amazon EC2 ユーザーガイド」の「[IAM と Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/UsingIAM.html#intro-to-iam)」を参照してください。
**ドキュメントビルダーを使用してスクリプトを実行するためにカスタムランブックを作成するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[ドキュメント]** を選択します。
1. [**Create automation (オートメーションを作成)**] を選択します。
1. [**Name (名前)**] に、ランブック **LaunchInstanceAndCheckStatus** のわかりやすい名前を入力します。
1. (オプション) [**Document description (ドキュメントの説明)**] で、Markdown を使用して、デフォルトのテキストをこのランブックの説明に置き換えます。以下はその例です。
```
##Title: LaunchInstanceAndCheckState
-----
**Purpose**: This runbook first launches an EC2 instance using the AMI ID provided in the parameter ```imageId```. The second step of this runbook continuously checks the instance status check value for the launched instance until the status ```ok``` is returned.
##Parameters:
-----
Name | Type | Description | Default Value
------------- | ------------- | ------------- | -------------
assumeRole | String | (Optional) The ARN of the role that allows Automation to perform the actions on your behalf. | -
imageId | String | (Optional) The AMI ID to use for launching the instance. The default value uses the latest Amazon Linux 2023 AMI ID available. | {{ ssm:/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-6.1-arm64 }}
```
1. [**Assume role (継承ロール)**] に、オートメーションのオートメーション (継承ロール) の IAM サービスロールの ARN を **arn:aws:iam::111122223333:role/AutomationServiceRole** の形式で入力します。AWS アカウント IDを 111122223333 に置き換えます。
指定したロールは、オートメーションの開始に必要なアクセス許可を提供するために使用されます。
**重要**
`aws:executeScript` アクションを使用する Amazon が所有していないランブックの場合、ロールを指定する必要があります。詳細については、「[ランブックを使用するためのアクセス許可](automation-document-script-considerations.md#script-permissions)」を参照してください。
1. [**Input parameters (入力パラメータ)**] を展開し、次の操作を行います。
1. [**Parameter name (パラメータ名)**] に「**imageId**」と入力します。
1. [**Type (タイプ)**] で、**String** を選択します。
1. [**Required (必須)**] で、`No` を選択します。
1. [**Default value (デフォルト値)**] に、次のように入力します。
```
{{ ssm:/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-6.1-arm64 }}
```
**注記**
この値で、最新の Amazon Linux 2023 Amazon Machine Image (AMI) ID を使用して Amazon EC2 インスタンスは起動します。別の AMI を使用する場合は、値を AMI ID に置き換えます。
1. [**Description (説明)**] に、次のように入力します。
```
(Optional) The AMI ID to use for launching the instance. The default value uses the latest released Amazon Linux 2023 AMI ID.
```
1. [**Add a parameter (パラメータの追加)**] を選択して 2 番目のパラメータ、**tagValue** を作成し、次のように入力します。
1. [**Parameter name (パラメータ名)**] に「**tagValue**」と入力します。
1. [**Type (タイプ)**] で、**String** を選択します。
1. [**Required (必須)**] で、`No` を選択します。
1. [**Default value (デフォルト値)**] に「**LaunchedBySsmAutomation**」と入力します。これにより、タグのキーペア値 `Name:LaunchedBySsmAutomation` がインスタンスに追加されます。
1. [**Description (説明)**] に、次のように入力します。
```
(Optional) The tag value to add to the instance. The default value is LaunchedBySsmAutomation.
```
1. [**Add a parameter (パラメータの追加)**] を選択して 3 番目のパラメータ、**instanceType** を作成し、次の情報を入力します。
1. [**Parameter name (パラメータ名)**] に「**instanceType**」と入力します。
1. [**Type (タイプ)**] で、**String** を選択します。
1. [**Required (必須)**] で、`No` を選択します。
1. [**Default value (デフォルト値)**] に「**t2.micro**」と入力します。
1. [**Parameter description (パラメータの説明)**] に、次のように入力します。
```
(Optional) The instance type to use for the instance. The default value is t2.micro.
```
1. [**Target type (ターゲットタイプ)**] を展開し、**"/"** を選択します。
1. (オプション) [**Document tags (ドキュメントタグ)**] を展開して、ランブックにリソースタグを適用します。[**Tag key (タグキー)**] に **Purpose** と入力し、[**Tag value (タグ値)**] に「**LaunchInstanceAndCheckState**」と入力します。
1. [** Step 1 (ステップ 1)**] セクションで、次のステップを実行します。
1. [**Step name (ステップ名)**] に、オートメーションの最初のステップを表すわかりやすいステップ名を入力します: **LaunchEc2Instance**。
1. [**Action type (アクションタイプ)**] で、[**Run a script (スクリプトを実行)**] (**aws:executeScript**) を選択します。
1. [**Description (説明)**] に、次のようなオートメーションのステップの説明を入力します。
```
**About This Step**
This step first launches an EC2 instance using the ```aws:executeScript``` action and the provided script.
```
1. [**入力**] を展開します。
1. [**Runtime (ランタイム)**] で、指定されたスクリプトの実行に使用するランタイム言語を選択します。
1. [**Handler (ハンドラ)**] に「**launch\$1instance**」と入力します。これは、次のスクリプトで宣言された関数名です。
**注記**
PowerShell では必須ではありません。
1. [**Script (スクリプト)**] で、デフォルトのコンテンツを次のように置き換えます。スクリプトは、対応するランタイム値と一致するようにしてください。
------
#### [ Python ]
```
def launch_instance(events, context):
import boto3
ec2 = boto3.client('ec2')
image_id = events['image_id']
tag_value = events['tag_value']
instance_type = events['instance_type']
tag_config = {'ResourceType': 'instance', 'Tags': [{'Key':'Name', 'Value':tag_value}]}
res = ec2.run_instances(ImageId=image_id, InstanceType=instance_type, MaxCount=1, MinCount=1, TagSpecifications=[tag_config])
instance_id = res['Instances'][0]['InstanceId']
print('[INFO] 1 EC2 instance is successfully launched', instance_id)
return { 'InstanceId' : instance_id }
```
------
#### [ PowerShell ]
```
Install-Module AWS.Tools.EC2 -Force
Import-Module AWS.Tools.EC2
$payload = $env:InputPayload | ConvertFrom-Json
$imageid = $payload.image_id
$tagvalue = $payload.tag_value
$instanceType = $payload.instance_type
$type = New-Object Amazon.EC2.InstanceType -ArgumentList $instanceType
$resource = New-Object Amazon.EC2.ResourceType -ArgumentList 'instance'
$tag = @{Key='Name';Value=$tagValue}
$tagSpecs = New-Object Amazon.EC2.Model.TagSpecification
$tagSpecs.ResourceType = $resource
$tagSpecs.Tags.Add($tag)
$res = New-EC2Instance -ImageId $imageId -MinCount 1 -MaxCount 1 -InstanceType $type -TagSpecification $tagSpecs
return @{'InstanceId'=$res.Instances.InstanceId}
```
------
1. [**Additional inputs (追加入力)**] を展開します。
1. [**Input name (入力名)**] で、[**InputPayload**] を選択します。[**Input value (入力値)**] に、次の YAML データを入力します。
```
image_id: "{{ imageId }}"
tag_value: "{{ tagValue }}"
instance_type: "{{ instanceType }}"
```
1. [**Outputs (出力)**] を展開し、次の操作を行います。
+ [**Name (名前)**] に **payload** と入力します。
+ [**Selector (セレクタ)**] に **\$1.Payload** と入力します。
+ [**Type (タイプ)**] で、`StringMap` を選択します。
1. [**Add step (ステップを追加)**] を選択して、ランブックに 2 番目のステップを追加します。2 番目のステップは、ステップ 1 で起動されたインスタンスのステータスをクエリし、返されるステータスが `ok` になるまで待機します。
1. [**Step 2 (ステップ 2)**] セクションで、次の操作を行います。
1. [**Step name (ステップ名)**] に、オートメーションの 2 番目のステップを表すわかりやすい名前を入力します: **WaitForInstanceStatusOk**。
1. [**Action type (アクションタイプ)**] で、[**Run a script (スクリプトを実行)**] (**aws:executeScript**) を選択します。
1. [**Description (説明)**] に、次のようなオートメーションのステップの説明を入力します。
```
**About This Step**
The script continuously polls the instance status check value for the instance launched in Step 1 until the ```ok``` status is returned.
```
1. [**Runtime (ランタイム)**] では、提供されたスクリプトの実行に使用されるランタイム言語を選択します。
1. [**Handler (ハンドラ)**] に「**poll\$1instance**」と入力します。これは、次のスクリプトで宣言された関数名です。
**注記**
PowerShell では必須ではありません。
1. [**Script (スクリプト)**] で、デフォルトのコンテンツを次のように置き換えます。スクリプトは、対応するランタイム値と一致するようにしてください。
------
#### [ Python ]
```
def poll_instance(events, context):
import boto3
import time
ec2 = boto3.client('ec2')
instance_id = events['InstanceId']
print('[INFO] Waiting for instance status check to report ok', instance_id)
instance_status = "null"
while True:
res = ec2.describe_instance_status(InstanceIds=[instance_id])
if len(res['InstanceStatuses']) == 0:
print("Instance status information is not available yet")
time.sleep(5)
continue
instance_status = res['InstanceStatuses'][0]['InstanceStatus']['Status']
print('[INFO] Polling to get status of the instance', instance_status)
if instance_status == 'ok':
break
time.sleep(10)
return {'Status': instance_status, 'InstanceId': instance_id}
```
------
#### [ PowerShell ]
```
Install-Module AWS.Tools.EC2 -Force
$inputPayload = $env:InputPayload | ConvertFrom-Json
$instanceId = $inputPayload.payload.InstanceId
$status = Get-EC2InstanceStatus -InstanceId $instanceId
while ($status.Status.Status -ne 'ok'){
Write-Host 'Polling get status of the instance', $instanceId
Start-Sleep -Seconds 5
$status = Get-EC2InstanceStatus -InstanceId $instanceId
}
return @{Status = $status.Status.Status; InstanceId = $instanceId}
```
------
1. [**Additional inputs (追加入力)**] を展開します。
1. [**Input name (入力名)**] で、[**InputPayload**] を選択します。[** Input value (入力値)**] に、次のように入力します。
```
{{ LaunchEc2Instance.payload }}
```
1. [**Create automation (オートメーションを作成)**] を選択してランブックを保存します。
# ランブックでのスクリプトの使用
オートメーションランブックは、オートメーションの一部としてスクリプトの実行をサポートします。Automation は AWS Systems Manager のツールです。ランブックを使用すると、スクリプトを実行するための独立したコンピューティング環境を作成せずに、AWS でスクリプトを直接実行できます。ランブックでは、承認などの他のオートメーションステップタイプとともにスクリプトステップを実行できるため、重要な状況やあいまいな状況に手動で介入できます。ランブックの `aws:executeScript` アクションからの出力を Amazon CloudWatch Logs に送信できます。詳細については、「[CloudWatch Logs を使用した自動アクション出力のログ記録](automation-action-logging.md)」を参照してください。
## ランブックを使用するためのアクセス許可
ランブックを使用するには、Systems Manager が AWS Identity and Access Management (IAM) ロールのアクセス許可を使用する必要があります。どのロールのアクセス許可を使用するかを判断するためにオートメーションが使用する方法は、いくつかの要因と、ステップで `aws:executeScript` アクションを使用するかどうかによって異なります。
`aws:executeScript` を使用しないランブックの場合、オートメーションは、次の 2 つのアクセス許可ソースのいずれかを使用します。
+ ランブックで指定されているか、パラメータとして渡された IAM サービスロールまたは継承ロールのアクセス許可。
+ IAM サービスロールが指定されていない場合は、オートメーションを開始したユーザーのアクセス許可。
ただし、ランブックのステップに `aws:executeScript` アクションが含まれている場合、アクションに指定されている Python スクリプトまたは PowerShell スクリプトが AWS API オペレーションを呼び出す場合は、IAM サービスロール (継承ロール) が常に必要です。オートメーションは、このロールを次の順序でチェックします。
+ ランブックで指定されているか、パラメータとして渡された IAM サービスロールまたは継承ロールのアクセス許可。
+ ロールが見つからない場合、オートメーションは `aws:executeScript` に指定された Python スクリプトまたは PowerShell スクリプトをアクセス許可なしで実行しようとします。スクリプトが AWS API オペレーション (Amazon EC2 `CreateImage` オペレーションなど) を呼び出している場合、または AWS リソース (EC2 インスタンスなど) に対して動作しようとしている場合、スクリプトを含むステップは失敗し、Systems Manager は失敗をレポートするエラーメッセージを返します。
## スクリプトをランブックに追加する
スクリプトインラインをランブック内のステップの一部として含めることで、スクリプトをランブックに追加できます。スクリプトをランブックにアタッチするには、ローカルマシンからスクリプトをアップロードするか、スクリプトが配置されている Amazon Simple Storage Service (Amazon S3) バケットを指定します。スクリプトを実行するステップが完了すると、スクリプトの出力が JSON オブジェクトとして利用可能になり、ランブックの後続のステップの入力として使用できます。`aws:executeScript` アクションと、スクリプトのアタッチメントの使用方法の詳細については、「[`aws:executeScript` – スクリプトを実行する](automation-action-executeScript.md)」を参照してください。
## ランブックのスクリプト制約
ランブックでは、5 つの添付ファイルの制限が適用されます。スクリプトは、Python スクリプト (.py)、PowerShell Core スクリプト (.ps1) の形式で、または .zip ファイル内のコンテンツとして添付できます。
# ランブックでの条件文の使用
デフォルトでは、ランブックの `mainSteps` セクションで定義したステップは順番に実行されます。1 つのアクションが完了した後、`mainSteps` セクションで指定された次のアクションが開始されます。さらに、アクションが失敗した場合は、(デフォルトでは) オートメーション全体の実行に失敗します。このセクションで説明されている `aws:branch` オートメーションアクションおよびランブックオプションを使用すると、*条件付き分岐*を実行するオートメーションを作成できます。つまり、異なる選択肢を評価した後に異なるステップにジャンプするオートメーションを作成したり、ステップが完了したときに変更に動的に応答するオートメーションを作成することができます。動的オートメーションの作成に使用できるオプションのリストは次のとおりです。
+ **`aws:branch`**: この自動化アクションを使用すると、1 つのステップで複数の選択肢を評価し、その評価結果に基づいてランブックの異なるステップにジャンプする動的オートメーションを作成できます。
+ **`nextStep`**: このオプションは、ステップを正常に完了した後に、次に処理するオートメーションのステップを指定します。
+ **`isEnd`**: このオプションでは、特定のステップの最後にオートメーションを停止します。このオプションのデフォルト値は false です。
+ **`isCritical`**: このオプションはオートメーションの正常な完了のために、ステップを critical として指定します。この指定のステップが失敗した場合、オートメーションはオートメーションの失敗の最終的なステータスを `Failed` としてレポートします。このオプションのデフォルト値は `true` です。
+ **`onFailure`**: このオプションは失敗時にオートメーションを中止するか、続行するか、または別のステップに移行するかを示します。このオプションのデフォルト値は中止です。
次のセクションでは、`aws:branch` オートメーションアクションについて説明します。`nextStep`、`isEnd`、`isCritical`、`onFailure` オプションの詳細については、「[`aws:branch` ランブックの例](#branch-runbook-examples)」を参照してください。
## `aws:branch` アクションの使用
`aws:branch` アクションは、オートメーションのための最も動的な条件分岐オプションを提供します。前述のとおり、このアクションによって、オートメーションで複数の条件を 1 つのステップで評価し、その評価の結果に基づいて新しいステップにジャンプすることができます。`aws:branch` アクションは、プログラミングで `IF-ELIF-ELSE` ステートメントのように機能します。
以下に、`aws:branch` ステップの YAML の例を示します。
```
- name: ChooseOSforCommands
action: aws:branch
inputs:
Choices:
- NextStep: runPowerShellCommand
Variable: "{{GetInstance.platform}}"
StringEquals: Windows
- NextStep: runShellCommand
Variable: "{{GetInstance.platform}}"
StringEquals: Linux
Default:
PostProcessing
```
ステップの `aws:branch` アクションを指定する場合、オートメーションが評価する必要のある `Choices` を指定します。オートメーションは、ランブックの `Choices` セクションで指定したパラメータの値に基づいて、`Parameters` を評価できます。オートメーションは、前の手順の出力に基づいて `Choices` を評価することもできます。
自動化は、ブール式を使用して各選択肢を評価します。最初の選択肢が `true` であると判断された場合、オートメーションはその選択肢で指定されたステップにジャンプします。最初の選択肢が `false` であると判断された場合、オートメーションは次の選択肢を評価します。ステップに 3 つ以上の `Choices` が含まれている場合、オートメーションは、`true` である選択肢を評価するまで、各選択肢を順番に評価します。次に、オートメーションは、`true` の選択のために指定されたステップにジャンプします。
`Choices` である `true` がない場合、オートメーションはステップに `Default` 値が含まれているかどうかを確認します。`Default` 値は、`true` である選択肢がない場合にオートメーションがジャンプするステップを定義します。ステップに `Default` 値が指定されていない場合、オートメーションはランブックの次のステップを処理します。
以下は YAML の [**chooseOSfromParameter**] という名前の `aws:branch` ステップです。ステップには、2 つの `Choices` が含まれています。 (`NextStep: runWindowsCommand`) および (`NextStep: runLinuxCommand`)。オートメーションは、これらの `Choices` を評価して、適切なオペレーティングシステムで実行するコマンドを決定します。各選択肢の `Variable` は、`{{OSName}}` を使用します。これは、ランブック作成者がランブックの `Parameters` セクションで定義したパラメータです。
```
mainSteps:
- name: chooseOSfromParameter
action: aws:branch
inputs:
Choices:
- NextStep: runWindowsCommand
Variable: "{{OSName}}"
StringEquals: Windows
- NextStep: runLinuxCommand
Variable: "{{OSName}}"
StringEquals: Linux
```
以下は YAML の [**chooseOSfromOutput**] という名前の `aws:branch` ステップです。ステップには、2 つの `Choices` が含まれています。 (`NextStep: runPowerShellCommand`) および (`NextStep: runShellCommand`)。オートメーションは、これらの `Choices` を評価して、適切なオペレーティングシステムで実行するコマンドを決定します。各選択肢の `Variable` は、`{{GetInstance.platform}}` を使用します。これは、ランブックの前のステップからの出力です。この例では `Default` というオプションも含まれています。オートメーションが両方の `Choices` を評価し 、どちらの選択肢も `true` である場合、オートメーションは `PostProcessing` というステップにジャンプします。
```
mainSteps:
- name: chooseOSfromOutput
action: aws:branch
inputs:
Choices:
- NextStep: runPowerShellCommand
Variable: "{{GetInstance.platform}}"
StringEquals: Windows
- NextStep: runShellCommand
Variable: "{{GetInstance.platform}}"
StringEquals: Linux
Default:
PostProcessing
```
### ランブック `aws:branch` でのステップの作成
ランブック `aws:branch` でステップを作成するときは、オートメーションが次にジャンプするステップを決定するために評価する`Choices` を定義します。前述のように、`Choices` はブール式を使用して評価されます。各選択肢は、次のオプションを定義する必要があります。
+ **NextStep **: 指定された選択肢が `true` である場合に処理するランブックの次のステップ。
+ **Variable**: ランブックの `Parameters` セクションで定義されているパラメータの名前を指定するか、`Variables` セクションで定義されている変数の名前を指定するか、前のステップからの出力オブジェクトを指定します。
次の形式を使用して変数の値を指定します。
`Variable: "{{variable name}}"`
次の形式を使用してパラメータの値を指定します。
`Variable: "{{parameter name}}"`
次の形式を使用して出力オブジェクト変数を指定します。
`Variable: "{{previousStepName.outputName}}"`
**注記**
出力変数の作成については、次のセクション「[出力変数の作成について](#branch-action-output)」でさらに詳しく説明します。
+ **Operation**: `StringEquals: Linux` などの選択肢を評価するために使用される基準。`aws:branch` アクションは、次の操作をサポートします。
**文字列演算子**
+ StringEquals
+ EqualsIgnoreCase
+ StartsWith
+ EndsWith
+ Contains
**数値演算子**
+ NumericEquals
+ NumericGreater
+ NumericLesser
+ NumericGreaterOrEquals
+ NumericLesser
+ NumericLesserOrEquals
**ブール演算子**
+ BooleanEquals
**重要**
ランブックを作成すると、システムはランブック内の各オペレーションを検証します。オペレーションがサポートされていない場合は、ランブックの作成時にエラーが返されます。
+ **Default**: `Choices` である `true` がない場合にオートメーションがジャンプするフォールバックステップを指定します。
**注記**
`Default` 値を指定しない場合は、`isEnd` オプションを指定できます。`Choices` である `true` がない場合、および `Default` 値が指定されていない場合は、オートメーションはステップの最後で停止します。
次のテンプレートを使用して、ランブックの `aws:branch` ステップを構築します。各*リソースプレースホルダーの例*をユーザー自身の情報に置き換えます。
------
#### [ YAML ]
```
mainSteps:
- name: step name
action: aws:branch
inputs:
Choices:
- NextStep: step to jump to if evaluation for this choice is true
Variable: "{{parameter name or output from previous step}}"
Operation type: Operation value
- NextStep: step to jump to if evaluation for this choice is true
Variable: "{{parameter name or output from previous step}}"
Operation type: Operation value
Default:
step to jump to if all choices are false
```
------
#### [ JSON ]
```
{
"mainSteps":[
{
"name":"a name for the step",
"action":"aws:branch",
"inputs":{
"Choices":[
{
"NextStep":"step to jump to if evaluation for this choice is true",
"Variable":"{{parameter name or output from previous step}}",
"Operation type":"Operation value"
},
{
"NextStep":"step to jump to if evaluation for this choice is true",
"Variable":"{{parameter name or output from previous step}}",
"Operation type":"Operation value"
}
],
"Default":"step to jump to if all choices are false"
}
}
]
}
```
------
#### 出力変数の作成について
前のステップからの出力を参照する `aws:branch` 選択肢を作成するには、前のステップの名前と出力フィールドの名前を特定する必要があります。次に、以下の形式を使用して、ステップ名とフィールド名を結合します。
`Variable: "{{previousStepName.outputName}}"`
例えば、次の例の最初のステップは `GetInstance` という名前です。そして、`outputs` の下に、`platform` というフィールドがあります。2 番目のステップ (`ChooseOSforCommands`) では、作成者はプラットフォームフィールドからの出力を変数として参照しようとしています。変数を作成するには、単純にステップ名 (GetInstance) と出力フィールド名 (platform) を組み合わせて `Variable: "{{GetInstance.platform}}"` を作成します。
```
mainSteps:
- Name: GetInstance
action: aws:executeAwsApi
inputs:
Service: ssm
Api: DescribeInstanceInformation
Filters:
- Key: InstanceIds
Values: ["{{ InstanceId }}"]
outputs:
- Name: myInstance
Selector: "$.InstanceInformationList[0].InstanceId"
Type: String
- Name: platform
Selector: "$.InstanceInformationList[0].PlatformType"
Type: String
- name: ChooseOSforCommands
action: aws:branch
inputs:
Choices:
- NextStep: runPowerShellCommand
Variable: "{{GetInstance.platform}}"
StringEquals: Windows
- NextStep: runShellCommand
Variable: "{{GetInstance.platform}}"
StringEquals: Linux
Default:
Sleep
```
前のステップと出力から *"Variable": "\$1\$1 describeInstance.Platform \$1\$1"* を作成する方法例を示します。
```
- name: describeInstance
action: aws:executeAwsApi
onFailure: Abort
inputs:
Service: ec2
Api: DescribeInstances
InstanceIds:
- "{{ InstanceId }}"
outputs:
- Name: Platform
Selector: "$.Reservations[0].Instances[0].Platform"
Type: String
nextStep: branchOnInstancePlatform
- name: branchOnInstancePlatform
action: aws:branch
inputs:
Choices:
- NextStep: runEC2RescueForWindows
Variable: "{{ describeInstance.Platform }}"
StringEquals: windows
Default: runEC2RescueForLinux
```
### `aws:branch` ランブックの例
以下に、`aws:branch` を使用するランブックの例をいくつか挙げます。
**例 1: 出力変数で `aws:branch` を使用し、オペレーティングシステムの種類に基づいてコマンドを実行する**
この例 (`GetInstance`) の最初の手順では、ランブック作成者は `aws:executeAwsApi` アクションを使用して、`ssm` `DescribeInstanceInformation` API オペレーションを呼び出します。作成者はこのアクションを使用して、インスタンスが使用しているオペレーティングシステムのタイプを判別します。`aws:executeAwsApi` アクションはインスタンス ID とプラットフォームタイプを出力します。
2 番目のステップ (`ChooseOSforCommands`) では、2 つの `aws:branch` (`Choices`) と (`NextStep: runPowerShellCommand`) を使用して `NextStep: runShellCommand` アクションを使用します。自動化は、前の手順 (`Variable: "{{GetInstance.platform}}"`) の出力を使用して、インスタンスのオペレーティングシステムを評価します。オートメーションは、指定されたオペレーティングシステムのステップにジャンプします。
```
---
schemaVersion: '0.3'
assumeRole: "{{AutomationAssumeRole}}"
parameters:
AutomationAssumeRole:
default: ""
type: String
mainSteps:
- name: GetInstance
action: aws:executeAwsApi
inputs:
Service: ssm
Api: DescribeInstanceInformation
outputs:
- Name: myInstance
Selector: "$.InstanceInformationList[0].InstanceId"
Type: String
- Name: platform
Selector: "$.InstanceInformationList[0].PlatformType"
Type: String
- name: ChooseOSforCommands
action: aws:branch
inputs:
Choices:
- NextStep: runPowerShellCommand
Variable: "{{GetInstance.platform}}"
StringEquals: Windows
- NextStep: runShellCommand
Variable: "{{GetInstance.platform}}"
StringEquals: Linux
Default:
Sleep
- name: runShellCommand
action: aws:runCommand
inputs:
DocumentName: AWS-RunShellScript
InstanceIds:
- "{{GetInstance.myInstance}}"
Parameters:
commands:
- ls
isEnd: true
- name: runPowerShellCommand
action: aws:runCommand
inputs:
DocumentName: AWS-RunPowerShellScript
InstanceIds:
- "{{GetInstance.myInstance}}"
Parameters:
commands:
- ls
isEnd: true
- name: Sleep
action: aws:sleep
inputs:
Duration: PT3S
```
**例 2: パラメータ変数で `aws:branch` を使用し、オペレーティングシステムの種類に基づいてコマンドを実行する**
ランブック作成者は、`parameters` セクションのランブックの先頭にいくつかのパラメータオプションを定義します。1 つのパラメータの名前は `OperatingSystemName` です。最初のステップ (`ChooseOS`) では、2 つの `aws:branch` (`Choices`) と (`NextStep: runWindowsCommand`) を使用して `NextStep: runLinuxCommand` アクションを使用します。これらの `Choices` の変数は、パラメータセクション (`Variable: "{{OperatingSystemName}}"`) で指定されたパラメータオプションを参照します。ユーザーがこのランブックを実行すると、実行時に `OperatingSystemName` の値を指定します 。オートメーションでは、`Choices` の評価時にランタイムパラメータが使用されます。オートメーションは、`OperatingSystemName` に指定されたランタイムパラメータに基づいて、指定されたオペレーティングシステムのステップにジャンプします。
```
---
schemaVersion: '0.3'
assumeRole: "{{AutomationAssumeRole}}"
parameters:
AutomationAssumeRole:
default: ""
type: String
OperatingSystemName:
type: String
LinuxInstanceId:
type: String
WindowsInstanceId:
type: String
mainSteps:
- name: ChooseOS
action: aws:branch
inputs:
Choices:
- NextStep: runWindowsCommand
Variable: "{{OperatingSystemName}}"
StringEquals: windows
- NextStep: runLinuxCommand
Variable: "{{OperatingSystemName}}"
StringEquals: linux
Default:
Sleep
- name: runLinuxCommand
action: aws:runCommand
inputs:
DocumentName: "AWS-RunShellScript"
InstanceIds:
- "{{LinuxInstanceId}}"
Parameters:
commands:
- ls
isEnd: true
- name: runWindowsCommand
action: aws:runCommand
inputs:
DocumentName: "AWS-RunPowerShellScript"
InstanceIds:
- "{{WindowsInstanceId}}"
Parameters:
commands:
- date
isEnd: true
- name: Sleep
action: aws:sleep
inputs:
Duration: PT3S
```
### 演算子を使用した複雑な分岐オートメーションの作成
`And` ステップで `Or`、`Not`、および `aws:branch` 演算子を使用して、複雑な分岐オートメーションを作成できます。
**"And" 演算子**
選択肢の複数の変数を `And` にする場合は、`true` 演算子を使用します。次の例では、最初の選択肢に対して、インスタンスが `running` の状態で、`Windows` オペレーティングシステムを使用しているかどうかを評価します。これらの変数の*両方*が true と評価された場合、オートメーションは `runPowerShellCommand` ステップにジャンプします。1 つ以上の変数が `false` の場合、オートメーションは 2 番目の選択肢の変数を評価します。
```
mainSteps:
- name: switch2
action: aws:branch
inputs:
Choices:
- And:
- Variable: "{{GetInstance.pingStatus}}"
StringEquals: running
- Variable: "{{GetInstance.platform}}"
StringEquals: Windows
NextStep: runPowerShellCommand
- And:
- Variable: "{{GetInstance.pingStatus}}"
StringEquals: running
- Variable: "{{GetInstance.platform}}"
StringEquals: Linux
NextStep: runShellCommand
Default:
sleep3
```
**"OR" 演算子**
選択肢の複数の変数の*いずれか*を true にする場合は、`Or` 演算子を使用します。次の例では、最初の選択は、パラメータ文字列が `Windows` であるかどうか、AWS Lambda ステップからの出力が true かどうかを評価します。これらの変数の*どちらか*が true であると判断された場合、オートメーションは `RunPowerShellCommand` ステップにジャンプします。両方の変数が false の場合、オートメーションは 2 番目の選択肢の変数を評価します。
```
- Or:
- Variable: "{{parameter1}}"
StringEquals: Windows
- Variable: "{{BooleanParam1}}"
BooleanEquals: true
NextStep: RunPowershellCommand
- Or:
- Variable: "{{parameter2}}"
StringEquals: Linux
- Variable: "{{BooleanParam2}}"
BooleanEquals: true
NextStep: RunShellScript
```
**"Not" 演算子**
変数が true *でない場合*に定義されたステップにジャンプする場合は、`Not` 演算子を使用します。次の例では、最初の選択肢は、パラメータ文字列が `Not Linux` かどうかを評価します。変数が Linux ではないと判断された場合、オートメーションは `sleep2` ステップにジャンプします。最初の選択肢が Linux *である*と判断された場合、オートメーションは次の選択肢を評価します。
```
mainSteps:
- name: switch
action: aws:branch
inputs:
Choices:
- NextStep: sleep2
Not:
Variable: "{{testParam}}"
StringEquals: Linux
- NextStep: sleep1
Variable: "{{testParam}}"
StringEquals: Windows
Default:
sleep3
```
## 条件オプションの使用例
このセクションでは、ランブックで動的オプションを使用するさまざまな例について説明します。このセクションのそれぞれの例では、次のランブックを拡張します。このランブックには 2 つのアクションがあります。最初のアクションは `InstallMsiPackage` という名前です。`aws:runCommand` アクションを使用して、Windows Server インスタンスにアプリケーションをインストールします。2 番目のアクションは、`TestInstall` という名前です。このアクションは、`aws:invokeLambdaFunction` アクションを使用し、アプリケーションが正常にインストールされているかどうか、インストールされているアプリケーションのテストを実行します。ステップ 1 で `onFailure: Abort` を指定します。つまり、アプリケーションがインストールされなかった場合は、オートメーションの実行はステップ 2 より前で停止します。
**例 1:2 つのリニアアクションがあるランブック**
```
---
schemaVersion: '0.3'
description: Install MSI package and run validation.
assumeRole: "{{automationAssumeRole}}"
parameters:
automationAssumeRole:
type: String
description: "(Required) Assume role."
packageName:
type: String
description: "(Required) MSI package to be installed."
instanceIds:
type: String
description: "(Required) Comma separated list of instances."
mainSteps:
- name: InstallMsiPackage
action: aws:runCommand
maxAttempts: 2
onFailure: Abort
inputs:
InstanceIds:
- "{{instanceIds}}"
DocumentName: AWS-RunPowerShellScript
Parameters:
commands:
- msiexec /i {{packageName}}
- name: TestInstall
action: aws:invokeLambdaFunction
maxAttempts: 1
timeoutSeconds: 500
inputs:
FunctionName: TestLambdaFunction
...
```
**`onFailure` オプションを使用し、別のステップにジャンプする動的オートメーションを作成する**
次の例では、`onFailure: step:step name`、`nextStep`、および `isEnd` オプションを使用して、動的オートメーションを作成します。この例では、`InstallMsiPackage` アクションが失敗すると、自動化は *PostFailure* (`onFailure: step:PostFailure`) というアクションにジャンプし、インストールに失敗したイベントの何らかのアクションを実行する AWS Lambda 関数を実行します。インストールが成功した場合は、自動化は TestInstall アクション (`nextStep: TestInstall`) にジャンプします。`TestInstall` ステップと `PostFailure` ステップの両方で `isEnd` オプション (`isEnd: true`) を使用すると、これらのステップのいずれかが完了したときにオートメーションが終了します。
**注記**
`isEnd` セクションの最後のステップでの、`mainSteps` オプションの使用はオプションです。最後のステップが他のステップにジャンプしない場合、最後のステップのアクションの実行後にオートメーションは停止します。
**例 2: 別のステップにジャンプする動的オートメーション**
```
mainSteps
- name: InstallMsiPackage
action: aws:runCommand
onFailure: step:PostFailure
maxAttempts: 2
inputs:
InstanceIds:
- "{{instanceIds}}"
DocumentName: AWS-RunPowerShellScript
Parameters:
commands:
- msiexec /i {{packageName}}
nextStep: TestInstall
- name: TestInstall
action: aws:invokeLambdaFunction
maxAttempts: 1
timeoutSeconds: 500
inputs:
FunctionName: TestLambdaFunction
isEnd: true
- name: PostFailure
action: aws:invokeLambdaFunction
maxAttempts: 1
timeoutSeconds: 500
inputs:
FunctionName: PostFailureRecoveryLambdaFunction
isEnd: true
...
```
**注記**
ランブックを処理する前に、システムはランブックが無限ループを作成していないことを確認します。無限ループが検出された場合、自動化はエラー、およびどのステップがループを作成しているかを示すサークルトレースを返します。
**重要な手順を定義する動的オートメーションの作成**
オートメーション全体の成功にとって非常に重要なステップを指定できます。重要なステップが失敗した場合、1 つ以上のステップが正常に実行されたとしても、オートメーションは実行のステータスを `Failed` としてレポートします。次の例では、*InstallMsiPackage* ステップが失敗した (`onFailure: step:VerifyDependencies`) 場合に、ユーザーは *VerifyDependencies* ステップを識別します。ユーザーは、`InstallMsiPackage` ステップが critical ではないことを指定します (`isCritical: false`)。この例では、アプリケーションのインストールに失敗した場合、自動化は `VerifyDependencies` ステップを処理して、アプリケーションのインストールが失敗する原因となる、1 つ以上の依存関係が欠落していないかどうかを判断します。
**例 3: オートメーションを定義する重要なステップ**
```
---
name: InstallMsiPackage
action: aws:runCommand
onFailure: step:VerifyDependencies
isCritical: false
maxAttempts: 2
inputs:
InstanceIds:
- "{{instanceIds}}"
DocumentName: AWS-RunPowerShellScript
Parameters:
commands:
- msiexec /i {{packageName}}
nextStep: TestPackage
...
```
# アクション出力の入力としての使用
いくつかのオートメーションアクションは、定義済みの出力を返します。`{{stepName.outputName}}` 形式を使用して、これらの出力をランブックの後のステップに入力として渡すことができます。ランブックでは、さまざまなオートメーションアクションについて、その出力を定義することができます。これにより、スクリプトを実行することや、他の AWS のサービス のために API オペレーションを呼び出すことができ、その出力値は、後のアクションで入力として再利用できます。ランブック内のパラメータのデータ型は静的です。つまり、パラメータのデータ型は定義後に変更することはできません。ステップ出力を定義するには、以下のフィールドを指定します。
+ 名前: (必須) 後のステップで出力値を参照するために使用する出力名。
+ セレクター: (必須) 出力値を決定するために使用される JSONPath 式。
+ タイプ: (オプション) セレクターフィールドによって返されます。有効なタイプ値は `String`、`Integer`、`Boolean`、`StringList`、`StringMap`、`MapList` です。デフォルト値は `String` です。
出力の値が指定したデータ型と一致しない場合、オートメーションはデータ型を変換しようとします。例えば、返される値が `Integer` で、指定された `Type` が `String` の場合、最終的な出力値は `String` 値です。次のネットワーク接続タイプがサポートされています。
+ `String` 値は `StringList`、`Integer`、および `Boolean` に変換できます。
+ `Integer` 値は `String` および `StringList` に変換できます。
+ `Boolean` 値は `String` および `StringList` に変換できます。
+ 1 つの要素を含む `StringList`、`IntegerList`、または `BooleanList` 値は、`String`、`Integer` または `Boolean` に変換できます。
自動化アクションでパラメータを使用する場合、アクションの入力内でデータ型を動的に変更することはできません。
アクションの出力を定義し、その出力値を後のアクションで入力として参照する方法を示した、ランブックの例を次に示します。このランブックでは、以下を処理します。
+ `aws:executeAwsApi` アクションを使用して Amazon EC2 DescribeImages API オペレーションを呼び出し、特定の Windows Server 2016 AMI の名前を取得します。イメージ ID を `ImageId` として出力します。
+ `aws:executeAwsApi` アクションを使用して、Amazon EC2 RunInstances API オペレーションを呼び出し、前の手順の `ImageId` を使用するインスタンスを 1 つ起動します。インスタンス ID を `InstanceId` として出力します。
+ ` aws:waitForAwsResourceProperty` アクションを使用して Amazon EC2 DescribeInstanceStatus API オペレーションをポーリングし、インスタンスが `running` 状態になるまで待機します。アクションは 60 秒でタイムアウトします。60 秒間のポーリング後にインスタンス状態が `running` にならなかった場合、このステップはタイムアウトします。
+ `aws:assertAwsResourceProperty` アクションを使用して Amazon EC2 `DescribeInstanceStatus` API オペレーションを呼び出し、インスタンスが `running` 状態であることをアサートします。インスタンス状態が `running` ではない場合、このステップは失敗します。
```
---
description: Sample runbook using AWS API operations
schemaVersion: '0.3'
assumeRole: "{{ AutomationAssumeRole }}"
parameters:
AutomationAssumeRole:
type: String
description: "(Optional) The ARN of the role that allows Automation to perform the actions on your behalf."
default: ''
ImageName:
type: String
description: "(Optional) Image Name to launch EC2 instance with."
default: "Windows_Server-2022-English-Full-Base*"
mainSteps:
- name: getImageId
action: aws:executeAwsApi
inputs:
Service: ec2
Api: DescribeImages
Filters:
- Name: "name"
Values:
- "{{ ImageName }}"
outputs:
- Name: ImageId
Selector: "$.Images[0].ImageId"
Type: "String"
- name: launchOneInstance
action: aws:executeAwsApi
inputs:
Service: ec2
Api: RunInstances
ImageId: "{{ getImageId.ImageId }}"
MaxCount: 1
MinCount: 1
outputs:
- Name: InstanceId
Selector: "$.Instances[0].InstanceId"
Type: "String"
- name: waitUntilInstanceStateRunning
action: aws:waitForAwsResourceProperty
timeoutSeconds: 60
inputs:
Service: ec2
Api: DescribeInstanceStatus
InstanceIds:
- "{{ launchOneInstance.InstanceId }}"
PropertySelector: "$.InstanceStatuses[0].InstanceState.Name"
DesiredValues:
- running
- name: assertInstanceStateRunning
action: aws:assertAwsResourceProperty
inputs:
Service: ec2
Api: DescribeInstanceStatus
InstanceIds:
- "{{ launchOneInstance.InstanceId }}"
PropertySelector: "$.InstanceStatuses[0].InstanceState.Name"
DesiredValues:
- running
outputs:
- "launchOneInstance.InstanceId"
...
```
前述の各オートメーションアクションを使用すると、サービス名前空間、API オペレーション名、入力パラメータ、および出力パラメータを指定して、特定の API オペレーションを呼び出すことができます。入力は、選択した API オペレーションによって定義されます。API オペレーション (メソッド) は、以下の「[サービスリファレンス](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/index.html)」ページの左側のナビゲーションでサービスを選択することで表示できます。呼び出すサービスの [**Client (クライアント)**] セクションでメソッドを選択します。例えば、Amazon Relational Database Service (Amazon RDS) のすべての API オペレーション (メソッド) は、[Amazon RDS メソッド](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/rds.html)のページに一覧表示されます。
各オートメーションアクションのスキーマは、次の場所で表示できます。
+ [`aws:assertAwsResourceProperty` – AWS リソースの状態またはイベントの状態をアサートする](automation-action-assertAwsResourceProperty.md)
+ [`aws:executeAwsApi` — AWS API オペレーションの呼び出しと実行](automation-action-executeAwsApi.md)
+ [`aws:waitForAwsResourceProperty` – AWS リソースプロパティを待つ](automation-action-waitForAwsResourceProperty.md)
スキーマには、各アクションを使用するための必須フィールドの説明が含まれています。
**Selector/PropertySelector フィールドの使用**
各オートメーションアクションでは、出力 `Selector` (`aws:executeAwsApi` 用) または `PropertySelector` (`aws:assertAwsResourceProperty` および `aws:waitForAwsResourceProperty` 用) を指定する必要があります。これらのフィールドは、AWS API オペレーションから JSON 応答を処理するために使用されます。これらのフィールドは JSONPath 構文を使用します。
次に、`aws:executeAwsAPi` アクションのこの概念を説明する例を示します。
```
---
mainSteps:
- name: getImageId
action: aws:executeAwsApi
inputs:
Service: ec2
Api: DescribeImages
Filters:
- Name: "name"
Values:
- "{{ ImageName }}"
outputs:
- Name: ImageId
Selector: "$.Images[0].ImageId"
Type: "String"
...
```
`aws:executeAwsApi` ステップ `getImageId` で、オートメーションは `DescribeImages` API オペレーションを呼び出し、`ec2` からレスポンスを受け取ります。次に、オートメーションは `Selector - "$.Images[0].ImageId"` を API レスポンスに適用し、選択した値を出力 `ImageId` 変数に割り当てます。同じ自動化の他のステップでは、`ImageId` を指定して `"{{ getImageId.ImageId }}"` の値を使用できます。
次に、`aws:waitForAwsResourceProperty` アクションのこの概念を説明する例を示します。
```
---
- name: waitUntilInstanceStateRunning
action: aws:waitForAwsResourceProperty
# timeout is strongly encouraged for action - aws:waitForAwsResourceProperty
timeoutSeconds: 60
inputs:
Service: ec2
Api: DescribeInstanceStatus
InstanceIds:
- "{{ launchOneInstance.InstanceId }}"
PropertySelector: "$.InstanceStatuses[0].InstanceState.Name"
DesiredValues:
- running
...
```
`aws:waitForAwsResourceProperty` ステップ `waitUntilInstanceStateRunning` で、オートメーションは `DescribeInstanceStatus` API オペレーションを呼び出し、`ec2` からレスポンスを受け取ります。次に、オートメーションは `PropertySelector - "$.InstanceStatuses[0].InstanceState.Name"` をレスポンスに適用し、指定された戻り値が `DesiredValues` リスト (この場合は `running`) の値と一致するかどうかを確認します。このステップは、レスポンスが `running` のインスタンスの状態を返すまでプロセスを繰り返します。
## ランブックでの JSONPath の使用
JSONPath 式は、「\$1.」で始まる文字列で、JSON 要素内の 1 つ以上のコンポーネントを選択するために使用されます。次のリストには、Systems Manager Automation でサポートされている JSONPath 演算子に関する情報が含まれています。
+ **Dot-notated child (.)**: JSON オブジェクトで使用します。この演算子は、特定のキーの値を選択します。
+ **Deep-scan (..)**: JSON 要素で使用します。この演算子は、レベル別に JSON 要素レベルをスキャンし、特定のキーで値のリストを選択します。この演算子の戻り型は、常に JSON 配列です。オートメーションアクションの出力タイプのコンテキストでは、演算子は StringList または MapList のいずれかになります。
+ **Array-Index([ ])**: JSON 配列で使用します。この演算子は、特定のインデックスの値を取得します。
+ **Filter ([?(*expression*)])**: JSON 配列と一緒に使用します。このオペレータは、フィルター式で定義された条件と一致する JSON 配列値をフィルタリングします。フィルター式では、以下の演算子のみを使用できます。==、\$1=、>、<、>=、<= 複数のフィルター式を AND (&&) または OR (\$1\$1) と組み合わせることはサポートされていません。この演算子の戻り型は、常に JSON 配列です。
JSONPath 演算子をよりよく理解するために、ec2 `DescribeInstances` API オペレーションの次の JSON 応答を確認してください。このレスポンスの下には、`DescribeInstances` API オペレーションからのレスポンスにさまざまな JSONPath 式を適用してさまざまな結果を示すいくつかの例があります。
```
{
"NextToken": "abcdefg",
"Reservations": [
{
"OwnerId": "123456789012",
"ReservationId": "r-abcd12345678910",
"Instances": [
{
"ImageId": "ami-12345678",
"BlockDeviceMappings": [
{
"Ebs": {
"DeleteOnTermination": true,
"Status": "attached",
"VolumeId": "vol-000000000000"
},
"DeviceName": "/dev/xvda"
}
],
"State": {
"Code": 16,
"Name": "running"
}
}
],
"Groups": []
},
{
"OwnerId": "123456789012",
"ReservationId": "r-12345678910abcd",
"Instances": [
{
"ImageId": "ami-12345678",
"BlockDeviceMappings": [
{
"Ebs": {
"DeleteOnTermination": true,
"Status": "attached",
"VolumeId": "vol-111111111111"
},
"DeviceName": "/dev/xvda"
}
],
"State": {
"Code": 80,
"Name": "stopped"
}
}
],
"Groups": []
}
]
}
```
**JSONPath 例 1: JSON レスポンスから特定の文字列を取得する**
```
JSONPath:
$.Reservations[0].Instances[0].ImageId
Returns:
"ami-12345678"
Type: String
```
**JSONPath 例 2: JSON レスポンスから特定のブーリアンを取得する**
```
JSONPath:
$.Reservations[0].Instances[0].BlockDeviceMappings[0].Ebs.DeleteOnTermination
Returns:
true
Type: Boolean
```
**JSONPath 例 3: JSON レスポンスから特定の整数を取得する**
```
JSONPath:
$.Reservations[0].Instances[0].State.Code
Returns:
16
Type: Integer
```
**JSONPath 例 4: JSON レスポンスを詳細にスキャンし、VolumeId のすべての値を StringList として取得する**
```
JSONPath:
$.Reservations..BlockDeviceMappings..VolumeId
Returns:
[
"vol-000000000000",
"vol-111111111111"
]
Type: StringList
```
**JSONPath 例 5: 特定の BlockDeviceMappings オブジェクトを StringMap として取得する**
```
JSONPath:
$.Reservations[0].Instances[0].BlockDeviceMappings[0]
Returns:
{
"Ebs" : {
"DeleteOnTermination" : true,
"Status" : "attached",
"VolumeId" : "vol-000000000000"
},
"DeviceName" : "/dev/xvda"
}
Type: StringMap
```
**JSONPath 例 6: JSON レスポンスを詳細にスキャンし、すべての State のオブジェクトを MapList として取得します**
```
JSONPath:
$.Reservations..Instances..State
Returns:
[
{
"Code" : 16,
"Name" : "running"
},
{
"Code" : 80,
"Name" : "stopped"
}
]
Type: MapList
```
**JSONPath の例 7: `running` ステート内のインスタンスをフィルター処理する**
```
JSONPath:
$.Reservations..Instances[?(@.State.Name == 'running')]
Returns:
[
{
"ImageId": "ami-12345678",
"BlockDeviceMappings": [
{
"Ebs": {
"DeleteOnTermination": true,
"Status": "attached",
"VolumeId": "vol-000000000000"
},
"DeviceName": "/dev/xvda"
}
],
"State": {
"Code": 16,
"Name": "running"
}
}
]
Type: MapList
```
**JSONPath の例 8: `running` ステートにないインスタンスのうち、`ImageId` を返す**
```
JSONPath:
$.Reservations..Instances[?(@.State.Name != 'running')].ImageId
Returns:
[
"ami-12345678"
]
Type: StringList | String
```
# Automation 向けのウェブフック統合の作成
オートメーション中にウェブフックを使用してメッセージを送信するには、統合を作成します。ランブック内で `aws:invokeWebhook` アクションを使用すると、統合をオートメーション中に呼び出すことができます。ウェブフックをまだ作成していない場合は、「[統合用のウェブフックの作成](#creating-webhooks)」を参照してください。`aws:invokeWebhook` アクションの詳細については、「[`aws:invokeWebhook` – オートメーションのウェブフック統合を呼び出す](invoke-webhook.md)」を参照してください。
次の手順に示すように、Systems Manager のオートメーションコンソール、または任意のコマンドラインツールを使用して、統合を作成できます。
## 統合の作成 (コンソール)
**オートメーション用に統合を作成するには (コンソール)**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで **[オートメーション]** を選択します。
1. **[Integrations]** (統合) タブを開きます。
1. **[Add integration]** (統合を追加)、**[Webhook]** (ウェブフック) の順にクリックします。
1. 統合に適用する、必須の値および任意のオプション値を入力します。
1. **[Add]** (追加) をクリックして統合を作成します。
## 統合の作成 (コマンドライン)
コマンドラインツールを使用して統合を作成するためには、その統合に必須の `SecureString` パラメータを作成します。オートメーションは、統合に関する情報を格納するために、Systems Manager のツールである Parameter Store 内で予約済みの名前空間を使用します。AWS マネジメントコンソール を使用して統合を作成する場合には、ユーザーに代わりオートメーションがこのプロセスを処理します。名前空間に続いて、作成する統合のタイプ、および統合の名前を指定する必要があります。現在、オートメーションでは `webhook` タイプの統合がサポートされています。
`webhook` タイプの統合では、以下のフィールドがサポートされます。
+ 説明
+ ヘッダー
+ payload
+ [URL]
**[開始する前に]**
まだ AWS Command Line Interface (AWS CLI) または AWS Tools for PowerShell をインストールして設定していない場合は、インストールして設定します。詳細については、「[AWS CLI の最新バージョンをインストールまたは更新します。](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)」および「[AWS Tools for PowerShell のインストール](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html)」を参照してください。
**オートメーション用に統合を作成するには (コマンドライン)**
+ 以下のコマンドを実行して、統合に必須な `SecureString` パラメータを作成します。各*リソースプレースホルダーの例*をユーザー自身の情報に置き換えます。`/d9d01087-4a3f-49e0-b0b4-d568d7826553/ssm/integrations/webhook/` 名前空間は、Parameter Store 内で統合用として予約されています。パラメータの名前は、この名前空間と同じものを (後に統合の名前を続けて) 使用する必要があります。例: `/d9d01087-4a3f-49e0-b0b4-d568d7826553/ssm/integrations/webhook/myWebhookIntegration`。
------
#### [ Linux & macOS ]
```
aws ssm put-parameter \
--name "/d9d01087-4a3f-49e0-b0b4-d568d7826553/ssm/integrations/webhook/myWebhookIntegration" \
--type "SecureString" \
--data-type "aws:ssm:integration" \
--value '{"description": "My first webhook integration for Automation.", "url": "myWebHookURL"}'
```
------
#### [ Windows ]
```
aws ssm put-parameter ^
--name "/d9d01087-4a3f-49e0-b0b4-d568d7826553/ssm/integrations/webhook/myWebhookIntegration" ^
--type "SecureString" ^
--data-type "aws:ssm:integration" ^
--value "{\"description\":\"My first webhook integration for Automation.\",\"url\":\"myWebHookURL\"}"
```
------
#### [ PowerShell ]
```
Write-SSMParameter `
-Name "/d9d01087-4a3f-49e0-b0b4-d568d7826553/ssm/integrations/webhook/myWebhookIntegration" `
-Type "SecureString"
-DataType "aws:ssm:integration"
-Value '{"description": "My first webhook integration for Automation.", "url": "myWebHookURL"}'
```
------
## 統合用のウェブフックの作成
プロバイダでウェブフックを作成する場合は、以下の点に注意してください。
+ プロトコルは HTTPS を使用する必要があります。
+ カスタムリクエストヘッダーをサポートする必要があります。
+ デフォルトのリクエストボディを指定できます。
+ デフォルトのリクエストボディは、`aws:invokeWebhook` アクションを使用して統合が呼び出された時点でオーバーライドされます
# ランブックでのタイムアウトの処理
`timeoutSeconds` プロパティはオートメーションのすべてのアクションで共有されます。このプロパティを使用して、アクションの実行タイムアウト値を指定できます。さらに、アクションのタイムアウトがオートメーションと全体的な実行ステータスに与える影響を変更できます。そのためには、アクションの `onFailure` および `isCritical` 共有プロパティも定義します。
たとえば、ユースケースによっては、アクションがタイムアウトした場合に、オートメーションが別のアクションを続行し、オートメーションの全体的なステータスに影響を与えないようにすることもできます。この例では、`timeoutSeconds` プロパティを使用して、アクションがタイムアウトするまでの待機時間を指定しています。次に、タイムアウトが発生した場合にオートメーションが続行するアクション (ステップ) を指定します。デフォルト値の `step:step name` ではなく、`onFailure` プロパティの `Abort` 形式の値を指定します。デフォルトでは、アクションがタイムアウトした場合、オートメーションの実行ステータスは `Timed Out` になります。タイムアウトが オートメーションの実行ステータスに影響を与えないようにするには、`false` プロパティに `isCritical` を指定します。
以下の例では、このシナリオで説明されているアクションの共有プロパティを定義する方法を示しています。
------
#### [ YAML ]
```
- name: verifyImageAvailability
action: 'aws:waitForAwsResourceProperty'
timeoutSeconds: 600
isCritical: false
onFailure: 'step:getCurrentImageState'
inputs:
Service: ec2
Api: DescribeImages
ImageIds:
- '{{ createImage.newImageId }}'
PropertySelector: '$.Images[0].State'
DesiredValues:
- available
nextStep: copyImage
```
------
#### [ JSON ]
```
{
"name": "verifyImageAvailability",
"action": "aws:waitForAwsResourceProperty",
"timeoutSeconds": 600,
"isCritical": false,
"onFailure": "step:getCurrentImageState",
"inputs": {
"Service": "ec2",
"Api": "DescribeImages",
"ImageIds": [
"{{ createImage.newImageId }}"
],
"PropertySelector": "$.Images[0].State",
"DesiredValues": [
"available"
]
},
"nextStep": "copyImage"
}
```
------
オートメーションのすべてのアクションで共有されるプロパティの詳細については、「[すべてのアクションで共有されるプロパティ](automation-actions.md#automation-common)」を参照してください。
# Systems Manager Automation ランブックのリファレンス
AWS Systems Manager では、お客様が迅速に使用を開始していただけるように、事前定義済みのランブックが用意されています。これらのランブックは、アマゾンウェブサービス、AWS サポート、および AWS Config によって管理されています。このランブックリファレンスでは、Systems Manager、サポート、および AWS Config から提供される、定義済みのランブックについて説明します。詳細については、「[Systems Manager Automation Runbook Reference](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide)」を参照してください。
# チュートリアル
以下のチュートリアルは、AWS Systems Manager Automation を使用して一般的なユースケースに対応する際の役に立ちます。これらのチュートリアルでは、独自のランブックや、Automation から提供されている事前定義済みのランブックを使用する方法、また、これら以外の Systems Manager のツールを他の AWS のサービスとともに使用する方法について紹介しています。
**Contents**
+ [AMIs の更新](automation-tutorial-update-ami.md)
+ [Linux AMI を更新する](automation-tutorial-update-patch-linux-ami.md)
+ [Linux AMI (AWS CLI) を更新する](automation-tutorial-update-ami.md#update-patch-linux-ami-cli)
+ [Windows Server AMI を更新する](automation-tutorial-update-patch-windows-ami.md)
+ [Automation、AWS Lambda、Parameter Store を使用してゴールデン AMI を更新する](automation-tutorial-update-patch-golden-ami.md)
+ [タスク 1: Systems Manager Parameter Store でパラメータを作成する](automation-tutorial-update-patch-golden-ami.md#create-parameter-ami)
+ [タスク 2: 用の IAM ロールを作成するAWS Lambda](automation-tutorial-update-patch-golden-ami.md#create-lambda-role)
+ [タスク 3: AWS Lambda 関数を作成する](automation-tutorial-update-patch-golden-ami.md#create-lambda-function)
+ [タスク 4: ランブックを作成し、AMI にパッチを適用する](automation-tutorial-update-patch-golden-ami.md#create-custom-ami-update-runbook)
+ [オートメーションと Jenkins を使用した AMIs の更新](automation-tutorial-update-patch-ami-jenkins-integration.md)
+ [Auto Scaling グループ用の AMIs の更新](automation-tutorial-update-patch-windows-ami-autoscaling.md)
+ [**PatchAMIAndUpdateASG** ランブックを作成する](automation-tutorial-update-patch-windows-ami-autoscaling.md#create-autoscaling-update-runbook)
+ [AWS サポート でのセルフサービスランブックの使用](automation-tutorial-support-runbooks.md)
+ [到達不可能なインスタンスでの EC2Rescue ツールの実行](automation-ec2rescue.md)
+ [仕組み](automation-ec2rescue.md#automation-ec2rescue-how)
+ [開始する前に](automation-ec2rescue.md#automation-ec2rescue-begin)
+ [インスタンスでアクションを実行するための `AWSSupport-EC2Rescue` アクセス許可の付与](automation-ec2rescue.md#automation-ec2rescue-access)
+ [IAM ポリシーを使用したアクセス許可の付与](automation-ec2rescue.md#automation-ec2rescue-access-iam)
+ [CloudFormation テンプレートを使用したアクセス権限の付与](automation-ec2rescue.md#automation-ec2rescue-access-cfn)
+ [自動化の実行](automation-ec2rescue.md#automation-ec2rescue-executing)
+ [EC2 インスタンスでのパスワードと SSH キーのリセット](automation-ec2reset.md)
+ [仕組み](automation-ec2reset.md#automation-ec2reset-how)
+ [[開始する前に]](automation-ec2reset.md#automation-ec2reset-begin)
+ [インスタンスでアクションを実行するための AWSSupport-EC2Rescue アクセス許可の付与](automation-ec2reset.md#automation-ec2reset-access)
+ [IAM ポリシーを使用したアクセス許可の付与](automation-ec2reset.md#automation-ec2reset-access-iam)
+ [CloudFormation テンプレートを使用したアクセス権限の付与](automation-ec2reset.md#automation-ec2reset-access-cfn)
+ [自動化の実行](automation-ec2reset.md#automation-ec2reset-executing)
+ [入力トランスフォーマーを使用したオートメーションへのデータの受け渡し](automation-tutorial-eventbridge-input-transformers.md)
# AMIs の更新
以下のチュートリアルでは、最新のパッチを適用するための Amazon Machine Image (AMIs) の更新方法について説明します。
**Topics**
+ [Linux AMI を更新する](automation-tutorial-update-patch-linux-ami.md)
+ [Linux AMI (AWS CLI) を更新する](#update-patch-linux-ami-cli)
+ [Windows Server AMI を更新する](automation-tutorial-update-patch-windows-ami.md)
+ [Automation、AWS Lambda、Parameter Store を使用してゴールデン AMI を更新する](automation-tutorial-update-patch-golden-ami.md)
+ [オートメーションと Jenkins を使用した AMIs の更新](automation-tutorial-update-patch-ami-jenkins-integration.md)
+ [Auto Scaling グループ用の AMIs の更新](automation-tutorial-update-patch-windows-ami-autoscaling.md)
# Linux AMI を更新する
この Systems Manager Automation チュートリアルでは、コンソールまたは AWS CLI および `AWS-UpdateLinuxAmi` ランブックを使用して、指定したパッケージ用の最新バージョンのパッチを、Linux AMI に適用する方法について説明します。Automation は AWS Systems Manager のツールです。`AWS-UpdateLinuxAmi` ランブックは、その他のサイト固有のパッケージと設定のインストールも自動化します。このチュートリアルを使用して、Ubuntu Server、Red Hat Enterprise Linux (RHEL)、または Amazon Linux AMIs などのさまざまな Linux ディストリビューションを更新できます。サポートされている Linux バージョンの詳細なリストについては、「[Patch Manager の前提条件](patch-manager-prerequisites.md)」を参照してください。
`AWS-UpdateLinuxAmi` ランブックでは、JSON あるいは YAML によりランブックを記述することなく、イメージのメンテナンスタスクを自動化することができます。`AWS-UpdateLinuxAmi` ランブックを使用して次のタイプのタスクを実行できます。
+ Amazon Linux、Red Hat Enterprise Linux、または Ubuntu Server Amazon Machine Image (AMI) 上のすべてのディストリビューションパッケージと Amazon ソフトウェアを更新します。これはデフォルトのランブックの動作です。
+ 既存のイメージに AWS Systems Manager SSM Agent をインストールして、AWS Systems Manager Run Command を使用したリモートコマンドの実行や、Inventory を使用したソフトウェアインベントリ収集といった Systems Manager のツールを有効にします。
+ 追加のソフトウェアパッケージをインストールします。
**開始する前に**
ランブックで作業を開始する前に、ロールを設定し、必要に応じてオートメーション用に EventBridge を設定します。詳細については、「[オートメーションの設定](automation-setup.md)」を参照してください。このチュートリアルでは、AWS Identity and Access Management (IAM) インスタンスプロファイルの名前を指定する必要もあります。IAM インスタンスプロファイル作成の詳細については、「[Systems Manager に必要なインスタンスのアクセス許可を設定する](setup-instance-permissions.md)」を参照してください。
`AWS-UpdateLinuxAmi` ランブックは、次の入力パラメータを受け付けます。
****
| Parameter | Type | 説明 |
| --- | --- | --- |
| SourceAmiId | 文字列 | (必須) ソース AMI ID。 |
| IamInstanceProfileName | String | (必須)「[Systems Manager に必要なインスタンスのアクセス許可を設定する](setup-instance-permissions.md)」で作成した IAM インスタンスプロファイルロールの名前。インスタンスプロファイルのロールは、コマンドの実行またはサービスの開始や停止など、インスタンスでアクションを実行するための自動化のアクセス許可を付与します。ランブックでは、インスタンスプロファイルロールの名前のみが使用されます。Amazon リソースネーム (ARN) を指定すると、オートメーションは失敗します。 |
| AutomationAssumeRole | 文字列 | (必須) [オートメーションの設定](automation-setup.md) で作成した IAM サービスロールの名前。サービスロール (継承ロールとも呼ばれます) は、オートメーションが IAM ロールを引き受け、代わりにアクションを実行するアクセス許可を与えます。例えば、サービスロールを使用すると、ランブックで `aws:createImage` アクションを実行するとき、Automation で新しい AMI を作成できます。このパラメータには、完全な ARN を指定する必要があります。 |
| TargetAmiName | 文字列 | (オプション) 作成後の AMI の新しい名前。デフォルト名は、ソース AMI ID および作成日時を含む、システム生成文字列です。 |
| InstanceType | 文字列 | (オプション) WorkSpace ホストとして起動するインスタンスの種類。インスタンスタイプは、リージョンによって異なります。デフォルトのタイプは、t2.micro です。 |
| PreUpdateScript | 文字列 | (オプション) 更新の適用前に実行するスクリプトの URL。デフォルト (\$1"none\$1") は、スクリプトを実行しません。 |
| PostUpdateScript | 文字列 | (オプション) パッケージの更新の適用後に実行するスクリプトの URL。デフォルト (\$1"none\$1") は、スクリプトを実行しません。 |
| IncludePackages | 文字列 | (オプション) これらの名前付きパッケージのみを更新します。デフォルト (\$1"all\$1") では、すべての利用可能な更新が適用されます。 |
| ExcludePackages | 文字列 | (オプション) すべての条件の下で、更新を保留するパッケージの名前。デフォルト (\$1"none\$1") では、パッケージは除外されません。 |
**自動化のステップ**
`AWS-UpdateLinuxAmi` ランブックには、デフォルトで次のオートメーションアクションが含まれています。
**ステップ 1: launchInstance (`aws:runInstances` アクション) **
このステップでは、Amazon Elastic Compute Cloud (Amazon EC2) ユーザーデータ、および IAM インスタンスプロファイルのロールを使用してインスタンスを起動します。ユーザーデータは、オペレーティングシステムに基づいて、適切な SSM Agent をインストールします。SSM Agent をインストールすると、Run Command、State Manager、Inventory など、Systems Manager のツールを利用できます。
**ステップ 2: updateOSSoftware (`aws:runCommand` アクション) **
このステップでは、起動したインスタンスで次のコマンドを実行します。
+ Amazon S3 からの更新スクリプトをダウンロードします。
+ オプションの更新前のスクリプトを実行します。
+ ディストリビューションパッケージおよび Amazon ソフトウェアを更新します。
+ オプションの更新後のスクリプトを実行します。
実行ログは、ユーザーが後で表示するために /tmp フォルダに保存されます。
特定のパッケージセットをアップグレードする場合は、`IncludePackages` パラメータを使用してリストを指定できます。指定すると、システムはこれらのパッケージおよび依存関係のみを更新するよう試みます。その他の更新は実行されません。デフォルトでは、*含まれる*パッケージが指定されない場合、プログラムはすべての利用可能なパッケージを更新します。
特定のパッケージセットのアップグレードを除外する場合は、`ExcludePackages` パラメータにリストを指定できます。指定されている場合、これらのパッケージは、指定された他のオプションとは関係なく、現在のバージョンのままです。デフォルトでは、*除外する*パッケージが指定されていない場合、除外されるパッケージはありません。
**ステップ 3: stopInstance (`aws:changeInstanceState` アクション)**
このステップでは、更新されたインスタンスを停止します。
**ステップ 4: createImage (`aws:createImage` アクション) **
このステップでは、ソース ID、および作成時刻にリンクするわかりやすい名前の新しい AMI を作成します。例: 「\$1\$1SourceAmiId\$1\$1 から \$1\$1global:DATE\$1TIME\$1\$1 に EC2 Automation によって生成された AMI」。ここで DATE\$1TIME および SourceID は、自動化の変数を表します。
**ステップ 5: terminateInstance (`aws:changeInstanceState` アクション) **
このステップでは、実行中のインスタンスを終了してオートメーションをクリーンアップします。
**出力**
オートメーションは、出力として新しい AMI ID を返します。
**注記**
デフォルトでは、自動化が `AWS-UpdateLinuxAmi` ランブックを実行すると、システムはデフォルト VPC (172.30.0.0/16) に一時インスタンスを作成します。デフォルト VPC を削除した場合、次のエラーが発生します。
`VPC not defined 400`
この問題を解決するには、`AWS-UpdateLinuxAmi` ランブックのコピーを作成し、サブネット ID を指定する必要があります。詳細については、「[VPC not defined 400](automation-troubleshooting.md#automation-trbl-common-vpc)」を参照してください。
**Automation (AWS Systems Manager) を使用して パッチを適用した AMI を作成するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで **[オートメーション]** を選択します。
1. [**Execute automation**] を選択します。
1. [**Automation document (オートメーションドキュメント)**] リストで、`AWS-UpdateLinuxAmi` を選択します。
1. [**Document details (ドキュメント詳細)**] セクションで、[**Document version (ドキュメントバージョン)**] が [**Default version at runtime (ランタイムのデフォルトバージョン)**] に設定されていることを確認します。
1. [**Next**] を選択します。
1. [**実行モード)**] セクションで、[**シンプルな実行**] を選択します。
1. [**Input parameters**] セクションに、**開始する前に**セクションで用意した情報を入力します。
1. [**Execute**] を選択します。自動化の実行のステータスがコンソールに表示されます。
オートメーションが終了したら、更新した AMI からテストインスタンスを起動して、変更を確認します。
**注記**
オートメーションのいずれかのステップが失敗した場合は、失敗に関する情報が [**Automation Executions**] ページに表示されます。オートメーションは、すべてのタスクを正常に完了すると、一時インスタンスを終了するように設計されています。失敗したステップがあると、システムはインスタンスを終了できない場合があります。失敗したステップがある場合は、一時インスタンスを手動で終了します。
## Linux AMI (AWS CLI) を更新する
この AWS Systems Manager オートメーションチュートリアルでは、AWS Command Line Interface (AWS CLI) と System Manager `AWS-UpdateLinuxAmi` ランブックを使用して、指定した最新バージョンのパッケージを Linux Amazon Machine Image (AMI) に自動的にパッチ適用する方法について説明します。Automation は AWS Systems Manager のツールです。`AWS-UpdateLinuxAmi` ランブックは、その他のサイト固有のパッケージと設定のインストールも自動化します。このチュートリアルを使用して、Ubuntu Server、Red Hat Enterprise Linux (RHEL)、または Amazon Linux AMIs などのさまざまな Linux ディストリビューションを更新できます。サポートされている Linux バージョンの詳細なリストについては、「[Patch Manager の前提条件](patch-manager-prerequisites.md)」を参照してください。
`AWS-UpdateLinuxAmi` ランブックでは、JSON あるいは YAML のランブックを作成することなく、イメージメンテナンスタスクを自動化することができます。`AWS-UpdateLinuxAmi` ランブックを使用して次のタイプのタスクを実行できます。
+ Amazon Linux、RHEL、または Ubuntu Server Amazon Machine Image (AMI) 上のすべてのディストリビューションパッケージと Amazon ソフトウェアを更新します。これはデフォルトのランブックの動作です。
+ 既存のイメージに AWS Systems Manager SSM Agent をインストールして、AWS Systems Manager Run Command を使用したリモートコマンドの実行や、インベントリを使用したソフトウェアインベントリ収集といった Systems Manager の機能を有効にします。
+ 追加のソフトウェアパッケージをインストールします。
**開始する前に**
ランブックで作業を開始する前に、ロールを設定し、必要に応じてオートメーション用に EventBridge を設定します。詳細については、「[オートメーションの設定](automation-setup.md)」を参照してください。このチュートリアルでは、AWS Identity and Access Management (IAM) インスタンスプロファイルの名前を指定する必要もあります。IAM インスタンスプロファイル作成の詳細については、「[Systems Manager に必要なインスタンスのアクセス許可を設定する](setup-instance-permissions.md)」を参照してください。
`AWS-UpdateLinuxAmi` ランブックは、次の入力パラメータを受け付けます。
****
| Parameter | Type | 説明 |
| --- | --- | --- |
| SourceAmiId | 文字列 | (必須) ソース AMI ID。AWS Systems Manager Parameter Store *パブリック*パラメータを使用すると、Linux 用の Amazon EC2 AMI の最新の ID を自動的に参照できます。詳細については、「[AWS Systems Manager Parameter Store を使用して最新の Amazon Linux AMI ID を取得する](https://aws.amazon.com/blogs/compute/query-for-the-latest-amazon-linux-ami-ids-using-aws-systems-manager-parameter-store/)」を参照してください。 |
| IamInstanceProfileName | 文字列 | (必須)「[Systems Manager に必要なインスタンスのアクセス許可を設定する](setup-instance-permissions.md)」で作成した IAM インスタンスプロファイルロールの名前。インスタンスプロファイルのロールは、コマンドの実行またはサービスの開始や停止など、インスタンスでアクションを実行するための自動化のアクセス許可を付与します。ランブックでは、インスタンスプロファイルロールの名前のみが使用されます。 |
| AutomationAssumeRole | 文字列 | (必須) [オートメーションの設定](automation-setup.md) で作成した IAM サービスロールの名前。サービスロール (継承ロールとも呼ばれます) は、オートメーションが IAM ロールを引き受け、代わりにアクションを実行するアクセス許可を与えます。例えば、サービスロールを使用すると、ランブックで `aws:createImage` アクションを実行するとき、Automation で新しい AMI を作成できます。このパラメータには、完全な ARN を指定する必要があります。 |
| TargetAmiName | 文字列 | (オプション) 作成後の AMI の新しい名前。デフォルト名は、ソース AMI ID および作成日時を含む、システム生成文字列です。 |
| InstanceType | 文字列 | (オプション) WorkSpace ホストとして起動するインスタンスの種類。インスタンスタイプは、リージョンによって異なります。デフォルトのタイプは、t2.micro です。 |
| PreUpdateScript | 文字列 | (オプション) 更新の適用前に実行するスクリプトの URL。デフォルト (\$1"none\$1") は、スクリプトを実行しません。 |
| PostUpdateScript | 文字列 | (オプション) パッケージの更新の適用後に実行するスクリプトの URL。デフォルト (\$1"none\$1") は、スクリプトを実行しません。 |
| IncludePackages | 文字列 | (オプション) これらの名前付きパッケージのみを更新します。デフォルト (\$1"all\$1") では、すべての利用可能な更新が適用されます。 |
| ExcludePackages | 文字列 | (オプション) すべての条件の下で、更新を保留するパッケージの名前。デフォルト (\$1"none\$1") では、パッケージは除外されません。 |
**自動化のステップ**
`AWS-UpdateLinuxAmi` ランブックには、デフォルトで次の手順が含まれています。
**ステップ 1: launchInstance (`aws:runInstances` アクション) **
このステップでは、Amazon Elastic Compute Cloud (Amazon EC2) ユーザーデータ、および IAM インスタンスプロファイルのロールを使用してインスタンスを起動します。ユーザーデータは、オペレーティングシステムに基づいて、適切な SSM Agent をインストールします。SSM Agent をインストールすると、Run Command、State Manager、Inventory など、Systems Manager のツールを利用できます。
**ステップ 2: updateOSSoftware (`aws:runCommand` アクション) **
このステップでは、起動したインスタンスで次のコマンドを実行します。
+ Amazon Simple Storage Service (Amazon S3) から更新スクリプトをダウンロードします。
+ オプションの更新前のスクリプトを実行します。
+ ディストリビューションパッケージおよび Amazon ソフトウェアを更新します。
+ オプションの更新後のスクリプトを実行します。
実行ログは、ユーザーが後で表示するために /tmp フォルダに保存されます。
特定のパッケージセットをアップグレードする場合は、`IncludePackages` パラメータを使用してリストを指定できます。指定すると、システムはこれらのパッケージおよび依存関係のみを更新するよう試みます。その他の更新は実行されません。デフォルトでは、*含まれる*パッケージが指定されない場合、プログラムはすべての利用可能なパッケージを更新します。
特定のパッケージセットのアップグレードを除外する場合は、`ExcludePackages` パラメータにリストを指定できます。指定されている場合、これらのパッケージは、指定された他のオプションとは関係なく、現在のバージョンのままです。デフォルトでは、*除外する*パッケージが指定されていない場合、除外されるパッケージはありません。
**ステップ 3: stopInstance (`aws:changeInstanceState` アクション)**
このステップでは、更新されたインスタンスを停止します。
**ステップ 4: createImage (`aws:createImage` アクション) **
このステップでは、ソース ID、および作成時刻にリンクするわかりやすい名前の新しい AMI を作成します。例: 「\$1\$1SourceAmiId\$1\$1 から \$1\$1global:DATE\$1TIME\$1\$1 に EC2 Automation によって生成された AMI」。ここで DATE\$1TIME および SourceID は、自動化の変数を表します。
**ステップ 5: terminateInstance (`aws:changeInstanceState` アクション) **
このステップでは、実行中のインスタンスを終了してオートメーションをクリーンアップします。
**出力**
オートメーションは、出力として新しい AMI ID を返します。
**注記**
デフォルトでは、自動化が `AWS-UpdateLinuxAmi` ランブックを実行すると、システムはデフォルト VPC (172.30.0.0/16) に一時インスタンスを作成します。デフォルト VPC を削除した場合、次のエラーが発生します。
`VPC not defined 400`
この問題を解決するには、`AWS-UpdateLinuxAmi` ランブックのコピーを作成し、サブネット ID を指定する必要があります。詳細については、「[VPC not defined 400](automation-troubleshooting.md#automation-trbl-common-vpc)」を参照してください。
**Automation を使用して パッチを適用した AMI を作成するには**
1. まだ AWS Command Line Interface (AWS CLI) をインストールして設定していない場合は、インストールして設定します。
詳細については、「[AWS CLI の最新バージョンをインストールまたは更新します。](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)」を参照してください。
1. 次のコマンドを実行して、`AWS-UpdateLinuxAmi` ランブックを実行します。各*リソースプレースホルダーの例*をユーザー自身の情報に置き換えます。
```
aws ssm start-automation-execution \
--document-name "AWS-UpdateLinuxAmi" \
--parameters \
SourceAmiId=AMI ID, \
IamInstanceProfileName=IAM instance profile, \
AutomationAssumeRole='arn:aws:iam::{{global:ACCOUNT_ID}}:role/AutomationServiceRole'
```
コマンドによって実行 ID が返されます。この ID をクリップボードにコピーします。この ID を使用して、オートメーションの状態を表示します。
```
{
"AutomationExecutionId": "automation execution ID"
}
```
1. AWS CLI を使用してオートメーションを表示するには、次のコマンドを実行します。
```
aws ssm describe-automation-executions
```
1. オートメーションの進捗の詳細を表示するには、以下のコマンドを実行します。*[Automation execution ID]* (オートメーション実行 ID) をユーザー自身の情報に置き換えます。
```
aws ssm get-automation-execution --automation-execution-id automation execution ID
```
更新プロセスは完了までに 30 分以上かかる場合があります。
**注記**
コンソールで、オートメーションのステータスをモニタリングすることもできます。リストで、先ほど開始したオートメーションを選択し、[**Steps**] タブを選択します。このタブには、オートメーションアクションのステータスが表示されます。
オートメーションが終了したら、更新した AMI からテストインスタンスを起動して、変更を確認します。
**注記**
オートメーションのいずれかのステップが失敗した場合は、失敗に関する情報が [**Automation Executions**] ページに表示されます。オートメーションは、すべてのタスクを正常に完了すると、一時インスタンスを終了するように設計されています。失敗したステップがあると、システムはインスタンスを終了できない場合があります。失敗したステップがある場合は、一時インスタンスを手動で終了します。
# Windows Server AMI を更新する
`AWS-UpdateWindowsAmi` ランブックでは、JSON あるいは YAML のランブックを作成することなく、Amazon Windows Amazon Machine Image (AMI) のイメージメンテナンスタスクを自動化することができます。このランブックは Windows Server 2008 R2 以降でサポートされています。`AWS-UpdateWindowsAmi` ランブックを使用して次のタイプのタスクを実行できます。
+ すべての Windows 更新プログラムをインストールし、Amazon ソフトウェアをアップグレードする (デフォルトの動作)。
+ 特定の Windows 更新プログラムをインストールし、Amazon ソフトウェアをアップグレードする。
+ スクリプトを使用して AMI をカスタマイズする。
**開始する前に**
ランブックの使用を開始する前に、[ロールを Automation 用に設定](automation-setup-iam.md)して、アクセスを許可するインスタンスプロファイルの ARN を参照する `iam:PassRole` ポリシーを追加します。オプションで、AWS Systems Manager のツールである Automation 向けに Amazon EventBridge を設定することができます。詳細については、「[オートメーションの設定](automation-setup.md)」を参照してください。このチュートリアルでは、AWS Identity and Access Management (IAM) インスタンスプロファイルの名前を指定する必要もあります。IAM インスタンスプロファイル作成の詳細については、「[Systems Manager に必要なインスタンスのアクセス許可を設定する](setup-instance-permissions.md)」を参照してください。
**注記**
AWS Systems Manager SSM Agent の更新は、通常、リージョン別に異なる時間に展開されます。AMI をカスタマイズまたは更新する際、作業しているリージョンで公開されているソース AMI のみを使用してください。これは、そのリージョンでリリースされている最新の SSM Agent を使用していることを確実にし、互換性の問題を防ぎます。
`AWS-UpdateWindowsAmi` ランブックは、次の入力パラメータを受け付けます。
****
| Parameter | Type | 説明 |
| --- | --- | --- |
| SourceAmiId | 文字列 | (必須) ソース AMI ID。Systems Manager Parameter Store *パブリック*パラメータを使用して、最新の Windows Server AMI ID を自動的に参照できます。詳細については、「[AWS Systems ManagerParameter Store を使用して、最新の Windows AMI ID をクエリする](https://aws.amazon.com/blogs/mt/query-for-the-latest-windows-ami-using-systems-manager-parameter-store/)」を参照してください。 |
| SubnetId | String | (オプション) 一時インスタンスを起動するサブネット。デフォルト VPC を削除した場合は、このパラメータの値を指定する必要があります。 |
| IamInstanceProfileName | String | (必須)「[Systems Manager に必要なインスタンスのアクセス許可を設定する](setup-instance-permissions.md)」で作成した IAM インスタンスプロファイルロールの名前。インスタンスプロファイルのロールは、コマンドの実行またはサービスの開始や停止など、インスタンスでアクションを実行するための自動化のアクセス許可を付与します。ランブックでは、インスタンスプロファイルロールの名前のみが使用されます。 |
| AutomationAssumeRole | 文字列 | (必須) [オートメーションの設定](automation-setup.md) で作成した IAM サービスロールの名前。サービスロール (継承ロールとも呼ばれます) は、オートメーションが IAM ロールを引き受け、代わりにアクションを実行するアクセス許可を与えます。例えば、サービスロールを使用すると、ランブックで `aws:createImage` アクションを実行するとき、Automation で新しい AMI を作成できます。このパラメータには、完全な ARN を指定する必要があります。 |
| TargetAmiName | 文字列 | (オプション) 作成後の AMI の新しい名前。デフォルト名は、ソース AMI ID および作成日時を含む、システム生成文字列です。 |
| InstanceType | 文字列 | (オプション) WorkSpace ホストとして起動するインスタンスの種類。インスタンスタイプは、リージョンによって異なります。デフォルトのタイプは、t2.medium です。 |
| PreUpdateScript | 文字列 | (オプション) AMI を更新する前に実行するスクリプト。スクリプトをランブックに入力するか、実行時にパラメータとして入力します。 |
| PostUpdateScript | 文字列 | (オプション) AMI を更新した後に実行するスクリプト。スクリプトをランブックに入力するか、実行時にパラメータとして入力します。 |
| IncludeKbs | 文字列 | (任意) 含める Microsoft Knowledge Base (KB) 記事 ID を 1 つ以上指定します。コンマ区切り値を使って複数の ID をインストールできます。有効な形式: KB9876543 または 9876543。 |
| ExcludeKbs | 文字列 | (任意) 除外する Microsoft Knowledge Base (KB) 記事 ID を 1 つ以上指定します。コンマ区切り値を使って複数の ID を除外できます。有効な形式: KB9876543 または 9876543。 |
| カテゴリ | 文字列 | (任意) 1 つ以上の更新カテゴリを指定します。カンマ区切り値を使ってカテゴリをフィルターできます。オプション: 重要な更新プログラム、セキュリティ更新プログラム、定義ファイルの更新、更新プログラムのロールアップ、Service Pack、ツール、更新、またはドライバー。有効な形式には、「重要なアップデート」といった単一のエントリが含まれます。または、カンマ区切りのリストを指定できます。たとえば、重要な更新プログラム,セキュリティ更新プログラム,定義ファイルの更新となります。 |
| SeverityLevels | 文字列 | (任意) 更新と関連付けられた MSRC 重要度レベルを 1 つ以上指定します。カンマ区切り値を使って重要度をフィルターできます。オプション: 非常事態、重要、低、中、または指定しない。有効な形式には、「非常事態」といった単一のエントリが含まれます。または、カンマ区切りリストを指定できます: 非常事態,重要,低。 |
**自動化のステップ**
`AWS-UpdateWindowsAmi` ランブックには、デフォルトで次の手順が含まれています。
**ステップ 1: launchInstance (`aws:runInstances` アクション)**
このステップは、指定された `SourceAmiID` の IAM インスタンスプロファイルロールでインスタンスを起動します。
**ステップ 2: runPreUpdateScript (`aws:runCommand` アクション)**
このステップでは、更新がインストールされる前に実行される文字列としてスクリプトを指定できます。
**ステップ 3: updateEC2Config (`aws:runCommand`アクション)**
この手順では、`AWS-InstallPowerShellModule` ランブックを使用して AWS パブリック PowerShell モジュールをダウンロードします。Systems Manager は SHA-256 ハッシュを使用してモジュールの整合性を検証します。Systems Manager はその次にオペレーティングシステムを確認して、EC2Config または EC2Launch のどちらを更新するかを判断します。EC2Config は Windows Server 2008 R2 から Windows Server 2012 R2 で実行されます。EC2Launch は Windows Server 2016 で実行されます。
**ステップ 4: updateSSMAgent (`aws:runCommand`アクション)**
この手順では、`AWS-UpdateSSMAgent` ランブックを使用して SSM Agent を更新します。
**ステップ 5: updateAWSPVDriver (`aws:runCommand`アクション)**
この手順では、`AWS-ConfigureAWSPackage` ランブックを使用して AWS PV ドライバーを更新します。
**ステップ 6: updateAwsEnaNetworkDriver (`aws:runCommand`アクション)**
この手順では、`AWS-ConfigureAWSPackage` ランブックを使用して AWS ENA ネットワークドライバーを更新します。
**ステップ 7: installWindowsUpdates (`aws:runCommand` アクション) **
この手順では、`AWS-InstallWindowsUpdates` ランブックを使用して Windows 更新プログラムをインストールします。デフォルトでは、Systems Manager は不足している更新を検索し、インストールします。次のパラメータのいずれかを指定することで、デフォルトの動作を変更できます: `IncludeKbs`、`ExcludeKbs`、`Categories`、または`SeverityLevels`。
**ステップ 8: runPostUpdateScript (`aws:runCommand`アクション)**
このステップでは、更新がインストールされた後に実行される文字列としてスクリプトを指定することができます。
**ステップ 9: runSysprepGeneralize (`aws:runCommand`アクション) **
この手順では、`AWS-InstallPowerShellModule` ランブックを使用して AWS パブリック PowerShell モジュールをダウンロードします。Systems Manager は SHA-256 ハッシュを使用してモジュールの整合性を検証します。Systems Manager はその次に、AWS がサポートする方法を使用して EC2Launch (Windows Server 2016) または EC2Config (Windows Server 2008 R2 から 2012 R2) に sysprep を実行します。
**ステップ 10: stopInstance (`aws:changeInstanceState` アクション) **
このステップでは、更新されたインスタンスを停止します。
**ステップ 11: createImage (`aws:createImage` アクション) **
このステップでは、ソース ID、および作成時刻にリンクするわかりやすい名前の新しい AMI を作成します。例: 「\$1\$1SourceAmiId\$1\$1 から \$1\$1global:DATE\$1TIME\$1\$1 に EC2 Automation によって生成された AMI」。ここで DATE\$1TIME および SourceID は、自動化の変数を表します。
**ステップ 12: TerminateInstance (`aws:changeInstanceState` アクション) **
このステップでは、実行中のインスタンスを終了してオートメーションをクリーンアップします。
**出力**
このセクションでは、任意のパラメータの様々なステップや値の出力を、自動化の出力として指定できます。デフォルトでは、出力は、オートメーションによって作成された更新済みの Windows AMI の ID です。
**注記**
デフォルトでは、オートメーションが `AWS-UpdateWindowsAmi` ランブックを実行して一時インスタンスを作成すると、システムはデフォルト default VPC (172.30.0.0/16) を使用します。デフォルト VPC を削除した場合、次のエラーが発生します。
VPC not defined 400
この問題を解決するには、`AWS-UpdateWindowsAmi` ランブックのコピーを作成し、サブネット ID を指定する必要があります。詳細については、「[VPC not defined 400](automation-troubleshooting.md#automation-trbl-common-vpc)」を参照してください。
**Automation を使用してパッチを適用した Windows AMI を作成するには**
1. まだ AWS Command Line Interface (AWS CLI) をインストールして設定していない場合は、インストールして設定します。
詳細については、「[AWS CLI の最新バージョンをインストールまたは更新します。](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)」を参照してください。
1. 次のコマンドを実行して、`AWS-UpdateWindowsAmi` ランブックを実行します。各*リソースプレースホルダーの例*をユーザー自身の情報に置き換えます。以下のコマンド例では、最新の Amazon EC2 AMI を使用して、適用する必要があるパッチの数を最小限に抑えています。このコマンドを複数回実行する場合は、`targetAMIname` に一意の値を指定する必要があります。AMI 名は一意のものでなければなりません。
```
aws ssm start-automation-execution \
--document-name="AWS-UpdateWindowsAmi" \
--parameters SourceAmiId='AMI ID',IamInstanceProfileName='IAM instance profile',AutomationAssumeRole='arn:aws:iam::{{global:ACCOUNT_ID}}:role/AutomationServiceRole'
```
コマンドによって実行 ID が返されます。この ID をクリップボードにコピーします。この ID を使用して、オートメーションの状態を表示します。
```
{
"AutomationExecutionId": "automation execution ID"
}
```
1. AWS CLI を使用してオートメーションを表示するには、次のコマンドを実行します。
```
aws ssm describe-automation-executions
```
1. オートメーションの進捗の詳細を表示するには、以下のコマンドを実行します。
```
aws ssm get-automation-execution
--automation-execution-id automation execution ID
```
**注記**
適用されるパッチの数に応じて、このサンプルオートメーションで実行される Windows パッチ適用プロセスは、完了までに 30 分以上かかることがあります。
# Automation、AWS Lambda、Parameter Store を使用してゴールデン AMI を更新する
次の例では、Amazon Elastic Compute Cloud (Amazon EC2) AMIs から構築するのではなく、組織が独自の AMIs を維持し、定期的にパッチを適用するモデルを使用しています。
次の手順は、最新または最後の AMI であると既にみなされている AMI にオペレーティングシステム (OS) のパッチを自動的に適用する方法を示しています。この例では、パラメータ `SourceAmiId` のデフォルト値は、`latestAmi` という AWS Systems Manager Parameter Store のパラメータによって定義されます。`latestAmi` の値は、オートメーションの終了時に呼び出される AWS Lambda 関数によって更新されます。このオートメーションプロセスの結果として、パッチ適用が常に最新の AMI に適用されるため、AMIs のパッチ適用に費やされる時間と労力が最小限に抑えられます。Parameter Store と Automation は AWS Systems Manager のツールです。
**[開始する前に]**
Automation ロール、およびオプションで、Automation 用の Amazon EventBridge を設定します。詳細については、「[オートメーションの設定](automation-setup.md)」を参照してください。
**Topics**
+ [タスク 1: Systems Manager Parameter Store でパラメータを作成する](#create-parameter-ami)
+ [タスク 2: 用の IAM ロールを作成するAWS Lambda](#create-lambda-role)
+ [タスク 3: AWS Lambda 関数を作成する](#create-lambda-function)
+ [タスク 4: ランブックを作成し、AMI にパッチを適用する](#create-custom-ami-update-runbook)
## タスク 1: Systems Manager Parameter Store でパラメータを作成する
Parameter Store で以下の情報を使用する文字列パラメータを作成します。
+ **Name (名前**)`latestAmi`]: 。
+ **値**: AMI ID。例: ` ami-188d6e0e`。
Parameter Store の文字列パラメータの作成方法については、「[Systems Manager での Parameter Store パラメータの作成](sysman-paramstore-su-create.md)」を参照してください。
## タスク 2: 用の IAM ロールを作成するAWS Lambda
の IAM サービスロールを作成するために、次の手順を使用しますAWS Lambda これらのポリシーは、Lambda に Lambda 関数および Systems Manager を使用して、`latestAmi` パラメータの値を更新する権限を与えます。
**Lambda の IAM サービスロールを作成するには**
1. AWS マネジメントコンソール にサインインして、IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. ナビゲーションペインで、[**Policies**] を選択し、次に [**Create policy**] を選択します。
1. [**JSON**] タブを選択します。
1. デフォルトのコンテンツを次のポリシーに置き換えます。各*リソースプレースホルダーの例*をユーザー自身の情報に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "logs:CreateLogGroup",
"Resource": "arn:aws:logs:us-east-1:111122223333:*"
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:/aws/lambda/function name:*"
]
}
]
}
```
------
1. **[Next: Tags]** (次へ: タグ) を選択します。
1. (オプション) 1 つ以上のタグキーと値のペアを追加して、このポリシーのアクセスを整理、追跡、または制御します。
1. **[次へ: レビュー]** を選択します。
1. [**Review policy (ポリシーの確認)**] ページで、[**Name (名前)**] にインラインポリシーの名前を入力します (**amiLambda** など)。
1. [**Create policy**] を選択します。
1. ステップ 2 と 3 を繰り返します。
1. 次のポリシーを貼り付けます。各*リソースプレースホルダーの例*をユーザー自身の情報に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ssm:PutParameter",
"Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/latestAmi"
},
{
"Effect": "Allow",
"Action": "ssm:DescribeParameters",
"Resource": "*"
}
]
}
```
------
1. **[Next: Tags]** (次へ: タグ) を選択します。
1. (オプション) 1 つ以上のタグキーと値のペアを追加して、このポリシーのアクセスを整理、追跡、または制御します。
1. **[次へ: レビュー]** を選択します。
1. [**Review policy (ポリシーの確認)**] ページで、[**Name (名前)**] にインラインポリシーの名前を入力します (**amiParameter** など)。
1. [**Create policy**] を選択します。
1. ナビゲーションペインで [**Roles**] を選択し、続いて [**Create role**] を選択します。
1. **[ユースケース]** のすぐ下で、**[Lambda]**、**[次へ]** の順に選択します。
1. **[アクセス許可の追加]** ページで **[検索]** フィールドを使用し、前に作成した 2 つのポリシーを見つけます。
1. ポリシーの横にあるチェックボックスをオンにして、**[次へ]** を選択します。
1. [**ロール名**] に、新しいロールの名前を入力 (**lambda-ssm-role** など) するか、希望する別の名前を入力します。
**注記**
多くのエンティティによりロールが参照されるため、作成後にロール名を変更することはできません。
1. (オプション) 1 つ以上のタグキーと値のペアを追加して、このロールのアクセスを整理、追跡、制御し、**[ロールの作成]** を選択します。
## タスク 3: AWS Lambda 関数を作成する
`latestAmi` パラメータの値を自動的に更新する Lambda 関数を作成するには、次の手順を使用します。
**Lambda 関数を作成するには**
1. AWS マネジメントコンソール にサインインして AWS Lambda コンソール ([https://console.aws.amazon.com/lambda/](https://console.aws.amazon.com/lambda/)) を開きます。
1. [**Create function**] を選択します。
1. [**Create function**] ページで、[**Author from scratch**] を選択します。
1. **[関数名]** に「**Automation-UpdateSsmParam**」と入力します。
1. **[ランタイム]** には、**[Python 3.11]** を選択します。
1. **[アーキテクチャ]** で、関数の実行に使用する Lambda のコンピュータープロセッサーのタイプ、**[x86\$164]** または **[arm64]** を選択します。
1. **[アクセス許可]** セクションで、**[デフォルトの実行ロールの変更]** を展開します。
1. [**Use an existing role (既存のロールの使用)**] を選択し、タスク 2 で作成した Lambda のサービスロールを選択します。
1. [**Create function**] を選択します。
1. **[コードソース]** 領域の **[lambda\$1function]** タブで、フィールドにあらかじめ入力されているコードを削除し、次のコードサンプルを貼り付けます。
```
from __future__ import print_function
import json
import boto3
print('Loading function')
#Updates an SSM parameter
#Expects parameterName, parameterValue
def lambda_handler(event, context):
print("Received event: " + json.dumps(event, indent=2))
# get SSM client
client = boto3.client('ssm')
#confirm parameter exists before updating it
response = client.describe_parameters(
Filters=[
{
'Key': 'Name',
'Values': [ event['parameterName'] ]
},
]
)
if not response['Parameters']:
print('No such parameter')
return 'SSM parameter not found.'
#if parameter has a Description field, update it PLUS the Value
if 'Description' in response['Parameters'][0]:
description = response['Parameters'][0]['Description']
response = client.put_parameter(
Name=event['parameterName'],
Value=event['parameterValue'],
Description=description,
Type='String',
Overwrite=True
)
#otherwise just update Value
else:
response = client.put_parameter(
Name=event['parameterName'],
Value=event['parameterValue'],
Type='String',
Overwrite=True
)
responseString = 'Updated parameter %s with value %s.' % (event['parameterName'], event['parameterValue'])
return responseString
```
1. **[ファイル]、[保存]** の順に選択します。
1. Lambda 関数をテストするには、**[テスト]** メニューで、**[テストイベントの設定]** を選択します。
1. [**Event name**] で、**MyTestEvent** など、テストイベントの名前を入力します。
1. 既存のテキストを次の JSON に置き換えます。*[AMI ID]* をユーザー自身の情報に置き換え、`latestAmi` パラメータ値を設定します。
```
{
"parameterName":"latestAmi",
"parameterValue":"AMI ID"
}
```
1. **[保存]** を選択します。
1. [**テスト (Test)**] を選択して関数をテストします。**[実行結果]** タブに、更新に関するその他の詳細とともに、ステータスが **[成功]** として報告されます。
## タスク 4: ランブックを作成し、AMI にパッチを適用する
以下の手順を使用して、[**latestAmi**] パラメータに指定した AMI にパッチを適用したランブックを作成して実行します。オートメーションが完了すると、**latestAmi** の値は、新しくパッチ適用された AMI の ID で更新されます。以降のオートメーションは、以前の実行で作成された AMI を使用します。
**ランブックを作成して実行するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[ドキュメント]** を選択します。
1. **[ドキュメントの作成]** で **[オートメーション]** を選択します。
1. **[Name]** (名前) には **UpdateMyLatestWindowsAmi** を入力します。
1. [**Editor (エディタ)**] タブを選択し、次に [**Edit (編集)**] を選択します。
1. プロンプトが表示されたら、**[OK]** を選択します。
1. **[ドキュメントエディタ]** フィールドで、デフォルトのコンテンツを、次の YAML サンプルランブックコンテンツに置き換えます。
```
---
description: Systems Manager Automation Demo - Patch AMI and Update ASG
schemaVersion: '0.3'
assumeRole: '{{ AutomationAssumeRole }}'
parameters:
AutomationAssumeRole:
type: String
description: '(Required) The ARN of the role that allows Automation to perform the actions on your behalf. If no role is specified, Systems Manager Automation uses your IAM permissions to execute this document.'
default: ''
SourceAMI:
type: String
description: The ID of the AMI you want to patch.
default: '{{ ssm:latestAmi }}'
SubnetId:
type: String
description: The ID of the subnet where the instance from the SourceAMI parameter is launched.
SecurityGroupIds:
type: StringList
description: The IDs of the security groups to associate with the instance that's launched from the SourceAMI parameter.
NewAMI:
type: String
description: The name of of newly patched AMI.
default: 'patchedAMI-{{global:DATE_TIME}}'
InstanceProfile:
type: String
description: The name of the IAM instance profile you want the source instance to use.
SnapshotId:
type: String
description: (Optional) The snapshot ID to use to retrieve a patch baseline snapshot.
default: ''
RebootOption:
type: String
description: '(Optional) Reboot behavior after a patch Install operation. If you choose NoReboot and patches are installed, the instance is marked as non-compliant until a subsequent reboot and scan.'
allowedValues:
- NoReboot
- RebootIfNeeded
default: RebootIfNeeded
Operation:
type: String
description: (Optional) The update or configuration to perform on the instance. The system checks if patches specified in the patch baseline are installed on the instance. The install operation installs patches missing from the baseline.
allowedValues:
- Install
- Scan
default: Install
mainSteps:
- name: startInstances
action: 'aws:runInstances'
timeoutSeconds: 1200
maxAttempts: 1
onFailure: Abort
inputs:
ImageId: '{{ SourceAMI }}'
InstanceType: m5.large
MinInstanceCount: 1
MaxInstanceCount: 1
IamInstanceProfileName: '{{ InstanceProfile }}'
SubnetId: '{{ SubnetId }}'
SecurityGroupIds: '{{ SecurityGroupIds }}'
- name: verifyInstanceManaged
action: 'aws:waitForAwsResourceProperty'
timeoutSeconds: 600
inputs:
Service: ssm
Api: DescribeInstanceInformation
InstanceInformationFilterList:
- key: InstanceIds
valueSet:
- '{{ startInstances.InstanceIds }}'
PropertySelector: '$.InstanceInformationList[0].PingStatus'
DesiredValues:
- Online
onFailure: 'step:terminateInstance'
- name: installPatches
action: 'aws:runCommand'
timeoutSeconds: 7200
onFailure: Abort
inputs:
DocumentName: AWS-RunPatchBaseline
Parameters:
SnapshotId: '{{SnapshotId}}'
RebootOption: '{{RebootOption}}'
Operation: '{{Operation}}'
InstanceIds:
- '{{ startInstances.InstanceIds }}'
- name: stopInstance
action: 'aws:changeInstanceState'
maxAttempts: 1
onFailure: Continue
inputs:
InstanceIds:
- '{{ startInstances.InstanceIds }}'
DesiredState: stopped
- name: createImage
action: 'aws:createImage'
maxAttempts: 1
onFailure: Continue
inputs:
InstanceId: '{{ startInstances.InstanceIds }}'
ImageName: '{{ NewAMI }}'
NoReboot: false
ImageDescription: Patched AMI created by Automation
- name: terminateInstance
action: 'aws:changeInstanceState'
maxAttempts: 1
onFailure: Continue
inputs:
InstanceIds:
- '{{ startInstances.InstanceIds }}'
DesiredState: terminated
- name: updateSsmParam
action: aws:invokeLambdaFunction
timeoutSeconds: 1200
maxAttempts: 1
onFailure: Abort
inputs:
FunctionName: Automation-UpdateSsmParam
Payload: '{"parameterName":"latestAmi", "parameterValue":"{{createImage.ImageId}}"}'
outputs:
- createImage.ImageId
```
1. [**Create automation (オートメーションを作成)**] を選択します。
1. ナビゲーションペインで、[**オートメーション**]、[**オートメーションの実行**] の順に選択します。
1. **[Choose document]** (ドキュメントを選択) ページで、**[Owned by me]** (自分が所有) タブを選択します。
1. **UpdateMyLatestWindowsAmi** ランブックを検索し、**UpdateMyLatestWindowsAmi** カードのボタンを選択します。
1. [**次へ**] を選択します。
1. [ **Simple execution (シンプルな実行)**] を選択します。
1. 入力パラメータの値を指定します。
1. **[実行]** を選択してください。
1. 実行の完了後に、ナビゲーションペインで [**Parameter Store**] を選択し、`latestAmi` の新しい値がオートメーションから返された値と一致することを確認します。新しい AMI ID が、Amazon EC2 コンソールの [**AMIs**] セクションに表示される Automation の出力と一致することを確認することもできます。
# オートメーションと Jenkins を使用した AMIs の更新
CI/CD のパイプラインで Jenkins ソフトウェアを使用する組織では、オートメーションをビルド後のステップとして追加して、アプリケーションリリースを Amazon Machine Images (AMIs) に事前インストールできます。Automation は AWS Systems Manager のツールです。Jenkins のスケジューリング機能を使用して、オートメーションを呼び出し、独自のオペレーティングシステム (OS) への定期的なパッチ適用を作成することもできます。
以下の例は、オンプレミスまたは Amazon Elastic Compute Cloud (Amazon EC2) のいずれかで実行している Jenkins サーバーからオートメーションを呼び出す方法を示しています。Jenkins サーバーは、認証のために、この例で作成した IAM ポリシーに基づく AWS 認証情報を使用して、インスタンスプロファイルにアタッチします。
**注記**
インスタンスの設定時は、Jenkins のセキュリティについてのベストプラクティスに従う必要があります。
**[開始する前に]**
Jenkins を使用してオートメーションを設定する前に、次のタスクを完了します。
+ [Automation、AWS Lambda、Parameter Store を使用してゴールデン AMI を更新する](automation-tutorial-update-patch-golden-ami.md) の例を完了します。次の例では、この例で作成された **UpdateMyLatestWindowsAmi** ランブックを使用します。
+ オートメーションの IAM ロールを設定します。Systems Manager には、オートメーションを処理するためのインスタンスプロファイルのロールおよびサービスロールの ARN が必要です。詳細については、「[オートメーションの設定](automation-setup.md)」を参照してください。
**Jenkins サーバーで IAM ポリシーを作成するには**
1. AWS マネジメントコンソール にサインインして、IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. ナビゲーションペインで、[**Policies**] を選択し、次に [**Create policy**] を選択します。
1. [**JSON**] タブを選択します。
1. 各*リソースプレースホルダーの例*をユーザー自身の情報に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ssm:StartAutomationExecution",
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/UpdateMyLatestWindowsAmi",
"arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
]
}
]
}
```
------
1. [**ポリシーの確認**] を選択します。
1. [**Review policy (ポリシーの確認)**] ページで、[**Name (名前)**] にインラインポリシーの名前を入力します (**JenkinsPolicy** など)。
1. [**Create policy**] を選択します。
1. ナビゲーションペインで [**ロール**] を選択します。
1. Jenkins サーバーにアタッチされているインスタンスプロファイルを選択します。
1. **[アクセス許可]** タブで、**[許可の追加]**、**[ポリシーのアタッチ]** の順に選択します。
1. **[その他のアクセス許可ポリシー]** セクションで、前の手順で作成したポリシー名を入力します。例えば、**[JenkinsPolicy]** などです。
1. ポリシーの横にあるチェックボックスをオンにして、**[ポリシーのアタッチ]** を選択します。
Jenkins サーバーで AWS CLI を設定するには、次の手順を使用します。
**オートメーション用に Jenkins サーバーを設定するには**
1. 管理インターフェイスにアクセスするには、ご使用のブラウザを使用してポート 8080 で Jenkins サーバーに接続します。
1. `/var/lib/jenkins/secrets/initialAdminPassword` で見つかったパスワードを入力します。パスワードを表示するには、次のコマンドを実行します。
```
sudo cat /var/lib/jenkins/secrets/initialAdminPassword
```
1. Jenkins インストールスクリプトでは、**[Jenkins のカスタマイズ]** ページが表示されます。[**Install suggested plugins (推奨プラグインをインストール)**] を選択します。
1. インストールが完了したら、**[管理者認証情報]** を選択し、**[認証情報を保存]** を選択してから、**[Jenkins の使用を開始]** を選択します。
1. 左側のナビゲーションペインで、**[Jenkins の管理]**、**[プラグインの管理]** の順に選択します。
1. [**Available (使用可能)**] タブを選択し、**Amazon EC2 plugin** と入力します。
1. **Amazon EC2 plugin** のチェックボックスをオンにし、[**Install without restart (再起動せずにインストール)**] を選択します。
1. インストールが完了したら、[**Go back to the top page (トップページに戻る)**]を選択します。
1. **[Jenkins の管理]**、**[ノードとクラドの管理]** の順に選択します。
1. **[クラウドの設定]** セクションで **[新しいクラウドの追加]**、**[Amazon EC2]** の順に選択します。
1. 残りのフィールドに情報を入力します。必ず、**[EC2 インスタンスプロファイルを使用して認証情報を取得]** オプションを選択してください。
オートメーションを呼び出すように Jenkins プロジェクトを設定するには、次の手順を使用します。
**オートメーションを呼び出すように Jenkins サーバー を設定するには**
1. ウェブブラウザで、Jenkins コンソールを開きます。
1. Automation を使用して設定するプロジェクトを選択し、[**Configure**] を選択します。
1. [**Build**] タブで、[**Add Build Step**] を選択します。
1. [**Execute shell**] または [**Execute Windows batch command**] (オペレーティングシステムによって異なります) を選択します。
1. **[Command]** (コマンド)フィールドで、以下のように AWS CLI コマンドを実行します。各*リソースプレースホルダーの例*をユーザー自身の情報に置き換えます。
```
aws ssm start-automation-execution \
--document-name runbook name \
--region AWS リージョン of your source AMI \
--parameters runbook parameters
```
以下のサンプルコマンドは、**UpdateMyLatestWindowsAmi** ランブックや、`latestAmi` で作成された Systems Manager Parameter [Automation、AWS Lambda、Parameter Store を使用してゴールデン AMI を更新する](automation-tutorial-update-patch-golden-ami.md) を使用しています。
```
aws ssm start-automation-execution \
--document-name UpdateMyLatestWindowsAmi \
--parameters \
"sourceAMIid='{{ssm:latestAmi}}'"
--region region
```
Jenkins では、コマンドは次のスクリーンショットの例のようになります。
![\[Jenkins ソフトウェアのサンプルコマンド。\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/sysman-ami-jenkins2.png)
1. Jenkins プロジェクトで、**[今すぐビルド]** を選択します。Jenkins は次の例のような出力を返します。
![\[Jenkins ソフトウェアのサンプルコマンド出力。\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/sysman-ami-jenkins.png)
# Auto Scaling グループ用の AMIs の更新
次の例では、新しくパッチが適用された AMI で Auto Scaling グループを更新します。このアプローチにより、Auto Scaling グループを使用するさまざまなコンピューティング環境で、新しいイメージが自動的に利用可能になります。
この例のオートメーションの最後のステップでは、Python 関数を使用して、新しくパッチが適用された AMI を使用する新しい起動テンプレートを作成します。その後、Auto Scaling グループが更新され、新しい起動テンプレートが使用されます。このタイプの Auto Scaling シナリオでは、ユーザーが Auto Scaling グループ内の既存のインスタンスを終了して、新しいイメージを使用する新しいインスタンスを強制的に起動できます。ユーザーは、スケールインまたはスケールアウトイベントが新しいインスタンスを自然に起動させるのを待つこともできます。
**開始する前に**
この例を開始する前に、次のタスクを完了してください。
+ AWS Systems Manager のツールである Automation の IAM ロールを設定します。Systems Manager には、オートメーションを処理するためのインスタンスプロファイルのロールおよびサービスロールの ARN が必要です。詳しくは、「[オートメーションの設定](automation-setup.md)」を参照してください。
## **PatchAMIAndUpdateASG** ランブックを作成する
次の手順を使用して、**SourceAMI** パラメータ向けに指定した AMI にパッチを適用する **PatchAMIAndUpdateASG** ランブックを作成します。ランブックは、Auto Scaling グループも更新して、パッチが適用された最新の AMI を使用するようにします。
**ランブックを作成して実行するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[ドキュメント]** を選択します。
1. [**Create document** (ドキュメントの作成)] ドロップダウンで [**Automation** (オートメーション)] を選択します。
1. [**名前**] フィールドに **PatchAMIAndUpdateASG** を入力してください。
1. **[Editor]** (エディタ) タブを選択し、次に **[Edit]** (編集) を選択します。
1. プロンプトが表示されたら **[OK]** を選択し、**[Document editor]** (ドキュメントエディタ) フィールドのコンテンツを削除します。
1. **[Document editor]** (ドキュメントエディタ) フィールドに、以下の YAML サンプルランブックコンテンツを貼り付けます。
```
---
description: Systems Manager Automation Demo - Patch AMI and Update ASG
schemaVersion: '0.3'
assumeRole: '{{ AutomationAssumeRole }}'
parameters:
AutomationAssumeRole:
type: String
description: '(Required) The ARN of the role that allows Automation to perform the actions on your behalf. If no role is specified, Systems Manager Automation uses your IAM permissions to execute this document.'
default: ''
SourceAMI:
type: String
description: '(Required) The ID of the AMI you want to patch.'
SubnetId:
type: String
description: '(Required) The ID of the subnet where the instance from the SourceAMI parameter is launched.'
SecurityGroupIds:
type: StringList
description: '(Required) The IDs of the security groups to associate with the instance launched from the SourceAMI parameter.'
NewAMI:
type: String
description: '(Optional) The name of of newly patched AMI.'
default: 'patchedAMI-{{global:DATE_TIME}}'
TargetASG:
type: String
description: '(Required) The name of the Auto Scaling group you want to update.'
InstanceProfile:
type: String
description: '(Required) The name of the IAM instance profile you want the source instance to use.'
SnapshotId:
type: String
description: (Optional) The snapshot ID to use to retrieve a patch baseline snapshot.
default: ''
RebootOption:
type: String
description: '(Optional) Reboot behavior after a patch Install operation. If you choose NoReboot and patches are installed, the instance is marked as non-compliant until a subsequent reboot and scan.'
allowedValues:
- NoReboot
- RebootIfNeeded
default: RebootIfNeeded
Operation:
type: String
description: (Optional) The update or configuration to perform on the instance. The system checks if patches specified in the patch baseline are installed on the instance. The install operation installs patches missing from the baseline.
allowedValues:
- Install
- Scan
default: Install
mainSteps:
- name: startInstances
action: 'aws:runInstances'
timeoutSeconds: 1200
maxAttempts: 1
onFailure: Abort
inputs:
ImageId: '{{ SourceAMI }}'
InstanceType: m5.large
MinInstanceCount: 1
MaxInstanceCount: 1
IamInstanceProfileName: '{{ InstanceProfile }}'
SubnetId: '{{ SubnetId }}'
SecurityGroupIds: '{{ SecurityGroupIds }}'
- name: verifyInstanceManaged
action: 'aws:waitForAwsResourceProperty'
timeoutSeconds: 600
inputs:
Service: ssm
Api: DescribeInstanceInformation
InstanceInformationFilterList:
- key: InstanceIds
valueSet:
- '{{ startInstances.InstanceIds }}'
PropertySelector: '$.InstanceInformationList[0].PingStatus'
DesiredValues:
- Online
onFailure: 'step:terminateInstance'
- name: installPatches
action: 'aws:runCommand'
timeoutSeconds: 7200
onFailure: Abort
inputs:
DocumentName: AWS-RunPatchBaseline
Parameters:
SnapshotId: '{{SnapshotId}}'
RebootOption: '{{RebootOption}}'
Operation: '{{Operation}}'
InstanceIds:
- '{{ startInstances.InstanceIds }}'
- name: stopInstance
action: 'aws:changeInstanceState'
maxAttempts: 1
onFailure: Continue
inputs:
InstanceIds:
- '{{ startInstances.InstanceIds }}'
DesiredState: stopped
- name: createImage
action: 'aws:createImage'
maxAttempts: 1
onFailure: Continue
inputs:
InstanceId: '{{ startInstances.InstanceIds }}'
ImageName: '{{ NewAMI }}'
NoReboot: false
ImageDescription: Patched AMI created by Automation
- name: terminateInstance
action: 'aws:changeInstanceState'
maxAttempts: 1
onFailure: Continue
inputs:
InstanceIds:
- '{{ startInstances.InstanceIds }}'
DesiredState: terminated
- name: updateASG
action: 'aws:executeScript'
timeoutSeconds: 300
maxAttempts: 1
onFailure: Abort
inputs:
Runtime: python3.11
Handler: update_asg
InputPayload:
TargetASG: '{{TargetASG}}'
NewAMI: '{{createImage.ImageId}}'
Script: |-
from __future__ import print_function
import datetime
import json
import time
import boto3
# create auto scaling and ec2 client
asg = boto3.client('autoscaling')
ec2 = boto3.client('ec2')
def update_asg(event, context):
print("Received event: " + json.dumps(event, indent=2))
target_asg = event['TargetASG']
new_ami = event['NewAMI']
# get object for the ASG we're going to update, filter by name of target ASG
asg_query = asg.describe_auto_scaling_groups(AutoScalingGroupNames=[target_asg])
if 'AutoScalingGroups' not in asg_query or not asg_query['AutoScalingGroups']:
return 'No ASG found matching the value you specified.'
# gets details of an instance from the ASG that we'll use to model the new launch template after
source_instance_id = asg_query.get('AutoScalingGroups')[0]['Instances'][0]['InstanceId']
instance_properties = ec2.describe_instances(
InstanceIds=[source_instance_id]
)
source_instance = instance_properties['Reservations'][0]['Instances'][0]
# create list of security group IDs
security_groups = []
for group in source_instance['SecurityGroups']:
security_groups.append(group['GroupId'])
# create a list of dictionary objects for block device mappings
mappings = []
for block in source_instance['BlockDeviceMappings']:
volume_query = ec2.describe_volumes(
VolumeIds=[block['Ebs']['VolumeId']]
)
volume_details = volume_query['Volumes']
device_name = block['DeviceName']
volume_size = volume_details[0]['Size']
volume_type = volume_details[0]['VolumeType']
device = {'DeviceName': device_name, 'Ebs': {'VolumeSize': volume_size, 'VolumeType': volume_type}}
mappings.append(device)
# create new launch template using details returned from instance in the ASG and specify the newly patched AMI
time_stamp = time.time()
time_stamp_string = datetime.datetime.fromtimestamp(time_stamp).strftime('%m-%d-%Y_%H-%M-%S')
new_template_name = f'{new_ami}_{time_stamp_string}'
try:
ec2.create_launch_template(
LaunchTemplateName=new_template_name,
LaunchTemplateData={
'BlockDeviceMappings': mappings,
'ImageId': new_ami,
'InstanceType': source_instance['InstanceType'],
'IamInstanceProfile': {
'Arn': source_instance['IamInstanceProfile']['Arn']
},
'KeyName': source_instance['KeyName'],
'SecurityGroupIds': security_groups
}
)
except Exception as e:
return f'Exception caught: {str(e)}'
else:
# update ASG to use new launch template
asg.update_auto_scaling_group(
AutoScalingGroupName=target_asg,
LaunchTemplate={
'LaunchTemplateName': new_template_name
}
)
return f'Updated ASG {target_asg} with new launch template {new_template_name} which uses AMI {new_ami}.'
outputs:
- createImage.ImageId
```
1. [**Create automation (オートメーションを作成)**] を選択します。
1. ナビゲーションペインで、[**オートメーション**]、[**オートメーションの実行**] の順に選択します。
1. **[Choose document]** (ドキュメントを選択) ページで、**[Owned by me]** (自分が所有) タブを選択します。
1. **PatchAMIAndUpdateASG** ランブックを検索し、**PatchAMIAndUpdateASG** カードのボタンを選択します。
1. [**次へ**] を選択します。
1. [ **Simple execution (シンプルな実行)**] を選択します。
1. 入力パラメータの値を指定します。指定する `SubnetId` と `SecurityGroupIds` が、パブリック Systems Manager エンドポイント、または Systems Manager のインターフェイスエンドポイントへのアクセスを許可していることを確認してください。
1. **[実行]** を選択してください。
1. オートメーションが完了したら、Amazon EC2 コンソールで **[Auto Scaling]**、**[Launch Templates]** (テンプレートを起動) の順に選択します。新しい起動テンプレートが表示され、新しい AMI を使用していることを確認します。
1. [**Auto Scaling**]、[**Auto Scaling グループ**] の順に選択します。Auto Scaling グループで新しい起動テンプレートが使用されていることを確認します。
1. Auto Scaling グループ内の 1 つ以上のインスタンスを終了します。代替インスタンスは、新しい AMI を使用して起動されます。
# AWS サポート でのセルフサービスランブックの使用
このセクションでは、AWS サポート チームによって作成されたセルフサービスオートメーションの一部を使用する方法について説明します。このオートメーションは、AWS リソースの管理に役立ちます。
**サポートオートメーションワークフロー**
サポートオートメーションワークフロー (SAW) は、AWS サポート チームによって作成および保守されるオートメーションランブックです。このランブックは、AWS リソースに関する一般的な問題のトラブルシューティング、ネットワーク問題のプロアクティブなモニタリングと特定、ログの収集と分析などを支援します。
SAW ランブックは、**`AWSSupport`** プレフィックスを使用します。例えば、[https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-activatewindowswithamazonlicense.html](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-activatewindowswithamazonlicense.html)。
さらに、ビジネスサポートプラスおよびそれ以上の AWS サポートプランをご利用のお客様は、**`AWSPremiumSupport`** プレフィックスを使用するランブックにもアクセスできます。例えば、[https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awspremiumsupport-troubleshootEC2diskusage.html](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awspremiumsupport-troubleshootEC2diskusage.html)。
AWS サポート の詳細については、「[AWS サポート の開始方法](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html)」を参照してください。
**Topics**
+ [到達不可能なインスタンスでの EC2Rescue ツールの実行](automation-ec2rescue.md)
+ [EC2 インスタンスでのパスワードと SSH キーのリセット](automation-ec2reset.md)
# 到達不可能なインスタンスでの EC2Rescue ツールの実行
EC2Rescue は、Linux および Windows Server 用の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの問題の診断とトラブルシューティングに役立ちます。ツールを手動で実行するには、「[Linux Server 用 EC2Rescue の使用](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Linux-Server-EC2Rescue.html)」と「[EC2Rescue for Windows Server の使用](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Windows-Server-EC2Rescue.html)」を参照してください。または、ツールを自動的に実行するには、Systems Manager Automation と **`AWSSupport-ExecuteEC2Rescue`** ランブックを使用します。Automation は AWS Systems Manager のツールです。**`AWSSupport-ExecuteEC2Rescue`** ランブックは、Systems Manager アクション、CloudFormation アクション、および Lambda 関数を組み合わせて実行するように設計されています。これにより、EC2Rescue の使用に通常必要なステップが自動化されます。
**`AWSSupport-ExecuteEC2Rescue`** ランブックでは、オペレーティングシステム (OS) のタイプ別にトラブルシューティングを行い、問題を修正できます。暗号化されたルートボリュームを持つインスタンスはサポートされていません。詳細なリストについては、以下のトピックを参照してください。
**Windows**: 「[コマンドラインでの EC2Rescue for Windows Server の使用](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2rw-cli.html#ec2rw-rescue)」の「レスキューアクション」を参照してください。
**Linux** および **macOS**: 一部の Linux 用 EC2Rescue モジュールでは、問題を検出して修正を試みます。詳細については、GitHub で モジュール別の [https://github.com/awslabs/aws-ec2rescue-linux/tree/master/docs](https://github.com/awslabs/aws-ec2rescue-linux/tree/master/docs) ドキュメントを参照してください。
## 仕組み
Automation と **`AWSSupport-ExecuteEC2Rescue`** ランブックによるインスタンスのトラブルシューティングは、次のように機能します。
+ 到達不能インスタンスの ID を指定し、ランブックを起動します。
+ システムは一時 VPC を作成し、一連の Lambda 関数を実行して VPC を設定します。
+ システムは元のインスタンスと同じアベイラビリティーゾーン内で一時 VPC のサブネットを識別します。
+ システムは一時的な、SSM を有効にした ヘルパーインスタンスを起動します。
+ システムは元のインスタンスを停止して、バックアップを作成します。次に、元のルートボリュームをヘルパーインスタンスにアタッチします。
+ システムは、Run Command を使用してヘルパーインスタンスで EC2Rescue を実行します。EC2Rescue は、アタッチされた元のルートボリュームの問題の修正を試みます。完了すると、EC2Rescue は元のインスタンスにルートボリュームを再アタッチします。
+ システムは元のインスタンスを再起動して、一時インスタンスを削除します。また、一時 VPC と、自動化の開始時に作成された Lambda 関数を削除します。
## 開始する前に
次の自動化を実行する前に、以下の操作を行います。
+ 到達不可能なインスタンスのインスタンス ID をコピーします。この ID は次の手順で指定します。
+ オプションとして、到達不可能なインスタンスと同じアベイラビリティーゾーンのサブネットの ID を収集します。このサブネットに EC2Rescue インスタンスが作成されます。サブネットを指定しないと、Automation により、新しい一時 VPC が に作成されますAWS アカウント AWS アカウント に、少なくとも 1 つの利用可能な VPC があることを確認します。デフォルトでは、リージョンで最大 5 つの VPC を作成できます。リージョンですでに 5 つの VPC を作成した場合、自動化は失敗し、インスタンスへの変更は行われません。Amazon VPC クォータの詳細については、「Amazon VPC ユーザーガイド」の「[VPC とサブネット](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-vpcs-subnets)」を参照してください。
+ 必要に応じて、自動化用の AWS Identity and Access Management (IAM) ロールを作成および指定できます。このロールを指定しない場合、自動化はそれを実行したユーザーのコンテキストで実行されます。
### インスタンスでアクションを実行するための `AWSSupport-EC2Rescue` アクセス許可の付与
EC2Rescue では、オートメーション中にインスタンスで一連のアクションを実行するためのアクセス許可が必要です。これらのアクションでは、AWS Lambda、IAM、および Amazon EC2 サービスを呼び出して、インスタンスの問題の安全な修正を試みます。AWS アカウント、VPC、またはその両方で管理者レベルのアクセス許可がある場合は、このセクションで説明しているように、アクセス許可を設定することなく自動化を実行できることがあります。管理者レベルのアクセス許可がない場合は、ユーザーまたは管理者が、次のいずれかのオプションを使用してアクセス許可を設定する必要があります。
+ [IAM ポリシーを使用したアクセス許可の付与](#automation-ec2rescue-access-iam)
+ [CloudFormation テンプレートを使用したアクセス権限の付与](#automation-ec2rescue-access-cfn)
#### IAM ポリシーを使用したアクセス許可の付与
次の IAM ポリシーをユーザー、グループ、ロールにインラインポリシーとしてアタッチするか、新しい IAM マネージドポリシーを作成し、ユーザー、グループ、ロールにアタッチできます。ユーザー、グループ、ロールへのインラインポリシーの追加の詳細については、「[インラインポリシーの使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_inline-using.html)」を参照してください。新しい管理ポリシーの作成の詳細については、「[管理ポリシーの使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-using.html)」を参照してください。
**注記**
新しい IAM 管理ポリシーを作成する場合、**AmazonSSMAutomationRole** 管理ポリシーもアタッチし、インスタンスが Systems Manager API と通信できるようにする必要があります。
**AWSSupport-EC2Rescue 用の IAM ポリシー**
*[Account ID]* (アカウント ID) をユーザー自身の情報に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"lambda:InvokeFunction",
"lambda:DeleteFunction",
"lambda:GetFunction"
],
"Resource": "arn:aws:lambda:*:111122223333:function:AWSSupport-EC2Rescue-*",
"Effect": "Allow"
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::awssupport-ssm.*/*.template",
"arn:aws:s3:::awssupport-ssm.*/*.zip"
],
"Effect": "Allow"
},
{
"Action": [
"iam:CreateRole",
"iam:CreateInstanceProfile",
"iam:GetRole",
"iam:GetInstanceProfile",
"iam:PutRolePolicy",
"iam:DetachRolePolicy",
"iam:AttachRolePolicy",
"iam:PassRole",
"iam:AddRoleToInstanceProfile",
"iam:RemoveRoleFromInstanceProfile",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DeleteInstanceProfile"
],
"Resource": [
"arn:aws:iam::111122223333:role/AWSSupport-EC2Rescue-*",
"arn:aws:iam::111122223333:instance-profile/AWSSupport-EC2Rescue-*"
],
"Effect": "Allow"
},
{
"Action": [
"lambda:CreateFunction",
"ec2:CreateVpc",
"ec2:ModifyVpcAttribute",
"ec2:DeleteVpc",
"ec2:CreateInternetGateway",
"ec2:AttachInternetGateway",
"ec2:DetachInternetGateway",
"ec2:DeleteInternetGateway",
"ec2:CreateSubnet",
"ec2:DeleteSubnet",
"ec2:CreateRoute",
"ec2:DeleteRoute",
"ec2:CreateRouteTable",
"ec2:AssociateRouteTable",
"ec2:DisassociateRouteTable",
"ec2:DeleteRouteTable",
"ec2:CreateVpcEndpoint",
"ec2:DeleteVpcEndpoints",
"ec2:ModifyVpcEndpoint",
"ec2:Describe*",
"autoscaling:DescribeAutoScalingInstances"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
#### CloudFormation テンプレートを使用したアクセス権限の付与
CloudFormation は事前設定されたテンプレートを使用して、IAM ロールとポリシーを作成するプロセスを自動化します。 を使用して、EC2Rescue の Automation に必要な IAM ロールとポリシーを作成するには、次の手順を使用しますCloudFormation
**EC2Rescue に必要な IAM ロールとポリシーを作成するには**
1. [https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/AWSSupport-EC2RescueRole.zip](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/AWSSupport-EC2RescueRole.zip) をダウンロードし、`AWSSupport-EC2RescueRole.json` ファイルをローカルマシン上のディレクトリに展開します。
1. AWS アカウント が特殊なパーティションにある場合は、テンプレートを編集して、ARN 値をパーティションの ARN 値に変更します。
例えば、中国リージョンの場合は、`arn:aws` のすべてのケースを `arn:aws-cn` に変更します。
1. AWS マネジメントコンソール にサインインし、CloudFormation コンソール ([https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/)) を開きます。
1. **[スタックの作成]** を選択し、**[新しいリソースの使用 (標準)]** を選択します。
1. **[スタックの作成]** ページの **[前提条件 - テンプレートの準備]** で、**[テンプレートの準備完了]** を選択します。
1. **[テンプレートの指定]** で、**[テンプレートファイルのアップロード]** を選択します。
1. **[ファイルを選択]** を選択し、展開したディレクトリから `AWSSupport-EC2RescueRole.json` ファイルを参照して選択します。
1. **[次へ]** を選択します。
1. **[スタックの詳細の指定]** ページの **[スタック名]** フィールドに、このスタックを識別する名前を入力し、**[次へ]** を選択します。
1. (オプション) **[タグ]** 領域で、1 つ以上のタグキーの名前と値のペアをスタックに適用します。
タグは、リソースに割り当てるオプションのメタデータです。タグを使用すると、目的、所有者、環境などのさまざまな方法でリソースを分類できます。たとえば、スタックにタグを付けると、スタックが実行するタスクのタイプ、関連するターゲットまたはその他のリソースのタイプ、およびスタックが実行される環境を識別できます。
1. **[Next]** (次へ) を選択します。
1. **[確認]** ページでスタックの詳細を確認し、下にスクロールして、**[CloudFormation によって IAM リソースが作成される場合があることを了承する]** オプションを選択します。
1. **[スタックの作成]** を選択します。
CloudFormation は、**[CREATE\$1IN\$1PROGRESS]** ステータスを数分間表示します。スタックを作成すると、ステータスは **[CREATE\$1COMPLETE]** に変わります。更新アイコンを選択して、作成プロセスのステータスを確認することもできます。
1. **[スタック]** リストで、先ほど作成したスタックのオプションボタンを選択し、**[出力]** タブを選択します。
1. **[値]** を書き留めます。これは AssumeRole の ARN です。この ARN は、手順 [自動化の実行](#automation-ec2rescue-executing) でオートメーションを実行するときに指定します。
## 自動化の実行
**重要**
次のオートメーションでは、到達不可能なインスタンスを停止します。インスタンスを停止すると、アタッチされたインスタンスストアボリュームのデータが失われます (存在する場合)。また、インスタンスを停止すると、Elastic IP が関連付けられていない場合、そのパブリック IP アドレスも変更されます。
**`AWSSupport-ExecuteEC2Rescue` Automation を実行するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで **[オートメーション]** を選択します。
1. **[オートメーションを実行]** を選択します。
1. **オートメーションドキュメント]** セクションで、リストから **[Amazon が所有]** を選択します。
1. ランブックリストで、`AWSSupport-ExecuteEC2Rescue` のカード内のボタンを選択し、**[次へ]** を選択します。
1. **[オートメーションドキュメントの実行]** ページで、**[シンプルな実行]** を選択します。
1. **[ドキュメント詳細]** セクションで、**[ドキュメントバージョン]** が最大のデフォルトバージョンに設定されていることを確認します。例えば、**[\$1DEFAULT]** または **[3 (デフォルト)]** のように指定します。
1. **[パラメータの入力]** セクションで、以下のパラメータを指定します。
1. **[UnreachableInstanceId]** で、到達不可能なインスタンスの ID を指定します。
1. (オプション) **[EC2RescueInstanceType]** で、EC2Rescue インスタンスのインスタンスタイプを指定します。デフォルトのインスタンスタイプは `t2.medium` です。
1. **[AutomationAssumeRole]** の場合、このトピックで前述した CloudFormation 手順を使用してこのオートメーションのロールを作成していた場合は、CloudFormation コンソールで作成した AssumeRole の ARN を選択します。
1. (オプション) インスタンスのトラブルシューティング時にオペレーティングシステムレベルのログを収集する場合は、**[LogDestination]** で S3 バケットを指定します。ログは、指定したバケットに自動的にアップロードされます。
1. **[SubnetId]** で、到達不可能なインスタンスと同じアベイラビリティーゾーンの既存の VPC のサブネットを指定します。デフォルトでは、Systems Manager によって新しい VPC が作成されますが、必要に応じて既存の VPC のサブネットを指定できます。
**注記**
バケットまたはサブネット ID を指定するオプションが表示されない場合は、最新の **[デフォルト]** バージョンのランブックを使用していることを確認します。
1. (オプション) **[タグ]** 領域で、オートメーションを識別するためにタグキーの名前と値のペアを 1 つ以上適用します (例: `Key=Purpose,Value=EC2Rescue`)。
1. **[実行]** を選択します。
ランブックにより、オートメーションの一環としてバックアップ AMI が作成されます。オートメーションで作成された他のすべてのリソースは自動的に削除されますが、この AMI はアカウントに残ります。AMI の名前は次の命名規則に従います。
バックアップ AMI: AWSSupport-EC2Rescue:*UnreachableInstanceId*
この AMI は、Automation の実行 ID で検索することで、Amazon EC2 コンソールで見つけることができます。
# EC2 インスタンスでのパスワードと SSH キーのリセット
`AWSSupport-ResetAccess` ランブックを使用して、Windows Server 用の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスでローカル管理者パスワード生成を自動的に再有効化し、Linux 用の EC2 インスタンスで新しい SSH キーを生成できます。`AWSSupport-ResetAccess` ランブックは、AWS Systems Manager アクション、AWS CloudFormation アクション、および AWS Lambda 関数の組み合わせを実行することで、ローカル管理者パスワードのリセットに通常必要なステップを自動化するよう設計されています。
AWS Systems Manager のツールである Automation を使用して、`AWSSupport-ResetAccess` ランブックで、以下の問題を解決できます。
**Windows**
*EC2 キーペアを紛失した場合*: この問題を解決するには、**AWSSupport-ResetAccess** ランブックを使用して現在のインスタンスからパスワード対応の AMI を作成し、この AMI から新しいインスタンスを起動して、所有するキーペアを選択します。
*ローカル管理者パスワードを紛失した場合*: この問題を解決するには、`AWSSupport-ResetAccess` ランブックを使用して、現在の EC2 キーペアで復号できる新しいパスワードを生成できます。
**Linux**
*EC2 キーペアを紛失したか、インスタンスへの SSH アクセスを設定したキーを紛失した場合*: この問題を解決するには、`AWSSupport-ResetAccess` ランブックを使用し、現在のインスタンス用に新しい SSH キーを作成することで、インスタンスに再接続できます。
**注記**
Windows Server の EC2 インスタンスが Systems Manager 用に設定されている場合、EC2Rescue と AWS Systems Manager Run Command を使用してローカル管理者パスワードをリセットすることもできます。詳細については、「Amazon EC2 ユーザーガイド」の「[EC2Rescue for Windows Server を Systems Manager の Run Command で使用する](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2rw-ssm.html)」を参照してください。
**関連情報**
「Amazon EC2 ユーザーガイド」の「[PuTTY を使用した Windows から Linux インスタンスへの接続](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html)」
## 仕組み
Automation と `AWSSupport-ResetAccess` ランブックによるインスタンスのトラブルシューティングは、次のように機能します。
+ インスタンスの ID を指定して、ランブックを実行します。
+ システムは一時 VPC を作成し、一連の Lambda 関数を実行して VPC を設定します。
+ システムは元のインスタンスと同じアベイラビリティーゾーン内で一時 VPC のサブネットを識別します。
+ システムは一時的な、SSM を有効にした ヘルパーインスタンスを起動します。
+ システムは元のインスタンスを停止して、バックアップを作成します。次に、元のルートボリュームをヘルパーインスタンスにアタッチします。
+ システムは、Run Command を使用してヘルパーインスタンスで EC2Rescue を実行します。Windows の場合、EC2Rescue は、アタッチされた元のルートボリュームで EC2Config または EC2Launch を使用することで、ローカル管理者のパスワード生成を有効にします。Linux の場合、EC2Rescue は新しい SSH キーを生成して挿入し、プライベートキーで暗号化して Parameter Store に保存します。完了すると、EC2Rescue は元のインスタンスにルートボリュームを再アタッチします。
+ パスワード生成が有効になっているため、システムはインスタンスの新しい Amazon Machine Image (AMI) を作成します。この AMI を使用して新しい EC2 インスタンスを作成し、必要に応じて新しいキーペアを関連付けます。
+ システムは元のインスタンスを再起動して、一時インスタンスを削除します。また、一時 VPC と、自動化の開始時に作成された Lambda 関数を削除します。
+ **Windows**: インスタンスでは、それに割り当てられている現在のキーペアを使用して Amazon EC2 コンソールから復号できる新しいパスワードを生成します。
**Linux**: SSH を通じてインスタンスと通信できます。これには、Systems Manager Parameter Store に保存されている SSH キー (**/ec2rl/openssh/*instance ID*/key**) を使用します。
## [開始する前に]
次の自動化を実行する前に、以下の操作を行います。
+ 管理者パスワードをリセットするインスタンスのインスタンス ID をコピーします。この ID は次の手順で指定します。
+ オプションとして、到達不可能なインスタンスと同じアベイラビリティーゾーンのサブネットの ID を収集します。このサブネットに EC2Rescue インスタンスが作成されます。サブネットを指定しないと、Automation により、新しい一時 VPC が に作成されますAWS アカウント AWS アカウント に、少なくとも 1 つの利用可能な VPC があることを確認します。デフォルトでは、リージョンで最大 5 つの VPC を作成できます。リージョンですでに 5 つの VPC を作成した場合、自動化は失敗し、インスタンスへの変更は行われません。Amazon VPC クォータの詳細については、「Amazon VPC ユーザーガイド」の「[VPC とサブネット](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-vpcs-subnets)」を参照してください。
+ 必要に応じて、自動化用の AWS Identity and Access Management (IAM) ロールを作成および指定できます。このロールを指定しない場合、自動化はそれを実行したユーザーのコンテキストで実行されます。
### インスタンスでアクションを実行するための AWSSupport-EC2Rescue アクセス許可の付与
EC2Rescue では、オートメーション中にインスタンスで一連のアクションを実行するためのアクセス許可が必要です。これらのアクションでは、AWS Lambda、IAM、および Amazon EC2 サービスを呼び出して、インスタンスの問題の安全な修正を試みます。AWS アカウント、VPC、またはその両方で管理者レベルのアクセス許可がある場合は、このセクションで説明しているように、アクセス許可を設定することなく自動化を実行できることがあります。管理者レベルのアクセス許可がない場合は、ユーザーまたは管理者が、次のいずれかのオプションを使用してアクセス許可を設定する必要があります。
+ [IAM ポリシーを使用したアクセス許可の付与](#automation-ec2reset-access-iam)
+ [CloudFormation テンプレートを使用したアクセス権限の付与](#automation-ec2reset-access-cfn)
#### IAM ポリシーを使用したアクセス許可の付与
次の IAM ポリシーをユーザー、グループ、ロールにインラインポリシーとしてアタッチするか、新しい IAM マネージドポリシーを作成し、ユーザー、グループ、ロールにアタッチできます。ユーザー、グループ、ロールへのインラインポリシーの追加の詳細については、「[インラインポリシーの使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_inline-using.html)」を参照してください。新しい管理ポリシーの作成の詳細については、「[管理ポリシーの使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-using.html)」を参照してください。
**注記**
新しい IAM 管理ポリシーを作成する場合、**AmazonSSMAutomationRole** 管理ポリシーもアタッチし、インスタンスが Systems Manager API と通信できるようにする必要があります。
**`AWSSupport-ResetAccess` の IAM ポリシー**
*[Account ID]* (アカウント ID) をユーザー自身の情報に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"lambda:InvokeFunction",
"lambda:DeleteFunction",
"lambda:GetFunction"
],
"Resource": "arn:aws:lambda:*:111122223333:function:AWSSupport-EC2Rescue-*",
"Effect": "Allow"
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::awssupport-ssm.*/*.template",
"arn:aws:s3:::awssupport-ssm.*/*.zip"
],
"Effect": "Allow"
},
{
"Action": [
"iam:CreateRole",
"iam:CreateInstanceProfile",
"iam:GetRole",
"iam:GetInstanceProfile",
"iam:PutRolePolicy",
"iam:DetachRolePolicy",
"iam:AttachRolePolicy",
"iam:PassRole",
"iam:AddRoleToInstanceProfile",
"iam:RemoveRoleFromInstanceProfile",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DeleteInstanceProfile"
],
"Resource": [
"arn:aws:iam::111122223333:role/AWSSupport-EC2Rescue-*",
"arn:aws:iam::111122223333:instance-profile/AWSSupport-EC2Rescue-*"
],
"Effect": "Allow"
},
{
"Action": [
"lambda:CreateFunction",
"ec2:CreateVpc",
"ec2:ModifyVpcAttribute",
"ec2:DeleteVpc",
"ec2:CreateInternetGateway",
"ec2:AttachInternetGateway",
"ec2:DetachInternetGateway",
"ec2:DeleteInternetGateway",
"ec2:CreateSubnet",
"ec2:DeleteSubnet",
"ec2:CreateRoute",
"ec2:DeleteRoute",
"ec2:CreateRouteTable",
"ec2:AssociateRouteTable",
"ec2:DisassociateRouteTable",
"ec2:DeleteRouteTable",
"ec2:CreateVpcEndpoint",
"ec2:DeleteVpcEndpoints",
"ec2:ModifyVpcEndpoint",
"ec2:Describe*"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
#### CloudFormation テンプレートを使用したアクセス権限の付与
CloudFormation は事前設定されたテンプレートを使用して、IAM ロールとポリシーを作成するプロセスを自動化します。 を使用して、EC2Rescue の Automation に必要な IAM ロールとポリシーを作成するには、次の手順を使用しますCloudFormation
**EC2Rescue に必要な IAM ロールとポリシーを作成するには**
1. [https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/AWSSupport-EC2RescueRole.zip](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/AWSSupport-EC2RescueRole.zip) をダウンロードし、`AWSSupport-EC2RescueRole.json` ファイルをローカルマシン上のディレクトリに展開します。
1. AWS アカウント が特殊なパーティションにある場合は、テンプレートを編集して、ARN 値をパーティションの ARN 値に変更します。
例えば、中国リージョンの場合は、`arn:aws` のすべてのケースを `arn:aws-cn` に変更します。
1. AWS マネジメントコンソール にサインインし、CloudFormation コンソール ([https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/)) を開きます。
1. **[スタックの作成]** を選択し、**[新しいリソースの使用 (標準)]** を選択します。
1. **[スタックの作成]** ページの **[前提条件 - テンプレートの準備]** で、**[テンプレートの準備完了]** を選択します。
1. **[テンプレートの指定]** で、**[テンプレートファイルのアップロード]** を選択します。
1. **[ファイルを選択]** を選択し、展開したディレクトリから `AWSSupport-EC2RescueRole.json` ファイルを参照して選択します。
1. **[次へ]** を選択します。
1. **[スタックの詳細の指定]** ページの **[スタック名]** フィールドに、このスタックを識別する名前を入力し、**[次へ]** を選択します。
1. (オプション) **[タグ]** 領域で、1 つ以上のタグキーの名前と値のペアをスタックに適用します。
タグは、リソースに割り当てるオプションのメタデータです。タグを使用すると、目的、所有者、環境などのさまざまな方法でリソースを分類できます。たとえば、スタックにタグを付けると、スタックが実行するタスクのタイプ、関連するターゲットまたはその他のリソースのタイプ、およびスタックが実行される環境を識別できます。
1. **[Next]** (次へ) を選択します。
1. [**確認**] ページでスタックの詳細を確認し、下にスクロールして、[**CloudFormation によって IAM リソースが作成される場合があることを了承する**] オプションを選択します。
1. CloudFormation は、[**CREATE\$1IN\$1PROGRESS**] ステータスを数分間表示します。スタックを作成すると、ステータスは **[CREATE\$1COMPLETE]** に変わります。更新アイコンを選択して、作成プロセスのステータスを確認することもできます。
1. スタックリストで、先ほど作成したスタックの横にあるオプションを選択し、[**Outputs**] タブを選択します。
1. [**Value**] をコピーします。これは AssumeRole の ARN です。自動化を実行するときに、この ARN を指定します。
## 自動化の実行
次の手順では、AWS Systems Manager コンソールを使用して `AWSSupport-ResetAccess` ランブックを実行する方法について説明します。
**重要**
次のオートメーションではインスタンスを停止します。インスタンスを停止すると、アタッチされたインスタンスストアボリュームのデータが失われます (存在する場合)。また、インスタンスを停止すると、Elastic IP が関連付けられていない場合、そのパブリック IP アドレスも変更されます。これらの設定変更を避けるには、Run Command を使用してアクセスをリセットします。詳細については、「Amazon EC2 ユーザーガイド」の「[EC2Rescue for Windows Server を Systems Manager の Run Command で使用する](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2rw-ssm.html)」を参照してください。
**AWSSupport-ResetAccess の自動化を実行するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで **[オートメーション]** を選択します。
1. **[オートメーションを実行]** を選択します。
1. [**Automation document (オートメーションドキュメント)**] セクションで、リストから [**Owned by Amazon (Amazon が所有)**] を選択します。
1. ランブックリストで、[**AWSSupport-ResetAccess**] のカードのボタンを選択し、[**Next (次へ)**] を選択します。
1. [**Execute automation document (オートメーションドキュメントの実行)**] ページで、[**Simple execution (シンプルな実行)**] を選択します。
1. **[ドキュメント詳細]** セクションで、**[ドキュメントバージョン]** が最大のデフォルトバージョンに設定されていることを確認します。例えば、**[\$1DEFAULT]** または **[3 (デフォルト)]** のように指定します。
1. [**Input parameters**] セクションで、以下のパラメータを指定します。
1. [**InstanceID**] で、到達不可能なインスタンスの ID を指定します。
1. [**SubnetId**] で、指定したインスタンスと同じアベイラビリティーゾーンの既存の VPC のサブネットを指定します。デフォルトでは、Systems Manager によって新しい VPC が作成されますが、必要に応じて既存の VPC のサブネットを指定できます。
**注記**
サブネット ID を指定するオプションが表示されない場合は、最新の**デフォルト**バージョンのランブックを使用していることを確認します。
1. [**EC2RescueInstanceType**] で、EC2Rescue インスタンスのインスタンスタイプを指定します。デフォルトのインスタンスタイプは `t2.medium` です。
1. [**AssumeRole**] で、CloudFormation コンソールでメモした AssumeRole ARN を指定します (この Automation 用のロールをこのトピックで前述した CloudFormation の手順を使用して作成している場合)。
1. (オプション) [**Tags (タグ)**] 領域で、オートメーションを識別するためにタグキーの名前と値のペアを 1 つ以上適用します。たとえば、`Key=Purpose,Value=ResetAccess` です。
1. [**Execute**] を選択します。
1. オートメーションの進捗をモニタリングするには、実行中のオートメーションを選択し、[**Steps**] タブを選択します。オートメーションが終了したら、[**Descriptions**] タブを選択し、[**View output**] を選択して結果を表示します。個別のステップの出力を表示するには、[**Steps**] タブを選択し、ステップの横にある [**View Outputs**] を選択します。
ランブックは、オートメーションの一環としてバックアップ AMI とパスワード対応の AMI を作成します。オートメーションで作成された他のすべてのリソースは自動的に削除されますが、これらの AMIs はアカウントに残ります。AMIs の名前は次の命名規則に従います。
+ バックアップ AMI: `AWSSupport-EC2Rescue:InstanceID`
+ パスワード対応の AMI: AWSSupport-EC2Rescue: *インスタンス ID* のパスワード対応の AMI
これらの AMIs は、Automation の実行 ID で検索することで見つけることができます。
Linux の場合、インスタンスの新しい SSH プライベートキーは暗号化されて Parameter Store に保存されます。パラメータ名は **/ec2rl/openssh/*instance ID*/key** です。
# 入力トランスフォーマーを使用したオートメーションへのデータの受け渡し
この AWS Systems Manager Automation チュートリアルでは、Amazon EventBridge の入力トランスフォーマー機能を使用して、インスタンスの状態変更イベントから、 Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの `instance-id` を抽出する方法を説明します。Automation は AWS Systems Manager のツールです。入力トランスフォーマーを使用して、そのデータを `AWS-CreateImage` ランブックターゲットに `InstanceId` 入力パラメータとして渡します。ルールは、任意のインスタンスが `stopped` 状態に変わった時点でトリガーされます。
入力トランスフォーマーの使用方法の詳細については、*Amazon EventBridge ユーザーガイド*の「[チュートリアル: イベントターゲットに渡されるものを入力トランスフォーマーを使用してカスタマイズする](https://docs.aws.amazon.com/eventbridge/latest/userguide/eventbridge-input-transformer-tutorial.html)」を参照してください。
**開始する前に**
EventBridge に必要なアクセス許可と信頼ポリシーを、Systems Manager Automation サービスロールに追加したことを確認します。詳細については、*Amazon EventBridge ユーザーガイド*の「[EventBridge リソースへのアクセス許可の管理の概要](https://docs.aws.amazon.com/eventbridge/latest/userguide/iam-access-control-identity-based-eventbridge.html)」を参照してください。
**オートメーションで Input Transformers を使用するには**
1. Amazon EventBridge コンソール ([https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/)) を開きます。
1. ナビゲーションペインで **[ルール]** を選択します。
1. **[ルールの作成]** を選択します。
1. ルールの名前と説明を入力します。
ルールには同じリージョン内および同じイベントバス上の別のルールと同じ名前を付けることはできません。
1. **[イベントバス]** で、このルールに関連付けるイベントバスを選択します。このルールを使用して、自分の AWS アカウント の一致するイベントに応答する場合は、[**default**] ( デフォルト) を選択します。アカウントの AWS のサービスで発生したイベントは、常にアカウントのデフォルトのイベントバスに移動します。
1. **[ルールタイプ]** で、**[イベントパターンを持つルール]** を選択してください。
1. [**次へ**] を選択します。
1. **[イベントソース]** で、**[AWS イベントまたは EventBridge パートナーイベント]** を選択してください。
1. **[イベントパターン**] セクションで **[パターンフォームを使用する**] を選択します。
1. **[イベントソース]** で、**[AWS のサービス]** を選択してください。
1. **[AWS のサービス]** で **[EC2]** を選択します。
1. **[イベントタイプ]** で **[EC2 Instance State-change Notification]** を選択してください。
1. **[イベントタイプの仕様 1]** で **[特定の状態]** を選択し、**[stopped]** を選択します。
1. **[イベントタイプの仕様 2]** で ** [任意のインスタンス]** を選択するか、**[個別のインスタンス ID]** を選択して、モニタリングするインスタンスの ID を入力します。
1. [**次へ**] を選択します。
1. **[ターゲットタイプ]** では、**[AWS サービス]** を選択します。
1. [**Select a target**] (ターゲットを選択) では、[**Systems Manager オートメーション**] を選択します。
1. [**Document (ドキュメント)**] で、[**AWS-CreateImage**] を選択します。
1. [**Configure automation parameter(s)**] (オートメーションパラメータの構成) で [**Input Transformer**] (入力トランスフォーマー) を選択します。
1. [**Input path**] (入力パス) に「**\$1"instance":"\$1.detail.instance-id"\$1**」と入力します。
1. [**Template**] テンプレートに「**\$1"InstanceId":[]\$1**」と入力します。
1. [**Execution role**] (実行ロール) で [**Use existing role**] (既存のロールを使用) を選択し、オートメーションサービスロールを選択します。
1. [**次へ**] を選択します。
1. (オプション) ルールに 1 つ以上のタグを入力します。詳細については、*Amazon EventBridge ユーザーガイド*の「[Amazon EventBridge リソースのタグ付け](https://docs.aws.amazon.com/eventbridge/latest/userguide/eventbridge-tagging.html)」を参照してください 。
1. [**次へ**] を選択します。
1. ルールの詳細を確認し、**[Create rule]** (ルールの作成) を選択します。
# Systems Manager Automation が返すステータスについて学ぶ
AWS Systems Manager Automation は、Automation の実行時およびAutomation 全体について、Automation アクションまたはステップが通過するさまざまなステータスに関する詳細なステータス情報をレポートします。Automation は AWS Systems Manager のツールです。次の方法を使用して、コマンドのステータスを監視できます。
+ Systems Manager Automation コンソールで、**実行ステータス**をモニタリングします。
+ 任意のコマンドラインツールを使用します。AWS Command Line Interface( AWS CLI) では、[describe-automation-step-executions](https://docs.aws.amazon.com/cli/latest/reference/ssm/describe-automation-step-executions.html) または [get-automation-execution](https://docs.aws.amazon.com/cli/latest/reference/ssm/get-automation-execution.html) を使用できます。AWS Tools for Windows PowerShell では、[ Get-SSMAUTOMationStepExecution ](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-SSMAutomationStepExecution.html) または [ Get-SSMAUTOMationExecution ](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-SSMAutomationExecution.html) を使用できます。
+ アクションまたはオートメーションステータスの変更に応答するように Amazon EventBridge を設定します。
オートメーションにおけるタイムアウトの処理の詳細については、「[ランブックでのタイムアウトの処理](automation-handling-timeouts.md)」を参照してください。
## オートメーションステータスについて
オートメーションは、全体的なオートメーションに加え、個々のオートメーションアクションのステータスの詳細もレポートします。
全体的なオートメーションステータスは、次の表に示す個々のアクションまたはステップによって報告されるステータスと異なる場合があります。
**コマンドの詳細なステータス**
| ステータス | 詳細 |
| --- | --- |
| Pending | ステップの実行が開始されていません。オートメーションで条件付きアクションが使用されている場合、ステップを実行するための条件が満たされなかった場合、オートメーションが完了した後も、ステップはこの状態のままになります。ステップが実行される前にオートメーションがキャンセルされた場合も、ステップはこの状態のままになります。 |
| InProgress | ステップは実行中です。 |
| 待機中です | ステップは入力を待っています。 |
| 成功 | ステップは正しく完了しています。これは終了状態です。 |
| TimedOut | 指定されたタイムアウト期間より前にステップまたは承認が完了しませんでした。これは終了状態です。 |
| キャンセル | ステップは、リクエスタによってキャンセルされた後に停止中です。 |
| キャンセル | ステップは、完了する前にリクエスタによって停止されました。これは終了状態です。 |
| 失敗 | ステップは正常に完了しませんでした。これは終了状態です。 |
| Exited | `aws:loop` アクションによってのみ返されます。ループは完全には完了しませんでした。ループ内のステップが `nextStep`、`onCancel`、または `onFailure` プロパティを使用して外部のステップに移動しました。 |
**オートメーションの詳細なステータス**
| ステータス | 詳細 |
| --- | --- |
| Pending | オートメーションの実行が開始されていません。 |
| InProgress | オートメーションが実行されています。 |
| 待機中です | オートメーションは入力を待っています。 |
| 成功 | オートメーションが正常に完了しました。これは終了状態です。 |
| TimedOut | 指定されたタイムアウト期間より前にステップまたは承認が完了しませんでした。これは終了状態です。 |
| キャンセル | オートメーションは、リクエスタによってキャンセルされた後に停止中です。 |
| キャンセル | オートメーションは、完了する前にリクエスタによって停止されました。これは終了状態です。 |
| 失敗 | オートメーションは正常に完了しませんでした。これは終了状態です。 |
# Systems Manager Automation のトラブルシューティング
AWS Systems Manager のツールである AWS Systems Manager Automation に問題が生じた場合にトラブルシューティングするときは、次の情報が役立ちます。このトピックには、自動化エラーメッセージにおける問題を解決するための特定のタスクが含まれます。
**Topics**
+ [一般的な自動化エラー](#automation-trbl-common)
+ [自動化の実行開始の失敗](#automation-trbl-access)
+ [実行は開始するが、ステータスが失敗になる](#automation-trbl-exstrt)
+ [実行は開始するが、タイムアウトになる](#automation-trbl-to)
## 一般的な自動化エラー
このセクションでは、一般的な自動化エラーについて説明します。
### VPC not defined 400
デフォルトでは、オートメーションが `AWS-UpdateLinuxAmi` ランブックまたは `AWS-UpdateWindowsAmi` ランブックを実行すると、システムはデフォルト VPC (172.30.0.0/16) に一時インスタンスを作成します。デフォルト VPC を削除した場合、次のエラーが発生します。
`VPC not defined 400`
この問題を解決するには、`SubnetId` 入力パラメータに値を指定する必要があります。
## 自動化の実行開始の失敗
AWS Identity and Access Management (IAM) ロール、オートメーションのポリシーが正しく設定されていない場合、オートメーションはアクセス拒否エラーまたは無効な継承ロールエラーによって失敗する可能性があります。
### アクセスが拒否されました
次の例では、オートメーションがアクセス拒否エラーによって失敗した状態を説明します。
**Systems Manager API へのアクセスが拒否されました**
**エラーメッセージ**: `User: user arn isn't authorized to perform: ssm:StartAutomationExecution on resource: document arn (Service: AWSSimpleSystemsManagement; Status Code: 400; Error Code: AccessDeniedException; Request ID: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx)`
+ 考えられる原因 1: オートメーションを開始しようとしているユーザーに、`StartAutomationExecution` API を呼び出すアクセス許可がない。この問題を解決するには、オートメーションを開始するために使用されるユーザーに、必要な IAM ポリシーをアタッチします。
+ 考えられる原因 2: オートメーションを開始しようとしているユーザーに `StartAutomationExecution` API を呼び出すアクセス許可があるが、特定のランブックを使用して API を呼び出すアクセス許可がない。この問題を解決するには、オートメーションを開始するために使用されるユーザーに、必要な IAM ポリシーをアタッチします。
**PassRole 許可がないことによるアクセスの拒否**
**エラーメッセージ**: `User: user arn isn't authorized to perform: iam:PassRole on resource: automation assume role arn (Service: AWSSimpleSystemsManagement; Status Code: 400; Error Code: AccessDeniedException; Request ID: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx)`
オートメーションを開始しようとしているユーザーに、ロールを継承するための PassRole 許可がない。この問題を解決するには、オートメーションを開始しようとしているユーザーのロールに、iam:PassRole ポリシーをアタッチします。詳細については、「[タスク 2: iam:PassRole ポリシーをオートメーションロールにアタッチする](automation-setup-iam.md#attach-passrole-policy)」を参照してください。
### 無効な継承ロール
自動化を実行するとき、継承ロールはランブックで提供されるか、あるいはランブックにパラメータ値として渡されます。継承ロールが指定されていない、あるいは正しく設定されていない場合、複数の種類のエラーが発生することがあります。
**形式が正しくない継承ロール**
**エラーメッセージ**: `The format of the supplied assume role ARN isn't valid.` 継承ロールが不適切にフォーマットされている。この問題を解決するには、ランブックで有効な継承ロールが指定されていること、あるいは自動化を開始するときにランタイムパラメータとして指定されていることを確認します。
**継承ロールが継承されない**
**エラーメッセージ**: `The defined assume role is unable to be assumed. (Service: AWSSimpleSystemsManagement; Status Code: 400; Error Code: InvalidAutomationExecutionParametersException; Request ID: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx)`
+ 考えられる原因 1: 継承ロールが存在しない。この問題を解決するには、ロールを作成します。詳細については、「」を参照してください[オートメーションの設定](automation-setup.md) このロールを作成するための詳細は、このトピック 「[タスク 1: 自動化のサービスロールを作成する](automation-setup-iam.md#create-service-role)」で説明されています。
+ 考えられる原因 2: 継承ロールに Systems Manager サービスとの信頼関係がない。この問題を解決するには、信頼関係を作成します。詳細については、*IAM ユーザーガイド*の「[ロールを引き受けることができない](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_cant-assume-role)」を参照してください。
## 実行は開始するが、ステータスが失敗になる
### アクション固有の失敗
ランブックには、ステップとステップの実行が順番に含まれています。各ステップは、1 つまたは複数の AWS のサービス API を起動します。この API は、ステップの入力、動作、出力を決定します。エラーによって 1 つのステップが失敗する可能性のある複数の場所があります。失敗メッセージは、いつどこでエラーが発生したかを示します。
Amazon Elastic Compute Cloud (Amazon EC2) コンソールで失敗メッセージを表示するには、失敗したステップの [**出力を表示**] リンクを選択します。AWS CLI から失敗メッセージを表示するには、`get-automation-execution` を呼び出して、失敗した `FailureMessage` から `StepExecution` 属性を検索します。
次の例では、`aws:runInstance` アクションに関連付けられたステップが失敗しています。それぞれの例では、異なる種類のエラーを示しています。
**イメージの欠落**
**エラーメッセージ**: `Automation Step Execution fails when it's launching the instance(s). Get Exception from RunInstances API of ec2 Service. Exception Message from RunInstances API: [The image id '[ami id]' doesn't exist (Service: AmazonEC2; Status Code: 400; Error Code: InvalidAMIID.NotFound; Request ID: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx)]. Please refer to Automation Service Troubleshooting Guide for more diagnosis details.`
`aws:runInstances` アクションは、存在しない `ImageId` への入力を受信しました。この問題を解決するには、適切な AMI ID を使用してランブックまたはパラメータ値を更新します。
**継承ロールポリシーに十分なアクセス許可がない**
**エラーメッセージ**: `Automation Step Execution fails when it's launching the instance(s). Get Exception from RunInstances API of ec2 Service. Exception Message from RunInstances API: [You aren't authorized to perform this operation. Encoded authorization failure message: xxxxxxx (Service: AmazonEC2; Status Code: 403; Error Code: UnauthorizedOperation; Request ID: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx)]. Please refer to Automation Service Troubleshooting Guide for more diagnosis details.`
継承ロールに、EC2 インスタンスで `RunInstances` API を呼び出す十分なアクセス許可がありません。この問題を解決するには、継承ロールに `RunInstances` API を呼び出すアクセス許可がある継承ロールに IAM ポリシーをアタッチします。詳細については、「[コンソールを使用して Automation 用のサービスロールを作成する](automation-setup-iam.md)」を参照してください。
**予期できないステート**
**エラーメッセージ**: `Step fails when it's verifying launched instance(s) are ready to be used. Instance i-xxxxxxxxx entered unexpected state: shutting-down. Please refer to Automation Service Troubleshooting Guide for more diagnosis details.`
+ 考えられる原因 1: インスタンスまたは Amazon EC2 サービスに問題がある。この問題を解決するには、インスタンスにログインするか、インスタンスシステムログを参照して、インスタンスがシャットダウンするようになった原因を検索します。
+ 考えられる原因 2: `aws:runInstances` アクションに指定されるユーザーデータスクリプトに問題があるか、あるいは正しくない構文がある。ユーザーデータスクリプトの構文を確認します。また、ユーザーデータスクリプトがインスタンスをシャットダウンしていない、あるいはインスタンスをシャットダウンするその他のスクリプトを呼び出していないかも確認します。
**アクション固有の失敗リフェレンス**
ステップが失敗すると、失敗発生時にどのサービスが呼び出されたかが失敗のメッセージに示されることもあります。次の表は、各アクションによって呼び出されるサービスを一覧表示します。また、この表にはそれぞれのサービスの情報へのリンクも提供しています。
****
| Action | このアクションによって呼び出される AWS のサービス | このサービスについての情報 | トラブルシューティングのコンテンツ |
| --- | --- | --- | --- |
| `aws:runInstances` | Amazon EC2 | [Amazon EC2 ユーザーガイド](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/) | [EC2 インスタンスのトラブルシューティング](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-troubleshoot.html) |
| `aws:changeInstanceState` | Amazon EC2 | [Amazon EC2 ユーザーガイド](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/) | [EC2 インスタンスのトラブルシューティング](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-troubleshoot.html) |
| `aws:runCommand` | Systems Manager | [AWS Systems Manager Run Command](run-command.md) | [Systems Manager Run Command のトラブルシューティング](troubleshooting-remote-commands.md) |
| `aws:createImage` | Amazon EC2 | [https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIs.html](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIs.html) | |
| `aws:createStack` | CloudFormation | [AWS CloudFormation ユーザーガイド](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) | [CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html) のトラブルシューティング |
| `aws:deleteStack` | CloudFormation | [AWS CloudFormation ユーザーガイド](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) | [CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html) のトラブルシューティング |
| `aws:deleteImage` | Amazon EC2 | [Amazon マシンイメージ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIs.html) | |
| `aws:copyImage` | Amazon EC2 | [https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIs.html](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIs.html) | |
| `aws:createTag` | Amazon EC2、Systems Manager | [EC2 リソースとタグ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EC2_Resources.html) | |
| `aws:invokeLambdaFunction` | AWS Lambda | [AWS Lambda デベロッパーガイド](https://docs.aws.amazon.com/lambda/latest/dg/) | [Lambda のトラブルシューティング ](https://docs.aws.amazon.com/lambda/latest/dg/monitoring-functions.html) |
### 自動化サービス内部エラー
**エラーメッセージ**: `Internal Server Error. Please refer to Automation Service Troubleshooting Guide for more diagnosis details.`
自動化サービスに関する問題は、特定のランブックが正常に実行されることに影響を及ぼします。この問題を解決するには、 にお問い合わせくださいAWS サポート 可能な範囲で、実行 ID とカスタマー ID をご用意ください。
## 実行は開始するが、タイムアウトになる
**エラーメッセージ**: `Step timed out while step is verifying launched instance(s) are ready to be used. Please refer to Automation Service Troubleshooting Guide for more diagnosis details.`
`aws:runInstances` アクションのステップがタイムアウトになります。これは、ステップで `timeoutSeconds` に指定された値よりステップアクションの実行に時間がかかる場合に発生します。この問題を解決するには、`aws:runInstances` アクションで `timeoutSeconds` パラメータにより長い時間を指定してください。問題が解決しない場合は、ステップが予期される時間より長くかかる原因を診断します。
# AWS Systems Manager Change Calendar
AWS Systems Manager のツールである Change Calendar では、指定したアクション ([Systems Manager Automation](systems-manager-automation.md) ランブックなど) が AWS アカウントで実行できるまたはできない日付と時刻の範囲を設定できます。Change Calendar では、これらの範囲を*イベント*と呼びます。Change Calendar エントリを作成すると、`ChangeCalendar` タイプの [Systems Manager ドキュメント](documents.md)が作成されます。Change Calendar では、ドキュメントに [iCalendar 2.0](https://icalendar.org/) データがプレーンテキスト形式で保存されます。Change Calendar エントリに追加したイベントは、ドキュメントの一部になります。Change Calendar の使用を開始するには、[Systems Manager コンソール](https://console.aws.amazon.com//systems-manager/change-calendar)を開きます。ナビゲーションペインで、**[Change Calendar]** を選択します。
Systems Manager コンソールでカレンダーとそのイベントを作成できます。また、サポートされているサードパーティーのカレンダープロバイダからエクスポートした iCalendar (`.ics`) ファイルをインポートして、そのイベントを自分のカレンダーに追加できます。サポートされているプロバイダには、Google カレンダー、Microsoft Outlook、iCloud カレンダーが含まれます。
Change Calendar エントリは、次の 2 つのタイプのいずれかになります。
**`DEFAULT_OPEN`**、またはデフォルトでオープン
カレンダーイベント中を除き、デフォルトですべてのアクションの実行が可能です。イベント中、`DEFAULT_OPEN` カレンダーの状態は `CLOSED` となり、イベントの実行がブロックされます。
**`DEFAULT_CLOSED`**、またはデフォルトでクローズ
カレンダーイベント中を除き、すべてのアクションがデフォルトでブロックされます。イベント中、`DEFAULT_CLOSED` カレンダーの状態は `OPEN` となり、アクションの実行が許可されます。
スケジュールされたすべての自動化ワークフロー、メンテナンスウィンドウ、および State Manager の関連付けをカレンダーに自動的に追加するように選択できます。また、これらのそれぞれのタイプをカレンダー表示から削除することもできます。
## Change Calendar はどのようなユーザーに適していますか?
**Change Manager の可用性の変更**
AWS Systems ManagerChange Manager は、2025 年 11 月 7 日以降、新規のお客様の受付を終了します。Change Manager を使用する場合は、その日付の前にサインアップしてください。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Systems Manager Change Manager の可用性の変更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)」を参照してください。
+ 次のアクションタイプを実行する AWS の顧客:
+ 自動化ランブックを作成または実行します。
+ Change Manager で変更リクエストを作成します。
+ メンテナンスウィンドウを実行します。
+ State Manager で関連付けを作成します。
Automation、Change Manager、Maintenance Windows、State Manager はすべて AWS Systems Manager のツールです。これらのツールを Change Calendar と統合することにより、それぞれに関連付ける変更カレンダーの現在の状態に応じて、これらのアクションタイプを許可またはブロックできます。
+ Systems Manager マネージドノードの設定の一貫性、安定性、機能性を維持する管理者。
## Change Calendar の利点
Change Calendar には次のような利点があります。
+ **変更を適用する前に確認する**
Change Calendar エントリを使用すると、環境に破壊的な影響を及ぼす可能性のある変更を適用する前に確認できます。
+ **適切な時間帯にのみ変更を適用する**
Change Calendar エントリを使用すると、イベント期間中に環境を安定に維持できます。たとえば、カンファレンスや公開マーケティングのプロモーションなど、リソースに対する需要が高くなると予想される期間に変更をブロックする Change Calendar エントリを作成できます。カレンダーエントリは、休暇中や祝日中など、管理者サポートが制限されると予想される期間に変更をブロックすることもできます。カレンダーエントリを使用すると、失敗したアクションやデプロイのトラブルシューティングを行うための管理者サポートが制限されている時間以外の、特定の時間帯以外の変更を許可できます。
+ **カレンダーの現在または今後の状態を取得する**
Systems Manager `GetCalendarState` API オペレーションを実行して、カレンダーの現在の状態、指定した時刻の状態、次にカレンダーの状態が変更されるようにスケジュールされている時刻を表示できます。
**注記**
`GetCalendarState` API には、1 秒あたり 10 リクエストのクォータがあります。Systems Manager のクォータの詳細については、「*Amazon Web Services 全般のリファレンス*」の「[Systems Manager service quotas](https://docs.aws.amazon.com/general/latest/gr/ssm.html#limits_ssm)」を参照してください。
+
**EventBridge のサポート**
この Systems Manager ツールは、Amazon EventBridge ルールの*イベント*タイプとしてサポートされています。詳細については、「[Amazon EventBridge を使用して Systems Manager イベントをモニタリングする](monitoring-eventbridge-events.md)」および「[リファレンス: Systems Manager 用の Amazon EventBridge イベントパターンとタイプ](reference-eventbridge-events.md)」を参照してください。
**Topics**
+ [Change Calendar はどのようなユーザーに適していますか?](#systems-manager-change-calendar-who)
+ [Change Calendar の利点](#systems-manager-change-calendar-benefits)
+ [Change Calendar を設定する](systems-manager-change-calendar-prereqs.md)
+ [「Change Calendar」 の使用](systems-manager-change-calendar-working.md)
+ [Automation ランブックへの Change Calendar の依存関係の追加](systems-manager-change-calendar-automations.md)
+ [Change Calendar のトラブルシューティング](change-calendar-troubleshooting.md)
# Change Calendar を設定する
AWS Systems Manager のツールである Change Calendar を使用する前に、以下を完了してください。
## 最新のコマンドラインツールをインストールする
最新のコマンドラインツールをインストールして、カレンダーに関する状態情報を取得します。
| 要件 | 説明 |
| --- | --- |
| AWS CLI | (オプション) AWS Command Line Interface (AWS CLI) を使用してカレンダーに関する状態情報を取得するには、AWS CLI の最新リリースをローカルコンピュータにインストールします。 CLI をインストールまたはアップグレードする方法の詳細については、*AWS Command Line Interface ユーザーガイド*の「[AWS CLI のインストール、更新、アンインストール](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-install.html)」を参照してください。 |
| AWS Tools for PowerShell | (オプション) Tools for PowerShell を使用してカレンダーに関する状態情報を取得するには、ローカルコンピュータに Tools for PowerShell の最新リリースをインストールします。 Tools for PowerShell をインストールまたはアップグレードする方法の詳細については、*AWS Tools for PowerShell ユーザーガイド*の「[AWS Tools for PowerShell のインストール](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html)」を参照してください。 |
## アクセス許可の設定
ユーザー、グループ、ロールに管理者権限が割り当てられている場合は、Change Calendar に完全にアクセスできます。管理者権限がない場合は、管理者に `AmazonSSMFullAccess` マネージドポリシーの割り当てを依頼するか、ユーザー、グループ、ロールに必要なアクセス許可を付与するポリシーの割り当てを依頼してください。
Change Calendar を使用するには、以下のアクセス権限が必要です。
**Change Calendar エントリ**
エントリにイベントを追加および削除したり、Change Calendar エントリを作成、更新、削除したりするには、ユーザー、グループ、またはロールにアタッチされたポリシーで次のアクションが許可されている必要があります。
+ `ssm:CreateDocument`
+ `ssm:DeleteDocument`
+ `ssm:DescribeDocument`
+ `ssm:DescribeDocumentPermission`
+ `ssm:GetCalendar`
+ `ssm:ListDocuments`
+ `ssm:ModifyDocumentPermission`
+ `ssm:PutCalendar`
+ `ssm:UpdateDocument`
+ `ssm:UpdateDocumentDefaultVersion`
**カレンダーの状態**
カレンダーの現在または今後の状態に関する情報を取得するには、ユーザー、グループ、またはロールにアタッチされたポリシーで次のアクションが許可されている必要があります。
+ `ssm:GetCalendarState`
**運用イベント**
メンテナンスウィンドウ、関連付け、計画された自動化などの運用イベントを表示するには、ユーザー、グループ、またはロールにアタッチされたポリシーで次のアクションが許可されている必要があります。
+ `ssm:DescribeMaintenanceWindows`
+ `ssm:DescribeMaintenanceWindowExecution`
+ `ssm:DescribeAutomationExecutions`
+ `ssm:ListAssociations`
**注記**
自分以外のアカウントが所有している (つまり、自分以外のアカウントによって作成されている) Change Calendar エントリは、自分のアカウントと共有されている場合でも読み取り専用になります。メンテナンスウィンドウ、State Manager の関連付け、オートメーションは共有されません。
# 「Change Calendar」 の使用
AWS Systems Manager のツールである Change Calendar でエントリを追加、管理、削除するときは AWS Systems Manager コンソールを使用します。ソースカレンダーからエクスポートした iCalendar (`.ics`) ファイルをインポートすると、サポートされているサードパーティーのカレンダープロバイダからイベントをインポートすることもできます。また、`GetCalendarState` API オペレーションまたは `get-calendar-state` AWS Command Line Interface (AWS CLI) コマンドを使用すると、特定の時刻の Change Calendar の状態に関する情報を取得できます。
**Topics**
+ [Change Calendar の作成](change-calendar-create.md)
+ [Change Calendar でのイベントの作成と管理](change-calendar-events.md)
+ [サードパーティーのカレンダーからのイベントのインポートと管理](third-party-events.md)
+ [Change Calendar の更新](change-calendar-update.md)
+ [Change Calendar の共有](change-calendar-share.md)
+ [Change Calendar の削除](change-calendar-delete.md)
+ [Change Calendar の状態の取得](change-calendar-getstate.md)
# Change Calendar の作成
AWS Systems Manager のツールである Change Calendar でエントリを作成すると、`text` 形式を使用する Systems Manager ドキュメント (SSM ドキュメント) が作成されます。
**Change Calendar を作成するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Change Calendar]** を選択します。
1. [**Create calendar (カレンダーの作成)**] を選択します。
-または-
**Change Calendar** ホームページが開いたら、最初に **[Create change calendar]** (変更カレンダーの作成) をクリックします。
1. [**Create calendar (カレンダーの作成)**] ページの [**Calendar details (カレンダーの詳細)**] に、カレンダーエントリの名前を入力します。カレンダーエントリ名には、文字、数字、ピリオド、ダッシュ、アンダースコアを使用できます。カレンダーのエントリの目的がひとめでわかるような具体的な名前にしてください。例: 「**support-off-hours**」。カレンダーエントリを作成した後、この名前を更新することはできません。
1. (オプション) **[Description]** (説明) に、カレンダーエントリの説明を入力します。
1. (オプション) [**Import calendar (カレンダーのインポート)**] で [**Choose file** (ファイルの選択)] を選び、サードパーティーのカレンダープロバイダからエクスポートしたiCalendar (`.ics`) ファイルを選択します。ファイルをインポートすると、そのイベントがカレンダーに追加されます。
サポートされているプロバイダには、Google カレンダー、Microsoft Outlook、iCloud カレンダーが含まれます。
詳細については、「[サードパーティーのカレンダープロバイダからのイベントのインポート](change-calendar-import.md)」を参照してください。
1. [**Calendar type (カレンダーの種類)**] で、次のいずれかを選択します。
+ [**Open by default (デフォルトでオープン)**] - カレンダーはオープン (Automation アクションはイベントが開始するまで実行可能) で、関連付けられたイベントの期間中はクローズになります。
+ [**Closed by default (デフォルトでクローズ)**] - カレンダーはクローズ (Automation アクションはイベントが開始されるまで実行不可) で、関連付けられたイベントの期間中はオープンになります。
1. (オプション) **[変更管理イベント]** で、**[変更管理イベントをカレンダーに追加]** を選択します。これを選択すると、毎月のカレンダー表示に、予定されているメンテナンスウィンドウ、State Manager の関連付け、自動化ワークフロー、Change Manager 変更リクエストがすべて表示されます。
**ヒント**
後でこれらのイベントタイプをカレンダー表示から完全に削除する場合は、カレンダーを編集してこのチェックボックスをオフにして、**[保存]** を選択します。
1. [**Create calendar (カレンダーの作成)**] を選択します。
カレンダーエントリが作成されると、Systems Manager は、**Change Calendar** の一覧にカレンダーエントリを表示します。列には、カレンダーのバージョンとカレンダーの所有者の AWS アカウント 番号が表示されます。少なくとも 1 つのイベントを作成するかインポートするまでは、カレンダーエントリでアクションを禁止または許可することはできません。イベント作成の詳細については、「[Change Calendar イベントの作成](change-calendar-create-event.md)」を参照してください。イベントのインポートについては、「[サードパーティーのカレンダープロバイダからのイベントのインポート](change-calendar-import.md)」を参照してください。
# Change Calendar でのイベントの作成と管理
カレンダーを AWS Systems Manager Change Calendar で作成した後、開いているカレンダーまたは閉じているカレンダーに含まれているイベントを作成、更新、削除できます。Change Calendar は AWS Systems Manager のツールです。
**ヒント**
Systems Manager コンソールでイベントを直接作成する代わりに、サポートされているサードパーティーのカレンダーアプリケーションから iCalendar (`.ics`) ファイルをインポートできます。詳細については、「[サードパーティーのカレンダーからのイベントのインポートと管理](third-party-events.md)」を参照してください。
**Topics**
+ [Change Calendar イベントの作成](change-calendar-create-event.md)
+ [Change Calendar イベントの更新](change-calendar-update-event.md)
+ [Change Calendar イベントの削除](change-calendar-delete-event.md)
# Change Calendar イベントの作成
AWS Systems Manager のツールである Change Calendar のエントリにイベントを追加すると、カレンダーエントリのデフォルトのアクションが中断される期間を指定することができます。たとえば、カレンダーエントリの種類がデフォルトでクローズの場合、カレンダーはイベント中に変更に対してオープンになります。(または、カレンダー上のみで情報ロールを提供する、アドバイザリイベントを作成することもできます。)
現在は、コンソールを使用して作成できるのは、Change Calendar イベントのみです。イベントは、Change Calendar エントリの作成時に作成する Change Calendar ドキュメントに追加されます。
**Change Calendar イベントを作成するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Change Calendar]** を選択します。
1. カレンダーのリストから、イベントを追加するカレンダーエントリの名前を選択します。
1. カレンダーエントリの詳細ページで、[**Create event** (イベントの作成)] を選択します。
1. [**Create scheduled event** (スケジュールされたイベントの作成)] ページの [**Event details** (イベントの詳細)] に、イベントの表示名を入力します。イベント名には、文字、数字、ピリオド、ダッシュ、アンダースコアを使用できます。イベントの目的がひとめでわかるような具体的な名前にしてください。例: 「**nighttime-hours**」。
1. **[Description]** (説明) にイベントの説明を入力します。例えば、**The support team isn't available during these hours** と指定します。
1. (オプション) このイベントを、視覚的な通知やリマインダーとしてのみ使用する場合は、**[Advisory]** (アドバイザリ) チェックボックスをオンにします。アドバイザリーイベントには、カレンダー上での機能はありません。これらは、カレンダーを表示しているユーザーに情報を提供するためだけのものです。
1. **[Event start date]** (イベント開始日) で、イベントを開始する日付を `MM/DD/YYYY` 形式で入力 (または選択) し、指定した日にイベントを開始する時刻を `hh:mm:ss` (時、分、秒) 形式で入力します。
1. **[Event end date]** (イベント終了日) で、イベントを終了する日付を `MM/DD/YYYY` 形式で入力 (または選択) し、指定した日にイベントを終了する時刻を `hh:mm:ss` (時、分、秒) 形式で入力します。
1. **[Schedule time zone]** (タイムゾーンをスケジュール) で、イベントの開始時刻と終了時刻が適用されるタイムゾーンを選択します。都市名の一部またはグリニッジ標準時 (GMT) とのタイムゾーンの差を入力すると、タイムゾーンをすばやく検索できます。デフォルトは協定世界時 (UTC) です。
1. (オプション) 日ごと、週ごと、月ごとで繰り返されるイベントを作成するには、**[Recurrence]** (繰り返し) をオンにした上で、繰り返しの頻度および (オプションとして) 終了日を指定します。
1. [**Create scheduled event (スケジュールされたアクションの作成)**] を選択します。新しいイベントがカレンダーエントリに追加され、カレンダーエントリの詳細ページの [**Events (イベント)**] タブに表示されます。
# Change Calendar イベントの更新
次の手順に従い、AWS Systems Manager コンソールで Change Calendar イベントを更新します。Change Calendar は AWS Systems Manager のツールです。
**Change Calendar イベントを更新するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Change Calendar]** を選択します。
1. カレンダーのリストから、イベントを編集するカレンダーエントリの名前を選択します。
1. カレンダーエントリの詳細ページで、[**Events (イベント)**] を選択します。
1. カレンダーページで、編集するイベントを選択します。
**ヒント**
左上のボタンを使用すると、1 年前後に移動したり、1 か月前後に移動したりできます。タイムゾーンの変更が必要な場合は、右上リストから適切なタイムゾーンを選択します。
1. **[Event details]** (イベントの詳細) で **[Edit]** (編集) をクリックします。
イベントの名前と説明を変更するには、現在のテキスト値に追加するか、その値を置き換えます。
1. **[Event start date]** (イベント開始日) の値を変更するには、現在の開始日を選択した上で、カレンダーから新しい日付を選択します。開始時刻を変更するには、現在の開始時刻を選択した上で、リストから新しい時刻を選択します。
1. **[Event end date]** (イベント終了日) の値を変更するには、現在の日付を選択した上で、カレンダーから新しい終了日を選択します。終了時刻を変更するには、現在の終了時刻を選択した上で、リストから新しい時刻を選択します。
1. **[Schedule time zone]** (タイムゾーンのスケジュール) の値を変更するには、イベントの開始時刻と終了時刻が適用されるタイムゾーンを選択します。都市名の一部またはグリニッジ標準時 (GMT) とのタイムゾーンの差を入力すると、タイムゾーンをすばやく検索できます。デフォルトは協定世界時 (UTC) です。
1. (オプション) このイベントを、視覚的な通知やリマインダーとしてのみ使用する場合は、**[Advisory]** (アドバイザリ) チェックボックスをオンにします。アドバイザリーイベントには、カレンダー上での機能はありません。これらは、カレンダーを表示しているユーザーに情報を提供するためだけのものです。
1. [**Save**] を選択します。変更内容は、カレンダーエントリの詳細ページの [**Events (イベント)**] タブに表示されます。更新したイベントを選択して、変更を表示します。
# Change Calendar イベントの削除
AWS マネジメントコンソールを使用して、AWS Systems Manager のツールである Change Calendar で一度にひとつずつイベントを削除できます。
**ヒント**
カレンダーの作成時に **[変更管理イベントをカレンダーに追加]** を選択した場合は、次の操作を実行できます。
変更管理イベントタイプをカレンダー表示から「一時的に」非表示にするには、月次プレビューの上部でタイプの **[X]** を選択します。
これらのタイプをカレンダー表示から「完全に」削除するには、カレンダーを編集し、**[カレンダーに変更管理イベントを追加]** チェックボックスをオフにして、**[保存]** を選択します。カレンダー表示からタイプを削除しても、アカウントからは削除されません。
**Change Calendar イベントを削除するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Change Calendar]** を選択します。
1. カレンダーのリストから、イベントを削除するカレンダーエントリの名前を選択します。
1. カレンダーエントリの詳細ページで、[**Events (イベント)**] を選択します。
1. カレンダーページで、削除するイベントを選択します。
**ヒント**
左上のボタンを使用して、カレンダーを 1 年前後に移動したり、1 か月前後に移動したりできます。タイムゾーンの変更が必要な場合は、右上リストから適切なタイムゾーンを選択します。
1. [**Event details (イベント詳細)**] ページで、[**Delete (削除)**] を選択します。イベントの削除を確認するプロンプトが表示されたら、**[Confirm]** (確認) をクリックします。
# サードパーティーのカレンダーからのイベントのインポートと管理
イベントを直接 AWS Systems Manager コンソールで作成する代わりに、サポートされているサードパーティーのカレンダーアプリケーションから iCalendar (`.ics`) ファイルをインポートできます。カレンダーには、インポートしたイベントのほか、AWS Systems Manager のツールである Change Calendar で作成したイベントを含めることができます。
**[開始する前に]**
カレンダーファイルをインポートする前に、次の要件と制約を確認してください。
カレンダーのファイル形式
有効な iCalendar ファイル(`.ics`) のみがサポートされています。
サポートされているカレンダープロバイダ
以下のサードパーティーのカレンダープロバイダからエクスポートされた `.ics` ファイルのみがサポートされています。
+ Google カレンダー ([エクスポート手順](https://support.google.com/calendar/answer/37111))
+ Microsoft Outlook ([エクスポート手順](https://support.microsoft.com/en-us/office/export-an-outlook-calendar-to-google-calendar-662fa3bb-0794-4b18-add8-9968b665f4e6))
+ iCloud カレンダー ([エクスポート手順](https://support.apple.com/guide/calendar/import-or-export-calendars-icl1023/mac))
ファイルサイズ
任意の数の有効な `.ics` ファイルをインポートできます。ただし、各カレンダーでインポートされたファイルすべての合計サイズは 64 KB を超えられません。
`.ics` ファイルのサイズを最小化するには、カレンダーのエントリに関する基本的な詳細のみをエクスポートしてください。必要に応じて、エクスポートする期間を短縮します。
タイムゾーン
カレンダー名、カレンダープロバイダ、および少なくとも 1 つのイベントのほか、エクスポートされた `.ics` ファイルには、カレンダーのタイムゾーンも示されます。これが表示されない場合、またはタイムゾーンの識別に問題がある場合は、ファイルをインポートした後、タイムゾーンを指定するように求められます。
反復イベントの制限
エクスポートされた `.ics` ファイルには、反復するイベントを含めることができます。ただし、ソースカレンダーで 1 つ以上の反復イベントが削除された場合、インポートは失敗します。
**Topics**
+ [サードパーティーのカレンダープロバイダからのイベントのインポート](change-calendar-import.md)
+ [サードパーティーのカレンダープロバイダからのすべてのイベントの更新](change-calendar-import-add-remove.md)
+ [サードパーティーのカレンダーからインポートされたすべてのイベントの削除](change-calendar-delete-ics.md)
# サードパーティーのカレンダープロバイダからのイベントのインポート
以下の手順に従い、サポートされているサードパーティーのカレンダーアプリケーションから iCalendar (`.ics`) ファイルをインポートします。ファイルに含まれるイベントは、開いているカレンダーまたは閉じているカレンダーのルールに組み込まれます。Change Calendar (AWS Systems Manager のツール) を使用して作成している新しいカレンダー、または既存のカレンダーにファイルをインポートできます。
`.ics` ファイルをインポートした後、Change Calendar インターフェイスを使用して個々のイベントをそのファイルから削除できます。詳細については、「[Change Calendar イベントの削除](change-calendar-delete-event.md)」を参照してください。`.ics` ファイルを削除して、ソースカレンダーからすべてのイベントを削除することもできます。詳細については、「[サードパーティーのカレンダーからインポートされたすべてのイベントの削除](change-calendar-delete-ics.md)」を参照してください。
**サードパーティーのカレンダープロバイダからイベントをインポートするには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Change Calendar]** を選択します。
1. 新しいカレンダーから開始するには、[**Create calendar** (カレンダーの作成)] を選択します。[**Import calendar** (カレンダーのインポート)] で [**Choose file** (ファイルの選択)] を選びます。新しいカレンダーを作成する他の手順については、「[Change Calendar の作成](change-calendar-create.md)」を参照してください。
-または-
サードパーティーのイベントを既存のカレンダーにインポートするには、既存のカレンダーの名前を選択して開きます。
1. **[Actions、Edit]** (編集アクション) をクリックした後、**[Import calendar]** (カレンダーのインポート) エリアで、**[Choose file]** (ファイルの選択) をクリックします。
1. ローカルコンピュータで、エクスポートされた `.ics` ファイルに移動して選択します。
1. プロンプトが表示されたら、**Select a time zone **(タイムゾーンの選択)] で、カレンダーに適用するタイムゾーンを選択します。
1. **[保存]** を選択します。
# サードパーティーのカレンダープロバイダからのすべてのイベントの更新
iCalendar `.ics` ファイルのインポート後、ソースカレンダーに複数のイベントが追加されるか削除されると、これらの変更を Change Calendar で反映できます。まず、元のカレンダーを再エクスポートし、新しいファイルを Change Calendar (AWS Systems Manager のツール) にインポートします。Change Calendar のイベントは、新しいファイルの内容を反映するように更新されます。
**サードパーティーのカレンダープロバイダからすべてのイベントを更新するには**
1. サードパーティーのカレンダーで、Change Calendar に反映させたいイベントを追加するか削除し、カレンダーを新しい `.ics` ファイルに再エクスポートします。
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Change Calendar]** を選択します。
1. カレンダーの一覧からカレンダー名を選択します。
1. **[ファイルの選択]** を選択して、置き換える `.ics` ファイルに移動して選択します。
1. 既存のファイルの上書きに関する通知に対して、[**Confirm** (確認)] を選択します。
# サードパーティーのカレンダーからインポートされたすべてのイベントの削除
サードパーティーのプロバイダからインポートしたイベントをカレンダーに含める必要がなくなった場合は、インポートした iCalendar `.ics` ファイルを削除できます。
**サードパーティーのカレンダーからインポートされたすべてのイベントを削除するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Change Calendar]** を選択します。
1. カレンダーの一覧からカレンダー名を選択します。
1. [**Import calendar** (カレンダーのインポート)] の [**My imported calendars** (インポート済みのカレンダー)] で、インポートされたカレンダーの名前を見つけ、そのカードで **X** を選択します。
1. **[保存]** を選択します。
# Change Calendar の更新
Change Calendar の説明を更新できますが、名前は変更できません。カレンダーのデフォルトの状態は変更できますが、このカレンダーに関連付けられているイベント中の変更アクションの動作が逆になることに注意してください。たとえば、カレンダーの状態を [**Open by default (デフォルトでオープン)**] から [**Closed by default (デフォルトでクローズ)**] に変更すると、関連付けられたイベントを作成したユーザーが変更を予期していないイベント期間中に不要な変更が加えられることがあります。
Change Calendar を更新すると、エントリの作成時に作成した Change Calendar ドキュメントが編集されます。Change Calendar は AWS Systems Manager のツールです。
**Change Calendar を更新するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Change Calendar]** を選択します。
1. カレンダーのリストから、更新するカレンダーの名前を選択します。
1. カレンダーの詳細ページで、**[Actions, Edit]** (編集アクション) をクリックします。
1. [**Description** (説明)] で、説明テキストを変更できます。Change Calendar の名前は編集できません。
1. カレンダーの状態を変更するには、[**Calendar type** (カレンダータイプ)] で別の値を選択します。これにより、カレンダーに関連付けられているイベント中の変更アクションの動作が逆になることに注意してください。カレンダータイプを変更する前に、カレンダータイプを変更しても、作成済みのイベント中の不要な変更は許可されないことを他の Change Calendar ユーザーと確認する必要があります。
+ [**Open by default** (デフォルトでオープン)] - カレンダーはオープン (Automation アクションはイベントが開始するまで実行可能) で、関連付けられたイベントの期間中はクローズになります。
+ [**Closed by default** (デフォルトでクローズ)] - カレンダーはクローズ (Automation アクションはイベントが開始されるまで実行不可) で、関連付けられたイベントの期間中はオープンになります。
1. [**Save**] を選択します。
少なくとも 1 つのイベントを追加するまで、カレンダーでアクションを禁止または許可することはできません。イベントを追加する方法については、「[Change Calendar イベントの作成](change-calendar-create-event.md)」を参照してください。
# Change Calendar の共有
AWS Systems Manager コンソールを使用して、AWS Systems Manager のツールである Change Calendar のカレンダーを他の AWS アカウントと共有できます。カレンダーを共有した場合、そのカレンダーは共有アカウントのユーザーに対して読み取り専用になります。メンテナンスウィンドウ、State Manager の関連付け、オートメーションは共有されません。
**Change Calendar を共有するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Change Calendar]** を選択します。
1. カレンダーのリストから、共有するカレンダーの名前を選択します。
1. カレンダーの詳細ページで、**[Sharing]** (共有) をクリックします。
1. **[Actions, Share]** (共有アクション) をクリックします。
1. [**Share calendar** (カレンダーの共有)] の [**Account ID **(アカウント ID)] に、有効な AWS アカウント の ID 番号を入力し、[**Share **(共有)] を選択します。
共有アカウントのユーザーは Change Calendar を読むことはできますが、変更できません。
# Change Calendar の削除
Systems Manager コンソールまたは AWS Command Line Interface (AWS CLI) を使用して、AWS Systems Manager のツールである Change Calendar でカレンダーを削除できます。Change Calendar を削除すると、関連するすべてのイベントが削除されます。
**Change Calendar を削除するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Change Calendar]** を選択します。
1. カレンダーのリストから、削除するカレンダーの名前を選択します。
1. カレンダーの詳細ページで、**[Actions, Delete]** (削除アクション) をクリックします。カレンダーの削除を確認するプロンプトが表示されたら、[**Delete** (削除)] を選択します。
# Change Calendar の状態の取得
AWS Systems Manager のツールである Change Calendar では、カレンダーの全体的な状態、または特定の時刻における状態を把握できます。また、カレンダーの状態が次回、`OPEN` から `CLOSED`、またはその逆に変化する時刻を表示することも可能です。
**注記**
Amazon EventBridge と Change Calendar を統合してカレンダーの状態の変化の自動モニタリングを行う方法については、「[Amazon EventBridge と Change Calendar の統合](monitoring-systems-manager-event-examples.md#change-calendar-eventbridge-integration)」を参照してください。EventBridge 統合は、カレンダーの状態が遷移したときにイベントドリブンの通知を提供し、`GetCalendarState` API アクションのポーリングベースのアプローチを補完します。
このタスクは、`GetCalendarState` API オペレーションを使用してのみ実行できます。このセクションの手順では、AWS Command Line Interface (AWS CLI) を使用します。
**Change Calendar の状態を取得するには**
+ 次のコマンドを実行して、特定の時刻の 1 つ以上のカレンダーの状態を表示します。`--calendar-names` パラメータは必須ですが、`--at-time` はオプションです。各*リソースプレースホルダーの例*をユーザー自身の情報に置き換えます。
------
#### [ Linux & macOS ]
```
aws ssm get-calendar-state \
--calendar-names "Calendar_name_or_document_ARN_1" "Calendar_name_or_document_ARN_2" \
--at-time "ISO_8601_time_format"
```
以下はその例です。
```
aws ssm get-calendar-state \
--calendar-names "arn:aws:ssm:us-east-2:123456789012:document/MyChangeCalendarDocument" "arn:aws:ssm:us-east-2:123456789012:document/SupportOffHours" \
--at-time "2020-07-30T11:05:14-0700"
```
------
#### [ Windows ]
```
aws ssm get-calendar-state ^
--calendar-names "Calendar_name_or_document_ARN_1" "Calendar_name_or_document_ARN_2" ^
--at-time "ISO_8601_time_format"
```
以下はその例です。
```
aws ssm get-calendar-state ^
--calendar-names "arn:aws:ssm:us-east-2:123456789012:document/MyChangeCalendarDocument" "arn:aws:ssm:us-east-2:123456789012:document/SupportOffHours" ^
--at-time "2020-07-30T11:05:14-0700"
```
------
このコマンドによって以下のような情報が返されます。
```
{
"State": "OPEN",
"AtTime": "2020-07-30T16:18:18Z",
"NextTransitionTime": "2020-07-31T00:00:00Z"
}
```
結果には、アカウントによって所有または共有されている指定されたカレンダーエントリのカレンダーの状態 (カレンダーのタイプが `DEFAULT_OPEN` か `DEFAULT_CLOSED` か)、`--at-time` の値として指定された時刻、次の移行の時刻が表示されます。`--at-time` パラメータを追加しない場合は、現在の時間が使用されます。
**注記**
1 つの要求に複数のカレンダーを指定すると、要求内のすべてのカレンダーが開いている場合にのみ、コマンドは `OPEN` のステータスを返します。要求内の 1 つ以上のカレンダーが閉じている場合、返されるステータスは `CLOSED` です。
# Automation ランブックへの Change Calendar の依存関係の追加
Automation アクションを AWS Systems Manager のツールである Change Calendar に準拠させるには、[`aws:assertAwsResourceProperty`](automation-action-assertAwsResourceProperty.md) アクションを使用する Automation ランブックにステップを追加します。指定したカレンダーエントリが目的の状態 (`GetCalendarState` または `OPEN`) であることを確認するために `CLOSED` を実行するアクションを設定します。オートメーションランブックは、カレンダーの状態が `OPEN` である場合にのみ次のステップに進むことができます。以下はオートメーションランブックの YAML ベースのサンプル抜粋です。カレンダーの状態が `OPEN` (`DesiredValues` で指定された状態) に一致しない限り、次の手順である `LaunchInstance` に進むことはできません。
以下に例を示します。
```
mainSteps:
- name: MyCheckCalendarStateStep
action: 'aws:assertAwsResourceProperty'
inputs:
Service: ssm
Api: GetCalendarState
CalendarNames: ["arn:aws:ssm:us-east-2:123456789012:document/SaleDays"]
PropertySelector: '$.State'
DesiredValues:
- OPEN
description: "Use GetCalendarState to determine whether a calendar is open or closed."
nextStep: LaunchInstance
- name: LaunchInstance
action: 'aws:executeScript'
inputs:
Runtime: python3.11
...
```
# Change Calendar のトラブルシューティング
AWS Systems Manager のツールである Change Calendar を使用したトラブルシューティングでは、以下の情報を使用します。
**Topics**
+ [「カレンダーのインポートに失敗しました」エラー](#change-manager-troubleshooting-1)
## 「カレンダーのインポートに失敗しました」エラー
**問題**: iCalendar (`.ics`) ファイルをインポートする際、カレンダーのインポートが失敗したことが報告されます。
+ **解決策 1** — サポートされているサードパーティーのカレンダープロバイダからエクスポートされたファイルをインポートしていることを確認します。この中には以下が含まれます。
+ Google カレンダー ([エクスポート手順](https://support.google.com/calendar/answer/37111))
+ Microsoft Outlook ([エクスポート手順](https://support.microsoft.com/en-us/office/export-an-outlook-calendar-to-google-calendar-662fa3bb-0794-4b18-add8-9968b665f4e6))
+ iCloud カレンダー ([エクスポート手順](https://support.apple.com/guide/calendar/import-or-export-calendars-icl1023/mac))
+ **解決策 2** -ソースカレンダーに反復イベントが含まれている場合は、そのイベントの個々の発生がキャンセルまたは削除されていないことを確認します。現在、Change Calendar は、個々のキャンセルを伴う反復イベントのインポートに対応していません。この問題を解決するには、ソースカレンダーから反復イベントを削除し、カレンダーを再エクスポートして Change Calendar に再インポートします。その後、Change Calendar インターフェイスを使用して反復イベントを追加します。詳細については、「[Change Calendar イベントの作成](change-calendar-create-event.md)」を参照してください。
+ **解決策 3** - ソースカレンダーに少なくとも 1 つのイベントが含まれていることを確認します。イベントの含まれていない `.ics` ファイルをアップロードしても成功しません。
+ **解決策 4** — `.ics` が大きすぎるためにインポートが失敗したと報告された場合は、カレンダーのエントリに関する基本的な詳細のみをエクスポートしていることを確認してください。必要に応じて、エクスポート期間を短縮します。
+ **解決策 5** — [**Events** (イベント)] タブからインポートしようとしている際、エクスポートされたカレンダーのタイムゾーンを Change Calendar が判別できない場合は、「カレンダーのインポートに失敗しました。Change Calendar は有効なタイムゾーンを見つけるられませんでした。カレンダーは [Edit (編集)] メニューからインポートできます」というメッセージが表示される可能性があります。この場合は、[**Actions, Edit** (アクション、編集)] を選択し、[**Edit calendar** (カレンダーの編集)] ページからファイルをインポートしてみてください。
+ **解決策 6** — インポート前に `.ics` ファイルを編集しないでください。ファイルの内容を変更しようとすると、カレンダーのデータが破損する可能性があります。インポートを試みる前にファイルを変更した場合は、元のカレンダーからカレンダーを再度エクスポートし、アップロードを再試行してください。
# AWS Systems Manager Change Manager
**Change Manager の可用性の変更**
AWS Systems ManagerChange Manager は、2025 年 11 月 7 日以降、新規のお客様の受付を終了します。Change Manager を使用する場合は、その日付の前にサインアップしてください。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Systems Manager Change Manager の可用性の変更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)」を参照してください。
AWS Systems Manager のツールである Change Manager は、アプリケーションの設定とインフラストラクチャに対する運用上の変更をリクエスト、承認、実装、および報告するためのエンタープライズ変更管理フレームワークです。単一の*委任管理者アカウント*から AWS Organizations を使用すると、複数の AWS アカウント と複数の AWS リージョン 全体で変更を管理することができます。または、ローカルアカウントを使用して、単一の AWS アカウント の変更を管理できます。AWSリソースとオンプレミスリソースの両方に対する変更を管理する場合に Change Manager を使用します。Change Manager の使用を開始するには、[Systems Manager コンソール](https://console.aws.amazon.com//systems-manager/change-manager)を開きます。ナビゲーションペインで、**[Change Manager]** を選択します。
Change Manager では、事前に承認された*変更テンプレート*を使用して、リソースに対する変更プロセスのオートメーションと、運用上の変更を行う際の意図しない結果の回避に役立てることができます。各変更テンプレートでは、次の項目を指定します。
+ 変更リクエストの作成時にユーザーが選択できる 1 つ、または複数のオートメーションランブック。リソースに対して行われる変更は、オートメーションランブックに定義されています。作成する変更テンプレートには、カスタムランブックまたは[AWS マネージドランブック](automation-documents-reference.md)を含めることができます。ユーザーが変更リクエストを作成するときは、利用可能なランブックからリクエストに含めるランブックを選択できます。さらに、リクエストを作成するユーザーが変更リクエストで任意のランブックを指定できるようにする変更テンプレートを作成できます。
+ その変更テンプレートを使用して行われた変更リクエストを確認する必要がある、アカウントのユーザー。
+ Amazon Simple Notification Service (Amazon SNS) トピックは、割り当てられた承認者に変更リクエストを確認する準備ができたことを通知するために使用されます。
+ ランブックワークフローをモニタリングするために使用される Amazon CloudWatch アラーム。
+ 変更テンプレートを使用して作成された変更リクエストのステータスの変更に関する通知を送信するために使用される Amazon SNS トピック。
+ 変更テンプレートの分類とフィルタリングに使用する変更テンプレートに適用するタグ。
+ 変更テンプレートから作成された変更リクエストを承認ステップなしで実行できるかどうか (自動承認リクエスト)。
Systems Manager のもうひとつのツールである Change Calendar との統合により、Change Manager は重要なビジネスイベントとのスケジュール競合を回避しながら、変更を安全に実装するためにも役立ちます。Change Manager の AWS Organizations および AWS IAM アイデンティティセンター との統合により、既存の ID 管理システムを使用して、シングルアカウントから組織全体の変更を管理できるようになります。Change Managerから変更の進捗状況を監視して、組織全体における運用上の変更を監査することができるため、可視性と説明責任が向上します。
Change Manager は、[継続的インテグレーション](https://aws.amazon.com/devops/continuous-integration) (CI) プラクティスと[継続的デリバリー](https://aws.amazon.com/devops/continuous-delivery) (CD) 手法の安全管理を補完します。例外がある場合、または承認が必要な場合を除き、Change Managerは CI/CD パイプラインなどの自動化されたリリースプロセスの一環として行われる変更を対象としません。
## Change Manager の仕組み
標準または緊急の運用変更を行う必要性が特定されると、組織内の人物が、組織、またはアカウントでの使用のために作成された変更テンプレートのいずれかに基づく変更リクエストを作成します。
リクエストされた変更が手動承認を必要とする場合、Change Manager は Amazon SNS 通知を通じて、指定された承認者に変更リクエストの確認の準備ができたことを通知します。変更テンプレートで変更リクエストの承認者を指定したり、変更リクエスト自体で承認者を指定したりできます。レビューワーは、テンプレートごとに異なる担当者を割り当てることができます。例えば、マネージドノードに対する変更のリクエストを承認する必要がある 1 人のユーザー、ユーザーグループ、または AWS Identity and Access Management (IAM) ロールを割り当てて、データベース変更については別のユーザー、グループ、または IAM ロールを割り当てられます。変更テンプレートで自動承認が許可され、リクエスタのユーザーポリシーで禁止されていない場合、ユーザーはレビューステップなしでリクエストのオートメーションランブックを実行することもできます (変更のフリーズイベントを除く)。
変更テンプレートごとに、最大 5 レベルの承認者を追加できます。例えば、まずテクニカルレビューワーに変更テンプレートから作成された変更リクエストを承認してもらってから、1 人以上のマネージャに第 2 レベルの承認を求めます。
Change Manager は [AWS Systems Manager Change Calendar](systems-manager-change-calendar.md) と統合されています。リクエストされた変更が承認されると、システムはまず、そのリクエストがスケジュールされた他のビジネスアクティビティと競合していないかどうかを判断します。競合が検出された場合、Change Manager は変更をブロックするか、ランブックワークフローを開始する前に追加の承認を要求することができます。例えば、営業時間内の変更のみを許可して、チームが予想外の問題を管理できるようにすることが可能です。営業時間内外での実行をリクエストする変更については、*変更凍結承認者*という形でより高いレベルの経営陣の承認を義務付けることができます。緊急変更の場合、Change Manager は変更リクエストの承認後、競合について Change Calendar をチェックするステップ、またはイベントをブロックするステップを省略できます。
承認された変更を実装するときは、Change Manager が関連する変更リクエストで指定されているオートメーションランブックを実行します。ランブックワークフローの実行時には、承認された変更リクエストで定義されている操作のみが許可されます。このアプローチは、変更の実装時における意図しない結果を回避するために役立ちます。
ランブックワークフローの実行時に実施できる変更を制限することに加えて、Change Manager は同時実行性とエラーしきい値の制御にも役立ちます。ユーザーは、ランブックワークフローが一度に実行できるリソースの数、一度に変更を実行できるアカウントの数、およびプロセスを停止し、ロールバックする (ランブックにロールバックスクリプトが含まれている場合) までに許可する失敗の回数を選択できます。また、CloudWatch アラームを使用して、行われている変更の進捗状況をモニタリングすることもできます。
ランブックワークフローが完了したら、行われた変更の詳細を確認できます。これらの詳細には、変更リクエストの理由、使用された変更テンプレート、変更のリクエスト者と承認者、および変更の実装方法が含まれます。
**詳細情報**
[Introducing AWS Systems ManagerChange Manager](https://aws.amazon.com/blogs/aws/introducing-systems-manager-change-manager/) (*AWS ニュースブログ*)
## Change Managerは、どのような運用上のメリットを提供できますか?
Change Manager には以下のような利点があります。
+ **サービスの中断とダウンタイムのリスクを軽減する**
Change Manager では、ランブックワークフローの実行時に承認された変更のみが実施されるようにすることで、運用上の変更を安全にします。計画されていない、またはレビューされていない変更は、ブロックすることができます。Change Managerは、何時間にも及ぶ高額な調査やバックトラッキングが必要となるような、人為的なエラーに起因する意図しない結果を避けるために役立ちます。
+ **変更履歴に関する詳細な監査とレポートを取得する**
Change Managerは、組織全体で行われた変更、それらの変更の意図、およびそれらの承認者と実装者に関する詳細を報告し、監査するための一貫した方法を用いて説明責任を提供します。
+ **スケジュールの競合または違反を回避する**
Change Managerは、組織のためのアクティブな変更カレンダーに基づいて、祝祭日イベント、または新製品のローンチなどのスケジュールの競合を検出できます。ランブックワークフローの実行を営業時間内に限定する、または追加の承認がある場合にのみ許可することが可能です。
+ **変化するビジネスに合わせて変更要件を導入する**
異なる事業期間には、異なる変更管理要件を実装することができます。例えば、月末のレポート作成、納税申告時期、またはその他の重要な事業期間中には、変更をブロックする、または不必要な運用上のリスクを生じる可能性がある変更に対して取締役レベルの承認を義務付けることができます。
+ **複数のアカウント全体における変更を一元的に管理する**
Organizations との統合により、Change Manager は、すべての組織単位 (OU) 全体における変更を単一の委任管理者アカウントから管理することを可能にします。Change Manager は、組織全体での使用、または一部の OU のみでの使用のために有効化できます。
## Change Manager はどのようなユーザーに適していますか?
Change Managerは、次のような AWS のお客様と組織に適しています。
+ クラウドまたはオンプレミス環境に対して行われる運用上の変更の安全性とガバナンスを向上させたいとお考えの AWS のお客様。
+ チーム間のコラボレーションと可視性の向上、ダウンタイムの回避によるアプリケーションの可用性の改善、および手動タスクと反復的なタスクに関連するリスクの軽減を求める組織。
+ 変更管理のベストプラクティスに従う必要がある組織
+ アプリケーションの設定とインフラストラクチャに対して行われた変更について、完全に監査可能な履歴を必要とするお客様。
## Change Manager の主な特徴は何ですか?
Change Managerの主な特徴には以下が含まれます。
+ **変更管理のベストプラクティスに対する統合サポート**
Change Managerでは、選択した変更管理のベストプラクティスを運用に適用することができ、以下のオプションを有効にすることが可能です。
+ Change Calendarをチェックしてイベントが現在制限されているかどうかを確認し、変更がカレンダーのオープン期間中にのみ行われるようにする。
+ 変更凍結承認者からの追加の承認によって、制限されたイベント中における変更を許可する。
+ すべての変更テンプレートに対して CloudWatch アラームを指定する必要があります。
+ 変更リクエストの作成に使用する前に、アカウントで作成されたすべての変更テンプレートを確認および承認する必要があります。
+ **カレンダーのクローズ期間と緊急の変更リクエストに対する異なる承認経路**
制限されたイベントに対して Change Calendar をチェックするオプションを有効にして、そのイベントが完了になるまで承認済みの変更リクエストをブロックすることができます。ただし、カレンダーがクローズ状態になっている場合でも変更を行うことを許可できる 2 番目の承認者 (変更凍結承認者) グループを指定することも可能です。緊急の変更テンプレートを作成することもできます。緊急の変更テンプレートを使用して作成された変更リクエストには引き続き通常の承認が必要ですが、カレンダー制限の対象にはならず、変更凍結承認も必要ありません。
+ **ランブックワークフローの開始方法とタイミングを制御する**
ランブックワークフローは、スケジュールに従って開始する、または承認が完了され次第開始することができます (カレンダー制限規則の対象となります)。
+ **組み込み通知のサポート**
組織内で変更テンプレートと変更リクエストを確認および承認するユーザーを指定します。Amazon SNS トピックを変更テンプレートに割り当てると、その変更テンプレートで作成された変更リクエストのステータスの変更に関する通知をトピックのサブスクライバーに送信します。
+ **AWS Systems Manager Change Calendarとの統合**
Change Managerでは、管理者が指定された期間内におけるスケジュール変更を制限することができます。例えば、営業時間内の変更のみを許可するポリシーを作成して、チームが問題に対処できるようにすることが可能です。重要なビジネスイベント中における変更を制限することもできます。例えば、小売業者は、大規模な販売イベント中に変更を制限することが可能です。制限期間中に追加の承認を義務付けることもできます。
+ **AWS IAM アイデンティティセンター との統合と Active Directory のサポート**
IAM Identity Center との統合により、組織のメンバーは共通のユーザー のアイデンティティで Systems Manager を使用し、AWS アカウント にアクセスしてリソースを管理することができます。IAM Identity Center を使用することで、AWS 全体のアカウントへのアクセス権をユーザーに割り当てることができます
Active Directory との統合は、Active Directory アカウントのユーザーを Change Manager 操作用に作成された変更テンプレートの承認者として割り当てることを可能にします。
+ **Amazon CloudWatch アラームとの統合**
Change Manager は CloudWatch アラームと統合されています。Change Manager はランブックのワークフロー中に CloudWatch アラームをリッスンし、通知の送信などアラームに対して定義されたあらゆるアクションを実行します。
+ **AWS CloudTrail Lake との統合**
AWS CloudTrail Lake にイベントデータストアを作成すると、アカウントまたは組織で実行されたリクエストにより加えられた変更に関して、監査可能な情報を表示できます。保存されるイベント情報には、以下のような詳細が含まれます。
+ 実行された API アクション
+ これのアクションに含まれるリクエストパラメータ
+ アクションを実行したユーザー
+ 処理中に更新されたリソース
+ **AWS Organizations との統合**
Organizations が提供するクロスアカウント機能を使用することで、組織内の OU での Change Manager 操作の管理に委任管理者アカウントを使用することができます。Organizations の管理アカウントで、委任管理者アカウントにするアカウントを指定できます。どの OU でChange Managerを使用できるかを制御することも可能です。
## Change Manager の使用料金はかかりますか?
はい。Change Managerの料金は従量課金制に基づいて設定されています。お支払いいただくのは、使用分の料金だけです。詳細については、[AWS Systems Manager 料金](https://aws.amazon.com/systems-manager/pricing/)を参照してください。
## Change Managerの主要コンポーネントは何ですか?
組織、またはアカウント内での変更プロセスの管理に使用されるChange Managerコンポーネントには、以下が含まれます。
### 委任された管理者アカウント
組織全体でChange Managerを使用する場合は、委任管理者アカウントを使用します。これは、Change Manager を含む Systems Manager 全体の操作アクティビティを管理するためのアカウントとして指定される AWS アカウント です。委任管理者アカウントは、組織全体の変更アクティビティを管理します。Change Managerでの使用のために組織をセットアップするときは、どのアカウントがこの役割を担うかを指定します。委任管理者アカウントは、それが割り当てられている組織単位 (OU) 唯一のメンバーである必要があります。Change Manager を単一の AWS アカウント のみで使用する場合、委任管理者アカウントは必要ありません。
**重要**
組織全体で Change Manager を使用する場合は、常に委任管理者アカウントから変更を行うことをお勧めします。組織内の他のアカウントから変更を行うことはできますが、それらの変更は、委任管理者アカウントで報告されず、表示することもできません。
### 変更テンプレート
変更テンプレートは、必要な承認、利用可能なランブック、変更リクエストの通知オプションなどの項目を定義する、Change Manager の設定のコレクションです。
組織またはアカウント内のユーザーによって作成された変更テンプレートは、承認プロセスを経てから使用することを義務付けることができます。
Change Manager は、2 種類の変更テンプレートをサポートしています。*緊急の変更テンプレート*に基づく承認済み変更リクエストの場合、Change Calendar にブロッキングイベントがある場合でも、要求された変更を行うことができます。*標準的な変更テンプレート*に基づく承認済みの変更リクエストについては、指定された *変更凍結イベント*承認者から追加の承認を受け取っている場合を除いて、Change Calendar にブロッキングイベントがある場合にリクエストされた変更を行うことはできません。
### 変更リクエスト
変更リクエストは、AWS またはオンプレミス環境の 1 つ以上のリソースを更新する Automation ランブックを実行するための Change Manager のリクエストです。変更リクエストは、変更テンプレートを使用して作成されます。
変更リクエストを作成するときは、組織またはアカウント内の 1 人、または複数人の承認者がリクエストを確認して承認する必要があります。必要な承認がなければ、リクエストされた変更を適用するランブックワークフローの実行は許可されません。
システムでは、変更リクエストは AWS Systems Manager OpsCenter の OpsItem の一種です。ただし、`/aws/changerequest` タイプの OpsItems は OpsCenter に表示されません。OpsItems である変更リクエストには、他のタイプの OpsItems に課されているものと同じクォータが適用されます。
さらに、変更リクエストをプログラム的に作成するには、`CreateOpsItem` API オペレーションを呼び出しません。代わりに、`[https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StartChangeRequestExecution.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StartChangeRequestExecution.html)` API オペレーションを使用します。ただし、変更リクエストは直ちに実行されず、承認を受ける必要があります。また、ワークフローの実行を妨げるブロッキングイベントが Change Calendar に存在していない必要もあります。`StartChangeRequestExecution` アクションは、承認が受け取られており、カレンダーがブロックされていない (またはブロッキングカレンダーイベントを回避する許可が付与されている) 場合に完了することができます。
### Runbook ワークフロー
ランブックワークフローは、クラウドまたはオンプレミス環境にあるターゲットリソースに対して行われるリクエストされた変更のプロセスです。各変更リクエストには、リクエストされた変更を行うために使用される単一のオートメーションランブックが指定されています。ランブックワークフローは、必要な承認がすべて付与され、Change Calendar にブロッキングイベントがなくなったときに発生します。変更が特定の日時にスケジュールされている場合、ランブックワークフローは、すべての承認が受け取られ、カレンダーがブロックされていないとしても、スケジュールされた日時まで開始されません。
**Topics**
+ [Change Manager の仕組み](#how-change-manager-works)
+ [Change Managerは、どのような運用上のメリットを提供できますか?](#change-manager-benefits)
+ [Change Manager はどのようなユーザーに適していますか?](#change-manager-who)
+ [Change Manager の主な特徴は何ですか?](#change-manager-features)
+ [Change Manager の使用料金はかかりますか?](#change-manager-cost)
+ [Change Managerの主要コンポーネントは何ですか?](#change-manager-primary-components)
+ [Change Manager を設定する](change-manager-setting-up.md)
+ [「Change Manager」 の使用](working-with-change-manager.md)
+ [Change Manager アクティビティの監査とログ記録](change-manager-auditing.md)
+ [Change Manager のトラブルシューティング](change-manager-troubleshooting.md)
# Change Manager を設定する
**Change Manager の可用性の変更**
AWS Systems ManagerChange Manager は、2025 年 11 月 7 日以降、新規のお客様の受付を終了します。Change Manager を使用する場合は、その日付の前にサインアップしてください。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Systems Manager Change Manager の可用性の変更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)」を参照してください。
AWS Systems Manager のツールである Change Manager を使用して、AWS Organizations で構成されている組織全体、またはシングル AWS アカウントの変更を管理できます。
Change Manager を組織で使用している場合は、「[組織の Change Manager の設定 (管理アカウント)](change-manager-organization-setup.md)」トピックから始めて、「[Change Managerオプションとベストプラクティスの設定](change-manager-account-setup.md)」に進みます。
単一のアカウントで Change Manager を使用している場合は、直接「[Change Managerオプションとベストプラクティスの設定](change-manager-account-setup.md)」に進んでください。
**注記**
単一のアカウントで Change Manager を使用し始めて、そのアカウントが後ほど Change Manager が有効化されている組織単位に追加された場合は、単一のアカウントでの設定が無視されます。
**Topics**
+ [組織の Change Manager の設定 (管理アカウント)](change-manager-organization-setup.md)
+ [Change Managerオプションとベストプラクティスの設定](change-manager-account-setup.md)
+ [Change Manager のロールとアクセス許可の設定](change-manager-permissions.md)
+ [自動承認のランブックワークフローへのアクセスを制御する](change-manager-auto-approval-access.md)
# 組織の Change Manager の設定 (管理アカウント)
**Change Manager の可用性の変更**
AWS Systems ManagerChange Manager は、2025 年 11 月 7 日以降、新規のお客様の受付を終了します。Change Manager を使用する場合は、その日付の前にサインアップしてください。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Systems Manager Change Manager の可用性の変更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)」を参照してください。
このトピックのタスクは、AWS Organizations で設定された組織で、AWS Systems Manager のツールである Change Manager を使用している場合に適用されます。単一の AWS アカウント のみで Change Manager を使用する場合は、「[Change Managerオプションとベストプラクティスの設定](change-manager-account-setup.md)」トピックに進んでください。
Organizations の*管理アカウント*として機能する AWS アカウント で、 内のこのセクションのタスクを実行します。管理アカウントおよびその他の Organizations の概念については、「[AWS Organizations Organizations の用語と概念](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)」を参照してください。
先に進む前に、Organizations を有効にし、お使いのアカウントを管理アカウントとして指定する必要がある場合は、*AWS Organizations ユーザーガイド*の「[組織の作成と管理](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html)」を参照してください。
**注記**
以下の AWS リージョン ではこのセットアッププロセスを実行できません。
欧州 (ミラノ) (eu-south-1)
中東 (バーレーン) (me-south-1)
アフリカ (ケープタウン) (af-south-1)
アジアパシフィック (香港) (ap-east-1)
この手順では、確実に管理アカウントの別のリージョンで作業するようにしてください。
セットアップ手順の最中に、AWS Systems Manager のツールである Quick Setup で以下の主要タスクを実行します。
+ **タスク 1: 組織の委任管理者アカウントを登録する**
Change Managerを使用して実行される変更関連のタスクは、メンバーアカウントの 1 つで管理されます。このアカウントは、*委任管理者アカウント*として指定されるアカウントです。Change Manager に登録する委任管理者アカウントは、すべての Systems Manager 操作のための委任管理者アカウントになります。(他の AWS のサービスに対する委任管理者アカウントがある可能性があります)。Change Manager の管理者アカウント (管理アカウントとは異なります) は、変更テンプレート、変更リクエスト、およびそれぞれの承認を含めた、組織全体での変更アクティビティを管理します。委任管理者アカウントでは、Change Manager操作に対するその他の設定オプションも指定します。
**重要**
委任管理者アカウントは、Organizations でそれが割り当てられている組織単位 (OU) 唯一のメンバーである必要があります。
+ **タスク 2: Change Manager操作に使用する変更依頼者ロール、またはカスタム職務機能に対するランブックアクセスポリシーを定義して指定する**
Change Manager で変更リクエストを作成するには、メンバーアカウントのユーザーに AWS Identity and Access Management (IAM) アクセス許可を付与する必要があります。このアクセス許可により、ユーザーは、ユーザーが使用できるように選択したオートメーションランブックと変更テンプレートにのみアクセスできます。
**注記**
ユーザーが変更リクエストを作成するときは、まず変更テンプレートを選択します。この変更テンプレートでは複数のランブックを使用できますが、ユーザーは変更リクエストごとに 1 つのランブックしか選択できません。変更テンプレートは、ユーザーがリクエストに使用できるランブックを含めることができるように設定することもできます。
Change Manager は、必要な許可を付与するために*職務機能*という概念を使用します。この概念は IAM でも使用されています。IAM での[職務機能の AWS 管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)とは異なり、ユーザーは Change Manager 職務機能の名前と、それらの職務機能に対する IAM アクセス許可の両方を指定します。
職務機能を設定するときは、カスタムポリシーを作成して、変更管理タスクの実行に必要な許可のみを提供することをお勧めします。例として、定義した*職務機能*に基づいて、特定のランブック一式にユーザーを制限する許可を指定できます。
例えば、`DBAdmin` という名前の職務機能を作成できます。この職務機能では、`AWS-CreateDynamoDbBackup` や `AWSConfigRemediation-DeleteDynamoDbTable` などの Amazon DynamoDB データベースに関連するランブックに必要なアクセス許可のみを付与できます。
別の例として、`AWS-ConfigureS3BucketLogging` や `AWSConfigRemediation-ConfigureS3BucketPublicAccessBlock` などの Amazon Simple Storage Service (Amazon S3) バケットに関連するランブックの使用に必要な許可のみを一部のユーザーに付与することもできます。
Change Manager のための Quick Setup の設定プロセスは、作成する管理者ロールへの適用に利用できる完全な Systems Manager 管理者権限のセットも作成します。
デプロイする各Change ManagerのQuick Setup設定は、選択した組織単位でChange Managerテンプレートとオートメーションランブックを実行する許可を持つ委任管理者アカウントに職務機能を作成します。Change Manager の Quick Setup 設定は最大で 15 個作成できます。
+ **タスク 3: Change Managerで使用する組織内のメンバーアカウントを選択する**
Change Manager は、Organizations でセットアップされているすべての組織単位、およびそれらが運用されているすべての AWS リージョン 内のすべてのメンバーアカウントで使用できます。必要に応じて、Change Managerを一部の組織単位のみで使用することもできます。
**重要**
この手順を開始する前に、手順にあるステップに目を通して、選択する設定と、付与する許可を理解しておくことを強くお勧めします。特に、作成するカスタム職務機能と、各職務機能に割り当てる許可を計画しておくようにしてください。そうすることによって、この後で作成する職務機能ポリシーを個々のユーザー、ユーザーグループ、または IAM ロールにアタッチするときに、それらのユーザーとグループを対象とする許可のみが付与されることを確実にすることができます。
ベストプラクティスとして、まず、AWS アカウント 管理者のログイン情報を使用して、委任された管理者アカウントを設定します。その後、変更テンプレートを作成し、それぞれが使用するランブックを特定した後、職務機能とそのアクセス権限を設定します。
組織で使用する Change Manager を設定するには、Systems Manager コンソールの Quick Setup エリアで次のタスクを実行します。
このタスクは、組織用に作成する職務機能ごとに繰り返し実行します。作成する各職務機能には、異なる一連の組織単位に対する許可を設定することができます。
**Organizations の管理アカウントで Change Manager の組織を設定するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Quick Setup]** を選択します。
1. **Change Manager** カードで **[Create]** (作成) を選択します。
1. [**Delegated administrator account (委任管理者アカウント)**] に、Change Manager の変更テンプレート、変更リクエスト、およびランブックワークフローの管理に使用する の AWS アカウント の ID を入力します。
以前に Systems Manager 用の委任管理者アカウントを指定した場合は、このフィールドにその ID が既に入力されています。
**重要**
委任管理者アカウントは、Organizations でそれが割り当てられている組織単位 (OU) 唯一のメンバーである必要があります。
登録した委任管理者アカウントが後ほどそのロールから登録解除された場合は、システムが、解除と当時に Systems Manager 操作を管理するための許可を削除します。Quick Setupに戻って別の委任管理者アカウントを指定し、すべての職務機能と許可を再度指定する必要があることに留意してください。
組織全体で Change Manager を使用する場合は、常に委任管理者アカウントから変更を行うことをお勧めします。組織内の他のアカウントから変更を行うことはできますが、それらの変更は、委任管理者アカウントで報告されず、表示することもできません。
1. [**Permissions to request and make changes**] (変更をリクエストして実行する許可) セクションで、以下を実行します。
**注記**
作成するデプロイメント設定は、それぞれ 1 つの職務機能のみに対する許可ポリシーを提供します。操作で使用する変更テンプレートを作成したら、後で Quick Setup に戻って、さらにジョブ機能を作成できます。
**管理者ロールを作成する** – すべての AWS アクションに対する IAM アクセス許可を持つ管理者職務機能については、以下を実行します。
**重要**
ユーザーに完全な管理者許可の付与は頻繁に行わず、ユーザーのロールに完全な Systems Manager アクセスが必要な場合のみにする必要があります。Systems Manager アクセスに関するセキュリティ面での考慮事項についての重要な情報は、「[AWS Systems Manager のためのアイデンティティおよびアクセス管理](security-iam.md)」および「[Systems Manager のセキュリティに関するベストプラクティス](security-best-practices.md)」を参照してください。
1. [**Job function**] (職務機能) には、このロールとそのアクセス許可を識別するための名前 (例: **MyAWSAdmin**) を入力します。
1. [**Role and permissions**] (ロールとアクセス許可) オプションには、[**Administrator permissions**] (管理者許可) を選択します。
**その他の職務機能を作成する** – 管理者ロール以外のロールを作成するには、以下を実行します。
1. [**Job function**] (職務機能) に、このロールを識別し、その許可を示す名前を入力します。選択する名前は、`DBAdmin` または `S3Admin` など、許可を提供するランブックの範囲を表している必要があります。
1. [**Role and permissions**] (ロールとアクセス許可) オプションには、[**Custom permissions**] (カスタム許可) を選択します。
1. [**Permissions policy editor**] (許可ポリシーエディタ) に、この職務機能に付与する IAM アクセス許可を JSON 形式で入力します。
**ヒント**
IAM ポリシーエディタを使用してポリシーを作成してから、ポリシー JSON を [**Permissions policy**] (アクセス許可ポリシー) フィールドに貼り付けることが推奨されます。
**サンプルポリシー: DynamoDB データベース管理**
例えば、職務機能がアクセスする必要がある Systems Manager ドキュメント (SSM ドキュメント) を使用するためのアクセス許可を提供するポリシーコンテンツから始めることができます。以下は、DynamoDB データベースに関連する AWS 管理の Automation ランブックのすべてと、米国東部 (オハイオ) リージョン (`us-east-2`) のサンプル AWS アカウント `123456789012` で作成された 2 つの変更テンプレートに対するアクセス権を付与するサンプルポリシーコンテンツです。
このポリシーには、Change Calendar での変更リクエストの作成に必要な [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StartChangeRequestExecution.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StartChangeRequestExecution.html) オペレーションのアクセス許可も含まれます。
**注記**
この例は包括的ではありません。データベース、およびノードどのその他の AWS リソースを使用するには、追加のアクセス権限が必要になる場合があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:CreateDocument",
"ssm:DescribeDocument",
"ssm:DescribeDocumentParameters",
"ssm:DescribeDocumentPermission",
"ssm:GetDocument",
"ssm:ListDocumentVersions",
"ssm:ModifyDocumentPermission",
"ssm:UpdateDocument",
"ssm:UpdateDocumentDefaultVersion"
],
"Resource": [
"arn:aws:ssm:us-east-1:*:document/AWS-CreateDynamoDbBackup",
"arn:aws:ssm:us-east-1:*:document/AWS-AWS-DeleteDynamoDbBackup",
"arn:aws:ssm:us-east-1:*:document/AWS-DeleteDynamoDbTableBackups",
"arn:aws:ssm:us-east-1:*:document/AWSConfigRemediation-DeleteDynamoDbTable",
"arn:aws:ssm:us-east-1:*:document/AWSConfigRemediation-EnableEncryptionOnDynamoDbTable",
"arn:aws:ssm:us-east-1:*:document/AWSConfigRemediation-EnablePITRForDynamoDbTable",
"arn:aws:ssm:us-east-1:111122223333:document/MyFirstDBChangeTemplate",
"arn:aws:ssm:us-east-1:111122223333:document/MySecondDBChangeTemplate"
]
},
{
"Effect": "Allow",
"Action": "ssm:ListDocuments",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ssm:StartChangeRequestExecution",
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/*",
"arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
]
}
]
}
```
------
IAM ポリシーの詳細については、*IAM ユーザーガイド*の「[AWS リソースのアクセス管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)」および「[IAM ポリシーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。
1. [**Targets**] (ターゲット) セクションで、作成している職務機能の許可を組織全体に付与するか、一部の組織単位のみに付与するかを選択します。
[**Entire organization**] (組織全体) を選択した場合は、ステップ 9 に進みます。
[**Custom**] (カスタム) を選択した場合は、ステップ 8 に進みます。
1. [**Target OUs**] (ターゲット OU) セクションで、Change Managerで使用する組織単位のチェックボックスをオンにします。
1. **[作成]** を選択します。
システムが組織のためのChange Managerのセットアップを完了したら、デプロイメントの概要が表示されます。この概要情報には、設定した職務機能用に作成されたロールの名前が含まれています。例えば、`AWS-QuickSetup-SSMChangeMgr-DBAdminInvocationRole`。
**注記**
Quick Setupは、AWS CloudFormation StackSets を使用して設定をデプロイします。CloudFormation コンソールでは、完了したデプロイメント設定に関する情報を表示することもできます。StackSets の詳細については、*AWS CloudFormation ユーザーガイド*の「[AWS CloudFormation StackSets の操作](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)」を参照してください。
次のステップは、追加のChange Managerオプションの設定です。このタスクは、委任管理者アカウント、または Change Manager での使用のために有効化した組織単位内の任意のアカウントで実行することができます。このタスクでは、ユーザーアイデンティティ管理オプションの選択、変更テンプレートと変更リクエストをレビューして承認または拒否できるユーザーの指定、および組織に対して有効化するベストプラクティスオプションの選択などのオプションを設定します。詳細については、[Change Managerオプションとベストプラクティスの設定](change-manager-account-setup.md) を参照してください。
# Change Managerオプションとベストプラクティスの設定
**Change Manager の可用性の変更**
AWS Systems ManagerChange Manager は、2025 年 11 月 7 日以降、新規のお客様の受付を終了します。Change Manager を使用する場合は、その日付の前にサインアップしてください。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Systems Manager Change Manager の可用性の変更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)」を参照してください。
このセクションのタスクは、組織全体で使用するか、シングル AWS アカウントで使用するかにかかわらず、AWS Systems Manager のツールである Change Manager を実行する必要があります。
組織で Change Manager を使用する場合は、委任管理者アカウント、または Change Manager での使用のために有効化した組織単位内の任意のアカウントで以下のタスクを実行することができます。
**Topics**
+ [タスク 1: Change Managerユーザー ID 管理とテンプレートレビューワーの設定](#cm-configure-account-task-1)
+ [タスク 2: Change Manager 変更凍結イベント承認者とベストプラクティスの設定](#cm-configure-account-task-2)
+ [Change Manager 通知用の Amazon SNS トピックの設定](change-manager-sns-setup.md)
## タスク 1: Change Managerユーザー ID 管理とテンプレートレビューワーの設定
この手順のタスクは、Change Managerに初めてにアクセスするときに実行します。これらの設定は、Change Manager に戻り **[Settings]** (設定) タブの **[Edit]** (編集) を選択することで、後ほど更新できます。
**Change Managerユーザー ID 管理とテンプレートレビューワーを設定する**
1. AWS マネジメントコンソール にサインインします。
組織のために Change Manager を使用している場合は、委任管理者アカウントの認証情報を使用してサインインします。ユーザーには、Change Manager 設定を更新するための AWS Identity and Access Management (IAM) アクセス許可が必要です。
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Change Manager]** を選択します。
1. サービスのホームページで、使用可能なオプションに応じて、次のいずれかを実行します。
+ AWS Organizations で Change Manager を使用する場合は、[**Set up delegated account**] (委任アカウントをセットアップする) をクリックします。
+ Change Manager を単一の AWS アカウント で使用する場合は、[**Change Manager のセットアップ**] をクリックします。
-または-
**サンプル変更リクエストの作成**、[**Skip**] を選択し、[**設定**] タブに進みます。
1. [**User identity management**] (ユーザー ID 管理) には、次のいずれかを選択します。
+ **AWS Identity and Access Management (IAM)** – 既存のユーザー、グループ、ロールを使用して、Change Manager でリクエストの作成と承認、その他のアクションを実行するユーザーを識別します。
+ **AWS IAM アイデンティティセンター (IAM Identity Center)** – [IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/) でアイデンティティの作成と管理を行うか、既存のアイデンティティソースに接続して、Change Manager でアクションを実行するユーザーを識別することができます。
1. [**Template reviewer notification**] (テンプレートレビューワーの通知) セクションで、新しい 変更テンプレートまたは変更テンプレートバージョンをレビューする準備が整ったことをテンプレートレビューワーに通知するために使用する Amazon Simple Notification Service (Amazon SNS) トピックを指定します。選択する Amazon SNS トピックが、テンプレートレビューワーに通知を送信するように設定されていることを確認します。
変更テンプレートのレビューワーに通知するための Amazon SNS トピックの作成と設定については、「[Change Manager 通知用の Amazon SNS トピックの設定](change-manager-sns-setup.md)」を参照してください。
1. テンプレートレビューワー通知の Amazon SNS トピックを指定するには、以下のいずれかを選択します。
+ **Enter an SNS Amazon Resource Name (ARN)**(SNS Amazon リソースネーム (ARN) を入力) – [**Topic ARN** (トピック ARN) には、既存の Amazon SNS トピックの ARN を入力します。このトピックは、組織のどのアカウントのものでも使用できます。
+ **Select an existing SNS topic (既存の SNS トピックを選択)** – **[Target notification topic] (ターゲット通知トピック)** には、現在の AWS アカウント にある既存の Amazon SNS トピックの ARN を選択します。(このオプションは、現在の AWS アカウント と AWS リージョン で Amazon SNS トピックをまだ作成していない場合は使用できません)。
**注記**
選択する Amazon SNS トピックは、送信する通知とその送信先のサブスクライバーを指定するように設定されている必要があります。Amazon SNアクセスポリシーは、Change Manager が通知を送信できるように、Systems Manager にアクセス許可も付与する必要があります。詳細については、[Change Manager 通知用の Amazon SNS トピックの設定](change-manager-sns-setup.md) を参照してください。
1. [**Add notification**] (通知を追加) をクリックします。
1. [**Change template reviewers**] (変更テンプレートレビューワー) セクションで、運用での使用に先立って新しい変更テンプレートまたは変更テンプレートバージョンをレビューする、組織またはアカウント内のユーザーを選択します。
変更テンプレートレビューワーは、他のユーザーが Change Manager ランブックワークフローでの使用のために提出したテンプレートの適合性とセキュリティを検証する責任を担います。
次の手順を実行して、変更テンプレートのレビューワーを選択します。
1. [**Add**] (追加) をクリックします。
1. 変更テンプレートレビューワーとして割り当てる各ユーザー、グループ、または IAM ロールの名前の横にあるチェックボックスをオンにします。
1. [**Add approvers**] (承認者を追加) をクリックします。
1. [**Submit**] (送信) をクリックします。
この初期セットアッププロセスを完了したら、[タスク 2: Change Manager 変更凍結イベント承認者とベストプラクティスの設定](#cm-configure-account-task-2) にあるステップに従って、追加のChange Manager設定とベストプラクティスの設定を行います。
## タスク 2: Change Manager 変更凍結イベント承認者とベストプラクティスの設定
[タスク 1: Change Managerユーザー ID 管理とテンプレートレビューワーの設定](#cm-configure-account-task-1) のステップを完了したら、*変更凍結イベント* 時の変更リクエストを処理する追加のレビューワーを指定し、Change Manager 操作に対して有効化する利用可能なベストプラクティスを指定できます。
変更凍結イベントとは、現在の変更カレンダーに制限が設定されていることを意味します (AWS Systems Manager Change Calendarのカレンダー状態は `CLOSED` です)。このような場合、変更リクエストを処理する通常の承認者に加えて、または、自動承認が可能なテンプレートを使用して変更リクエストを作成する場合、変更凍結承認者もこの変更リクエストを実行するためのアクセス許可を付与する必要があります。許可が付与されなければ、カレンダーの状態が再度 `OPEN` になるまで変更は処理されません。
**Change Managerの変更凍結イベント承認者とベストプラクティスを設定する**
1. ナビゲーションペインで、**Change Manager** を選択します。
1. [**Settings**] (設定) タブを選択し、[**Edit**] (編集) をクリックします。
1. [**Approvers for change freeze events**] (変更凍結イベントの承認者) セクションで、Change Calendarで使用されているカレンダーが CLOSED 状態の場合でも変更の実行を承認できる、組織またはアカウント内のユーザーを選択します。
**注記**
変更凍結レビューを有効にするには、**[Best practices] (ベストプラクティス)** にある [**Check Change Calendar for restricted change events**] (制限された変更イベントについて変更カレンダーをチェックする) オプションを有効にする必要があります。
以下を実行して変更凍結イベントの承認者を選択します。
1. [**Add**] (追加) をクリックします。
1. 変更凍結イベントの承認者として割り当てる各ユーザー、グループ、または IAM ロールの名前の横にあるチェックボックスをオンにします。
1. [**Add approvers**] (承認者を追加) をクリックします。
1. ページの下部にある [**Best practices**] (ベストプラクティス) セクションで、以下の各オプションに実施するベストプラクティスを有効にします。
+ オプション: [**Check Change Calendar for restricted change events**] (制限された変更イベントについて変更カレンダーをチェックする)
Change Manager が、スケジュールされたイベントによって変更がブロックされていないことを確認するためにChange Calendarのカレンダーをチェックすることを指定するには、まず [**Enabled**] (有効) チェックボックスをオンにしてから、[**Change Calendar**] (変更カレンダー) リストから制限されたイベントをチェックするカレンダーを選択します。
の詳細については、「Change Calendar」を参照してください。[AWS Systems Manager Change Calendar](systems-manager-change-calendar.md)
+ オプション: [**SNS topic for approvers for closed events**] (クローズドイベントの承認者のための SNS トピック)
1. 以下のいずれかを選択して、アカウント内の Amazon Simple Notification Service (Amazon SNS) トピックを指定します。これは、変更凍結イベント中に、承認者に通知を送信するために使用されます。([**Best practices**] (ベストプラクティス) の上にある [**Approvers for change freeze events**] (変更凍結イベントの承認者) セクションでも承認者を指定する必要があることに注意してください。)
+ **Enter an SNS Amazon Resource Name (ARN)**(SNS Amazon リソースネーム (ARN) を入力) – [**Topic ARN** (トピック ARN) には、既存の Amazon SNS トピックの ARN を入力します。このトピックは、組織のどのアカウントのものでも使用できます。
+ **Select an existing SNS topic (既存の SNS トピックを選択)** – **[Target notification topic] (ターゲット通知トピック)** には、現在の AWS アカウント にある既存の Amazon SNS トピックの ARN を選択します。(このオプションは、現在の AWS アカウント と AWS リージョン で Amazon SNS トピックをまだ作成していない場合は使用できません)。
**注記**
選択する Amazon SNS トピックは、送信する通知とその送信先のサブスクライバーを指定するように設定されている必要があります。Amazon SNアクセスポリシーは、Change Manager が通知を送信できるように、Systems Manager にアクセス許可も付与する必要があります。詳細については、[Change Manager 通知用の Amazon SNS トピックの設定](change-manager-sns-setup.md) を参照してください。
1. [**Add notification**] (通知を追加) をクリックします。
+ オプション: [**Require monitors for all templates**] (すべてのテンプレートにモニタリングを義務付ける)
組織またはアカウントのすべてのテンプレートに変更操作を監視するための Amazon CloudWatch アラームが指定されていることを確実にしたい場合は、[**Enabled**] (有効) チェックボックスをオンにします。
+ オプション: [**Require template review and approval before use**] (使用前のテンプレートのレビューと承認を義務付ける)
レビューと承認が完了したテンプレートに基づかずに変更リクエストが作成されたり、ランブックワークフローが実行されたりするこがないようにするには、[**Enabled**] (有効) チェックボックスをオンにします。
1. **[保存]** を選択します。
# Change Manager 通知用の Amazon SNS トピックの設定
**Change Manager の可用性の変更**
AWS Systems ManagerChange Manager は、2025 年 11 月 7 日以降、新規のお客様の受付を終了します。Change Manager を使用する場合は、その日付の前にサインアップしてください。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Systems Manager Change Manager の可用性の変更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)」を参照してください。
AWS Systems Manager のツールである Change Manager を設定して、変更リクエストおよび変更テンプレートに関連するイベントについて、Amazon Simple Notification Service (Amazon SNS) トピックに通知を送信できます。トピックを追加するChange Managerイベントの通知を受け取るには、以下のタスクを完了します。
**Topics**
+ [タスク 1: Amazon SNS トピックを作成してサブスクライブする](#change-manager-sns-setup-create-topic)
+ [タスク 2: Amazon SNS アクセスポリシーを更新する](#change-manager-sns-setup-encryption-policy)
+ [タスク 3: (オプション) AWS Key Management Service アクセスポリシーを更新する](#change-manager-sns-setup-KMS-policy)
## タスク 1: Amazon SNS トピックを作成してサブスクライブする
まず、Amazon SNS トピックを作成し、サブスクライブする必要があります。詳細については、*Amazon Simple Notification Service デベロッパーガイド*の「[Amazon SNS トピックの作成](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html)」および「[Amazon SNS トピックへのサブスクライブ](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-create-subscribe-endpoint-to-topic.html)」を参照してください。
**注記**
通知を受け取るには、委任管理アカウントと同じ AWS リージョン と AWS アカウント にある Amazon SNS トピックの Amazon リソースネーム (ARN) を指定する必要があります。
## タスク 2: Amazon SNS アクセスポリシーを更新する
以下の手順を使用して Amazon SNS アクセスポリシーを更新し、Systems Manager がタスク 1 で作成した Amazon SNS トピックに Change Manager 通知を発行できるようにします。このタスクを完了しなければ、トピックを追加するイベントの通知を送信するアクセス許可が Change Manager に付与されません。
1. AWS マネジメントコンソール にサインインして Amazon SNS コンソール ([https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home)) を開きます。
1. ナビゲーションペインで、[**トピック**] を選択します。
1. タスク 1 で作成したトピックを選択してから、[**Edit**] (編集) をクリックします。
1. [**アクセスポリシー**] を展開します。
1. 以下の `Sid` ブロックを既存のポリシーに追加して更新し、それぞれの*ユーザー入力プレースホルダー*をあなた自身の情報で置き換えます
```
{
"Sid": "Allow Change Manager to publish to this topic",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sns:Publish",
"Resource": "arn:aws:sns:region:account-id:topic-name",
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"account-id"
]
}
}
}
```
既存の `Sid` ブロックの後にこのブロックを入力し、作成したトピックの該当する値で *region*、*account-id*、*topic-name* を作成したトピックの適切な値に置き換えます。
1. **[Save changes]** (変更の保存) をクリックします。
これで、トピックに追加するイベントタイプが発生すると、システムが Amazon SNS トピックに通知を送信するようになりました。
**重要**
AWS Key Management Service (AWS KMS) のサーバー側の暗号化キーを使用して Amazon SNS トピックを設定した場合は、タスク 3 を完了する必要があります。
## タスク 3: (オプション) AWS Key Management Service アクセスポリシーを更新する
Amazon SNS トピックに対して AWS Key Management Service (AWS KMS) サーバー側の暗号化を有効にした場合、トピックを設定したときに選択した AWS KMS key のアクセスポリシーも更新する必要があります。以下の手順を実行してアクセスポリシーを更新し、Systems Manager がタスク 1 で作成した Amazon SNS トピックに Change Manager の承認通知を発行できるようにします。
1. AWS KMS コンソール ([https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms)) を開きます。
1. ナビゲーションペインで、[**Customer managed keys (カスタマー管理型のキー)**] を選択します。
1. トピックの作成時に選択したカスタマーマネージドキーの ID を選択します。
1. [**Key Policy**] (キーポリシー) セクションで、[**Switch to policy view**] (ポリシービューへの切り替え) を選択します。
1. [**Edit**] を選択します。
1. 既存のポリシーの既存の `Sid` ブロックのいずれかの後に、次の `Sid` ブロックを入力します。各*ユーザー入力プレースホルダー*を独自の情報に置き換えます。
```
{
"Sid": "Allow Change Manager to decrypt the key",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*"
],
"Resource": "arn:aws:kms:region:account-id:key/key-id",
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"account-id"
]
}
}
}
```
1. 次に、リソースポリシーの既存の `Sid` ブロックのいずれかの後に次の `Sid` ブロックを入力して、[サービス間の混乱した使節の問題](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)を防止します。
このブロックは、[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) および [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) グローバル条件コンテキストキーを使用して、Systems Manager がリソースに別のサービスを提供する許可を制限します。
各*ユーザー入力プレースホルダー*を独自の情報に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Configure confused deputy protection for AWS KMS keys used in Amazon SNS topic when called from Systems Manager",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": [
"sns:Publish"
],
"Resource": "arn:aws:sns:us-east-1:111122223333:topic-name",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:ssm:us-east-1:111122223333:*"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
}
]
}
```
------
1. **[Save changes]** (変更の保存) をクリックします。
# Change Manager のロールとアクセス許可の設定
**Change Manager の可用性の変更**
AWS Systems ManagerChange Manager は、2025 年 11 月 7 日以降、新規のお客様の受付を終了します。Change Manager を使用する場合は、その日付の前にサインアップしてください。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Systems Manager Change Manager の可用性の変更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)」を参照してください。
デフォルトでは、Change Manager にはリソースでアクションを実行するアクセス許可がありません。AWS Identity and Access Management (IAM) サービスロールまたは*ロールの継承*を使用してアクセスを許可する必要があります。このロールでは、ユーザーに代わって Change Manager が承認済み変更リクエストで指定された Runbook ワークフローを安全に実行できます。このロールは、Change Manager に対して AWS Security Token Service (AWS STS) [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 信頼を付与します。
これらのアクセス許可を組織内の複数のユーザーの代理として行動するために 1 つのロールに提供すれば、該当するユーザーは、そのアクセス許可の配列を自分で取得する必要がなくなります アクセス許可で許可されるアクションは、承認済みの操作のみに制限されます。
アカウントまたは組織のユーザーは、変更リクエストを作成するときに、このロールの継承を選択して変更オペレーションを実行できます。
Change Manager の新しいロールの継承を作成するか、必要なアクセス許可で既存のロールを更新できます。
Change Manager のサービスロールを作成する必要がある場合、次のタスクを完了します。
**Topics**
+ [タスク 1: Change Manager のロールの継承ポリシーを作成する](#change-manager-role-policy)
+ [タスク 2: Change Manager のロールの継承を作成する](#change-manager-role)
+ [タスク 3: `iam:PassRole` ポリシーを他のロールにアタッチする](#change-manager-passpolicy)
+ [タスク 4: 他の AWS のサービスを呼び出すためにロールの継承をインラインポリシーに追加する](#change-manager-role-add-inline-policy)
+ [タスク 5: Change Manager へのユーザーアクセスを設定する](#change-manager-passrole)
## タスク 1: Change Manager のロールの継承ポリシーを作成する
以下の手順を使用して、Change Manager ロールの継承にアタッチするポリシーを作成します。
**Change Manager のロールの継承ポリシーを作成するには**
1. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソール を開きます。
1. ナビゲーションペインで、**Policies** を選択し、**Create Policy** を選択します。
1. [**ポリシーの作成**] ページで [**JSON**] タブをクリックし、デフォルトのコンテンツを次のように置き換えます。これは次のステップで実際の Change Manager オペレーションで変更します。
**注記**
複数のアカウントとAWS リージョンを持つ組織ではなく、1 つの AWS アカウントで使用するポリシーを作成する場合、最初のステートメントブロックを省略できます。Change Manager を使用する単一のアカウントの場合、`iam:PassRole` アクセス許可は必要ありません。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/AWS-SystemsManager-job-functionAdministrationRole",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ssm.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:DescribeDocument",
"ssm:GetDocument",
"ssm:StartChangeRequestExecution"
],
"Resource": [
"arn:aws:ssm:us-east-1::document/template-name",
"arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
]
},
{
"Effect": "Allow",
"Action": [
"ssm:ListOpsItemEvents",
"ssm:GetOpsItem",
"ssm:ListDocuments",
"ssm:DescribeOpsItems"
],
"Resource": "*"
}
]
}
```
------
1. `iam:PassRole` アクションに対して、`Resource` 値を更新して Runbook ワークフローを開始するアクセス許可を付与する組織に対して定義されているすべてのジョブ関数の ARN を含めます。
1. *region*、*account-id*、*template-name*、*delegated-admin-account-id*、*job-function* プレスホルダーを Change Manager オペレーションの値で置き換えます。
1. 2 番目の `Resource` ステートメントでリストを更新して、アクセス許可を付与するすべての変更テンプレートを含めます。`"Resource": "*"` を指定して組織のすべての変更テンプレートにアクセス許可を付与することもできます。
1. **[Next: Tags]** (次へ: タグ) を選択します。
1. (オプション) 1 つ以上のタグキーと値のペアを追加して、このポリシーのアクセスを整理、追跡、または制御します。
1. **[次へ: レビュー]** を選択します。
1. [**Review policy**] (ポリシーの確認) ページの [**Name**] (名前) ボックスに **MyChangeManagerAssumeRole** などの名前を入力し、説明を入力します。
1. [**ポリシーの作成**] を選択し、「[タスク 2: Change Manager のロールの継承を作成する](#change-manager-role)」に進みます。
## タスク 2: Change Manager のロールの継承を作成する
以下の手順を使用して、Change Manager の Change Manager のロールの継承 (サービスロールの一種) を作成します
**Change Manager のロールの継承ポリシーを作成するには**
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. ナビゲーションペインで **ロール** を選択してから、**ロールを作成する** を選択します。
1. **[Select trusted entity]** (信頼できるエンティティを選択) で、次のように選択します。
1. **[Trusted entity type]** (信頼できるエンティティタイプ) で、**[AWS service]** ( のサービス) を選択します。
1. **[その他の AWS のサービス のユースケース]** で、**[Systems Manager]** を選択します
1. 以下のイメージに示されている、**[Systems Manager]** を選択します。
![\[ユースケースとして選択した Systems Manager のオプションを示すスクリーンショット。\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/iam_use_cases_for_MWs.png)
1. [**次へ**] を選択します。
1. [**アタッチされたアクセス許可ポリシー**] ページで、[タスク 1: Change Manager のロールの継承ポリシーを作成する](#change-manager-role-policy) で作成したロールの継承 (**MyChangeManagerAssumeRole** など) を検索します。
1. ロールの継承ポリシー名の横にあるチェックボックスを選択し、[**次へ: タグ**] を選択します。
1. **[Role name]** (ロール名) に、新しいインスタンスプロファイルの名前 (**MyChangeManagerAssumeRole** など) を入力します。
1. (オプション) **[Description]** (説明) で、このインスタンスロールの説明を更新します。
1. (オプション) 1 つ以上のタグキーと値のペアを追加して、このロールのアクセスを整理、追跡、または制御します。
1. **[次へ: レビュー]** を選択します。
1. (オプション) **[Tags]** (タグ) で、1 つ以上のタグキーと値のペアを追加し、このロールのアクセスを整理、追跡、制御して、**[Create role]** (ロールの作成) を選択します。**ロール**ページが再度表示されます。
1. **[Create role]** (ロールの作成) を選択します。**ロール**ページが再度表示されます。
1. **ロール** ページで作成したロールを選択して、**概要** ページを開きます。
## タスク 3: `iam:PassRole` ポリシーを他のロールにアタッチする
`iam:PassRole` ポリシーを IAM インスタンスプロファイルまたは IAM サービスロールにアタッチするには、次の手順を使用します。(Systems Manager サービスは IAM インスタンスプロファイルを使用して EC2 インスタンスと通信します。[ハイブリッドおよびマルチクラウド](operating-systems-and-machine-types.md#supported-machine-types)環境の非 EC2 マネージドノードでは、代わりに IAM サービスロールが使用されます。)
`iam:PassRole` ポリシーをアタッチすることにより、Change Manager サービスは、ランブックワークフローを実行するときに他のサービスまたは Systems Manager ツールにロールの継承アクセス許可を渡すことができます。
**`iam:PassRole` ポリシーを IAM インスタンスプロファイルまたはサービスロールにアタッチするには**
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. ナビゲーションペインで **Roles (ロール) ** を選択してください。
1. 前のステップで作成した Change Manager のロールの継承 (**MyChangeManagerAssumeRole** など) を検索し、その名前を選択します。
1. ロールの継承の [**Summary**] (サマリー) ページで [**Permissions**] (アクセス許可) タブを選択します。
1. **[Add permissions, Create inline policy]** (アクセス許可の追加、インラインポリシーの作成) を選択します。
1. [**ポリシーの作成**] ページの [**Visual editor**] (ビジュアルエディタ) タブを選択します。
1. [**サービス**]、[**IAM**] の順に選択します。
1. [**Filter actions (フィルタアクション)**] テキストボックスに「**PassRole**」と入力し、[**PassRole**] オプションを選択します。
1. [**リソース**] を展開します。[**Specific**] (固有) が選択されていることを確認し、[**Add ARN**] (ARN の追加) を選択します。
1. [**ロールの ARN を指定する**] フィールドに、ロールの継承アクセス許可を渡す IAM インスタンスプロファイルロールまたは IAM サービスロールの ARN を入力します。システムによって、[**アカウント**] と [**Role name with path (ロール名とパス)**] フィールドが入力されます。
1. [**Add**] (追加) をクリックします。
1. [**Review policy** (ポリシーの確認)] を選択します。
1. **[Name]** (名前) に、このポリシーを識別する名前を入力し、**[Create policy]** (ポリシーの作成) を選択します。
**詳細情報**
+ [Systems Manager に必要なインスタンスのアクセス許可を設定する](setup-instance-permissions.md)
+ [ハイブリッドおよびマルチクラウド環境で Systems Manager に必要な IAM サービスロールを作成する](hybrid-multicloud-service-role.md)
## タスク 4: 他の AWS のサービスを呼び出すためにロールの継承をインラインポリシーに追加する
Change Manager のロールの継承を使用して変更リクエストが他の AWS のサービスを呼び出すとき、ロールの継承は、該当するサービスを呼び出すアクセス許可で設定されている必要があります。この要件は、変更リクエストで使用される `AWS-ConfigureS3BucketLogging`、`AWS-CreateDynamoDBBackup`、`AWS-RestartEC2Instance` ランブックなど、すべての AWS オートメーションランブック (AWS-\$1 runbooks) に適用されます。この要件は、他のサービスを呼び出すアクションを使用して他の AWS のサービスを呼び出すように作成したカスタムランブックにも適用されます。たとえば、`aws:executeAwsApi`、`aws:CreateStack`、または `aws:copyImage` などのアクションを使用する場合は、それらのサービスを呼び出すためのアクセス許可を持つサービスロールを設定する必要があります。ロールに IAM インラインポリシーを追加することで、他の AWS のサービスへのアクセス許可を有効にできます。
**インラインポリシーをロールの継承に追加して、他の AWS のサービス (IAM コンソール) を呼び出すには**
1. AWS マネジメントコンソール にサインインして、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソールを開きます。
1. ナビゲーションペインで **Roles (ロール)** を選択します。
1. リストで、更新するロールの継承の名前 (`MyChangeManagerAssumeRole` など) を選択します。
1. **[アクセス許可]** タブを選択します。
1. **[Add permissions, Create inline policy]** (アクセス許可の追加、インラインポリシーの作成) を選択します。
1. **JSON** タブを選択します。
1. 呼び出す AWS のサービスの JSON ポリシードキュメントを入力します。JSON ポリシードキュメントの 2 つの例を以下に示します。
**Amazon S3 `PutObject` および `GetObject` の例**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
**Amazon EC2 `CreateSnapshot` および `DescribeSnapShots` の例**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"ec2:CreateSnapshot",
"Resource":"*"
},
{
"Effect":"Allow",
"Action":"ec2:DescribeSnapshots",
"Resource":"*"
}
]
}
```
------
IAM ポリシー言語の詳細については、*IAM ユーザーガイド*の「[IAM JSON ポリシーリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)」を参照してください。
1. 完了したら、[**ポリシーの確認**] を選択します。構文エラーがある場合は、[Policy Validator (ポリシー検証)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) によってレポートされます。
1. **[Name]** (名前) に、作成するポリシーを識別する名前を入力します。ポリシーの **[Summary]** (概要) を参照して、ポリシーによって付与された許可を確認します。次に [**ポリシーの作成**] を選択して作業を保存します。
1. インラインポリシーを作成した後は、自動的にロールに埋め込まれます。
## タスク 5: Change Manager へのユーザーアクセスを設定する
ユーザー、グループ、ロールに管理者権限が割り当てられている場合は、Change Manager にアクセスできます。管理者権限がない場合は、管理者が `AmazonSSMFullAccess` マネージドポリシー (または同等のアクセス許可を付与するポリシー) を ユーザー、グループ、ロールに割り当てる必要があります。
Change Manager を使用するようにユーザーを設定するには、次の手順を使用します。選択したユーザーには、Change Manager を設定して実行するアクセス許可が付与されます。
組織で使用している アイデンティティアプリケーションに応じて、ユーザーアクセスを設定するために使用できる 3 つのオプションのいずれかを選択できます。ユーザーアクセスを設定するときに、以下を割り当て、または追加します。
1. Systems Manager へのアクセスを許可する `AmazonSSMFullAccess` ポリシーまたは同等のポリシーを割り当てます。
1. `iam:PassRole` ポリシーを割り当てます。
1. [タスク 2: Change Manager のロールの継承を作成する](#change-manager-role) の最後にコピーしたロールを継承する Change Manager の ARN を追加します。
アクセス権限を付与するにはユーザー、グループ、またはロールにアクセス許可を追加します。
+ AWS IAM アイデンティティセンター のユーザーとグループ:
アクセス許可セットを作成します。「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)」の手順に従ってください。
+ IAM 内で、ID プロバイダーによって管理されているユーザー:
ID フェデレーションのロールを作成します。詳細については *IAM ユーザーガイド* の [サードパーティー ID プロバイダー (フェデレーション) 用のロールを作成する](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) を参照してください。
+ IAM ユーザー:
+ ユーザーが担当できるロールを作成します。手順については *IAM ユーザーガイド* の [IAM ユーザーのロールの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) を参照してください。
+ (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。*IAM ユーザーガイド* の [ユーザー (コンソール) へのアクセス許可の追加](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) の指示に従います。
これで Change Manager に必要なロールの設定が完了しました。これで Change Manager オペレーションで Change Manager のロールの継承 ARN を使用できるようになりました。
# 自動承認のランブックワークフローへのアクセスを制御する
**Change Manager の可用性の変更**
AWS Systems ManagerChange Manager は、2025 年 11 月 7 日以降、新規のお客様の受付を終了します。Change Manager を使用する場合は、その日付の前にサインアップしてください。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Systems Manager Change Manager の可用性の変更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)」を参照してください。
組織またはアカウント用に作成された各変更テンプレートでは、そのテンプレートから作成された変更リクエストを自動承認済変更リクエストとして実行できるかどうかを指定できます。つまり、レビューステップなしで自動的に実行できます (変更凍結イベントを除く)。
ただし、特定のユーザー、グループ、または AWS Identity and Access Management (IAM) ロールは、変更テンプレートで許可されている場合でも、自動承認の変更リクエストを実行しないようにした方がいいかもしれません。これを行うには、ユーザー、グループ、または IAM ロールに割り当てられる IAM ポリシーで、`StartChangeRequestExecution` オペレーションの `ssm:AutoApprove` 条件キーを使用します。
次のポリシーをインラインポリシーとして追加できます。このポリシーでは、条件を `false` に指定し、ユーザーが自動承認可能な変更リクエストを実行できないようにします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ssm:StartChangeRequestExecution",
"Resource": "*",
"Condition": {
"BoolIfExists": {
"ssm:AutoApprove": "false"
}
}
}
]
}
```
------
インラインポリシーの指定の詳細については、*IAM ユーザーガイド*で「[インラインポリシー](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_managed-vs-inline.html#inline-policies)」と「[IAM ID のアクセス許可の追加および削除](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-attach-detach.html)」を参照してください。
Systems Manager ポリシーの条件キーの詳細については、「[Condition keys for Systems Manager](security_iam_service-with-iam.md#policy-conditions)」(Systems Manager の条件キー) を参照してください。
# 「Change Manager」 の使用
**Change Manager の可用性の変更**
AWS Systems ManagerChange Manager は、2025 年 11 月 7 日以降、新規のお客様の受付を終了します。Change Manager を使用する場合は、その日付の前にサインアップしてください。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Systems Manager Change Manager の可用性の変更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)」を参照してください。
AWS Systems Manager のツールである Change Manager では、組織全体のユーザー、またはシングル AWS アカウント内のユーザーが、必要な許可が付与されている変更関連タスクを実行できます。Change Manager タスクには、以下が含まれます。
+ 変更テンプレートを作成、確認、承認または拒否します。
変更テンプレートは、必要な承認、利用可能なランブック、変更リクエストの通知オプションなどの項目を定義する、Change Manager の設定のコレクションです。
+ 変更リクエストを作成、確認、承認または拒否します。
変更リクエストは、AWS またはオンプレミス環境の 1 つ以上のリソースを更新する Automation ランブックを実行するための Change Manager のリクエストです。変更リクエストは、変更テンプレートを使用して作成されます。
+ 組織またはアカウントのどのユーザーを変更テンプレートおよび変更リクエストに対するレビューワーにできるかを指定します。
+ Change Managerでのユーザー ID の管理方法、およびChange Manager操作で実施される利用可能な*ベストプラクティス*オプションなどの構成設定を編集する。これらの設定の実行に関する詳細については、「[Change Managerオプションとベストプラクティスの設定](change-manager-account-setup.md)」を参照してください。
**Topics**
+ [変更テンプレートの使用](change-templates.md)
+ [変更リクエストの使用](change-requests.md)
+ [変更リクエストの詳細、タスク、およびタイムラインの確認 (コンソール)](reviewing-changes.md)
+ [変更リクエストの集計数の表示 (コマンドライン)](change-requests-review-aggregate-command-line.md)
# 変更テンプレートの使用
**Change Manager の可用性の変更**
AWS Systems ManagerChange Manager は、2025 年 11 月 7 日以降、新規のお客様の受付を終了します。Change Manager を使用する場合は、その日付の前にサインアップしてください。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Systems Manager Change Manager の可用性の変更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)」を参照してください。
変更テンプレートは、必要な承認、利用可能なランブック、変更リクエストの通知オプションなどの項目を定義する、Change Manager の設定のコレクションです。
**注記**
AWS には、AWS Systems Manager のツールである Change Manager を試すために使用できるサンプルの [Hello World](change-templates-aws-managed.md) 変更テンプレートが用意されています。組織またはアカウント内のリソースに許可する変更を定義するには、独自の変更テンプレートを作成してください。
ランブックワークフローの実行時に行われる変更は、オートメーションランブックの内容に基づきます。作成する変更テンプレートには、変更リクエストを作成するユーザーが、更新時の実行用に選択できる 1 つ、または複数のオートメーションランブックを含めることができます。また、変更テンプレートを作成して、リクエスタが変更リクエストに対して利用できるオートメーションランブックを選択できるようにすることもできます。
変更テンプレートは、**[Create template] (テンプレートの作成)** コンソールページの **[Builder] (ビルダー)** オプションを使用して簡単に作成することができます。または、[**Editor**] (エディタ) オプションを使用して、ランブックワークフローに望ましい設定を使った JSON または YAML コンテンツを手動で作成することも可能です。コマンドラインツールを使用して、変更テンプレートの JSON コンテンツを外部ファイルに保存して、変更テンプレートを作成することもできます。
**Topics**
+ [AWS 管理の `Hello World` 変更テンプレートを試す](change-templates-aws-managed.md)
+ [変更テンプレートの作成](change-templates-create.md)
+ [変更テンプレートの確認と、承認または拒否](change-templates-review.md)
+ [変更テンプレートの削除](change-templates-delete.md)
# AWS 管理の `Hello World` 変更テンプレートを試す
**Change Manager の可用性の変更**
AWS Systems ManagerChange Manager は、2025 年 11 月 7 日以降、新規のお客様の受付を終了します。Change Manager を使用する場合は、その日付の前にサインアップしてください。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Systems Manager Change Manager の可用性の変更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)」を参照してください。
AWS Systems Manager のツールである Change Manager の設定が完了したら、サンプルの変更テンプレート `AWS-HelloWorldChangeTemplate` を使用してレビューと承認のプロセスをテストすることができます。このテンプレートでは、サンプル Automation ランブック `AWS-HelloWorld` を使用します。このテンプレートは、設定された許可、承認者の割り当て、および承認プロセスをテスト、または検証するために設計されています。AWS から、組織またはアカウントでこの変更テンプレートを使用するための承認が既に提供されています。この変更テンプレートに基づく変更リクエストは、いずれも組織またはアカウントのレビューワーによる承認を受ける必要があります。
このテンプレートに関連付けられたランブックワークフローの結果は、リソースに変更を行うのではなく、オートメーションステップの出力にメッセージを書き出します。
**開始する前に**
作業を開始する前に、次のタスクが完了していることを確認してください。
+ 組織全体の変更の管理に AWS Organizations を使用して場合は、「[組織の Change Manager の設定 (管理アカウント)](change-manager-organization-setup.md)」で説明されている組織のセットアップタスクを完了します。
+ 「[Change Managerオプションとベストプラクティスの設定](change-manager-account-setup.md)」の説明に従って、委任管理者アカウントまたは単一のアカウントにChange Managerを設定します。
**注記**
Change Manager 設定で [**Require monitors for all templates** (すべてのテンプレートに監視プログラムを義務付ける)] のベストプラクティスのオプションを有効にした場合は、Hello World 変更テンプレートをテストしている間、それを一時的に無効にしてください。
**AWS 管理の Hello World 変更テンプレートを試すには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Change Manager]** を選択します。
1. [**Create request**] (リクエストを作成) をクリックします。
1. 「`AWS-HelloWorldChangeTemplate`」という名前の変更テンプレートを選択し、[**Next**] (次へ) を選択します。
1. [**Name**] (名前) には、**MyChangeRequestTest** など、その目的を識別しやすくする変更リクエストの名前を入力します。
1. 変更リクエストを作成する残りの手順については、「[変更リクエストの作成変更リクエストの作成 (コンソール)](change-requests-create.md)」を参照してください。
**次のステップ**
変更リクエストの承認については、「[変更リクエストの確認と、承認または拒否](change-requests-review.md)」を参照してください。
変更リクエストのステータスと結果を表示するには、Change Manager の [**Requests** (リクエスト)] タブで変更リクエストの名前を選択します。
# 変更テンプレートの作成
**Change Manager の可用性の変更**
AWS Systems ManagerChange Manager は、2025 年 11 月 7 日以降、新規のお客様の受付を終了します。Change Manager を使用する場合は、その日付の前にサインアップしてください。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Systems Manager Change Manager の可用性の変更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)」を参照してください。
変更テンプレートは、必要な承認、利用可能なランブック、変更リクエストの通知オプションなどの項目を定義する、Change Manager の設定のコレクションです。
AWS Systems Manager のツールである Change Manager で、ビルダーオプションとエディタオプション、コマンドラインツールが含まれているコンソールを使用して、オペレーションの変更テンプレートを作成できます。
**Topics**
+ [変更テンプレートの承認について](cm-approvals-templates.md)
+ [ビルダーを使用した変更テンプレートの作成](change-templates-custom-builder.md)
+ [エディタを使用した変更テンプレートの作成](change-templates-custom-editor.md)
+ [コマンドラインツールを使用した変更テンプレートの作成](change-templates-tools.md)
# 変更テンプレートの承認について
**Change Manager の可用性の変更**
AWS Systems ManagerChange Manager は、2025 年 11 月 7 日以降、新規のお客様の受付を終了します。Change Manager を使用する場合は、その日付の前にサインアップしてください。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Systems Manager Change Manager の可用性の変更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)」を参照してください。
作成する各変更テンプレートでは、そのテンプレートから作成された変更リクエストの承認レベルを最大 5 つ指定できます。これらのレベルごとに、最大 5 人の潜在的な承認者を指定できます。承認者は 1 人のユーザーに限定されません。IAM グループまたは IAM ロールを個別の承認者として指定することもできます。IAM グループと IAM ロールでは、そのグループまたはロールに属する 1 人以上のユーザーが、変更リクエストに必要な承認の総数の受け取りに対して、承認を提供することができます。変更テンプレートに必要な数よりも多くの承認者を指定することもできます。
Change Manager では、レベルごとの承認とラインごとの承認という、2 つの主要な承認アプローチをサポートしています。状況によっては、この 2 つのタイプを組み合わせることもできます。Change Manager オペレーションでは、レベルごとの承認のみを使用することをお勧めします。
------
#### [ Per-level approvals ]
推奨 2023 年 1 月 23 日現在、Change Manager はレベルごとの承認をサポートしています。このモデルでは、変更テンプレートの各承認レベルにおいて、最初にそのレベルに必要な承認数を指定します。次に、そのレベルに必要な数以上の承認者を指定し、さらに多くの承認者を指定できます。ただし、変更リクエストの承認に必要なのは、指定したレベルごとの承認者数だけです。例えば、5 人の承認者を指定できますが、必要なのは 3 人です。
この承認タイプのコンソールビューと JSON サンプルについては、「[レベルごとの承認設定の例](approval-type-samples.md#per-level-approvals)」を参照してください。
------
#### [ Per-line approvals ]
下位互換性のサポート Change Manager のオリジナルリリースでは、行ごとの承認のみがサポートされていました。このモデルでは、承認レベルに指定されたすべての承認者が、承認ラインとして表示されます。変更リクエストをそのレベルで承認するには、各承認者が承認する必要がありました。2023 年 1 月 23 日より前は、これが承認をサポートする唯一のモデルでした。この日付より前に作成された変更テンプレートは、引き続き行単位の承認をサポートしますが、代わりにレベルごとの承認を使用することをお勧めします。
この承認タイプのコンソールビューと JSON サンプルについては、「[行ごとの承認設定の例](approval-type-samples.md#per-line-approvals)」を参照してください。
------
#### [ Combined per-line and per-level approvals ]
非推奨 コンソールの **[ビルダー]** タブでは、行ごとの承認の追加がサポートされなくなりました。ただし、場合によっては、変更テンプレートで行ごとの承認とレベルごとの承認の両方が行われることがあります。これは、2023 年 1 月 23 日より前に作成された変更テンプレートを更新した場合や、YAML コンテンツを手動で編集して変更テンプレートを作成または更新した場合に発生する可能性があります。
この承認タイプのコンソールビューと JSON サンプルについては、「[レベルごとと行ごとの承認設定を組み合わせた例](approval-type-samples.md#combined-approval-levels)」を参照してください。
------
**重要**
ラインごとの承認とレベルごとの承認を組み合わせた変更テンプレートを作成することは可能ですが、この設定は推奨されておらず、必要もありません。より多くの承認が必要な承認タイプ (ラインごとまたはレベルごとの承認) が優先されます。例えば、次のようになります。
変更テンプレートでレベルごとに 3 つの承認が指定されているが、1 行につき 5 つの承認が指定されている場合は、5 つの承認が必要です。
変更テンプレートでレベルごとに 4 つの承認が指定されているが、1 行につき 2 つの承認が指定されている場合は、4 つの承認が必要です。
YAML または JSON コンテンツを手動で編集することで、行ごとおよびレベルごとの両方の承認を含むレベルを作成できます。作成すると、**[ビルダー]** タブに、レベルと個々のラインの両方に必要な承認数を指定するためのコントロールが表示されます。ただし、コンソールを使用して追加した新しいレベルでは、引き続きレベルごとの承認設定のみがサポートされます。
## 変更リクエストの通知と拒否
Amazon SNSの通知
変更テンプレートを使用して変更リクエストが作成されると、そのレベルの承認通知対象として指定されている Amazon Simple Notification Service (Amazon SNS) トピックのサブスクライバーに通知が送信されます。変更テンプレートで通知トピックを指定することも、変更リクエストを作成するユーザーに通知トピックを指定させることもできます。
あるレベルで必要最小限の承認が受理されると、次のレベルの Amazon SNS トピックのサブスクライバーに通知が送信され、以降も同様に通知が送信されます。
指定した IAM ロール、グループ、ユーザーに、指定した必要な承認数を満たすのに十分な承認者を指定してください。例えば、3 人のユーザーを含む 1 つの IAM グループのみを 1 人の承認者として指定した場合、そのレベルで必須と指定できるのは 5 つの承認ではなく、3 つ以下となります。
変更リクエストの却下
承認レベルと承認者をいくつ指定していても、そのリクエストのランブックワークフローの発生を防ぐには、変更リクエストを 1 回却下するだけで済みます。
# Change Manager 承認タイプの例
**Change Manager の可用性の変更**
AWS Systems ManagerChange Manager は、2025 年 11 月 7 日以降、新規のお客様の受付を終了します。Change Manager を使用する場合は、その日付の前にサインアップしてください。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Systems Manager Change Manager の可用性の変更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)」を参照してください。
次のサンプルは、Change Manager の 3 種類の承認タイプのコンソールビューと JSON コンテンツを示しています。
**Topics**
+ [レベルごとの承認設定の例](#per-level-approvals)
+ [行ごとの承認設定の例](#per-line-approvals)
+ [レベルごとと行ごとの承認設定を組み合わせた例](#combined-approval-levels)
## レベルごとの承認設定の例
次のイメージに示されたレベルごとの承認レベル設定では、3 つの承認が必要です。これらの承認は、承認者として指定された IAM ユーザー、グループ、ロールを自由に組み合わせて行うことができます。指定された承認者には、2 人の IAM ユーザー (John Stiles と Ana Carolina Silva)、3 人のメンバーを含むユーザーグループ (`GroupOfThree`)、10 人のユーザーを代表するユーザーロール (`RoleOfTen`) が含まれます。
`GroupOfThree` グループ内の 3 人のユーザー全員が変更リクエストを承認すると、そのレベルで変更リクエストが承認されます。各ユーザー、グループ、ロールの承認を受け取る必要はありません。承認の最小数は、指定した承認者を任意に組み合わせて得ることができます。Change Manager オペレーションでは、レベルごとの承認を使用することをお勧めします。
![\[3 人の承認が必要で、4 人の承認者が指定されていることを示す承認レベルです。\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/Add-approval-2.png)
次のサンプルは、この構成の YAML コードの一部を示しています。
**注記**
このバージョンの YAML コードには、追加の入力である `MinRequiredApprovals` (先頭が大文字の `M`) が含まれています。この入力の値は、利用可能なすべてのレビューワーから必要とされる承認数を示します。`Approvers` リスト内の各承認者の `minRequiredApprovals` (先頭が小文字の `m`) 値が `0` (ゼロ) であることにも注意してください。これは、承認者が承認全体に貢献できるが、必要ではないことを示しています。
```
schemaVersion: "0.3"
emergencyChange: false
autoApprovable: false
mainSteps:
- name: ApproveAction1
action: aws:approve
timeoutSeconds: 604800
inputs:
Message: Please approve this change request
MinRequiredApprovals: 3
EnhancedApprovals:
Approvers:
- approver: John Stiles
type: IamUser
minRequiredApprovals: 0
- approver: Ana Carolina Silva
type: IamUser
minRequiredApprovals: 0
- approver: GroupOfThree
type: IamGroup
minRequiredApprovals: 0
- approver: RoleOfTen
type: IamRole
minRequiredApprovals: 0
templateInformation: >
#### What is the purpose of this change?
//truncated
```
## 行ごとの承認設定の例
次のイメージに示された承認レベルの設定では、4 人の承認者が指定されています。指定された承認者には、2 人の IAM ユーザー (John Stiles と Ana Carolina Silva)、3 人のメンバーを含むユーザーグループ (`GroupOfThree`)、10 人のユーザーを代表するユーザーロール (`RoleOfTen`) が含まれます。下位互換性のために行ごとの承認がサポートされていますが、推奨されていません。
![\[行ごとに必要な 4 人の承認者を示す承認レベルです。\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/Add-approval-1.png)
この行ごとの承認設定で変更リクエストが承認されるには、John Stiles、Ana Carolina Silva、`GroupOfThree` グループの 1 人のメンバー、`RoleOfTen` ロールの 1 人のメンバー全員による承認が必要です。
次のサンプルは、この構成の YAML コードの一部を示しています。
**注記**
各 `minRequiredApprovals` 承認者の値が `1` であることに注意してください。これは、各承認者から 1 つの承認が必要であることを示しています。
```
schemaVersion: "0.3"
emergencyChange: false
autoApprovable: false
mainSteps:
- name: ApproveAction1
action: aws:approve
timeoutSeconds: 10000
inputs:
Message: Please approve this change request
EnhancedApprovals:
Approvers:
- approver: John Stiles
type: IamUser
minRequiredApprovals: 1
- approver: Ana Carolina Silva
type: IamUser
minRequiredApprovals: 1
- approver: GroupOfThree
type: IamGroup
minRequiredApprovals: 1
- approver: RoleOfTen
type: IamRole
minRequiredApprovals: 1
executableRunBooks:
- name: AWS-HelloWorld
version: $DEFAULT
templateInformation: >
#### What is the purpose of this change?
//truncated
```
## レベルごとと行ごとの承認設定を組み合わせた例
次のイメージに示されているように、レベルごとと行ごとの承認を組み合わせた設定では、レベルに 3 つの承認が指定され、明細項目の承認に 4 つの承認が指定されています。より多くの承認が必要な承認タイプが他の承認タイプよりも優先されるため、この設定では 4 つの承認が必要です。レベルごとの承認と行ごとの承認の組み合わせは推奨されていません。
![\[レベルに 3 つの承認が必要で、行に 4 つの承認が必要な承認レベルを示しています。\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/Add-approval-3.png)
```
schemaVersion: "0.3"
emergencyChange: false
autoApprovable: false
mainSteps:
- name: ApproveAction1
action: aws:approve
timeoutSeconds: 604800
inputs:
Message: Please approve this change request
MinRequiredApprovals: 3
EnhancedApprovals:
Approvers:
- approver: John Stiles
type: IamUser
minRequiredApprovals: 1
- approver: Ana Carolina Silva
type: IamUser
minRequiredApprovals: 1
- approver: GroupOfThree
type: IamGroup
minRequiredApprovals: 1
- approver: RoleOfTen
type: IamRole
minRequiredApprovals: 1
templateInformation: >
#### What is the purpose of this change?
//truncated
```
**Topics**
+ [変更テンプレートの承認について](cm-approvals-templates.md)
+ [ビルダーを使用した変更テンプレートの作成](change-templates-custom-builder.md)
+ [エディタを使用した変更テンプレートの作成](change-templates-custom-editor.md)
+ [コマンドラインツールを使用した変更テンプレートの作成](change-templates-tools.md)
# ビルダーを使用した変更テンプレートの作成
**Change Manager の可用性の変更**
AWS Systems ManagerChange Manager は、2025 年 11 月 7 日以降、新規のお客様の受付を終了します。Change Manager を使用する場合は、その日付の前にサインアップしてください。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Systems Manager Change Manager の可用性の変更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)」を参照してください。
AWS Systems Manager のツールである Change Manager の変更テンプレートにビルダーを使用して、JSON または YAML 構文を使用しなくても、変更テンプレートで定義されたランブックワークフローを設定できます。オプションを指定すると、入力が、Systems Manager がランブックワークフローを実行するために使用できる YAML 形式に変換されます。
**ビルダーを使用して変更テンプレートを作成するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Change Manager]** を選択します。
1. [**Create template**] (テンプレートの作成) をクリックします。
1. [**Name**] (名前) には、**UpdateEC2LinuxAMI** など、その目的を識別しやすくするテンプレート名を入力します。
1. [**Change template details**] (変更テンプレートの詳細) セクションで、以下を実行します。
+ [**Description**] (説明) には、作成している変更テンプレートが、いつ、どのように使用されるのかに関する簡単な説明を入力します。
この説明は、変更リクエストを作成するユーザーが、正しい変更テンプレートを使用しているかどうかを判断するのに役立ちます。変更リクエストのレビューワーが、リクエストを承認すべきかどうかを理解するためにも役立ちます。
+ [**Change template type**] (変更テンプレートタイプ) で、標準変更テンプレートと緊急変更テンプレートのどちらを作成するかを指定します。
緊急変更テンプレートは、AWS Systems Manager Change Calendar で使用されているカレンダー内のイベントによって変更がブロックされている場合でも、変更を行う必要がある場合に使用されます。緊急変更テンプレートから作成された変更リクエストは、指定された承認者によって承認される必要がありますが、要求された変更は、カレンダーがブロックされている場合でも実行できます。
+ [**Runbook options**] (ランブックオプション) では、変更リクエストの作成時にユーザーが選択できるランブックを指定します。ランブックは、1 つ、または複数追加することができます。その代わりに、リクエスタが使用するランブックを指定できるようにすることも可能です。いずれの場合も、変更リクエストに含めることができるランブックは 1 つだけです。
+ [**Runbook**] (ランブック) には、ユーザーがその変更リクエスト用に選択できるランブックの名前と、それらのバージョンを選択します。変更テンプレートに追加するランブックの数に関係なく、変更リクエストごとに選択できるランブックは 1 つだけです。
上記の [**Any runbook can be used**] (任意のランブックを使用できる) を先に選択した場合は、ランブックを指定しません。
**ヒント**
ランブックとそのバージョンを選択したら、[**View**] (表示) をクリックし、Systems Manager ドキュメントインターフェイスでランブックの内容を調べます。
1. [**Template information**] (テンプレート情報) セクションで、Markdown を使用して、この変更テンプレートから変更リクエストを作成するユーザーの情報を入力します。当社では、変更リクエストを作成するユーザーに対して含めることができる質問セットを用意していますが、代わりに他の情報や質問を追加することもできます。
**注記**
Markdown は、ドキュメント、およびドキュメント内の個々のステップに wiki 形式の説明を追加できるようにするマークアップ言語です。Markdown の使用に関する詳細については、「[AWS での Markdown の使用](https://docs.aws.amazon.com/general/latest/gr/aws-markdown.html)」を参照してください。
これには、変更、およびロールバック計画の一環として実行する必要がある手動ステップをリストアップするなど、承認者が各変更リクエストを許可するかどうかを判断できるように、ユーザーがその変更リクエストについて回答する質問を提供することをお勧めします。
**ヒント**
[**Hide preview**] (プレビューを非表示)と [**Show preview**] (プレビューを表示) を切り替えて、作成しながら内容を確認します。
1. [**Change request approvals**] (変更リクエスト承認) セクションで、以下を実行します。
+ (オプション) この変更テンプレートから作成された変更リクエストを、承認者が確認せずに自動的に実行できるようにする場合は (変更凍結イベントを除く)、[**Enable auto-approval** (自動承認の有効化)] を選択します。
**注記**
変更テンプレートで自動承認を有効にすると、レビュー担当者をバイパスする*オプション*をユーザーに提供できます。レビュー担当者は、変更リクエストの作成時に指定できます。このため、変更テンプレートでレビュー担当者のオプションを指定する必要があります。
**重要**
変更テンプレートの自動承認を有効にすると、ユーザーは変更リクエストを実行する前にレビュー担当者によるレビューが不要なテンプレートを使用して変更リクエストを送信できます (変更凍結イベントの承認者を除く)。特定のユーザー、グループ、または IAM ロールによる自動承認リクエストの送信を制限する場合は、この目的で IAM ポリシーの条件を使用できます。詳細については、「[自動承認のランブックワークフローへのアクセスを制御する](change-manager-auto-approval-access.md)」を参照してください。
+ **[このレベルで必要な承認数]** で、この変更テンプレートから作成された変更リクエストがこのレベルで受け取る必要がある承認数を選択します。
+ 必須の第 1 レベルの承認者を追加するには、[**Add approver** (承認者を追加)] を選択した後、以下のいずれかを選択します。
+ **Template specified approvers (テンプレートで指定された承認者)** – この変更テンプレートから作成された変更リクエストを承認するために、アカウントからユーザー、グループ、または AWS Identity and Access Management (IAM) ロールを 1 つ以上選択します。このテンプレートを使用して作成された変更リクエストはいずれも、指定された各承認者によって確認および承認される必要があります。
+ **Request specified approvers** (リクエストで指定された承認者) – 変更リクエストを作成するユーザーがリクエストの作成時にレビューワーを指定します。レビューワーは、アカウント内のユーザーのリストから選択できます。
[**Required**] (必須) 列に入力する数字は、この変更テンプレートを使用する変更リクエストによって指定される必要があるレビューワーの人数を決定します。
**重要**
2023 年 1 月 23 日より前は、**[ビルダー]** タブでは、行ごとの承認のみの指定がサポートされていました。**[ビルダー]** タブを使用して既存の変更テンプレートに追加する新しい変更テンプレートと新しいレベルは、レベルごとの承認のみをサポートしています。Change Manager オペレーションでは、レベルごとの承認のみを使用することをお勧めします。
詳細については、「[変更テンプレートの承認について](cm-approvals-templates.md)」を参照してください。
+ [**SNS topic to notify approvers**] (承認者に通知する SNS トピック) には、以下を実行します。
1. 次のいずれかを選択して、アカウント内の Amazon Simple Notification Service (Amazon SNS) トピックを指定します。これは、変更リクエストがレビューできることを承認者に通知を送信するときに使用されます。
+ **Enter an SNS Amazon Resource Name (ARN)**(SNS Amazon リソースネーム (ARN) を入力) – [**Topic ARN** (トピック ARN) には、既存の Amazon SNS トピックの ARN を入力します。このトピックは、組織のどのアカウントのものでも使用できます。
+ **Select an existing SNS topic (既存の SNS トピックを選択)** – **[Target notification topic] (ターゲット通知トピック)** には、現在の AWS アカウント にある既存の Amazon SNS トピックの ARN を選択します。(このオプションは、現在の AWS アカウント と AWS リージョン で Amazon SNS トピックをまだ作成していない場合は使用できません)。
+ **Specify SNS topic when the change request is created**(変更リクエストの作成時に SNS トピックを指定) – 変更リクエストを作成するユーザーが、通知に使用する Amazon SNS トピックを指定できます。
**注記**
選択する Amazon SNS トピックは、送信する通知とその送信先のサブスクライバーを指定するように設定されている必要があります。Amazon SNアクセスポリシーは、Change Manager が通知を送信できるように、Systems Manager にアクセス許可も付与する必要があります。詳細については、[Change Manager 通知用の Amazon SNS トピックの設定](change-manager-sns-setup.md) を参照してください。
1. [**Add notification**] (通知を追加) をクリックします。
1. (オプション) 承認者のレベルを追加するには、[**Add approval level**] (承認レベルを追加) をクリックし、このレベルのテンプレートで指定された承認者とリクエストで指定された承認者の中から選択します。次に、このレベルの承認者に通知する SNS トピックを選択します。
第 1 レベルの承認者がすべての承認を受信すると、第 2 レベルの承認者に通知され、という流れをたどります。
各テンプレートには、最大 5 レベルの承認者を追加できます。例えば、第 1 レベルでは技術ロールのユーザーの承認を求め、次に 2 番目のレベルでは管理職の承認を求めることができます。
1. [**Monitoring**] (モニタリング) セクションの [**CloudWatch alarm to monitor**] (監視する CloudWatch アラーム) に、このテンプレートに基づくランブックワークフローの進行状況を監視するための、現在のアカウントにある Amazon CloudWatch アラームの名前を入力します。
**ヒント**
新しいアラームを作成する、または指定するアラームの設定を確認するには、[**Open the Amazon CloudWatch console**] (Amazon CloudWatch コンソールを開く) をクリックします。CloudWatch アラームの使用の詳細については、*Amazon CloudWatch ユーザーガイド*の「[CloudWatch アラームの使用](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)」を参照してください。
1. [**Notifications**] (通知) セクションで、以下を実行します。
1. 次のいずれかを選択して、アカウント内の Amazon SNS トピックを指定します。これは、この変更テンプレートを使用して作成された変更リクエストに関する通知を送信するために使用されます。
+ **Enter an SNS Amazon Resource Name (ARN)**(SNS Amazon リソースネーム (ARN) を入力) – [**Topic ARN** (トピック ARN) には、既存の Amazon SNS トピックの ARN を入力します。このトピックは、組織のどのアカウントのものでも使用できます。
+ **Select an existing SNS topic (既存の SNS トピックを選択)** – **[Target notification topic] (ターゲット通知トピック)** には、現在の AWS アカウント にある既存の Amazon SNS トピックの ARN を選択します。(このオプションは、現在の AWS アカウント と AWS リージョン で Amazon SNS トピックをまだ作成していない場合は使用できません)。
**注記**
選択する Amazon SNS トピックは、送信する通知とその送信先のサブスクライバーを指定するように設定されている必要があります。Amazon SNアクセスポリシーは、Change Manager が通知を送信できるように、Systems Manager にアクセス許可も付与する必要があります。詳細については、[Change Manager 通知用の Amazon SNS トピックの設定](change-manager-sns-setup.md) を参照してください。
1. [**Add notification**] (通知を追加) をクリックします。
1. (オプション) [**Tags**] (タグ) セクションで、変更テンプレートにタグキーの名前/値ペアを 1 つ、または複数適用します。
タグは、リソースに割り当てるオプションのメタデータです。タグを使用することで、目的、所有者、または環境などの異なる方法でリソースを分類できます。例えば、変更テンプレートが実行する変更のタイプと、実行される環境を特定するために、タグを付けることができます。この場合、以下のキーの名前と値のペアを指定します。
+ `Key=TaskType,Value=InstanceRepair`
+ `Key=Environment,Value=Production`
1. [**Save and preview**] (保存してプレビュー) をクリックします。
1. 作成する変更テンプレートの詳細を確認します。
レビューのために送信する前に変更テンプレートを変更したい場合は、[**Actions、Edit**] (アクション、編集) と選択します。
変更テンプレートの内容に問題がなければ、**[Submit for Review] (レビューのために送信)** をクリックします。Change Manager の [**Settings**] (設定) タブでテンプレートレビューワーとして指定された組織またはアカウント内のユーザーに、新しい変更テンプレートのレビューが保留中であることが通知されます。
Amazon SNS トピックが変更テンプレートで指定されている場合、変更テンプレートが拒否または承認されたときに通知が送信されます。この変更テンプレートに関連する通知が届かない場合は、後ほど Change Manager に戻って、そのステータスを確認できます。
# エディタを使用した変更テンプレートの作成
**Change Manager の可用性の変更**
AWS Systems ManagerChange Manager は、2025 年 11 月 7 日以降、新規のお客様の受付を終了します。Change Manager を使用する場合は、その日付の前にサインアップしてください。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Systems Manager Change Manager の可用性の変更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)」を参照してください。
コンソールコントロールを使用する代わりに JSON または YAML を入力して、AWS Systems Manager のツールである Change Manager に変更テンプレートを設定するには、このトピックの手順を実行します。
**エディタを使用して変更テンプレートを作成するには**
1. ナビゲーションペインで、**Change Manager** を選択します。
1. [**Create template**] (テンプレートの作成) をクリックします。
1. [**Name**] (名前) には、**RestartEC2LinuxInstance** など、その目的を識別しやすくするテンプレート名を入力します。
1. 上記の [**Change template details**] (変更テンプレートの詳細) で [**Editor**] (エディタ) を選択します。
1. [**Document editor**] (ドキュメントエディタ) セクションで [**Edit**] (編集) をクリックしてから、変更テンプレートの JSON コンテンツ、または YAML コンテンツを入力します。
以下に例を示します。
**注記**
パラメータ `minRequiredApprovals` は、このテンプレートを使用して作成された変更リクエストを承認する必要がある、指定されたレベルのレビュー担当者の数を指定するために使用されます。
この例では、2 つのレベルの承認を示しています。承認レベルは最大 5 つまで指定できますが、必要なレベルは 1 つだけです。
最初のレベルでは、特定のユーザー「John-Doe」が各変更リクエストを承認する必要があります。その後、IAM ロール `Admin` のいずれか 3 名のメンバーが変更リクエストを承認する必要があります。
変更テンプレートの承認の詳細については、「[変更テンプレートの承認について](cm-approvals-templates.md)」を参照してください。
------
#### [ YAML ]
```
description: >-
This change template demonstrates the feature set available for creating
change templates for Change Manager. This template starts a Runbook workflow
for the Automation runbook called AWS-HelloWorld.
templateInformation: >
### Document Name: HelloWorldChangeTemplate
## What does this document do?
This change template demonstrates the feature set available for creating
change templates for Change Manager. This template starts a Runbook workflow
for the Automation runbook called AWS-HelloWorld.
## Input Parameters
* ApproverSnsTopicArn: (Required) Amazon Simple Notification Service ARN for
approvers.
* Approver: (Required) The name of the approver to send this request to.
* ApproverType: (Required) The type of reviewer.
* Allowed Values: IamUser, IamGroup, IamRole, SSOGroup, SSOUser
## Output Parameters
This document has no outputs
schemaVersion: '0.3'
parameters:
ApproverSnsTopicArn:
type: String
description: Amazon Simple Notification Service ARN for approvers.
Approver:
type: String
description: IAM approver
ApproverType:
type: String
description: >-
Approver types for the request. Allowed values include IamUser, IamGroup,
IamRole, SSOGroup, and SSOUser.
executableRunBooks:
- name: AWS-HelloWorld
version: '1'
emergencyChange: false
autoApprovable: false
mainSteps:
- name: ApproveAction1
action: 'aws:approve'
timeoutSeconds: 3600
inputs:
Message: >-
A sample change request has been submitted for your review in Change
Manager. You can approve or reject this request.
EnhancedApprovals:
NotificationArn: '{{ ApproverSnsTopicArn }}'
Approvers:
- approver: John-Doe
type: IamUser
minRequiredApprovals: 1
- name: ApproveAction2
action: 'aws:approve'
timeoutSeconds: 3600
inputs:
Message: >-
A sample change request has been submitted for your review in Change
Manager. You can approve or reject this request.
EnhancedApprovals:
NotificationArn: '{{ ApproverSnsTopicArn }}'
Approvers:
- approver: Admin
type: IamRole
minRequiredApprovals: 3
```
------
#### [ JSON ]
```
{
"description": "This change template demonstrates the feature set available for creating
change templates for Change Manager. This template starts a Runbook workflow
for the Automation runbook called AWS-HelloWorld",
"templateInformation": "### Document Name: HelloWorldChangeTemplate\n\n
## What does this document do?\n
This change template demonstrates the feature set available for creating change templates for Change Manager.
This template starts a Runbook workflow for the Automation runbook called AWS-HelloWorld.\n\n
## Input Parameters\n* ApproverSnsTopicArn: (Required) Amazon Simple Notification Service ARN for approvers.\n
* Approver: (Required) The name of the approver to send this request to.\n
* ApproverType: (Required) The type of reviewer. * Allowed Values: IamUser, IamGroup, IamRole, SSOGroup, SSOUser\n\n
## Output Parameters\nThis document has no outputs\n",
"schemaVersion": "0.3",
"parameters": {
"ApproverSnsTopicArn": {
"type": "String",
"description": "Amazon Simple Notification Service ARN for approvers."
},
"Approver": {
"type": "String",
"description": "IAM approver"
},
"ApproverType": {
"type": "String",
"description": "Approver types for the request. Allowed values include IamUser, IamGroup, IamRole, SSOGroup, and SSOUser."
}
},
"executableRunBooks": [
{
"name": "AWS-HelloWorld",
"version": "1"
}
],
"emergencyChange": false,
"autoApprovable": false,
"mainSteps": [
{
"name": "ApproveAction1",
"action": "aws:approve",
"timeoutSeconds": 3600,
"inputs": {
"Message": "A sample change request has been submitted for your review in Change Manager. You can approve or reject this request.",
"EnhancedApprovals": {
"NotificationArn": "{{ ApproverSnsTopicArn }}",
"Approvers": [
{
"approver": "John-Doe",
"type": "IamUser",
"minRequiredApprovals": 1
}
]
}
}
},
{
"name": "ApproveAction2",
"action": "aws:approve",
"timeoutSeconds": 3600,
"inputs": {
"Message": "A sample change request has been submitted for your review in Change Manager. You can approve or reject this request.",
"EnhancedApprovals": {
"NotificationArn": "{{ ApproverSnsTopicArn }}",
"Approvers": [
{
"approver": "Admin",
"type": "IamRole",
"minRequiredApprovals": 3
}
]
}
}
}
]
}
```
------
1. [**Save and preview**] (保存してプレビュー) をクリックします。
1. 作成する変更テンプレートの詳細を確認します。
レビューのために送信する前に変更テンプレートを変更したい場合は、[**Actions、Edit**] (アクション、編集) と選択します。
変更テンプレートの内容に問題がなければ、**[Submit for Review] (レビューのために送信)** をクリックします。Change Manager の [**Settings**] (設定) タブでテンプレートレビューワーとして指定された組織またはアカウント内のユーザーに、新しい変更テンプレートのレビューが保留中であることが通知されます。
Amazon Simple Notification Service (Amazon SNS) トピックが変更テンプレートで指定されている場合、変更テンプレートが拒否または承認されたときに通知が送信されます。この変更テンプレートに関連する通知が届かない場合は、後ほど Change Manager に戻って、そのステータスを確認できます。
# コマンドラインツールを使用した変更テンプレートの作成
**Change Manager の可用性の変更**
AWS Systems ManagerChange Manager は、2025 年 11 月 7 日以降、新規のお客様の受付を終了します。Change Manager を使用する場合は、その日付の前にサインアップしてください。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Systems Manager Change Manager の可用性の変更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)」を参照してください。
以下の手順では、AWS Command Line Interface (AWS CLI) (Linux、macOS、または Windows Server の場合) または AWS Tools for Windows PowerShell を使用して、AWS Systems Manager のツールである Change Manager で変更リクエストを作成する方法について説明します。
**変更テンプレートを作成するには**
1. まだ AWS CLI または AWS Tools for PowerShell をインストールして設定していない場合は、インストールして設定します。
詳細については、「[AWS CLI の最新バージョンをインストールまたは更新します。](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)」および「[AWS Tools for PowerShell のインストール](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html)」を参照してください。
1. ローカルマシンに `MyChangeTemplate.json` などの名前の JSON ファイルを作成してから、変更テンプレートのコンテンツを貼り付けます。
**注記**
変更テンプレートは、オートメーションランブックと同じサポートのすべてが含まれていないスキーマ 0.3 のバージョンを使用します。
以下に例を示します。
**注記**
パラメータ `minRequiredApprovals` は、このテンプレートを使用して作成された変更リクエストを承認する必要がある、指定されたレベルのレビュー担当者の数を指定するために使用されます。
この例では、2 つのレベルの承認を示しています。承認レベルは最大 5 つまで指定できますが、必要なレベルは 1 つだけです。
最初のレベルでは、特定のユーザー「John-Doe」が各変更リクエストを承認する必要があります。その後、IAM ロール `Admin` のいずれか 3 名のメンバーが変更リクエストを承認する必要があります。
変更テンプレートの承認の詳細については、「[変更テンプレートの承認について](cm-approvals-templates.md)」を参照してください。
```
{
"description": "This change template demonstrates the feature set available for creating
change templates for Change Manager. This template starts a Runbook workflow
for the Automation runbook called AWS-HelloWorld",
"templateInformation": "### Document Name: HelloWorldChangeTemplate\n\n
## What does this document do?\n
This change template demonstrates the feature set available for creating change templates for Change Manager.
This template starts a Runbook workflow for the Automation runbook called AWS-HelloWorld.\n\n
## Input Parameters\n* ApproverSnsTopicArn: (Required) Amazon Simple Notification Service ARN for approvers.\n
* Approver: (Required) The name of the approver to send this request to.\n
* ApproverType: (Required) The type of reviewer. * Allowed Values: IamUser, IamGroup, IamRole, SSOGroup, SSOUser\n\n
## Output Parameters\nThis document has no outputs\n",
"schemaVersion": "0.3",
"parameters": {
"ApproverSnsTopicArn": {
"type": "String",
"description": "Amazon Simple Notification Service ARN for approvers."
},
"Approver": {
"type": "String",
"description": "IAM approver"
},
"ApproverType": {
"type": "String",
"description": "Approver types for the request. Allowed values include IamUser, IamGroup, IamRole, SSOGroup, and SSOUser."
}
},
"executableRunBooks": [
{
"name": "AWS-HelloWorld",
"version": "1"
}
],
"emergencyChange": false,
"autoApprovable": false,
"mainSteps": [
{
"name": "ApproveAction1",
"action": "aws:approve",
"timeoutSeconds": 3600,
"inputs": {
"Message": "A sample change request has been submitted for your review in Change Manager. You can approve or reject this request.",
"EnhancedApprovals": {
"NotificationArn": "{{ ApproverSnsTopicArn }}",
"Approvers": [
{
"approver": "John-Doe",
"type": "IamUser",
"minRequiredApprovals": 1
}
]
}
}
},
{
"name": "ApproveAction2",
"action": "aws:approve",
"timeoutSeconds": 3600,
"inputs": {
"Message": "A sample change request has been submitted for your review in Change Manager. You can approve or reject this request.",
"EnhancedApprovals": {
"NotificationArn": "{{ ApproverSnsTopicArn }}",
"Approvers": [
{
"approver": "Admin",
"type": "IamRole",
"minRequiredApprovals": 3
}
]
}
}
}
]
}
```
1. 次のコマンドを実行して、変更テンプレートを作成します。
------
#### [ Linux & macOS ]
```
aws ssm create-document \
--name MyChangeTemplate \
--document-format JSON \
--document-type Automation.ChangeTemplate \
--content file://MyChangeTemplate.json \
--tags Key=tag-key,Value=tag-value
```
------
#### [ Windows ]
```
aws ssm create-document ^
--name MyChangeTemplate ^
--document-format JSON ^
--document-type Automation.ChangeTemplate ^
--content file://MyChangeTemplate.json ^
--tags Key=tag-key,Value=tag-value
```
------
#### [ PowerShell ]
```
$json = Get-Content -Path "C:\path\to\file\MyChangeTemplate.json" | Out-String
New-SSMDocument `
-Content $json `
-Name "MyChangeTemplate" `
-DocumentType "Automation.ChangeTemplate" `
-Tags "Key=tag-key,Value=tag-value"
```
------
指定できるオプションの詳細については、「[https://docs.aws.amazon.com/cli/latest/reference/ssm/create-document.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/create-document.html)」を参照してください。
システムが以下のような情報をレスポンスします。
```
{
"DocumentDescription":{
"CreatedDate":1.585061751738E9,
"DefaultVersion":"1",
"Description":"Use this template to update an EC2 Linux AMI. Requires one
approver specified in the template and an approver specified in the request.",
"DocumentFormat":"JSON",
"DocumentType":"Automation",
"DocumentVersion":"1",
"Hash":"0d3d879b3ca072e03c12638d0255ebd004d2c65bd318f8354fcde820dEXAMPLE",
"HashType":"Sha256",
"LatestVersion":"1",
"Name":"MyChangeTemplate",
"Owner":"123456789012",
"Parameters":[
{
"DefaultValue":"",
"Description":"Level one approvers",
"Name":"LevelOneApprovers",
"Type":"String"
},
{
"DefaultValue":"",
"Description":"Level one approver type",
"Name":"LevelOneApproverType",
"Type":"String"
},
"cloudWatchMonitors": {
"monitors": [
"my-cloudwatch-alarm"
]
}
],
"PlatformTypes":[
"Windows",
"Linux"
],
"SchemaVersion":"0.3",
"Status":"Creating",
"Tags":[
]
}
}
```
Change Manager の [**Settings**] (設定) タブでテンプレートレビューワーとして指定された組織またはアカウント内のユーザーに、新しい変更テンプレートのレビューが保留中であることが通知されます。
Amazon Simple Notification Service (Amazon SNS) トピックが変更テンプレートで指定されている場合、変更テンプレートが拒否または承認されたときに通知が送信されます。この変更テンプレートに関連する通知が届かない場合は、後ほど Change Manager に戻って、そのステータスを確認できます。
# 変更テンプレートの確認と、承認または拒否
**Change Manager の可用性の変更**
AWS Systems ManagerChange Manager は、2025 年 11 月 7 日以降、新規のお客様の受付を終了します。Change Manager を使用する場合は、その日付の前にサインアップしてください。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Systems Manager Change Manager の可用性の変更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)」を参照してください。
AWS Systems Manager のツールである Change Manager で変更テンプレートのレビューワーとして指定されている場合、新しい変更テンプレートまたは変更テンプレートの新しいバージョンが確認待ちであるときに通知を受け取ります。Amazon Simple Notification Service (Amazon SNS) トピックから通知が送信されます。
**注記**
この機能は、変更テンプレート確認通知の送信に Amazon SNS トピックを使用するようにアカウントが設定されているかどうかにより異なります。テンプレートレビューワーの通知トピックの指定に関する情報については、「[タスク 1: Change Managerユーザー ID 管理とテンプレートレビューワーの設定](change-manager-account-setup.md#cm-configure-account-task-1)」を参照してください。
変更テンプレートをレビューするには、通知に記載されているリンクを開き、AWS マネジメントコンソール にサインインして、この手順のステップに従います。
**変更テンプレートを確認して承認または却下するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Change Manager]** を選択します。
1. [**Overview**] (概要) タブの [**Change templates**] (変更テンプレート) セクションで、[**Pending review**] (レビュー待ち) の番号を選択します。
1. [**Change templates**] (変更テンプレート) のリストで、確認する変更テンプレートの名前を見つけて選択します。
1. [Summary] (概要) ページで、提案された変更テンプレートのコンテンツを確認して、以下のいずれかを実行します。
+ 変更テンプレートを承認し、変更リクエストで使用できるようにするには、[**Approve**] (承認) を選択します。
+ 変更テンプレートを拒否し、変更リクエストで使用できないようにするには、[**Reject**] (拒否] を選択します。
# 変更テンプレートの削除
**Change Manager の可用性の変更**
AWS Systems ManagerChange Manager は、2025 年 11 月 7 日以降、新規のお客様の受付を終了します。Change Manager を使用する場合は、その日付の前にサインアップしてください。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Systems Manager Change Manager の可用性の変更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)」を参照してください。
このトピックでは、Systems Manager のツールである Change Manager で作成したテンプレートを削除する方法について説明します。組織で Change Manager を使用している場合、この手順は委任された管理者アカウントで実行します。
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Change Manager]** を選択します。
1. [**Templates (テンプレート)**] タブを選択します。
1. 削除するテンプレートの名前を選択します。
1. [**アクション、テンプレートの削除**] を選択します。
1. 確認ダイアログに「**DELETE**」という語を入力してから、[**削除**] を選択します。
# 変更リクエストの使用
**Change Manager の可用性の変更**
AWS Systems ManagerChange Manager は、2025 年 11 月 7 日以降、新規のお客様の受付を終了します。Change Manager を使用する場合は、その日付の前にサインアップしてください。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Systems Manager Change Manager の可用性の変更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)」を参照してください。
変更リクエストは、AWS またはオンプレミス環境の 1 つ以上のリソースを更新する Automation ランブックを実行するための Change Manager のリクエストです。変更リクエストは、変更テンプレートを使用して作成されます。
AWS Systems Manager のツールである Change Manager で変更リクエストを作成する場合、組織またはアカウント内の 1 人以上の承認者がリクエストを確認して承認する必要があります。必要な承認がなければ、リクエストされた変更を実施するランブックワークフローの実行は許可されません。
**Topics**
+ [変更リクエストの作成](change-requests-create.md)
+ [変更リクエストの確認と、承認または拒否](change-requests-review.md)
# 変更リクエストの作成
**Change Manager の可用性の変更**
AWS Systems ManagerChange Manager は、2025 年 11 月 7 日以降、新規のお客様の受付を終了します。Change Manager を使用する場合は、その日付の前にサインアップしてください。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Systems Manager Change Manager の可用性の変更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)」を参照してください。
AWS Systems Manager のツールである Change Manager で変更リクエストを作成すると、選択する変更テンプレートでは通常次の処理が行われます。
+ 変更リクエストの承認者を指定する、または必要な承認の数を指定する
+ 変更リクエストについて承認者に通知するために使用する Amazon Simple Notification Service (Amazon SNS) トピックを指定します。
+ Amazon CloudWatch アラームを指定して、変更リクエストのランブックワークフローをモニタリングします
+ リクエストされた変更を行うために選択できるオートメーションランブックを特定する
変更テンプレートは、使用する独自のオートメーションランブックを指定して、誰がリクエストのレビューと承認を行うかを指定できるように設定されている場合もあります。
**重要**
組織全体で Change Manager を使用する場合は、常に委任管理者アカウントから変更を行うことをお勧めします。組織内の他のアカウントから変更を行うことはできますが、それらの変更は、委任管理者アカウントで報告されず、表示することもできません。
**Topics**
+ [変更リクエストの承認について](#cm-approvals-requests)
+ [変更リクエストの作成 (コンソール)](#change-requests-create-console)
+ [変更リクエストの作成 (AWS CLI)](#change-requests-create-cli)
## 変更リクエストの承認について
変更テンプレートに指定された要件によっては、そのテンプレートから作成する変更リクエストは、リクエストのランブックワークフローを実行する前に、最大 5 つのレベルの承認を必要とする場合があります。これらの各レベルに関して、テンプレート作成者は最大 5 人の潜在的な承認者を指定できます。承認者は 1 人のユーザーに限定されません。この意味での承認者は、IAM グループまたは IAM ロールとすることもできます。IAM グループと IAM ロールでは、そのグループまたはロールに属する 1 人以上のユーザーが、変更リクエストに必要な承認の総数の受け取りに対して、承認を提供することができます。テンプレート作成者は、変更テンプレートに必要な数よりも多くの承認者を指定することもできます。
**オリジナルの承認ワークフローと更新および/または承認**
2023 年 1 月 23 日より前に作成された変更テンプレートを使用する場合、変更リクエストをそのレベルで承認するには、指定された各承認者から承認を受ける必要があります。例えば、次のイメージに示された承認レベルの設定では、4 人の承認者が指定されています。指定承認者には、2 人のユーザー (John Stiles と Ana Carolina Silva)、3 人のメンバーで構成されたユーザーグループ (GroupOfThree)、10 人のユーザーを代表するユーザーロール (RoleOfTen) が含まれます。
![\[行ごとに必要な 4 人の承認者を示す承認レベルです。\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/Add-approval-1.png)
このレベルで変更リクエストが承認されるには、John Stiles、Ana Carolina Silva、`GroupOfThree` グループの 1 人のメンバー、`RoleOfTen` ロールの 1 人のメンバーによる承認が必要です。
テンプレート作成者は、2023 年 1 月 23 日以降に作成された変更テンプレートを使用して、承認レベルごとに必要な承認の総数を指定できます。これらの承認は、承認者として指定されたユーザー、グループ、ロールを自由に組み合わせて行うことができます。変更テンプレートでは、1 つのレベルに対して 1 つの承認しか必要としませんが、例えば、2 人の個人ユーザー、2 つのグループ、1 人のロールを潜在的な承認者として指定できます。
例えば、次のイメージに示された承認レベルエリアでは、3 つの承認が必要です。テンプレートで指定された承認者には、2 人のユーザー (John Stiles と Ana Carolina Silva)、3 人のメンバーを含むユーザーグループ (`GroupOfThree`)、10 人のユーザーを代表するユーザーロール (`RoleOfTen`) が含まれます。
![\[3 人の承認が必要で、4 人の承認者が指定されていることを示す承認レベルです。\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/Add-approval-2.png)
`GroupOfThree` グループ内の 3 人のユーザー全員が変更リクエストを承認すると、そのレベルで変更リクエストが承認されます。各ユーザー、グループ、ロールの承認を受け取る必要はありません。承認の最小数は、潜在的な承認者を任意に組み合わせて得ることができます。
変更リクエストが作成されると、そのレベルの承認通知対象として指定されている Amazon SNS トピックのサブスクライバーに通知が送信されます。変更テンプレートの作成者が、使用する必要のある通知トピックを指定したか、指定を許可した可能性があります。
任意のレベルで必要最小限の承認が受理されると、次のレベルの Amazon SNS トピックのサブスクライバーに通知が送信され、以降も同様に通知が送信されます。
承認レベルと承認者がいくつ指定されていても、そのリクエストのランブックワークフローの発生を防ぐには、変更リクエストを 1 回却下するだけで済みます。
## 変更リクエストの作成 (コンソール)
次の手順では、Systems Manager コンソールを使用して変更リクエストを作成する方法について説明します。
**変更リクエストを作成するには(コンソール)**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Change Manager]** を選択します。
1. [**Create request**] (リクエストを作成) をクリックします。
1. この変更リクエストに使用する変更テンプレートを検索して選択します。
1. [**Next**] を選択します。
1. [**Name**] (名前) には、**UpdateEC2LinuxAMI-us-east-2** など、その目的を識別しやすくする変更リクエストの名前を入力します。
1. [**Runbook**] (ランブック) には、リクエストした変更を行うために使用するランブックを選択します。
**注記**
ランブックを選択するオプションが利用できなくなっている場合は、使用する必要があるランブックが変更テンプレートの作成者によって指定されています。
1. [**Change request information**] (変更リクエストの情報) には、Markdown を使用して、変更リクエストに関する追加情報を提供します。これは、レビューワーが変更リクエストを承認するか拒否するかを決定するために役立ちます。使用しているテンプレートの作成者が、指示、または回答する質問を提供している場合もあります。
**注記**
Markdown は、ドキュメント、およびドキュメント内の個々のステップに wiki 形式の説明を追加できるようにするマークアップ言語です。Markdown の使用に関する詳細については、「[AWS での Markdown の使用](https://docs.aws.amazon.com/general/latest/gr/aws-markdown.html)」を参照してください。
1. [**Workflow start time**] (ワークフロー開始時刻) セクションで、以下のいずれかを選択します。
+ **スケジュールされた時刻にオペレーションを実行する** – [**Requested start time**] (リクエストされた開始時刻) には、このリクエストのランブックワークフローの実行について提案する日付と時刻を入力します。[**Estimated end time**] (予想終了時間) で、ランブックワークフローが完了する予想日時を入力します。(この時間は、レビュー担当者に伝える予想に過ぎません。)
**ヒント**
[**View Change Calendar**] (変更カレンダーを表示) をクリックして、指定した時刻にブロッキングイベントがないかどうかをチェックします。
+ **Run the operation as soon as possible after approval** (承認後、できるだけ早くオペレーションを実行する) – 変更リクエストが承認されると、変更を行うことができる無制限期間になり次第、ランブックワークフローが実行されます。
1. [**Change request approvals**] (変更リクエスト承認) セクションで、以下を実行します。
1. **承認タイプ**オプションを表示するには、以下のいずれかを選択します。
+ **自動承認** - 選択した変更テンプレートは、変更リクエストを自動的に実行できるように設定され、承認者の確認は不要です。ステップ 11 に進みます。
**注記**
Systems Manager の使用を管理する IAM ポリシーで指定されているアクセス許可は、自動承認の変更リクエストを自動的に実行するために送信することを制限してはなりません。
+ **承認者の指定** — この変更リクエストを確認および承認するには、単一または複数のユーザー、グループ、または IAM ロールを追加する必要があります。
**注記**
Systems Manager の使用を管理する IAM ポリシーで指定されているアクセス許可によって、自動承認変更リクエストを実行できる場合でも、レビュー担当者を指定できます。
1. [**Add approver** (承認者を追加)] をクリックして、利用可能なレビュー担当者のリストから単一または複数のユーザー、グループ、またはまたは AWS Identity and Access Management (IAM) ロールを選択します。
**注記**
1 人、または複数人の承認者が既に指定されている場合があります。これは、選択した変更テンプレートに、必須の承認者が既に指定されていることを意味します。これらの承認者をリクエストから削除することはできません。**[承認者を追加]** ボタンが有効になっていない場合は、選択したテンプレートでリクエストへのレビューワーの追加が許可されていません。
変更リクエストの承認の詳細については、「[変更リクエストの承認について](#cm-approvals-requests)」を参照してください。
1. [**SNS topic to notify approvers**] (承認者に通知する SNS トピック) で以下のいずれかを選択して、この変更リクエストに追加している承認者への通知の送信に使用される、アカウント内の Amazon SNS トピックを指定します。
**注記**
Amazon SNS トピックを指定するオプションが利用できなくなっている場合、選択した変更テンプレートで、使用する Amazon SNS トピックが既に指定されています。
+ **Enter an SNS Amazon Resource Name (ARN)**(SNS Amazon リソースネーム (ARN) を入力) – [**Topic ARN** (トピック ARN) には、既存の Amazon SNS トピックの ARN を入力します。このトピックは、組織のどのアカウントのものでも使用できます。
+ **Select an existing SNS topic** (既存の SNS トピックを選択) – [**Target notification topic**] (ターゲット通知トピック) には、現在のアカウントにある既存の Amazon SNS トピックの ARN を選択します。(このオプションは、現在の AWS アカウント と AWS リージョン で Amazon SNS トピックをまだ作成していない場合は使用できません)。
**注記**
選択する Amazon SNS トピックは、送信する通知とその送信先のサブスクライバーを指定するように設定されている必要があります。Amazon SNアクセスポリシーは、Change Manager が通知を送信できるように、Systems Manager にアクセス許可も付与する必要があります。詳細については、[Change Manager 通知用の Amazon SNS トピックの設定](change-manager-sns-setup.md) を参照してください。
1. [**Add notification**] (通知を追加) をクリックします。
1. [**次へ**] を選択します。
1. [**IAM role** (IAM ロール)] では、この変更リクエストに指定されたランブックの実行に必要な許可を持つ、*現在のアカウント*の IAM ロールを選択します。
このロールは、オートメーションのサービスロール (または assume ロール) と呼ばれることもあります。このロールの詳細については、「[オートメーションの設定](automation-setup.md)」を参照してください。
1. [**Deployment location**] (デプロイの場所) セクションで、以下のいずれかを選択します。
**注記**
AWS Organizations でセットアップされた組織ではなく、単一の AWS アカウント アカウントのみで Change Manager を使用している場合、デプロイ先を指定する必要はありません。
+ **Apply change to this account** (このアカウントに変更を適用) – ランブックワークフローは現在のアカウントのみで実行されます。組織の場合、これは委任管理者アカウントを意味します。
+ **Apply change to multiple organizational units (OUs)** (複数の組織単位 (OU) に変更を適用) – 以下を実行します。
1. [**Accounts and organizational units (OUs)**] (アカウントと組織単位 (OU)) には、組織内のメンバーアカウントの ID を **123456789012** 形式で入力、または組織単位の ID を **o-o96EXAMPLE** 形式で入力します。
1. (オプション) [**Execution role name**] (実行ロール名) に、*ターゲットアカウント*、またはこの変更リクエストに指定されているランブックを実行するために必要な許可を持つ OU の IAM ロールの名前を入力します。このロールの名前は、指定した OU 内のすべてのアカウントが同じ名前を使用する必要があります。
1. (オプション) 指定する追加のアカウント、または OU ごとに [**Add another target location**] (別のターゲットロケーションを追加する) を選択して、ステップ a と b を繰り返します。
1. [**ターゲット AWS リージョン]** には、米国東部 (オハイオ) の `Ohio (us-east-2)` など、変更を行うリージョンを選択します。
1. [**Rate control**] (レート制御) を展開します。
[**Concurrency**] (同時実行値) に数値を入力して、それがランブックワークフローを同時に実行できるアカウントの数と割合のどちらを表しているかをリストから選択します。
[**Error threshold**] (エラーしきい値) に数値を入力して、それが操作の停止までにランブックワークフローが失敗できるアカウントの数と割合のどちらを表しているかをリストから選択します。
1. [**Deployment targets**] (デプロイターゲット) セクションで、以下を実行します。
1. 次のいずれかを選択します。
+ **Single resource** (単一のリソース) – 変更は 1 つのリソースにしか行われません。例えば、この変更リクエストのランブックで定義されている操作に応じて、これは 1 つのノード、または 1 つの Amazon Machine Image (AMI) になります。
+ **Multiple resources** (複数のリソース) – [**Parameter**] (パラメータ) には、この変更リクエストのランブックからの利用可能なパラメータから選択します。この選択は、更新されるリソースのタイプを反映します。
例えば、この変更リクエストのランブックが `AWS-RetartEC2Instance` である場合は、`InstanceId` を選択してから、以下を選択することで、どのインスタンスが更新されるのかを定義します。
+ **Specify tags** (タグを指定する) – 更新されるすべてのリソースに付けられるタグのキーバリューペアを入力します。
+ [**Choose a resource group**] (リソースグループを選択する) – 更新されるすべてのリソースが属するリソースグループの名前を選択します。
+ **Specify parameter values** (パラメータ値を指定する) – [**Runbook parameters**] (ランブックのパラメータ) セクションで更新するリソースを特定します。
+ **Target all instances** (すべてのインスタンスをターゲットにする) – ターゲットロケーションにあるすべてのマネージドノードで変更を行います。
1. [**Multiple resources**] (複数のリソース) を選択した場合は、[**Rate control**] (レート制御) を展開します。
[**Concurrency**] (同時実行値) に数値を入力して、ランブックワークフローが同時に更新できるターゲットの数と割合のどちらを表しているかをリストから選択します。
[**Error threshold**] (エラーしきい値) に数値を入力して、操作の停止までに更新が失敗できるターゲットの数と割合のどちらを表しているかをリストから選択します。
1. 前のステップで、複数のリソースを更新するために [**Specify parameter values**] (パラメータ値を指定する) を選択した場合: [**Runbook parameters**] (ランブックのパラメータ) セクションで、必要な入力パラメータの値を指定します。指定する必要があるパラメータ値は、選択した変更テンプレートに関連付けられたオートメーションランブックの内容に基づきます。
例えば、変更テンプレートが `AWS-RetartEC2Instance` ランブックを使用する場合、[**instanceId**] パラメータには 1 つ、または複数のインスタンス ID を入力する必要があります。または、[**Show interactive instance picker**] (インタラクティブなインスタンスピッカーを表示) を選択して、利用可能なインスタンスを 1 つずつ選択します。
1. [**Next**] を選択します。
1. [**Review and submit**] (レビューして送信) ページで、この変更リクエストに指定したリソースとオプションを再確認します。
変更を行うすべてのセクションの [**Edit**] (編集) ボタンをクリックします。
変更リクエストの内容に問題がなければ、[**Submit for approval**] (承認のために送信) をクリックします。
リクエスト用に選択した変更テンプレートで Amazon SNS トピックが指定されている場合は、リクエストが拒否または承認されたときに通知が送信されます。リクエストの通知が届かない場合は、Change Manager に戻って、リクエストのステータスを確認できます。
## 変更リクエストの作成 (AWS CLI)
変更リクエストを作成するには、AWS Command Line Interface(AWS CLI) を使用して、変更リクエストのオプションとパラメータを JSON ファイルで指定し、`--cli-input-json` オプションを使用してコマンドに含めることができます。
**変更リクエストを作成するには (AWS CLI)**
1. まだ AWS CLI または AWS Tools for PowerShell をインストールして設定していない場合は、インストールして設定します。
詳細については、「[AWS CLI の最新バージョンをインストールまたは更新します。](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)」および「[AWS Tools for PowerShell のインストール](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html)」を参照してください。
1. `MyChangeRequest.json` などの名前でローカルマシンに JSON ファイルを作成し、次の内容を貼り付けます。
変更リクエストの値で*プレースホルダー*を置き換えます。
**注記**
このサンプル JSON では、`AWS-HelloWorldChangeTemplate` 変更テンプレートおよび `AWS-HelloWorld` ランブックを使用して変更リクエストを作成します。このサンプルを独自の変更リクエストに適用するには、「*AWS Systems Manager API リファレンス*」で「[https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StartChangeRequestExecution.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StartChangeRequestExecution.html)」を参照してください。使用可能なすべてのパラメータに関する情報が掲載されています。
変更リクエストの承認の詳細については、「[変更リクエストの承認について](#cm-approvals-requests)」を参照してください。
```
{
"ChangeRequestName": "MyChangeRequest",
"DocumentName": "AWS-HelloWorldChangeTemplate",
"DocumentVersion": "$DEFAULT",
"ScheduledTime": "2021-12-30T03:00:00",
"ScheduledEndTime": "2021-12-30T03:05:00",
"Tags": [
{
"Key": "Purpose",
"Value": "Testing"
}
],
"Parameters": {
"Approver": [
"JohnDoe"
],
"ApproverType": [
"IamUser"
],
"ApproverSnsTopicArn": [
"arn:aws:sns:us-east-2:123456789012:MyNotificationTopic"
]
},
"Runbooks": [
{
"DocumentName": "AWS-HelloWorld",
"DocumentVersion": "1",
"MaxConcurrency": "1",
"MaxErrors": "1",
"Parameters": {
"AutomationAssumeRole": [
"arn:aws:iam::123456789012:role/MyChangeManagerAssumeRole"
]
}
}
],
"ChangeDetails": "### Document Name: HelloWorldChangeTemplate\n\n## What does this document do?\nThis change template demonstrates the feature set available for creating change templates for Change Manager. This template starts a Runbook workflow for the Automation document called AWS-HelloWorld.\n\n## Input Parameters\n* ApproverSnsTopicArn: (Required) Amazon Simple Notification Service ARN for approvers.\n* Approver: (Required) The name of the approver to send this request to.\n* ApproverType: (Required) The type of reviewer.\n * Allowed Values: IamUser, IamGroup, IamRole, SSOGroup, SSOUser\n\n## Output Parameters\nThis document has no outputs \n"
}
```
1. JSON ファイルを作成したディレクトリで、次のコマンドを実行します。
```
aws ssm start-change-request-execution --cli-input-json file://MyChangeRequest.json
```
システムが以下のような情報をレスポンスします。
```
{
"AutomationExecutionId": "b3c1357a-5756-4839-8617-2d2a4EXAMPLE"
}
```
# 変更リクエストの確認と、承認または拒否
**Change Manager の可用性の変更**
AWS Systems ManagerChange Manager は、2025 年 11 月 7 日以降、新規のお客様の受付を終了します。Change Manager を使用する場合は、その日付の前にサインアップしてください。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Systems Manager Change Manager の可用性の変更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)」を参照してください。
AWS Systems Manager のツールである Change Manager で変更リクエストのレビューワーとして指定されている場合、新しい変更リクエストが確認待ちであるときに、Amazon Simple Notification Service (Amazon SNS) トピックを通じて通知を受け取ります。
**注記**
この機能は、変更テンプレートで、確認通知を送信するために Amazon SNS が指定されているかどうかによって異なります。詳細については、[Change Manager 通知用の Amazon SNS トピックの設定](change-manager-sns-setup.md) を参照してください。
変更リクエストをレビューするには、通知に記載されているリンクを開く、または AWS マネジメントコンソール に直接サインインして、この手順のステップに従うことができます。
**注記**
Amazon SNS トピックが変更テンプレートのレビューワーに割り当てられている場合、変更リクエストのステータスが変更されたときに、トピックのサブスクライバーに通知が送信されます。
変更リクエストの承認の詳細については、「[変更リクエストの承認について](change-requests-create.md#cm-approvals-requests)」を参照してください。
## 変更リクエストの確認と、承認または拒否 (コンソール)
次の手順では、Systems Manager コンソールを使用して変更リクエストを確認して承認または拒否する方法について説明します。
**1 つの変更リクエストを確認して承認または却下するには**
1. 受け取った E メール通知のリンクを開き、AWS マネジメントコンソール にサインインすると、レビューする変更リクエストに移動します。
1. [Summary] (概要) ページで、提案された変更リクエストの内容を確認します。
変更リクエストを承認するには、[**承認**] を選択します。この承認に追加するコメントをダイアログボックスに入力してから、[**Approve**] (承認) をクリックします。このリクエストによって提示されるランブックワークフローの実行は、スケジュールされている日時に開始、または変更を妨げる制限がなくなり次第開始されます。
-または-
変更リクエストを拒否するには、[**Reject**] (却下) を選択します。この拒否に追加するコメントをダイアログボックスに入力してから、[**Reject**] (拒否) をクリックします。
**複数の変更リクエストを一括で確認して承認または却下するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[Change Manager]** を選択します。
1. [**Approvals**] (承認) タブを選択します。
1. (オプション) 各リクエストの名前を選択してユーザーの承認待ちのリクエストの詳細を確認し、[**Approvals**] (承認) タブに戻ります。
1. 承認する各変更リクエストのチェックボックスを選択します。
-または-
拒否する各変更リクエストのチェックボックスを選択します。
1. この承認または居にに関するコメントをダイアログボックスに入力します。
1. 選択した変更リクエストを承認するか拒否するかに応じて、[**承認**] または [**拒否**] を選択します。
## 変更リクエストの確認と、承認または拒否 (コマンドライン)
次の手順では、(Linux、macOS または Windows Server で) AWS Command Line Interface (AWS CLI) を使用して変更リクエストをレビューし、承認または拒否する方法を説明します。
**変更リクエストを確認して承認または却下するには**
1. まだ AWS Command Line Interface (AWS CLI) をインストールして設定していない場合は、インストールして設定します。
詳細については、「[AWS CLI の最新バージョンをインストールまたは更新します。](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)」を参照してください。
1. ローカルマシンで、AWS CLI コールのパラメータを指定する JSON ファイルを作成します。
```
{
"OpsItemFilters":
[
{
"Key": "OpsItemType",
"Values": ["/aws/changerequest"],
"Operator": "Equal"
}
],
"MaxResults": number
}
```
JSON ファイルに承認者の Amazon リソースネーム (ARN) を指定することで、特定の承認者の結果をフィルタリングできます。以下はその例です。
```
{
"OpsItemFilters":
[
{
"Key": "OpsItemType",
"Values": ["/aws/changerequest"],
"Operator": "Equal"
},
{
"Key": "ChangeRequestByApproverArn",
"Values": ["arn:aws:iam::account-id:user/user-name"],
"Operator": "Equal"
}
],
"MaxResults": number
}
```
1. JSON ファイルに指定した変更リクエストの最大数を表示するには、次のコマンドを実行します。
------
#### [ Linux & macOS ]
```
aws ssm describe-ops-items \
--cli-input-json file://filename.json
```
------
#### [ Windows ]
```
aws ssm describe-ops-items ^
--cli-input-json file://filename.json
```
------
1. 次のコマンドを実行して、変更リクエストを承認または拒否します。
------
#### [ Linux & macOS ]
```
aws ssm send-automation-signal \
--automation-execution-id ID \
--signal-type Approve_or_Reject \
--payload Comment="message"
```
------
#### [ Windows ]
```
aws ssm send-automation-signal ^
--automation-execution-id ID ^
--signal-type Approve_or_Reject ^
--payload Comment="message"
```
------
リクエスト用に選択した変更テンプレートで Amazon SNS トピックが指定されている場合は、リクエストが拒否または承認されたときに通知が送信されます。リクエストの通知が届かない場合は、Change Manager に戻って、リクエストのステータスを確認できます。このコマンドを使用するときのその他のオプションの詳細については、AWS CLI コマンドリファレンスの「AWS Systems Manager」セクションの「[https://docs.aws.amazon.com/cli/latest/reference/ssm/send-automation-signal.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/send-automation-signal.html)」を参照してください。
# 変更リクエストの詳細、タスク、およびタイムラインの確認 (コンソール)
**Change Manager の可用性の変更**
AWS Systems ManagerChange Manager は、2025 年 11 月 7 日以降、新規のお客様の受付を終了します。Change Manager を使用する場合は、その日付の前にサインアップしてください。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Systems Manager Change Manager の可用性の変更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)」を参照してください。
AWS Systems Manager のツールである Change Manager のダッシュボードで、変更リクエストに関する情報 (変更処理済みのリクエストを含む) を表示できます。これらの詳細情報には、変更を行うランブックを実行するオートメーションオペレーションへのリンクが含まれます。オートメーション実行 ID はリクエストの作成時に生成されますが、プロセスは、すべての承認が付与され、変更を妨げる制限がなくなるまで実行されません。
**変更リクエストの詳細、タスク、タイムラインを確認するには**
1. ナビゲーションペインで、**Change Manager** を選択します。
1. [**Requests**] (リクエスト) タブを選択します。
1. [**Change requests**] (変更リクエスト) セクションで、確認する変更リクエストを検索します。
検索結果は、[**Create date range**] (作成日付の範囲) オプションを使用して特定の期間に制限することができます。
以下のプロパティを使ってリクエストをフィルタリングできます。
+ `Status`
+ `Request ID`
+ `Approver`
+ `Requester`
例えば、過去 24 時間に正常に完了したすべての変更リクエストの詳細を表示するには、以下を実行します。
1. [**Create date range**] (作成日付の範囲) で [**1d**] を選択します。
1. 検索ボックスで、[**Status, CompletedWithSuccess**] (ステータス、CompletedWithSuccess) の順に選択します。
1. 検索結果から正常に完了した変更リクエストの名前を選択して、結果を確認します。
1. 次のタブに変更リクエストに関する情報を表示します。
+ [**Request details**] (リクエストの詳細) – リクエスタ、変更テンプレート、および変更用に選択したオートメーションランブックなどの変更リクエストに関する基本的な詳細情報を表示します。また、オートメーションオペレーションの詳細へのリンクを開いて、リクエストで指定されているランブックパラメータ、変更リクエストに割り当てられた Amazon CloudWatch アラーム、およびそのリクエストに提供された承認とコメントに関する情報を表示することもできます。
+ **Task** (タスク) – 完了した変更リクエストのタスクステータス、ターゲットリソース、関連するオートメーションランブック内のステップ、および同時実行値とエラーしきい値の詳細など、変更におけるタスクに関する情報を表示します。
+ **Timeline** (タイムライン) – 日時順にリストされた変更リクエストに関連するすべてのイベントの概要を表示します。概要には、変更リクエストが作成された日時、割り当てられた承認者によるアクション、承認された変更リクエストの実行がスケジュールされている日時に関するメモ、ランブックワークフローの詳細、および変更プロセスの全体とランブックの各ステップに関するステータス変更が表示されます。
+ **関連付けられたイベント** – [AWS CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) に記録された変更リクエストに関する監査可能な詳細を表示します。詳細には、実行された API アクション、それらアクションに含まれるリクエストパラメータ、アクションを実行したユーザーアカウント、プロセス中に更新されたリソースなどが含まれています。
CloudTrail Lake イベントトラッキングを有効にすると、CloudTrail Lake に変更リクエストに関連するイベントのイベントデータストアが作成されます。変更リクエストを実行したアカウントまたは組織はイベントの詳細を確認できます。CloudTrail Lake イベントトラッキングは、アカウントまたは組織のどの変更リクエストからでも有効にできます。CloudTrail Lake 統合の有効化とイベントデータストアの作成については、「[変更リクエストイベントのモニタリング](monitoring-change-request-events.md)」を参照してください。
**注記**
**CloudTrail Lake** の使用には料金がかかります。詳細については、「[AWS CloudTrail 料金表](https://aws.amazon.com/cloudtrail/pricing/)」を参照してください。
# 変更リクエストの集計数の表示 (コマンドライン)
**Change Manager の可用性の変更**
AWS Systems ManagerChange Manager は、2025 年 11 月 7 日以降、新規のお客様の受付を終了します。Change Manager を使用する場合は、その日付の前にサインアップしてください。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Systems Manager Change Manager の可用性の変更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)」を参照してください。
[GetOpsSummary](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetOpsSummary.html) API オペレーションを使用すると、AWS Systems Manager のツールである Change Manager で変更リクエストの集計数を表示できます。この API オペレーションは、単一 AWS リージョン 内の単一の AWS アカウント、または複数のアカウントと複数のリージョンに関する集計数を返します。
**注記**
複数の AWS アカウント と複数の AWS リージョン に関する変更リクエストの集計数を表示するには、リソースデータ同期をセットアップして設定する必要があります。詳細については、「[インベントリのリソースデータ同期を作成する](inventory-create-resource-data-sync.md)」を参照してください。
次の手順には、変更要求の集計数を表示するために (Linux、macOS または Windows Server で) AWS Command Line Interface (AWS CLI) を使用する方法が説明されています。
**変更リクエストの集計数を表示するには**
1. まだ AWS Command Line Interface (AWS CLI) をインストールして設定していない場合は、インストールして設定します。
詳細については、「[AWS CLI の最新バージョンをインストールまたは更新します。](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)」を参照してください。
1. 以下のコマンドのいずれかを実行します。
**単一のアカウントとリージョン**
このコマンドは、AWS CLI セッションが設定されている AWS アカウント と AWS リージョン に対するすべての変更リクエストの数を返します。
------
#### [ Linux & macOS ]
```
aws ssm get-ops-summary \
--filters Key=AWS:OpsItem.OpsItemType,Values="/aws/changerequests",Type=Equal \
--aggregators AggregatorType=count,AttributeName=Status,TypeName=AWS:OpsItem
```
------
#### [ Windows ]
```
aws ssm get-ops-summary ^
--filters Key=AWS:OpsItem.OpsItemType,Values="/aws/changerequests",Type=Equal ^
--aggregators AggregatorType=count,AttributeName=Status,TypeName=AWS:OpsItem
```
------
このコールは、以下のような情報を返します。
```
{
"Entities": [
{
"Data": {
"AWS:OpsItem": {
"Content": [
{
"Count": "38",
"Status": "Open"
}
]
}
}
}
]
}
```
**複数のアカウントおよび/またはリージョン**
このコマンドは、リソースデータ同期に指定されている AWS アカウント と AWS リージョン のすべての変更リクエストの数を返します。
------
#### [ Linux & macOS ]
```
aws ssm get-ops-summary \
--sync-name resource_data_sync_name \
--filters Key=AWS:OpsItem.OpsItemType,Values="/aws/changerequests",Type=Equal \
--aggregators AggregatorType=count,AttributeName=Status,TypeName=AWS:OpsItem
```
------
#### [ Windows ]
```
aws ssm get-ops-summary ^
--sync-name resource_data_sync_name ^
--filters Key=AWS:OpsItem.OpsItemType,Values="/aws/changerequests",Type=Equal ^
--aggregators AggregatorType=count,AttributeName=Status,TypeName=AWS:OpsItem
```
------
このコールは、以下のような情報を返します。
```
{
"Entities": [
{
"Data": {
"AWS:OpsItem": {
"Content": [
{
"Count": "43",
"Status": "Open"
},
{
"Count": "2",
"Status": "Resolved"
}
]
}
}
}
]
}
```
**複数のアカウントと特定のリージョン**
このコマンドは、リソースデータ同期に指定されている AWS アカウント のすべての変更リクエストの数を返します。返されるのはコマンドで指定されたリージョンからのデータのみです。
------
#### [ Linux & macOS ]
```
aws ssm get-ops-summary \
--sync-name resource_data_sync_name \
--filters Key=AWS:OpsItem.SourceRegion,Values='Region',Type=Equal Key=AWS:OpsItem.OpsItemType,Values="/aws/changerequests",Type=Equal \
--aggregators AggregatorType=count,AttributeName=Status,TypeName=AWS:OpsItem
```
------
#### [ Windows ]
```
aws ssm get-ops-summary ^
--sync-name resource_data_sync_name ^
--filters Key=AWS:OpsItem.SourceRegion,Values='Region',Type=Equal Key=AWS:OpsItem.OpsItemType,Values="/aws/changerequests",Type=Equal ^
--aggregators AggregatorType=count,AttributeName=Status,TypeName=AWS:OpsItem
```
------
**複数のアカウントとリージョン (出力をリージョンごとに分類)**
このコマンドは、リソースデータ同期に指定されている AWS アカウント と AWS リージョン のすべての変更リクエストの数を返します。出力には、リージョンごとの集計数情報が表示されます。
------
#### [ Linux & macOS ]
```
aws ssm get-ops-summary \
--sync-name resource_data_sync_name \
--filters Key=AWS:OpsItem.OpsItemType,Values="/aws/changerequests",Type=Equal \
--aggregators '[{"AggregatorType":"count","TypeName":"AWS:OpsItem","AttributeName":"Status","Aggregators":[{"AggregatorType":"count","TypeName":"AWS:OpsItem","AttributeName":"SourceRegion"}]}]'
```
------
#### [ Windows ]
```
aws ssm get-ops-summary ^
--sync-name resource_data_sync_name ^
--filters Key=AWS:OpsItem.OpsItemType,Values="/aws/changerequests",Type=Equal ^
--aggregators '[{"AggregatorType":"count","TypeName":"AWS:OpsItem","AttributeName":"Status","Aggregators":[{"AggregatorType":"count","TypeName":"AWS:OpsItem","AttributeName":"SourceRegion"}]}]'
```
------
このコールは、以下のような情報を返します。
```
{
"Entities": [
{
"Data": {
"AWS:OpsItem": {
"Content": [
{
"Count": "38",
"SourceRegion": "us-east-1",
"Status": "Open"
},
{
"Count": "4",
"SourceRegion": "us-east-2",
"Status": "Open"
},
{
"Count": "1",
"SourceRegion": "us-west-1",
"Status": "Open"
},
{
"Count": "2",
"SourceRegion": "us-east-2",
"Status": "Resolved"
}
]
}
}
}
]
}
```
**複数のアカウントとリージョン (出力をアカウントおよびリージョンごとに分類)**
このコマンドは、リソースデータ同期に指定されている AWS アカウント と AWS リージョン のすべての変更リクエストの数を返します。出力は、集計数情報をアカウントおよびリージョン別に分類します。
------
#### [ Linux & macOS ]
```
aws ssm get-ops-summary \
--sync-name resource_data_sync_name \
--filters Key=AWS:OpsItem.OpsItemType,Values="/aws/changerequests",Type=Equal \
--aggregators '[{"AggregatorType":"count","TypeName":"AWS:OpsItem","AttributeName":"Status","Aggregators":[{"AggregatorType":"count","TypeName":"AWS:OpsItem","AttributeName":"SourceAccountId","Aggregators":[{"AggregatorType":"count","TypeName":"AWS:OpsItem","AttributeName":"SourceRegion"}]}]}]'
```
------
#### [ Windows ]
```
aws ssm get-ops-summary ^
--sync-name resource_data_sync_name ^
--filters Key=AWS:OpsItem.OpsItemType,Values="/aws/changerequests",Type=Equal ^
--aggregators '[{"AggregatorType":"count","TypeName":"AWS:OpsItem","AttributeName":"Status","Aggregators":[{"AggregatorType":"count","TypeName":"AWS:OpsItem","AttributeName":"SourceAccountId","Aggregators":[{"AggregatorType":"count","TypeName":"AWS:OpsItem","AttributeName":"SourceRegion"}]}]}]'
```
------
このコールは、以下のような情報を返します。
```
{
"Entities": [
{
"Data": {
"AWS:OpsItem": {
"Content": [
{
"Count": "38",
"SourceAccountId": "123456789012",
"SourceRegion": "us-east-1",
"Status": "Open"
},
{
"Count": "4",
"SourceAccountId": "111122223333",
"SourceRegion": "us-east-2",
"Status": "Open"
},
{
"Count": "1",
"SourceAccountId": "111122223333",
"SourceRegion": "us-west-1",
"Status": "Open"
},
{
"Count": "2",
"SourceAccountId": "444455556666",
"SourceRegion": "us-east-2",
"Status": "Resolved"
},
{
"Count": "1",
"SourceAccountId": "222222222222",
"SourceRegion": "us-east-1",
"Status": "Open"
}
]
}
}
}
]
}
```
# Change Manager アクティビティの監査とログ記録
**Change Manager の可用性の変更**
AWS Systems ManagerChange Manager は、2025 年 11 月 7 日以降、新規のお客様の受付を終了します。Change Manager を使用する場合は、その日付の前にサインアップしてください。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Systems Manager Change Manager の可用性の変更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)」を参照してください。
Amazon CloudWatch と AWS CloudTrail アラームを使用して、AWS Systems Manager のツールである Change Manager でアクティビティを監査できます。
Systems Manager の監査とログ記録のオプションに関する詳細については、「[AWS Systems Manager でのログ記録とモニタリング](monitoring.md)」を参照してください。
## CloudWatch アラームを使用した Change Manager アクティビティの監査
CloudWatch アラームを設定して、変更テンプレートに割り当てることができます。アラームで定義された条件のいずれかが満たされると、そのアラームに指定されたアクションが実行されます。アラームの設定では、アラーム条件が満たされたときに通知する Amazon Simple Notification Service (Amazon SNS) トピックを指定できます。
Change Managerテンプレートの作成に関する詳細については、「[変更テンプレートの使用](change-templates.md)」を参照してください。
CloudWatch アラームの作成の詳細については、*Amazon CloudWatch ユーザーガイド*の「[CloudWatch アラームの使用](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)」を参照してください。
## CloudTrail を使用した Change Manager アクティビティの監査
CloudTrail は、Systems Manager コンソール、AWS Command Line Interface (AWS CLI)、およびSystems Manager SDK で実行された API 呼び出しをキャプチャします。情報は、この情報が保存されている CloudTrail コンソールまたは Amazon Simple Storage Service (Amazon S3) バケットで確認できます。アカウントのすべての CloudTrail ログに対して 1 つのバケットが使用されています。
Change Manager アクションのログには、変更テンプレートドキュメントの作成、変更テンプレートおよび変更リクエストの承認と拒否、オートメーションランブックによって生成されたアクティビティなどが表示されます。Systems Manager アクティビティの CloudTrail ログの表示と使用の詳細については、「[AWS CloudTrail による AWS Systems Manager API コールのログ記録](monitoring-cloudtrail-logs.md)」を参照してください。
# Change Manager のトラブルシューティング
**Change Manager の可用性の変更**
AWS Systems ManagerChange Manager は、2025 年 11 月 7 日以降、新規のお客様の受付を終了します。Change Manager を使用する場合は、その日付の前にサインアップしてください。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS Systems Manager Change Manager の可用性の変更](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html)」を参照してください。
AWS Systems Manager のツールである Change Manager を使用したトラブルシューティングでは、以下の情報を使用します。
**Topics**
+ [Active Directory (グループの使用時における変更リクエストの承認中に発生する「グループ *\$1GUID\$1* が見つかりません」エラー](#change-manager-troubleshooting-sso)
## Active Directory (グループの使用時における変更リクエストの承認中に発生する「グループ *\$1GUID\$1* が見つかりません」エラー
**問題**: ユーザー ID 管理に AWS IAM アイデンティティセンター (IAM Identity Center) を使用するとき、承認許可が付与された Active Directory グループのメンバーに「承認されていません」または「グループが見つかりません」というエラーが Change Manager に表示されます。
+ **解決策**: AWS マネジメントコンソール へのアクセスのために IAM Identity Center で Active Directory グループを選択すると、これらの Active Directory グループからの情報を IAM Identity Center にコピーする定期的な同期がスケジュールされます。このプロセスは、Active Directory グループメンバーシップを通じて承認されたユーザーがリクエストを正常に承認する前に完了しておく必要があります。詳細については、*AWS IAM アイデンティティセンター ユーザーガイド*の「[Microsoft AD directory に接続する](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html)」を参照してください。
# AWS Systems Manager ドキュメント
AWS Systems Manager ドキュメント (SSM ドキュメント) は、Systems Manager がマネージドインスタンスで実行するアクションを定義します。Systems Manager には、ランタイムでパラメータを指定して使用できる事前設定済みのドキュメントが 100 件以上含まれています。Systems Manager のドキュメントコンソールの、**[Owned by Amazon]** (Amazon 所有) タブを選択するか、`ListDocuments` API オペレーションを呼び出す際に `Owner` フィルターで Amazon を指定することで、事前設定済みのドキュメントを確認できます。ドキュメントは JavaScript Object Notation (JSON) や YAML を使用し、これにはユーザーが指定するパラメータおよびステップが含まれます。
セキュリティを強化するため、SSM ドキュメントでは、2025 年 7 月 14 日からパラメータ処理時に環境変数補間がサポートされるようになりました。この機能はスキーマバージョン 2.2 および SSM Agent バージョン 3.3.2746.0 以降で利用でき、コマンドインジェクション攻撃の防止に役立ちます。
SSM ドキュメントの使用を開始するには、[Systems Manager コンソール](https://console.aws.amazon.com/systems-manager/documents)を開きます。ナビゲーションペインで、**[ドキュメント]** を選択します。
**重要**
Systems Manager において、*Amazon 所有*の SSM ドキュメントとは、Amazon Web Services 自体によって作成および管理されているドキュメントです。*Amazon 所有*のドキュメントでは、ドキュメント名に `AWS-*` のようなプレフィックスが含まれます。ドキュメントの所有者は、AWS 内の特定のユーザーアカウントではなく Amazon と見なされます。これらのドキュメントは公開されており、誰でも使用できます。
## ドキュメントツールには自社の組織にどのようなメリットがありますか?
AWS Systems Manager のツールであるドキュメントには以下のメリットがあります。
+ **ドキュメントのカテゴリ**
必要なドキュメントを検索しやすくするには、検索するドキュメントの種類に応じてカテゴリを選択します。検索範囲を広げる場合は、同じドキュメントタイプに対して複数のカテゴリを選択できます。異なるドキュメントタイプに関するカテゴリの選択はサポートされていません。カテゴリーは、Amazon が所有するドキュメントでのみ使用できます。
+ **ドキュメントのバージョン**
ドキュメントの異なるバージョンを作成して保存できます。その後、各ドキュメントのデフォルトのバージョンを指定できます。ドキュメントのデフォルトバージョンは、新しいバージョンに更新したり、古いバージョンのドキュメントに戻すことができます。ドキュメントのコンテンツを変更すると、Systems Manager は自動的にドキュメントのバージョンを増やします。コンソール、AWS Command Line Interface (AWS CLI) コマンド、または API コールでドキュメントバージョンを指定することで、ドキュメントの任意のバージョンを取得または使用できます。
+ **必要に応じてドキュメントをカスタマイズする**
ドキュメントのステップやアクションをカスタマイズする場合は、独自のドキュメントを作成できます。システムが、それが作成された AWS リージョン 内の AWS アカウント により、ドキュメントを保存します。SSM ドキュメントの作成方法の詳細については、「[SSM ドキュメントコンテンツを作成する](documents-creating-content.md)」を参照してください。
+ **タグのドキュメント**
ドキュメントにタグを付けると、そのタグに基づいてドキュメントをすばやく識別できます。たとえば、特定の環境、部門、ユーザー、グループ、または期間でドキュメントをタグ付けできます。ユーザーやグループがアクセスできるタグを指定する AWS Identity and Access Management (IAM) ポリシーを作成することで、ドキュメントへのアクセスを制限することもできます。
+ **ドキュメントの共有**
ドキュメントを公開するか、または同じ AWS リージョン の特定の AWS アカウント と共有できます。例えば、顧客または従業員に提供するすべての Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに同じ設定を適用したい場合などは、アカウント間でドキュメントを共有すると便利です。これは、インスタンス上のアプリケーションまたはパッチを最新の状態に保つことに加えて、顧客のインスタンスで特定のアクティビティを拒否したい場合にも利用できます。または、組織全体の従業員アカウントで使用されているインスタンスに、特定の内部リソースへのアクセス許可が確実に付与されるようにする場合があります。詳細については、「[SSM ドキュメントの共有](documents-ssm-sharing.md)」を参照してください。
## ドキュメントを使用すべきユーザー
+ 大規模な運用での効率改善、手動による介入が原因で起きうるエラー数の削減、一般的な問題の解決までの時間の短縮などに、AWS Systems Manager ツールの使用をお考えのすべてのお客様。
+ デプロイおよび設定タスクを自動化しようとするインフラストラクチャの専門家。
+ 一般的な問題の確実な解決、トラブルシューティングの効率向上、および反復処理の削減を希望する管理者。
+ 通常手動で実行しているタスクの自動化を目指すユーザー。
## SSM ドキュメントの種類について教えてください。
次の表に、各タイプの SSM ドキュメントと、それらの用途についての説明を示します。
****
| タイプ | 以下で使用 | 詳細 |
| --- | --- | --- |
| ApplicationConfiguration ApplicationConfigurationSchema | [AWS AppConfig](https://docs.aws.amazon.com/appconfig/latest/userguide/what-is-appconfig.html) | AWS Systems Manager のツールである AWS AppConfig を使用すると、アプリケーション設定を作成、管理し、迅速にデプロイできます。`ApplicationConfiguration` ドキュメントタイプを使用するドキュメントを作成することにより、設定データを SSM ドキュメントに保存できます。詳細については、「*AWS AppConfig ユーザーガイド*」の「[Freeform configurations](https://docs.aws.amazon.com/appconfig/latest/userguide/appconfig-creating-configuration-and-profile.html#free-form-configurations)」(自由形式の設定) を参照してください。 SSM ドキュメントで設定を作成する場合は、対応する JSON スキーマを指定する必要があります。スキーマは `ApplicationConfigurationSchema` ドキュメントタイプを使用し、一連のルールと同様に、各アプリケーション構成設定で許可されるプロパティを定義します。詳細については、「*AWS AppConfig ユーザーガイド*」の「[About validators](https://docs.aws.amazon.com/appconfig/latest/userguide/appconfig-creating-configuration-and-profile-validators.html)」(バリデーターについて) を参照してください。 |
| Automation ランブック | [オートメーション](systems-manager-automation.md) [State Manager](systems-manager-state.md) [Maintenance Windows](maintenance-windows.md) | Amazon Machine Image (AMI) の作成や更新など、一般的なメンテナンスやデプロイメントタスクを実行する際に、Automation ランブックを使用します。State Manager は、Automation ランブックを使用して設定を適用します。これらのアクションは、インスタンスのライフサイクル中いつでも 1 つ、または複数のターゲットで実行できます。Maintenance Windowsは、指定されたスケジュールに基づいた一般的なメンテナンスタスクとデプロイメントタスクの実行に Automation ランブックを使用します。 Linux ベースのオペレーティングシステム用にサポートされているAutomation ランブックはすべて、macOS 向けの EC2 インスタンスでもサポートされています。 |
| Change Calendar ドキュメント | [Change Calendar](systems-manager-change-calendar.md) | AWS Systems Manager のツールである Change Calendar は、`ChangeCalendar` ドキュメントタイプを使用します。Change Calendar ドキュメントには、Automation アクションによる環境の変更を許可または禁止できるカレンダーエントリと関連するイベントが保存されます。Change Calendar では、ドキュメントに [iCalendar 2.0](https://icalendar.org/) データがプレーンテキスト形式で保存されます。 Change Calendar は、macOS の EC2 インスタンスではサポートされていません。 |
| AWS CloudFormation テンプレート | [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) | AWS CloudFormation テンプレートは、CloudFormation スタックでプロビジョニングするリソースについて記述します。CloudFormation テンプレートを Systems Manager のドキュメントとして保存すると、Systems Manager のドキュメント機能のメリットを活用できます。これには、複数のバージョンのテンプレートの作成と比較、同じ AWS リージョン の他のアカウントとのテンプレートの共有が含まれます。 Systems Manager のツールである Application Manager を使用して、CloudFormation テンプレートとスタックを作成して編集できます。詳細については、「[Application Manager での CloudFormation テンプレートとスタックの使用](application-manager-working-stacks.md)」を参照してください。 |
| コマンドのドキュメント | [Run Command](run-command.md) [State Manager](systems-manager-state.md) [Maintenance Windows](maintenance-windows.md) | AWS Systems Manager のツールである Run Command は、コマンドドキュメントを使用してコマンドを実行します。AWS Systems Manager のツールである State Manager は、コマンドドキュメントを使用して設定を適用します。これらのアクションは、インスタンスのライフサイクル中にいつでも、1 つまたは複数のターゲットで実行できます。AWS Systems Manager のツールである Maintenance Windows は、指定されたスケジュールに基づいて設定を適用するためにコマンドドキュメントを使用します。 ほとんどのコマンドドキュメントは、Systems Manager でサポートされているすべての Linux および Windows Server オペレーティングシステムでサポートされています。macOS 向けの EC2 インスタンスでは、以下のコマンドドキュメントがサポートされています。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/documents.html) |
| AWS Config コンフォーマンスパックテンプレート | [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) | AWS Config コンフォーマンスパックテンプレートは YAML 形式のドキュメントで、AWS Config マネージドルールまたはカスタムルールおよび修復アクションのリストを含むコンフォーマンスパックを作成するために使用されます。 詳細については、「[コンフォーマンスパック](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html)」を参照してください。 |
| パッケージドキュメント | [Distributor](distributor.md) | AWS Systems Manager のツールである Distributor では、パッケージは、SSM ドキュメントで表されます。パッケージドキュメントには、マネージドインスタンスにインストールするソフトウェアまたはアセットを含む添付 ZIP アーカイブファイルが含まれています。Distributor でパッケージを作成するパッケージドキュメントを作成します。 Distributor は、Oracle Linux および macOS マネージドインスタンスではサポートされていません。 |
| ポリシードキュメント | [State Manager](systems-manager-state.md) | AWS Systems Manager のツールである Inventory では、`AWS-GatherSoftwareInventory` ポリシードキュメントと State Manager の関連付けを使って、マネージドインスタンスからインベントリデータを収集します。独自の SSM ドキュメントを作成するときは、Automation ランブックとコマンドドキュメントがマネージドインスタンスへのポリシーの適用に推奨される方法です。 Systems Manager Inventory と `AWS-GatherSoftwareInventory` ポリシードキュメントは、Systems Manager のサポート対象のすべてのオペレーティングシステムでサポートされています。 |
| インシデント後分析テンプレート | [Incident Manager インシデント後分析](https://docs.aws.amazon.com/incident-manager/latest/userguide/analysis.html) | Incident Manager は、インシデント後分析テンプレートを使用して、AWS オペレーション管理のベストプラクティスに基づいて分析を作成します。 御社のチームは、テンプレートを使用して作成した分析を、インシデント対応での改善点を特定するために使用できます。 |
| セッションドキュメント | [Session Manager](session-manager.md) | AWS Systems Manager のツールである Session Manager は、セッションドキュメントを使用して、ポート転送セッション、インタラクティブコマンドを実行するセッション、SSH トンネルを作成するセッションなど、開始するセッションのタイプを決定します。 セッションドキュメントは、Systems Manager でサポートされているすべての Linux および Windows Server オペレーティングシステムでサポートされています。macOS 向けの EC2 インスタンスでは、以下のコマンドドキュメントがサポートされています。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/documents.html) |
**SSM ドキュメントクォータ**
SSM ドキュメントのクォータの詳細については、「Amazon Web Services 全般のリファレンス」の「[Systems Manager Service Quotas](https://docs.aws.amazon.com/general/latest/gr/ssm.html#limits_ssm)」を参照してください。
**Topics**
+ [ドキュメントツールには自社の組織にどのようなメリットがありますか?](#ssm-docs-benefits)
+ [ドキュメントを使用すべきユーザー](#documents-who)
+ [SSM ドキュメントの種類について教えてください。](#what-are-document-types)
+ [ドキュメントコンポーネント](documents-components.md)
+ [SSM ドキュメントコンテンツを作成する](documents-creating-content.md)
+ [ドキュメントでの作業](documents-using.md)
+ [パラメータ処理の問題のトラブルシューティング](parameter-troubleshooting.md)
# ドキュメントコンポーネント
このセクションには、SSM ドキュメントを構成するコンポーネントに関する情報が含まれます。
**Topics**
+ [スキーマ、機能、および例](documents-schemas-features.md)
+ [データ要素とパラメータ](documents-syntax-data-elements-parameters.md)
+ [コマンドドキュメントプラグインリファレンス](documents-command-ssm-plugin-reference.md)
# スキーマ、機能、および例
AWS Systems Manager (SSM) ドキュメントでは以下のスキーマバージョンを使用しています。
+ `Command` タイプのドキュメントは、スキーマバージョン 1.2、2.0 および 2.2 を使用できます。使用しているドキュメントがスキーマ 1.2 である場合は、スキーマバージョン 2.2 を使用するドキュメントを作成することをお勧めします。
+ `Policy` タイプのドキュメントは、スキーマバージョン 2.0 以降を使用する必要があります。
+ `Automation` タイプのドキュメントは、スキーマバージョン 0.3 を使用する必要があります。
+ `Session` タイプのドキュメントは、スキーマバージョン 1.0 を使用する必要があります。
+ JSON あるいは YAML でドキュメントを作成できます。
`Session` ドキュメントスキーマの詳細については、「[セッションドキュメントスキーマ](session-manager-schema.md)」を参照してください。
`Command` および `Policy` ドキュメントで最新バージョンのスキーマを使用することで、次の機能を利用できます。
**スキーマバージョン 2.2 ドキュメントの機能**
| 機能 | 詳細 |
| --- | --- |
| ドキュメントの編集 | ドキュメントは更新可能になりました。バージョン 1.2 では、ドキュメントを更新した場合に別の名前で保存する必要がありました。 |
| バージョンの自動管理 | ドキュメントを更新すると新しいバージョンが作成されます。これはスキーマのバージョンではなく、ドキュメントのバージョンです。 |
| デフォルトバージョン | ドキュメントに複数のバージョンがある場合、どのバージョンがデフォルトのドキュメントかを指定できます。 |
| 順序付け | ドキュメントのプラグインまたは*ステップ*を指定した順序で実行します。 |
| クロスプラットフォームのサポート | クロスプラットフォームをサポートすることで、同じ SSM ドキュメント内で異なるプラグインに異なるオペレーティングシステムを指定できます。クロスプラットフォームのサポートはステップ内の `precondition` パラメータを使用します。 |
| パラメータ補間 | 補間とは、文字列に変数値を挿入または置換することを意味します。文字列を使用する前に、実際の値で空白を埋めるものと考えてください。SSM ドキュメントのコンテキストでは、パラメータ補間により、コマンドを実行する前に文字列パラメータを環境変数に対して補間することができるため、コマンドインジェクションに対するセキュリティを高めることができます。`ENV_VAR` に設定すると、エージェントは、パラメータの値を含む `SSM_parameter-name` という名前の環境変数を作成します。 |
**注記**
新しい Systems Manager 機能および SSM ドキュメント機能を使用するには、インスタンスの AWS Systems Manager SSM Agent を常に最新バージョンに更新しておく必要があります。詳細については、「[Run Command を使用して SSM Agent を更新する](run-command-tutorial-update-software.md#rc-console-agentexample)」を参照してください。
次の表はスキーマのメジャーバージョン間の相違点の一覧です。
****
| バージョン 1.2 | バージョン 2.2 (最新バージョン) | 詳細 |
| --- | --- | --- |
| runtimeConfig | mainSteps | バージョン 2.2 では、`mainSteps` の代わりに `runtimeConfig` セクションを使用します。`mainSteps` セクションでは、Systems Manager でステップを順番に実行できます。 |
| プロパティ | inputs | バージョン 2.2 では、`inputs` セクションの代わりに `properties` セクションを使用します。`inputs` セクションは、ステップのパラメータを受け入れます。 |
| commands | runCommand | バージョン 2.2 では、`inputs` セクションは `runCommand` パラメータを使用します。`commands` パラメータは使用しません。 |
| id | action | バージョン 2.2 では、`Action` の代わりに `ID` を使用します。これは名前のみの変更です。 |
| 該当なし | name | バージョン 2.2 では、`name` はステップの任意のユーザー定義名です。 |
**前提条件パラメータを使用する**
スキーマバージョン 2.2 以降では、`precondition` パラメータを使用して、各プラグインのターゲットオペレーティングシステムを指定したり、SSM ドキュメントで定義した入力パラメータを検証したりすることができます。`precondition` パラメータは、SSM ドキュメントの入力パラメータと、`platformType`、`Linux`、および `MacOS` の値を使用する `Windows` の参照をサポートします。`StringEquals` 演算子のみがサポートされています。
スキーマバージョン 2.2 以降を使用するドキュメントの場合、`precondition` が指定されていないと、各プラグインはそのプラグインとオペレーティングシステムとの互換性に基づいて実行またはスキップされます。オペレーティングシステムとのプラグインの互換性は、`precondition` の前に評価されます。スキーマ 2.0 以前を使用するドキュメントの場合は、互換性のないプラグインはエラーをスローします。
例えば、スキーマバージョンが 2.2 のドキュメントで、`precondition` が指定されておらず `aws:runShellScript` プラグインが一覧表示されている場合、そのステップは Linux インスタンスで実行されますが、Windows Server インスタンスではシステムによってこれがスキップされます。これは、`aws:runShellScript` が Windows Server インスタンスと互換性がないためです。しかし、スキーマバージョンが 2.0 のドキュメントでは、`aws:runShellScript` プラグインを指定して、ドキュメントを Windows Server インスタンスで実行した場合、実行は失敗します。SSM ドキュメントでの前提条件パラメータの例は後でこのセクションで確認できます。
## スキーマバージョン 2.2
**最上位の要素**
以下の例では、スキーマバージョン 2.2 を使用した SSM ドキュメントの最上位要素を示しています。
------
#### [ YAML ]
```
---
schemaVersion: "2.2"
description: A description of the document.
parameters:
parameter 1:
property 1: "value"
property 2: "value"
parameter 2:
property 1: "value"
property 2: "value"
mainSteps:
- action: Plugin name
name: A name for the step.
inputs:
input 1: "value"
input 2: "value"
input 3: "{{ parameter 1 }}"
```
------
#### [ JSON ]
```
{
"schemaVersion": "2.2",
"description": "A description of the document.",
"parameters": {
"parameter 1": {
"property 1": "value",
"property 2": "value"
},
"parameter 2":{
"property 1": "value",
"property 2": "value"
}
},
"mainSteps": [
{
"action": "Plugin name",
"name": "A name for the step.",
"inputs": {
"input 1": "value",
"input 2": "value",
"input 3": "{{ parameter 1 }}"
}
}
]
}
```
------
**スキーマバージョン 2.2 の例**
以下の例では、`aws:runPowerShellScript` プラグインを使用してターゲットインスタンスで PowerShell コマンドを実行しています。
------
#### [ YAML ]
```
---
schemaVersion: "2.2"
description: "Example document"
parameters:
Message:
type: "String"
description: "Example parameter"
default: "Hello World"
allowedValues:
- "Hello World"
mainSteps:
- action: "aws:runPowerShellScript"
name: "example"
inputs:
timeoutSeconds: '60'
runCommand:
- "Write-Output {{Message}}"
```
------
#### [ JSON ]
```
{
"schemaVersion": "2.2",
"description": "Example document",
"parameters": {
"Message": {
"type": "String",
"description": "Example parameter",
"default": "Hello World",
"allowedValues": ["Hello World"]
}
},
"mainSteps": [
{
"action": "aws:runPowerShellScript",
"name": "example",
"inputs": {
"timeoutSeconds": "60",
"runCommand": [
"Write-Output {{Message}}"
]
}
}
]
}
```
------
**スキーマバージョン 2.2 の precondition パラメータ例**
スキーマバージョン 2.2 ではクロスプラットフォームのサポートを提供します。つまり、単一の SSM ドキュメント内で異なるプラグインに異なるオペレーティングシステムを指定できます。クロスプラットフォームのサポートは、次の例のようにステップ内で `precondition`パラメータを使用します。`precondition` パラメータは、SSM ドキュメントで定義した入力パラメータの検証にも使用できます。これは、次の例の 2 番目にあります。
------
#### [ YAML ]
```
---
schemaVersion: '2.2'
description: cross-platform sample
mainSteps:
- action: aws:runPowerShellScript
name: PatchWindows
precondition:
StringEquals:
- platformType
- Windows
inputs:
runCommand:
- cmds
- action: aws:runShellScript
name: PatchLinux
precondition:
StringEquals:
- platformType
- Linux
inputs:
runCommand:
- cmds
```
------
#### [ JSON ]
```
{
"schemaVersion": "2.2",
"description": "cross-platform sample",
"mainSteps": [
{
"action": "aws:runPowerShellScript",
"name": "PatchWindows",
"precondition": {
"StringEquals": [
"platformType",
"Windows"
]
},
"inputs": {
"runCommand": [
"cmds"
]
}
},
{
"action": "aws:runShellScript",
"name": "PatchLinux",
"precondition": {
"StringEquals": [
"platformType",
"Linux"
]
},
"inputs": {
"runCommand": [
"cmds"
]
}
}
]
}
```
------
------
#### [ YAML ]
```
---
schemaVersion: '2.2'
parameters:
action:
type: String
allowedValues:
- Install
- Uninstall
confirmed:
type: String
allowedValues:
- True
- False
mainSteps:
- action: aws:runShellScript
name: InstallAwsCLI
precondition:
StringEquals:
- "{{ action }}"
- "Install"
inputs:
runCommand:
- sudo apt install aws-cli
- action: aws:runShellScript
name: UninstallAwsCLI
precondition:
StringEquals:
- "{{ action }} {{ confirmed }}"
- "Uninstall True"
inputs:
runCommand:
- sudo apt remove aws-cli
```
------
#### [ JSON ]
```
{
"schemaVersion": "2.2",
"parameters": {
"action": {
"type": "String",
"allowedValues": [
"Install",
"Uninstall"
]
},
"confirmed": {
"type": "String",
"allowedValues": [
true,
false
]
}
},
"mainSteps": [
{
"action": "aws:runShellScript",
"name": "InstallAwsCLI",
"precondition": {
"StringEquals": [
"{{ action }}",
"Install"
]
},
"inputs": {
"runCommand": [
"sudo apt install aws-cli"
]
}
},
{
"action": "aws:runShellScript",
"name": "UninstallAwsCLI",
"precondition": {
"StringEquals": [
"{{ action }} {{ confirmed }}",
"Uninstall True"
]
},
"inputs": {
"runCommand": [
"sudo apt remove aws-cli"
]
}
}
]
}
```
------
**SSM Agent のバージョンが 3.3.2746.0 より前である、スキーマバージョン 2.2 補間の例**
バージョンが 3.3.2746.0 より前である SSM Agent では、エージェントは `interpolationType` パラメータを無視し、代わりに raw 文字列の置換を実行します。`SSM_parameter-name` を明示的に参照する場合は、これを明示的に設定する必要があります。次の Linux の例では、`SSM_Message` 環境変数が明示的に参照されています。
```
{
"schemaVersion": "2.2",
"description": "An example document",
"parameters": {
"Message": {
"type": "String",
"description": "Message to be printed",
"default": "Hello",
"interpolationType" : "ENV_VAR",
"allowedPattern: "^[^"]*$"
}
},
"mainSteps": [{
"action": "aws:runShellScript",
"name": "printMessage",
"inputs": {
"runCommand": [
"if [ -z "${SSM_Message+x}" ]; then",
" export SSM_Message=\"{{Message}}\"",
"fi",
"",
"echo $SSM_Message"
]
}
}
}
```
**注記**
SSM ドキュメントが二重中括弧 `{{ }}` を使用していない場合、`allowedPattern` は理論的には必要ありません。
**スキーマバージョン 2.2 State Manager の例**
Systems Manager のツールである State Manager で以下の SSM ドキュメントを使用すると、ClamAV のウイルス対策ソフトウェアをダウンロードしてインストールできます。State Manager によって特定の設定が適用されます。つまり、State Manager 関連付けが実行されるごとに、ClamAV ソフトウェアがインストールされているかが、システムによってチェックされます。インストールされていない場合には、State Manager はこのドキュメントを返します。
------
#### [ YAML ]
```
---
schemaVersion: '2.2'
description: State Manager Bootstrap Example
parameters: {}
mainSteps:
- action: aws:runShellScript
name: configureServer
inputs:
runCommand:
- sudo yum install -y httpd24
- sudo yum --enablerepo=epel install -y clamav
```
------
#### [ JSON ]
```
{
"schemaVersion": "2.2",
"description": "State Manager Bootstrap Example",
"parameters": {},
"mainSteps": [
{
"action": "aws:runShellScript",
"name": "configureServer",
"inputs": {
"runCommand": [
"sudo yum install -y httpd24",
"sudo yum --enablerepo=epel install -y clamav"
]
}
}
]
}
```
------
**スキーマバージョン 2.2 インベントリの例**
State Manager で以下の SSM ドキュメントを使用すると、インスタンスに関するインベントリのメタデータを収集できます。
------
#### [ YAML ]
```
---
schemaVersion: '2.2'
description: Software Inventory Policy Document.
parameters:
applications:
type: String
default: Enabled
description: "(Optional) Collect data for installed applications."
allowedValues:
- Enabled
- Disabled
awsComponents:
type: String
default: Enabled
description: "(Optional) Collect data for AWS Components like amazon-ssm-agent."
allowedValues:
- Enabled
- Disabled
networkConfig:
type: String
default: Enabled
description: "(Optional) Collect data for Network configurations."
allowedValues:
- Enabled
- Disabled
windowsUpdates:
type: String
default: Enabled
description: "(Optional) Collect data for all Windows Updates."
allowedValues:
- Enabled
- Disabled
instanceDetailedInformation:
type: String
default: Enabled
description: "(Optional) Collect additional information about the instance, including
the CPU model, speed, and the number of cores, to name a few."
allowedValues:
- Enabled
- Disabled
customInventory:
type: String
default: Enabled
description: "(Optional) Collect data for custom inventory."
allowedValues:
- Enabled
- Disabled
mainSteps:
- action: aws:softwareInventory
name: collectSoftwareInventoryItems
inputs:
applications: "{{ applications }}"
awsComponents: "{{ awsComponents }}"
networkConfig: "{{ networkConfig }}"
windowsUpdates: "{{ windowsUpdates }}"
instanceDetailedInformation: "{{ instanceDetailedInformation }}"
customInventory: "{{ customInventory }}"
```
------
#### [ JSON ]
```
{
"schemaVersion": "2.2",
"description": "Software Inventory Policy Document.",
"parameters": {
"applications": {
"type": "String",
"default": "Enabled",
"description": "(Optional) Collect data for installed applications.",
"allowedValues": [
"Enabled",
"Disabled"
]
},
"awsComponents": {
"type": "String",
"default": "Enabled",
"description": "(Optional) Collect data for AWS Components like amazon-ssm-agent.",
"allowedValues": [
"Enabled",
"Disabled"
]
},
"networkConfig": {
"type": "String",
"default": "Enabled",
"description": "(Optional) Collect data for Network configurations.",
"allowedValues": [
"Enabled",
"Disabled"
]
},
"windowsUpdates": {
"type": "String",
"default": "Enabled",
"description": "(Optional) Collect data for all Windows Updates.",
"allowedValues": [
"Enabled",
"Disabled"
]
},
"instanceDetailedInformation": {
"type": "String",
"default": "Enabled",
"description": "(Optional) Collect additional information about the instance, including\nthe CPU model, speed, and the number of cores, to name a few.",
"allowedValues": [
"Enabled",
"Disabled"
]
},
"customInventory": {
"type": "String",
"default": "Enabled",
"description": "(Optional) Collect data for custom inventory.",
"allowedValues": [
"Enabled",
"Disabled"
]
}
},
"mainSteps": [
{
"action": "aws:softwareInventory",
"name": "collectSoftwareInventoryItems",
"inputs": {
"applications": "{{ applications }}",
"awsComponents": "{{ awsComponents }}",
"networkConfig": "{{ networkConfig }}",
"windowsUpdates": "{{ windowsUpdates }}",
"instanceDetailedInformation": "{{ instanceDetailedInformation }}",
"customInventory": "{{ customInventory }}"
}
}
]
}
```
------
**スキーマバージョン 2.2 `AWS-ConfigureAWSPackage` の例**
以下の例は `AWS-ConfigureAWSPackage` ドキュメントを示しています。`mainSteps` セクションの `aws:configurePackage` ステップには `action` プラグインが含まれています。
**注記**
Linux オペレーティングシステムでは、`AmazonCloudWatchAgent` パッケージ、および `AWSSupport-EC2Rescue` パッケージのみがサポートされています。
------
#### [ YAML ]
```
---
schemaVersion: '2.2'
description: 'Install or uninstall the latest version or specified version of an AWS
package. Available packages include the following: AWSPVDriver, AwsEnaNetworkDriver,
AwsVssComponents, and AmazonCloudWatchAgent, and AWSSupport-EC2Rescue.'
parameters:
action:
description: "(Required) Specify whether or not to install or uninstall the package."
type: String
allowedValues:
- Install
- Uninstall
name:
description: "(Required) The package to install/uninstall."
type: String
allowedPattern: "^arn:[a-z0-9][-.a-z0-9]{0,62}:[a-z0-9][-.a-z0-9]{0,62}:([a-z0-9][-.a-z0-9]{0,62})?:([a-z0-9][-.a-z0-9]{0,62})?:package\\/[a-zA-Z][a-zA-Z0-9\\-_]{0,39}$|^[a-zA-Z][a-zA-Z0-9\\-_]{0,39}$"
version:
type: String
description: "(Optional) A specific version of the package to install or uninstall."
mainSteps:
- action: aws:configurePackage
name: configurePackage
inputs:
name: "{{ name }}"
action: "{{ action }}"
version: "{{ version }}"
```
------
#### [ JSON ]
```
{
"schemaVersion": "2.2",
"description": "Install or uninstall the latest version or specified version of an AWS package. Available packages include the following: AWSPVDriver, AwsEnaNetworkDriver, AwsVssComponents, and AmazonCloudWatchAgent, and AWSSupport-EC2Rescue.",
"parameters": {
"action": {
"description":"(Required) Specify whether or not to install or uninstall the package.",
"type":"String",
"allowedValues":[
"Install",
"Uninstall"
]
},
"name": {
"description": "(Required) The package to install/uninstall.",
"type": "String",
"allowedPattern": "^arn:[a-z0-9][-.a-z0-9]{0,62}:[a-z0-9][-.a-z0-9]{0,62}:([a-z0-9][-.a-z0-9]{0,62})?:([a-z0-9][-.a-z0-9]{0,62})?:package\\/[a-zA-Z][a-zA-Z0-9\\-_]{0,39}$|^[a-zA-Z][a-zA-Z0-9\\-_]{0,39}$"
},
"version": {
"type": "String",
"description": "(Optional) A specific version of the package to install or uninstall."
}
},
"mainSteps":[
{
"action": "aws:configurePackage",
"name": "configurePackage",
"inputs": {
"name": "{{ name }}",
"action": "{{ action }}",
"version": "{{ version }}"
}
}
]
}
```
------
## スキーマバージョン 1.2
次の例では、スキーマバージョン 1.2 のドキュメントの最上位要素を示します。
```
{
"schemaVersion":"1.2",
"description":"A description of the SSM document.",
"parameters":{
"parameter 1":{
"one or more parameter properties"
},
"parameter 2":{
"one or more parameter properties"
},
"parameter 3":{
"one or more parameter properties"
}
},
"runtimeConfig":{
"plugin 1":{
"properties":[
{
"one or more plugin properties"
}
]
}
}
}
```
**スキーマバージョン 1.2 `aws:runShellScript` の例**
以下の例は `AWS-RunShellScript` SSM ドキュメントを示しています。**runtimeConfig** セクションには `aws:runShellScript` プラグインが含まれます。
```
{
"schemaVersion":"1.2",
"description":"Run a shell script or specify the commands to run.",
"parameters":{
"commands":{
"type":"StringList",
"description":"(Required) Specify a shell script or a command to run.",
"minItems":1,
"displayType":"textarea"
},
"workingDirectory":{
"type":"String",
"default":"",
"description":"(Optional) The path to the working directory on your instance.",
"maxChars":4096
},
"executionTimeout":{
"type":"String",
"default":"3600",
"description":"(Optional) The time in seconds for a command to complete before it is considered to have failed. Default is 3600 (1 hour). Maximum is 172800 (48 hours).",
"allowedPattern":"([1-9][0-9]{0,3})|(1[0-9]{1,4})|(2[0-7][0-9]{1,3})|(28[0-7][0-9]{1,2})|(28800)"
}
},
"runtimeConfig":{
"aws:runShellScript":{
"properties":[
{
"id":"0.aws:runShellScript",
"runCommand":"{{ commands }}",
"workingDirectory":"{{ workingDirectory }}",
"timeoutSeconds":"{{ executionTimeout }}"
}
]
}
}
}
```
## スキーマバージョン 0.3
**最上位の要素**
次の例では、スキーマバージョン 0.3 の Automation ランブックの最上位要素を JSON 形式で示します。
```
{
"description": "document-description",
"schemaVersion": "0.3",
"assumeRole": "{{assumeRole}}",
"parameters": {
"parameter1": {
"type": "String",
"description": "parameter-1-description",
"default": ""
},
"parameter2": {
"type": "String",
"description": "parameter-2-description",
"default": ""
}
},
"variables": {
"variable1": {
"type": "StringMap",
"description": "variable-1-description",
"default": {}
},
"variable2": {
"type": "String",
"description": "variable-2-description",
"default": "default-value"
}
},
"mainSteps": [
{
"name": "myStepName",
"action": "action-name",
"maxAttempts": 1,
"inputs": {
"Handler": "python-only-handler-name",
"Runtime": "runtime-name",
"Attachment": "script-or-zip-name"
},
"outputs": {
"Name": "output-name",
"Selector": "selector.value",
"Type": "data-type"
}
}
],
"files": {
"script-or-zip-name": {
"checksums": {
"sha256": "checksum"
},
"size": 1234
}
}
}
```
**YAML Automation ランブックの例**
次の例では、Automation ランブックの内容を YAML 形式で示します。このバージョン 0.3 のドキュメントスキーマの実例では、Markdown を使用してドキュメントの説明をフォーマットする方法も示しています。
```
description: >-
##Title: LaunchInstanceAndCheckState
-----
**Purpose**: This Automation runbook first launches an EC2 instance
using the AMI ID provided in the parameter ```imageId```. The second step of
this document continuously checks the instance status check value for the
launched instance until the status ```ok``` is returned.
##Parameters:
-----
Name | Type | Description | Default Value
------------- | ------------- | ------------- | -------------
assumeRole | String | (Optional) The ARN of the role that allows Automation to
perform the actions on your behalf. | -
imageId | String | (Optional) The AMI ID to use for launching the instance.
The default value uses the latest Amazon Linux AMI ID available. | {{
ssm:/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-6.1-x86_64 }}
schemaVersion: '0.3'
assumeRole: 'arn:aws:iam::111122223333::role/AutomationServiceRole'
parameters:
imageId:
type: String
default: '{{ ssm:/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-6.1-x86_64 }}'
description: >-
(Optional) The AMI ID to use for launching the instance. The default value
uses the latest released Amazon Linux AMI ID.
tagValue:
type: String
default: ' LaunchedBySsmAutomation'
description: >-
(Optional) The tag value to add to the instance. The default value is
LaunchedBySsmAutomation.
instanceType:
type: String
default: t2.micro
description: >-
(Optional) The instance type to use for the instance. The default value is
t2.micro.
mainSteps:
- name: LaunchEc2Instance
action: 'aws:executeScript'
outputs:
- Name: payload
Selector: $.Payload
Type: StringMap
inputs:
Runtime: python3.11
Handler: launch_instance
Script: ''
InputPayload:
image_id: '{{ imageId }}'
tag_value: '{{ tagValue }}'
instance_type: '{{ instanceType }}'
Attachment: launch.py
description: >-
**About This Step**
This step first launches an EC2 instance using the ```aws:executeScript```
action and the provided python script.
- name: WaitForInstanceStatusOk
action: 'aws:executeScript'
inputs:
Runtime: python3.11
Handler: poll_instance
Script: |-
def poll_instance(events, context):
import boto3
import time
ec2 = boto3.client('ec2')
instance_id = events['InstanceId']
print('[INFO] Waiting for instance status check to report ok', instance_id)
instance_status = "null"
while True:
res = ec2.describe_instance_status(InstanceIds=[instance_id])
if len(res['InstanceStatuses']) == 0:
print("Instance status information is not available yet")
time.sleep(5)
continue
instance_status = res['InstanceStatuses'][0]['InstanceStatus']['Status']
print('[INFO] Polling to get status of the instance', instance_status)
if instance_status == 'ok':
break
time.sleep(10)
return {'Status': instance_status, 'InstanceId': instance_id}
InputPayload: '{{ LaunchEc2Instance.payload }}'
description: >-
**About This Step**
The python script continuously polls the instance status check value for
the instance launched in Step 1 until the ```ok``` status is returned.
files:
launch.py:
checksums:
sha256: 18871b1311b295c43d0f...[truncated]...772da97b67e99d84d342ef4aEXAMPLE
```
## 安全なパラメータ処理の例
ここでは、環境変数 `interpolationType` を使用した安全なパラメータ処理の例を紹介します。
### 基本的なセキュアコマンドの実行
この例は、コマンドパラメータを安全に処理する方法を示しています。
**注記**
SSM ドキュメントが二重中括弧 `{{ }}` を使用していない場合、`allowedPattern` は理論的には必要ありません。
------
#### [ YAML ]
```
---
schemaVersion: '2.2'
description: An example document.
parameters:
Message:
type: String
description: "Message to be printed"
default: Hello
interpolationType: ENV_VAR
allowedPattern: "^[^"]*$"
mainSteps:
- action: aws:runShellScript
name: printMessage
precondition:
StringEquals:
- platformType
- Linux
inputs:
runCommand:
- echo {{Message}}
```
------
#### [ JSON ]
```
{
"schemaVersion": "2.2",
"description": "An example document.",
"parameters": {
"Message": {
"type": "String",
"description": "Message to be printed",
"default": "Hello",
"interpolationType": "ENV_VAR",
"allowedPattern": "^[^"]*$"
}
},
"mainSteps": [{
"action": "aws:runShellScript",
"name": "printMessage",
"precondition": {
"StringEquals": ["platformType", "Linux"]
},
"inputs": {
"runCommand": [
"echo {{Message}}"
]
}
}]
}
```
------
### インタプリタ型言語でのパラメータの使用
この例は、Python での安全なパラメータ処理を示しています。
------
#### [ YAML ]
```
---
schemaVersion: '2.2'
description: 'Secure Python script execution'
parameters:
inputData:
type: String
description: 'Input data for processing'
interpolationType: 'ENV_VAR'
mainSteps:
- action: aws:runPowerShellScript
name: runPython
inputs:
runCommand:
- |
python3 -c '
import os
import json
# Safely access parameter through environment variable
input_data = os.environ.get("SSM_inputData", "")
# Process the data
try:
processed_data = json.loads(input_data)
print(f"Successfully processed: {processed_data}")
except json.JSONDecodeError:
print("Invalid JSON input")
'
```
------
### 下位互換性の例
この例は、下位互換性を保ちながらパラメータを安全に処理する方法を示しています。
------
#### [ YAML ]
```
---
schemaVersion: '2.2'
description: 'Backwards compatible secure parameter handling'
parameters:
userInput:
type: String
description: 'User input to process'
interpolationType: 'ENV_VAR'
allowedPattern: '^[^"]*$'
mainSteps:
- action: aws:runShellScript
name: processInput
inputs:
runCommand:
- |
# Handle both modern and legacy agent versions
if [ -z "${SSM_userInput+x}" ]; then
# Legacy agent - fall back to direct parameter reference
export SSM_userInput="{{userInput}}"
fi
# Process the input securely
echo "Processing input: $SSM_userInput"
```
------
**注記**
SSM ドキュメントが二重中括弧 `{{ }}` を使用していない場合、`allowedPattern` は理論的には必要ありません。
## パラメータのセキュリティベストプラクティス
SSM ドキュメントでパラメータを処理するときは、次のベストプラクティスに従います。
+ **環境変数補間を使用する** - コマンド実行に使用する文字列パラメータには、常に `interpolationType: "ENV_VAR"` を使用します。
+ **入力検証を実装する** - `allowedPattern` を使用して、パラメータ値を安全なパターンに制限します。
+ **レガシーシステムを処理する** - 環境変数補間をサポートしていない SSM Agent の古いバージョン向けにフォールバックロジックを含めます。
+ **特殊文字をエスケープする** - コマンドにパラメータ値を使用するときは、特殊文字を適切にエスケープして、シェルによる解釈を防ぎます。
+ **パラメータスコープを制限する** - ユースケースには、できる限り制限の厳しいパラメータパターンを使用します。
# データ要素とパラメータ
このトピックでは、SSM ドキュメントで使用されるデータ要素について説明します。ドキュメントの作成に使用されるスキーマのバージョンは、ドキュメントで使用できる構文とデータ要素を定義します。コマンドドキュメントには、スキーマバージョン 2.2 以降を使用することをお勧めします。Automation ランブックはスキーマバージョン 0.3 を使用します。さらに、Automation ランブックでは、マークアップ言語である Markdown の使用がサポートされています。これにより、wiki スタイルの説明をドキュメントやドキュメント内の個々のステップに追加できます。Markdown の使用に関する詳細については、「AWS マネジメントコンソール 入門ガイド」の「[コンソールでの Markdown の使用](https://docs.aws.amazon.com/general/latest/gr/aws-markdown.html)」を参照してください。
次のセクションでは、SSM ドキュメントに含めることができるデータ要素について説明します。
## 最上位のデータ要素
**schemaVersion**
使用するスキーマバージョン。
型: バージョン
必須: はい
**description**
ドキュメントの目的を説明するために提供する情報。またこのフィールドを使用して、ドキュメントの実行にパラメータの値が必要か否か、またはパラメータの値の指定が任意か否かを指定することもできます。必須と任意のパラメータはこのトピックのサンプルをご参照ください。
タイプ: 文字列
必須: いいえ
**パラメータ**
ドキュメントが許可するパラメータを定義する構造。
文字列パラメータを処理する際のセキュリティを強化するには、`interpolationType` プロパティを指定して環境変数補間を使用します。`ENV_VAR` に設定すると、システムは、パラメータの値を含む `SSM_parameter-name` という名前の環境変数を作成します。
次は、環境変数 `interpolationType` を使用するパラメータの例です。
```
{
"schemaVersion": "2.2",
"description": "An example document.",
"parameters": {
"Message": {
"type": "String",
"description": "Message to be printed",
"default": "Hello",
"interpolationType" : "ENV_VAR",
"allowedPattern": "^[^"]*$"
}
},
"mainSteps": [{
"action": "aws:runShellScript",
"name": "printMessage",
"precondition" : {
"StringEquals" : ["platformType", "Linux"]
},
"inputs": {
"runCommand": [
"echo {{Message}}"
]
}
}
}
```
SSM ドキュメントが二重中括弧 `{{ }}` を使用していない場合、`allowedPattern` は理論的には必要ありません。
頻繁に使用するパラメータの場合は、そのパラメータを AWS Systems Manager のツールである Parameter Store に保存することをお勧めします。次に、デフォルト値として Parameter Store パラメータを参照するパラメータをドキュメントで定義できます。Parameter Store パラメータを参照するには、次の構文を使用します。
```
{{ssm:parameter-name}}
```
他のドキュメントパラメータと同じ方法で、Parameter Store パラメータを参照するパラメータを使用できます。次の例では、`commands` パラメータのデフォルト値は Parameter Store パラメータ `myShellCommands` です。`commands` パラメータを `runCommand` 文字列として指定すると、ドキュメントは `myShellCommands` パラメータに格納されているコマンドを実行します。
```
---
schemaVersion: '2.2'
description: runShellScript with command strings stored as Parameter Store parameter
parameters:
commands:
type: StringList
description: "(Required) The commands to run on the instance."
default: ["{{ ssm:myShellCommands }}"],
interpolationType : 'ENV_VAR'
allowedPattern: '^[^"]*$'
mainSteps:
- action: aws:runShellScript
name: runShellScriptDefaultParams
inputs:
runCommand:"{{ commands }}"
```
```
{
"schemaVersion": "2.2",
"description": "runShellScript with command strings stored as Parameter Store parameter",
"parameters": {
"commands": {
"type": "StringList",
"description": "(Required) The commands to run on the instance.",
"default": ["{{ ssm:myShellCommands }}"],
"interpolationType" : "ENV_VAR"
}
},
"mainSteps": [
{
"action": "aws:runShellScript",
"name": "runShellScriptDefaultParams",
"inputs": {
"runCommand": [
"{{ commands }}"
]
}
}
]
}
```
`String` および `StringList` Parameter Store パラメータは、ドキュメントの `parameters` セクションで参照できます。`SecureString` Parameter Store パラメータは参照できません。
の詳細については、「Parameter Store」を参照してください。[AWS Systems Manager Parameter Store](systems-manager-parameter-store.md)
型: 構造
`parameters`構造は次のフィールドと値を受け入れます。
+ `type`: (必須) その値として `String`、`StringList`、`Integer`、`Boolean`、`MapList`、`StringMap` を使用できます。各タイプの例を表示するには、次のセクションの「[SSM ドキュメントパラメータ `type` の例](#top-level-properties-type)」を参照してください。
**注記**
コマンドタイプのドキュメントでは、`String` および `StringList` パラメータタイプのみがサポートされます。
+ `description`: (オプション) パラメータグループの説明。
+ `default`: (オプション) Parameter Store でのパラメータのデフォルト値またはパラメータへの参照。
+ `allowedValues`: (オプション) パラメータに使用できる値の配列。パラメータに使用できる値を定義すると、ユーザー入力が検証されます。使用できない値をユーザーが入力すると、実行の開始に失敗します。
------
#### [ YAML ]
```
DirectoryType:
type: String
description: "(Required) The directory type to launch."
default: AwsMad
allowedValues:
- AdConnector
- AwsMad
- SimpleAd
```
------
#### [ JSON ]
```
"DirectoryType": {
"type": "String",
"description": "(Required) The directory type to launch.",
"default": "AwsMad",
"allowedValues": [
"AdConnector",
"AwsMad",
"SimpleAd"
]
}
```
------
+ `allowedPattern`: (オプション) ユーザー入力がパラメータに対して定義されたパターンと一致するかどうかを検証する正規表現。ユーザー入力が使用できるパターンと一致しない場合、実行は開始されません。
**注記**
Systems Manager は、`allowedPattern` について 2 つの検証を実行します。1 つ目の検証は、ドキュメントを使用するときに API レベルで [Java 正規表現ライブラリ](https://docs.oracle.com/javase/8/docs/api/java/util/regex/package-summary.html)を使用して実行されます。2 つ目の検証は、ドキュメントを処理する前に [GO regexp ライブラリ](https://pkg.go.dev/regexp)を使用して SSM Agent に対して実行されます。
------
#### [ YAML ]
```
InstanceId:
type: String
description: "(Required) The instance ID to target."
allowedPattern: "^i-(?:[a-f0-9]{8}|[a-f0-9]{17})$"
default: ''
```
------
#### [ JSON ]
```
"InstanceId": {
"type": "String",
"description": "(Required) The instance ID to target.",
"allowedPattern": "^i-(?:[a-f0-9]{8}|[a-f0-9]{17})$",
"default": ""
}
```
------
+ `displayType`: (オプション) `textfield` の `textarea` または AWS マネジメントコンソール のいずれかを表示するために使用されます。`textfield` は、1 行のテキストボックスで、`textarea` は、複数行のテキストエリアです。
+ `minItems`: (オプション) 許可される項目の最小数。
+ `maxItems`: (オプション) 許可される項目の最大数。
+ `minChars`: (オプション) 許可される項目の最小数。
+ `maxChars`: (オプション) を許可されているパラメータ文字の最大数。
+ `interpolationType`: (オプション) コマンドを実行する前にパラメータ値をどのように処理するかを定義します。`ENV_VAR` に設定すると、パラメータ値は `SSM_parameter-name` という名前の環境変数として使用できるようになります。この機能を使うと、パラメータ値をリテラル文字列として処理することによりコマンドインジェクションを防げるようになります。
型: 文字列
有効な値: `ENV_VAR`
必須:いいえ
**variables**
(スキーマバージョン 0.3 のみ) 自動化ランブックのステップ全体で参照または更新できる値。変数はパラメーターと似ていますが、非常に重要な点において異なります。パラメーター値はランブックのコンテキストでは静的ですが、変数の値はランブックのコンテキストでは変更できます。変数の値を更新する場合、データ型は定義されたデータ型と一致する必要があります。オートメーションの変数値の更新に関する詳細は、「[`aws:updateVariable` — ランブック変数の値を更新します。](automation-action-update-variable.md)」を参照してください。
型: ブール値|整数|マップリスト|文字列|文字列リスト|文字列マップ
必須: いいえ
```
variables:
payload:
type: StringMap
default: "{}"
```
```
{
"variables": [
"payload": {
"type": "StringMap",
"default": "{}"
}
]
}
```
**runtimeConfig**
(スキーマバージョン 1.2 のみ) 1 つ以上の Systems Manager プラグインによって適用されるインスタンスの構成。プラグインは必ずしも順番に実行されるとは限りません。
型: Dictionary
必須: いいえ
**mainSteps**
(スキーマバージョン 0.3、2.0、および 2.2 のみ) 複数のステップ (プラグイン) を含むことができるオブジェクト。プラグインはステップ内で定義されます。ステップは、ドキュメントに記載されている順番に実行されます。
型: Dictionary
必須: はい
**出力**
(スキーマバージョン 0.3 のみ) このドキュメントの実行によって生成され、他のプロセスで使用できるデータ。例えば、ドキュメントで新しい AMI を作成する場合、出力値として「CreateImage.ImageId」を指定すると、この出力を使用して後続のオートメーションの実行から新しいインスタンスを作成できます。出力の詳細については、「[アクション出力の入力としての使用](automation-action-outputs-inputs.md)」を参照してください。
型: Dictionary
必須: いいえ
**files**
(スキーマバージョン 0.3 のみ) ドキュメントに添付され、自動実行時に実行されるスクリプトファイル (およびそのチェックサム)。`aws:executeScript` アクションを含むドキュメントのうち、添付ファイルが 1 つ以上のステップに指定されているもののみに適用されます。
オートメーションランブックでサポートされているランタイムについては、「[`aws:executeScript` – スクリプトを実行する](automation-action-executeScript.md)」を参照してください。Automation ランブックにスクリプトを含める方法の詳細については、「[ランブックでのスクリプトの使用](automation-document-script-considerations.md)」および「[オートメーションランブックのビジュアルデザインエクスペリエンス](automation-visual-designer.md)」を参照してください。
アタッチメントの付いたオートメーションランブックを作成するときは、`--attachments` オプション (AWS CLI の場合) または `Attachments` (API および SDK の場合) を使用して添付ファイルを指定する必要があります。SSM ドキュメントと、Amazon Simple Storage Service (Amazon S3) バケット内に保存されているファイルの両方で、ファイルの場所を指定できます。詳細については、「AWS Systems Manager API リファレンス」の「[Attachments](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateDocument.html#systemsmanager-CreateDocument-request-Attachments)」(アタッチメント) を参照してください。
```
---
files:
launch.py:
checksums:
sha256: 18871b1311b295c43d0f...[truncated]...772da97b67e99d84d342ef4aEXAMPLE
```
```
"files": {
"launch.py": {
"checksums": {
"sha256": "18871b1311b295c43d0f...[truncated]...772da97b67e99d84d342ef4aEXAMPLE"
}
}
}
```
型: Dictionary
必須: いいえ
## SSM ドキュメントパラメータ `type` の例
SSM ドキュメント内のパラメータのデータ型は静的です。つまり、パラメータのデータ型は定義後に変更することはできません。SSM ドキュメントプラグインでパラメータを使用する場合、パラメータのデータ型をプラグインの入力内で動的に変更することはできません。例えば、`Integer` プラグインの `runCommand` 入力内の `aws:runShellScript` パラメータを参照することはできません。この入力は文字列または文字列のリストを受け入れるためです。プラグインの入力にパラメータを使用するには、パラメータのデータ型が、入力の受け入れ可能なデータ型と一致している必要があります。例えば、`Boolean` プラグインの `allowDowngrade` 入力には `aws:updateSsmAgent` 型のパラメータを指定する必要があります。パラメータのデータ型がプラグインの入力のデータ型と一致しない場合、SSM ドキュメントの検証は失敗となり、システムによってドキュメントは作成されません。これは、他のプラグイン、もしくは AWS Systems Manager のオートメーションアクション用に、入力内にある下流のパラメータを使用する場合にも当てはまります。例えば、`aws:runDocument` プラグインの `documentParameters` 入力にある `StringList` パラメータを参照することはできません。ダウンストリーム SSM ドキュメントパラメータのタイプが `StringList` パラメータで、かつ参照しようとしているパラメータと一致する場合でも、`documentParameters` 入力は、文字列へのマッピングを受け入れます。
オートメーションアクションでパラメータを使用するときは、ほとんどの場合、SSM ドキュメントを作成するときにパラメータのデータ型は検証されません。`aws:runCommand` アクションを使用する場合にのみ、SSM ドキュメントを作成するときにパラメータのデータ型が検証されます。それ以外の場合、オートメーションの実行中、アクションが実行される前にその入力が検証されるときに、パラメータが検証されます。例えば、入力パラメータが `String` であり、それを `MaxInstanceCount` アクションの `aws:runInstances` 入力の値として参照する場合は、SSM ドキュメントが作成されます。ただし、ドキュメントを実行すると、`aws:runInstances` アクションの検証中にオートメーションは失敗します。`MaxInstanceCount` 入力に `Integer` が必要なためです。
以下に示しているのは、各パラメータ `type` の例です。
文字列
引用符で囲んだ 0 個以上の Unicode 文字のシーケンス。例えば、"i-1234567890abcdef0" など。バックスラッシュを使用してエスケープします。
文字列パラメータには、セキュリティを高めるために環境変数補間を有効にする値 `ENV_VAR` を持つ、オプションの `interpolationType` フィールドを含めることができます。
```
---
InstanceId:
type: String
description: "(Optional) The target EC2 instance ID."
interpolationType: ENV_VAR
```
```
"InstanceId":{
"type":"String",
"description":"(Optional) The target EC2 instance ID.",
"interpolationType": "ENV_VAR"
}
```
StringList
カンマ区切りの文字列項目のリスト。例えば、["cd \$1", "pwd"] など。
```
---
commands:
type: StringList
description: "(Required) Specify a shell script or a command to run."
default: ""
minItems: 1
displayType: textarea
```
```
"commands":{
"type":"StringList",
"description":"(Required) Specify a shell script or a command to run.",
"minItems":1,
"displayType":"textarea"
}
```
Boolean
`true` または `false` のみを使用できます。"true" または 0 は使用できません。
```
---
canRun:
type: Boolean
description: ''
default: true
```
```
"canRun": {
"type": "Boolean",
"description": "",
"default": true
}
```
整数
整数。小数 (3.14159 など) や引用符で囲んだ数字 ("3" など) は使用できません。
```
---
timeout:
type: Integer
description: The type of action to perform.
default: 100
```
```
"timeout": {
"type": "Integer",
"description": "The type of action to perform.",
"default": 100
}
```
StringMap
キーと値のマッピング。キーと値は文字列でなければなりません。例えば、\$1"Env": "Prod"\$1 など。
```
---
notificationConfig:
type: StringMap
description: The configuration for events to be notified about
default:
NotificationType: 'Command'
NotificationEvents:
- 'Failed'
NotificationArn: "$dependency.topicArn"
maxChars: 150
```
```
"notificationConfig" : {
"type" : "StringMap",
"description" : "The configuration for events to be notified about",
"default" : {
"NotificationType" : "Command",
"NotificationEvents" : ["Failed"],
"NotificationArn" : "$dependency.topicArn"
},
"maxChars" : 150
}
```
MapList
StringMap オブジェクトのリスト。
```
blockDeviceMappings:
type: MapList
description: The mappings for the create image inputs
default:
- DeviceName: "/dev/sda1"
Ebs:
VolumeSize: "50"
- DeviceName: "/dev/sdm"
Ebs:
VolumeSize: "100"
maxItems: 2
```
```
"blockDeviceMappings":{
"type":"MapList",
"description":"The mappings for the create image inputs",
"default":[
{
"DeviceName":"/dev/sda1",
"Ebs":{
"VolumeSize":"50"
}
},
{
"DeviceName":"/dev/sdm",
"Ebs":{
"VolumeSize":"100"
}
}
],
"maxItems":2
}
```
## SSM コマンドドキュメントの内容の表示
AWS Systems Manager (SSM) コマンドドキュメントの必須パラメータとオプションのパラメータ、およびドキュメントが実行するアクションをプレビューするには、Systems Manager コンソールでドキュメントのコンテンツを表示できます。
**SSM コマンドドキュメントの内容を表示するには**
1. AWS Systems Manager コンソール ([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)) を開きます。
1. ナビゲーションペインで、**[ドキュメント]** を選択します。
1. 検索ボックスで、[**ドキュメントのタイプ**] を選択し、[**コマンド**] を選択します。
1. ドキュメントの名前を選択し、[**コンテンツ**] タブをクリックします。
1. [コンテンツ] フィールドで、ドキュメントで使用できるパラメータとアクションステップを確認します。
例えば、次の図は、(1) `version` と (2) `allowDowngrade` が `AWS-UpdateSSMAgent` ドキュメントのオプションのパラメータで、ドキュメントによって実行される最初のアクションが (3) `aws:updateSsmAgent` であることを示しています。
![\[Systems Manager コンソールで SSM ドキュメントの内容を表示する\]](http://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/images/view-document-content.png)
# コマンドドキュメントプラグインリファレンス
このリファレンスでは、AWS Systems Manager (SSM) コマンドドキュメントで指定できるプラグインが説明されています。これらのプラグインは、オートメーションアクションを使用する SSM オートメーションランブックでは使用できません。AWS Systems Manager Automation アクションについては、「[Systems Manager Automation アクションのリファレンス](automation-actions.md)」を参照してください。
Systems Manager は、SSM ドキュメントの内容を読み取ることによって、マネージドインスタンスで実行するアクションを判別します。各ドキュメントにはコード実行セクションが含まれています。ドキュメントのスキーマバージョンに応じて、このコード実行セクションには 1 つ以上のプラグインまたはステップが含まれます。このヘルプトピックの目的上、プラグインとステップは*プラグイン*と呼んでいます。このセクションには、各 Systems Manager プラグインに関して説明します。ドキュメントの作成に関する情報やスキーマのバージョンの違いなど、ドキュメントの詳細については、「[AWS Systems Manager ドキュメント](documents.md)」を参照してください。
`aws:runShellScript` や `aws:runPowerShellScript` などの文字列パラメータを受け入れるプラグインの場合、`interpolationType` パラメータを使用して、パラメータ入力を潜在的に実行可能なコマンドではなく文字列リテラルとして処理することにより、セキュリティを高めることができます。例えば、次のようになります。
```
{
"schemaVersion": "2.2",
"description": "runShellScript with command strings stored as Parameter Store parameter",
"parameters": {
"commands": {
"type": "StringList",
"description": "(Required) The commands to run on the instance.",
"default": ["{{ ssm:myShellCommands }}"],
"interpolationType" : "ENV_VAR"
}
},
//truncated
}
```
**注記**
ここで説明するプラグインの中には、Windows Server インスタンスまたは Linux インスタンスのいずれかでのみ実行されるものがあります。各プラグインにはプラットフォームの依存関係が記載されています。
macOS 向けの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスでは、以下のドキュメントプラグインがサポートされています。
`aws:refreshAssociation`
`aws:runShellScript`
`aws:runPowerShellScript`
`aws:softwareInventory`
`aws:updateSsmAgent`
**Topics**
+ [共有入力](#shared-inputs)
+ [`aws:applications`](#aws-applications)
+ [`aws:cloudWatch`](#aws-cloudWatch)
+ [`aws:configureDocker`](#aws-configuredocker)
+ [`aws:configurePackage`](#aws-configurepackage)
+ [`aws:domainJoin`](#aws-domainJoin)
+ [`aws:downloadContent`](#aws-downloadContent)
+ [`aws:psModule`](#aws-psModule)
+ [`aws:refreshAssociation`](#aws-refreshassociation)
+ [`aws:runDockerAction`](#aws-rundockeraction)
+ [`aws:runDocument`](#aws-rundocument)
+ [`aws:runPowerShellScript`](#aws-runPowerShellScript)
+ [`aws:runShellScript`](#aws-runShellScript)
+ [`aws:softwareInventory`](#aws-softwareinventory)
+ [`aws:updateAgent`](#aws-updateagent)
+ [`aws:updateSsmAgent`](#aws-updatessmagent)
## 共有入力
あらゆるプラグインが以下の入力を使用できるのは、SSM Agent バージョン 3.0.502 以降のみです。
**finallyStep**
ドキュメントに実行させる最後のステップです。この入力がステップに定義されている場合、`exit` または `onFailure` 入力で指定されている `onSuccess` 値よりもこれが優先されます。この入力が定義されたステップを期待どおりに実行するには、このステップをドキュメントの `mainSteps` で定義されている最後のステップにする必要があります。
タイプ: ブール値
有効な値: `true` \$1 `false`
必須: いいえ
**onFailure**
`exit` 値を使用するプラグインにこの入力を指定して、ステップが失敗した場合は、ステップのステータスにこの障害が反映され、`finallyStep` が定義されない限り、ドキュメントは残りのステップを実行しません。`successAndExit` 値を使用するプラグインにこの入力を値で指定して、ステップが失敗した場合は、ステップのステータスが成功になり、`finallyStep` が定義されない限り、ドキュメントは残りのステップを実行しません。
型: 文字列
有効な値: `exit` \$1 `successAndExit`
必須: いいえ
**onSuccess**
プラグインにこの入力を指定し、ステップが正常に実行した場合、`finallyStep` が定義されている場合を除き、ドキュメントは残りのステップを実行しません。
型: 文字列
有効な値: `exit`
必須: いいえ
------
#### [ YAML ]
```
---
schemaVersion: '2.2'
description: Shared inputs example
parameters:
customDocumentParameter:
type: String
description: Example parameter for a custom Command-type document.
mainSteps:
- action: aws:runDocument
name: runCustomConfiguration
inputs:
documentType: SSMDocument
documentPath: "yourCustomDocument"
documentParameters: '"documentParameter":{{customDocumentParameter}}'
onSuccess: exit
- action: aws:runDocument
name: ifConfigurationFailure
inputs:
documentType: SSMDocument
documentPath: "yourCustomRepairDocument"
onFailure: exit
- action: aws:runDocument
name: finalConfiguration
inputs:
documentType: SSMDocument
documentPath: "yourCustomFinalDocument"
finallyStep: true
```
------
#### [ JSON ]
```
{
"schemaVersion": "2.2",
"description": "Shared inputs example",
"parameters": {
"customDocumentParameter": {
"type": "String",
"description": "Example parameter for a custom Command-type document."
}
},
"mainSteps":[
{
"action": "aws:runDocument",
"name": "runCustomConfiguration",
"inputs": {
"documentType": "SSMDocument",
"documentPath": "yourCustomDocument",
"documentParameters": "\"documentParameter\":{{customDocumentParameter}}",
"onSuccess": "exit"
}
},
{
"action": "aws:runDocument",
"name": "ifConfigurationFailure",
"inputs": {
"documentType": "SSMDocument",
"documentPath": "yourCustomRepairDocument",
"onFailure": "exit"
}
},
{
"action": "aws:runDocument",
"name":"finalConfiguration",
"inputs": {
"documentType": "SSMDocument",
"documentPath": "yourCustomFinalDocument",
"finallyStep": true
}
}
]
}
```
------
## `aws:applications`
EC2 インスタンスでアプリケーションをインストール、修復、またはアンインストールします。このプラグインは、Windows Server オペレーティングシステムでのみ実行されます。
### 構文
#### スキーマ 2.2
------
#### [ YAML ]
```
---
schemaVersion: '2.2'
description: aws:applications plugin
parameters:
source:
description: "(Required) Source of msi."
type: String
mainSteps:
- action: aws:applications
name: example
inputs:
action: Install
source: "{{ source }}"
```
------
#### [ JSON ]
```
{
"schemaVersion":"2.2",
"description":"aws:applications",
"parameters":{
"source":{
"description":"(Required) Source of msi.",
"type":"String"
}
},
"mainSteps":[
{
"action":"aws:applications",
"name":"example",
"inputs":{
"action":"Install",
"source":"{{ source }}"
}
}
]
}
```
------
#### スキーマ 1.2
------
#### [ YAML ]
```
---
runtimeConfig:
aws:applications:
properties:
- id: 0.aws:applications
action: "{{ action }}"
parameters: "{{ parameters }}"
source: "{{ source }}"
sourceHash: "{{ sourceHash }}"
```
------
#### [ JSON ]
```
{
"runtimeConfig":{
"aws:applications":{
"properties":[
{
"id":"0.aws:applications",
"action":"{{ action }}",
"parameters":"{{ parameters }}",
"source":"{{ source }}",
"sourceHash":"{{ sourceHash }}"
}
]
}
}
}
```
------
### プロパティ
**action**
取るべきアクション。
タイプ: Enum
有効な値: `Install` \$1 `Repair` \$1 `Uninstall`
必須: はい
**パラメータ**
インストーラのパラメータ。
型: 文字列
必須: いいえ
**source**
アプリケーションの `.msi` ファイルの URL。
型: 文字列
必須: はい
**sourceHash**
`.msi` ファイルの SHA256 ハッシュ。
型: 文字列
必須: いいえ
## `aws:cloudWatch`
Windows Server から Amazon CloudWatch または Amazon CloudWatch Logs にデータをエクスポートし、CloudWatch メトリクスを使用してデータをモニタリングします。このプラグインは、Windows Server オペレーティングシステムでのみ実行されます。Amazon Elastic Compute Cloud (Amazon EC2) との CloudWatch 統合の設定の詳細については、「Amazon CloudWatch ユーザーガイド」の「[CloudWatch エージェントを使用したメトリクス、ログ、トレースの収集](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)」を参照してください。
**重要**
CloudWatch の統合エージェントによって、ログデータを Amazon CloudWatch Logs に送信するためのツールとして SSM Agent が置き換えられました。SSM Agent aws:cloudWatch プラグインはサポートされていません。ログ収集プロセスには、統合された CloudWatch エージェントのみを使用することをお勧めします。詳細については、以下の各トピックを参照してください。
[統合された CloudWatch Logs へのノードログの送信 (CloudWatch エージェント)](monitoring-cloudwatch-agent.md)
[Windows Server ノードのログ収集を CloudWatch エージェントに移行する](monitoring-cloudwatch-agent.md#monitoring-cloudwatch-agent-migrate)
「Amazon CloudWatch ユーザーガイド」の「[CloudWatch エージェントを使用してメトリクス、ログ、トレースを収集する](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)」。
次のデータ型をエクスポートおよび監視できます。
**ApplicationEventLog**
アプリケーションイベントログデータを CloudWatch Logs に送信します。
**CustomLogs**
テキストベースのログファイルを Amazon CloudWatch Logs に送信します。 CloudWatch プラグインは、ログファイルのフィンガープリントを作成します。次に、システムは各フィンガープリントにデータオフセットを関連付けます。プラグインは、変更があったときにファイルをアップロードし、オフセットを記録し、オフセットをフィンガープリントに関連付けます。この方法は、ユーザーがプラグインを有効にし、多数のファイルを含むディレクトリにサービスを関連付け、システムがすべてのファイルをアップロードすることを避けるために使用されます。
アプリケーションがポーリング中にログをトランケートまたは消去しようとすると、`LogDirectoryPath` で指定されたログではエントリが失われることに注意してください。たとえば、ログファイルのサイズを制限する場合は、その制限に達すると新しいログファイルを作成し、新しいファイルにデータを書き続ける必要があります。
**ETW**
Windows のイベントトレース (ETW) データを CloudWatch Logs に送信します。
**IIS**
IIS ログデータを CloudWatch Logs に送信します。
**PerformanceCounter**
Windows パフォーマンスカウンターを CloudWatch に送信します。 メトリクスとして CloudWatch にアップロードするさまざまなカテゴリを選択できます。アップロードするパフォーマンスカウンタごとに、一意の ID (たとえば、「PerformanceCounter2」、「PerformanceCounter3」など) を持つ[**PerformanceCounter**] セクションを作成し、そのプロパティを設定します。
AWS Systems Manager SSM Agent または CloudWatch プラグインが停止した場合、パフォーマンスカウンターのデータは、CloudWatch にログ記録されません。この動作は、カスタムログまたは Windows イベントログとは異なります。SSM Agent または CloudWatch プラグインを使用できる場合、カスタムログと Windows イベントログはパフォーマンスカウンタデータを保持し、CloudWatch にアップロードします。
**SecurityEventLog**
セキュリティイベントログデータを CloudWatch Logs に送信します。
**SystemEventLog**
システムイベントログデータを CloudWatch Logs に送信します。
データの送信先として以下を定義できます。
**CloudWatch**
パフォーマンスカウンターのメトリクスデータの送信先。同じデータを別の場所に送信するには、一意の ID (例: 「CloudWatch2」、「CloudWatch3」) を使用してセクションを追加し、新しい ID ごとに異なるリージョンを指定します。
**CloudWatchLogs**
ログデータの送信先。一意の ID (例: 「CloudWatchLogs2」、「CloudWatchLogs3」) を含むセクションを追加し、新しい ID ごとに異なるリージョンを指定して、同じデータを別の場所に送信できます。
### 構文
```
"runtimeConfig":{
"aws:cloudWatch":{
"settings":{
"startType":"{{ status }}"
},
"properties":"{{ properties }}"
}
}
```
### 設定とプロパティ
**AccessKey**
お客様のアクセスキー ID。IAM ロールを使用してインスタンスを起動しない限り、このプロパティは必須です。このプロパティは SSM では使用できません。
型: 文字列
必須: いいえ
**CategoryName**
パフォーマンスモニターのパフォーマンスカウンタカテゴリ。
型: 文字列
必須: はい
**CounterName**
パフォーマンスモニターのパフォーマンスカウンターの名前。
型: 文字列
必須: はい
**CultureName**
タイムスタンプが記録されるロケール。**CultureName** を空白にした場合は、Windows Server インスタンスで使用されているものと同じロケールになります。
型: 文字列
有効な値: サポートされている値のリストについては、Microsoft ウェブサイトの「[National Language Support (NLS)](https://msdn.microsoft.com/en-us/library/cc233982.aspx)」を参照してください。**div**、**div-MV**、**hu**、および **hu-HU** の値はサポートされません。
必須: いいえ
**DimensionName**
Amazon CloudWatch メトリクスのディメンション。`DimensionName` を指定する場合は、`DimensionValue` を指定する必要があります。これらのパラメータにより、メトリクスが一覧表示される別のビューが表示されます。複数のメトリクスに同じディメンションを使用して、特定のディメンションに属するすべてのメトリクスを表示することができます。
型: 文字列
必須: いいえ
**DimensionValue**
Amazon CloudWatch メトリクスのディメンション値。
型: 文字列
必須: いいえ
**エンコード**
使用するファイルエンコード (たとえば、UTF-8)。表示名ではなく、エンコード名を使用します。
タイプ: 文字列
有効な値: サポートされる値の一覧については、Microsoft Learn Library の「[Encoding クラス](https://learn.microsoft.com/en-us/dotnet/api/system.text.encoding?view=net-7.0)」を参照してください。
必須: はい
**フィルタ**
ログ名のプレフィックス。すべてのファイルをモニタリングするには、このパラメータを空白のままにします。
型: 文字列
有効な値: サポートされる値の一覧については、MSDN ライブラリの「[FileSystemWatcherFilter プロパティ](http://msdn.microsoft.com/en-us/library/system.io.filesystemwatcher.filter.aspx)」を参照してください。
必須: いいえ
**フロー**
アップロードする各データタイプ、およびデータの送信先 (CloudWatch または CloudWatch Logs)。例えば、[`"Id": "PerformanceCounter"`] で定義されたパフォーマンスカウンタを CloudWatch に送信するには、`"Id": "CloudWatch"` で定義された送信先、[**"PerformanceCounter,CloudWatch"**] を入力します。同様に、カスタムログ、ETW ログ、システムログを `"Id": "ETW"` で定義された CloudWatch Logs の送信先に送信するには、「**"(ETW),CloudWatchLogs"**」と入力します。加えて、同じパフォーマンスカウンターまたはログファイルを複数の宛先に送信することもできます。たとえば、アプリケーションログを `"Id": "CloudWatchLogs"` と `"Id": "CloudWatchLogs2"` で定義した 2 つの異なる宛先に送信するには、「**"ApplicationEventLog,(CloudWatchLogs, CloudWatchLogs2)"**」と入力します。
型: 文字列
有効な値 (ソース): `ApplicationEventLog` \$1 `CustomLogs` \$1 `ETW` \$1 `PerformanceCounter` \$1 `SystemEventLog` \$1 `SecurityEventLog`
有効な値 (送信先): `CloudWatch` \$1 `CloudWatchLogs` \$1 `CloudWatch`*n* \$1 `CloudWatchLogs`*n*
必須: はい
**FullName**
コンポーネントのフルネーム。
型: 文字列
必須: はい
**ID**
データソースまたは送信先を識別します。この識別子は、設定ファイル内で一意である必要があります。
型: 文字列
必須: はい
**InstanceName**
パフォーマンスカウンターインスタンスの名前。各パフォーマンスカウンターコンポーネントではメトリクスが 1 つしかサポートされないため、アスタリスク (\$1) を使用してすべてのインスタンスを指定しないでください。ただし、**\$1Total** は使用できます。
型: 文字列
必須: はい
**レベル**
Amazon CloudWatch に送信するメッセージのタイプ。
型: 文字列
有効な値:
+ **1** - エラーメッセージだけがアップロードされます。
+ **2** - 警告メッセージだけがアップロードされます。
+ **4** - 情報メッセージだけがアップロードされます。
値を加算すると、複数の種類のメッセージを含めることができます。たとえば、**3** はエラーメッセージ (**1**) と警告メッセージ (**2**) が含まれることを意味します。**7** の値は、エラーメッセージ (**1**)、警告メッセージ (**2**)、情報メッセージ (**4**) が含まれることを意味します。
必須: はい
Windows セキュリティログではレベルを 7 に設定する必要があります。
**LineCount**
ログファイルを識別するヘッダーの行数。たとえば、IIS のログファイルのヘッダーはほぼ同じです。「**3**」と入力すると、ログファイルのヘッダーの最初の 3 行が読み取られ、ログファイルを識別できます。IIS のログファイルでは、3 行目は日付と時刻のタイムスタンプで、ログファイル間で異なります。
タイプ: 整数
必須: いいえ
**LogDirectoryPath**
CustomLogs の場合、EC2 インスタンスにログが保存されるパス。IIS ログの場合、IIS ログが個々のサイト (たとえば、**C:\$1\$1inetpub\$1\$1logs\$1\$1LogFiles\$1\$1W3SVC*n***) に保存されるフォルダ。IIS ログの場合、W3C ログ形式のみがサポートされます。IIS、NCSA、カスタム形式はサポートされません。
型: 文字列
必須: はい
**LogGroup**
ロググループの名前です。この名前は、CloudWatch コンソールの [**ロググループ**] 画面に表示されます。
型: 文字列
必須: はい
**LogName**
ログファイルの名前。
1. ログの名前を検索するには、イベントビューアーのナビゲーションペインで、[**Applications and Services Logs**] を選択します。
1. ログの一覧で、アップロードするログを右クリックし (例えば、[`Microsoft`] > [`Windows`] > [`Backup`] > [`Operational`] など)、**[Create Custom View]** を選択します。
1. [**Create Custom View**] ダイアログボックスの [**XML**] タブを選択します。[**LogName**] は、