EC2にOSパッチを自動で当てられる機能があるなんて..「Patch Manager」

私は以前、一般的な３層アーキテクチャ（Webサーバ、アプリケーションサーバ、DBサーバ）のEC2の運用を担当していました。

ここで大変なのは、OSへセキュリティパッチを適用すること！
これが以下の様に、結構手間がかかるのですよね。。

１） 1ヶ月に1回、OSパッチの更新情報（かなりある）を確認し、重要度が一定以上のものをリストアップする。（ちなみにWindowsサーバとLinuxサーバの両方を運用していたため、OSパッチの更新情報は両方収集しリストアップ）

２）対象のOSパッチをダウンロードし、まずはステージング環境から実施。
念のため当日のスナップショットから試験用ボリュームを作成しアタッチし、OSパッチをインストールする。
サーバを再起動し、以前と同様に通信できるか試験。問題なければ現行ボリュームに戻す（試験用ボリュームからデタッチし、現行ボリュームにアタッチする）。
これを、全てのサーバに対して実行する。

３）１週間後に問題がなければ、本番環境に適用。２）と同じことを実施。

４）半期毎に、重要度が低く適用していなかったパッチ全てを適用する。手順は１）〜３）と同様。

なんと、このOSパッチに関わる手間を、AWSではかなり軽減してくれることを、SAAの学習時に知ったのです。その名は、

Patch Manager !

Patch Managerは、第１回で登場したセッションマネージャーと同様に「AWS Systems Manager」の１機能であり、
パッチを提供するプロセスを自動化してくれます。

具体的に言うと、
OSパッチの重要度が一定以上のものを一括で適用するためには、
・パッチマネージャー→パッチベースライン→承認ルールのSeverity (重要度)で設定
・パッチグループの作成→パッチ適用の設定（対象インスタンス、スケジュール等）
で可能な様です。素敵な機能ー！！

【AWS Systems Manager】パッチマネージャーの パッチベースライン と パッチグループ の概念を勉強する | DevelopersIO

中規模～大規模システムで、パッチ適用を完全に自動化するといった、様々なニーズにも対応してくれる機能もある様です。

AWSによるパッチ適用の自動化と、ジョブ実行の実装方法を考えてみた - Qiita

せっかくAWSがサービスを提供してくれていて、これらを使うと運用の手間が減るのですから、初期設定は少し大変そうではありますが、積極的に使っていきたいものですね。

---

＜SAA合格に向けて補足＞
AWS Systems Managerの中にPatch Managerがあり、EC2インスタンスにパッチを適用する機能、だと覚えておきましょう。