目次
AWS Systems Manager Quick Setup 完全ガイド v2.0
マルチアカウント運用基盤自動構築ツール
概要
AWS Systems Manager Quick Setup は 「SSM(Systems Manager)エージェント・CloudWatch エージェント・パッチ管理・コンプライアンス監視等の標準的なベストプラクティス設定を、AWS Organizations 全体または特定アカウント・リージョンに数クリックで一括展開するツール」 です。CloudFormation StackSets を背後で自動実行し、複数アカウント・複数リージョンの設定を統一・自動化します。
Quick Setup は 「インフラ運用の前提条件を自動整備するサービス」 です。Systems Manager・CloudWatch・AWS Config 等の機能を使うには IAM ロール・ネットワーク設定・CloudWatch Logs グループ等の前準備が必要ですが、Quick Setup はこれらを標準テンプレートとして自動構築。大規模組織でも 1 時間で全アカウント・全リージョンの運用基盤を整備できます。
企業の AWS 運用を実現するために、以下の主要課題を解決します:
- マルチアカウント設定の一貫性維持:50+ アカウント × 3+ リージョンの手動設定は数週間かかり、設定漏れが発生するが、Quick Setup の Organizations 統合で全アカウント・全リージョンの統一設定を自動確保
- Systems Manager の前提条件自動整備:Patch Manager・Session Manager・Inventory・Compliance を使うには SSM エージェント・IAM インスタンスプロファイル・CloudWatch Logs・S3 バケット等の複数の前準備が必要だが、Quick Setup が自動実装
- セキュリティベースラインの高速展開:Security Hub・AWS Config のベストプラクティス推奨設定(SSM エージェント有効化・Session Manager ログ記録・パッチコンプライアンス)を全アカウントに即座に適用
- ドリフト検出と自動修復:一度設定した後も定期的にドリフト(設定からの逸脱)を検出し、自動修復・再適用で運用基盤の一貫性を継続的に維持
- 新規アカウント自動オンボーディング:Organizations で新規アカウント払い出し時に Quick Setup を自動トリガーし、新アカウントも同一基盤で即座に運用可能状態に
Quick Setup を選ぶ理由は 「AWS 推奨ベストプラクティスの標準テンプレート化」 にあります。Security Hub・CIS Benchmarks・AWS Well-Architected Framework に準拠した設定が組み込まれており、セキュリティ・運用の品質を自動確保できる唯一のサービスです。
このサービスを選ぶ理由
なぜ AWS Systems Manager Quick Setup でないといけないのか?
| 理由 | 詳細 |
|---|---|
| マルチアカウント設定を数クリックで統一 | 100 アカウント × 5 リージョンの SSM エージェント設定・IAM ロール作成・CloudWatch Logs グループ構築を手動で行うと 2-3 ヶ月かかるが、Quick Setup は Organizations を通じて 1 時間で全アカウント・全リージョンを自動化 |
| Systems Manager 利用の前提条件を自動整備 | Patch Manager・Session Manager・Inventory・Compliance は SSM エージェント・適切な IAM インスタンスプロファイル・CloudWatch Logs・S3 バケット・SNS トピック等の複数の前提条件が必要だが、Quick Setup が自動で全て構築 |
| セキュリティベースラインの自動適用 | Security Hub・AWS Config が推奨する「全 EC2 インスタンスに SSM エージェント導入・Session Manager ログ記録有効・パッチコンプライアンス監視」を全アカウントに即座に適用 |
| 運用基盤のドリフト自動検出・修復 | 一度 Quick Setup で設定を展開した後、運用チームが誤ってメンバーアカウントで IAM ロールを削除・変更した場合も、Quick Setup は定期的にドリフトを検出し自動修復 |
| 新規アカウントの自動オンボーディング | Organizations で新規アカウント作成時に Quick Setup を自動トリガーして、新アカウントも同一の運用基盤で即座に管理可能状態に統一(StackSets の Auto-deployment 機能) |
| CloudFormation StackSets の複雑性を抽象化 | CloudFormation StackSets の操作は複雑だが、Quick Setup は UI ウィザードで「Organization 全体に展開」を 数クリック実現 |
具体的なユースケース
ユースケース 1:金融機関の大規模コンプライアンス体制整備
- 50 個の AWS アカウント、各 4 リージョン展開(東京・シンガポール・ロンドン・バージニア)
- 金融規制(PCI DSS / FISC 基準)により全インスタンスにパッチ管理・インベントリ収集・セッションログを強制
- 従来:3 ヶ月の手動設定 + 各地域チームの調整
- Quick Setup 導入:
- 管理アカウントで Quick Setup「Host Management」を Organizations OU ベースで設定
- 設定項目:SSM エージェント自動更新・CloudWatch エージェント・パッチマネージャー・Inventory 有効化
- 結果:翌日に 50 × 4 = 200 個のリージョン/アカウント組み合わせで全て自動展開・設定完了
- 月次コンプライアンス監査:Systems Manager Compliance Dashboard で全アカウント・全リージョンのパッチ適用状況を一元管理・可視化
ユースケース 2:デジタルネイティブ企業の高速オンボーディング
- スタートアップ企業がスケールに伴い AWS アカウント数を 3 → 30 個に拡大
- 新規チームごとに異なるアカウント(App Dev・Data Pipeline・ML Platform・Infrastructure など)を払い出し
- 従来:各アカウント払い出し後、基盤チームが 1-2 日かけて SSM・CloudWatch・Config 手動設定
- Quick Setup 導入:
- Organizations Structure:OU を Teams(Sales / Eng / Product / Ops)で設計
- Quick Setup:各 OU に対して「Host Management」「Patch Manager」「Config Recording」を設定
- 自動トリガー:新規アカウント作成時に自動的に Quick Setup が展開(StackSets Auto-deployment)
- 結果:新規アカウント払い出し 1 時間後には全前提条件が整備・稼働中
ユースケース 3:大企業の DevOps インフラ基盤統一
- 複数事業部が独立的に AWS 利用
- Sales Org:5 アカウント × 3 リージョン
- Engineering Org:20 アカウント × 4 リージョン
- Operations Org:8 アカウント × 2 リージョン
- 問題:各事業部が異なるパッチ戦略・ログ設定を使用→セキュリティ監査時に不統一で指摘
- Quick Setup 導入:
- 各事業部の OU に対して Quick Setup で統一ポリシーを適用
- Engineering Org:毎週火曜日深夜のパッチ適用(開発環境の安定性重視)
- Operations Org:毎日深夜のパッチ適用(本番安定性重視)
- Sales Org:月 1 回のパッチ適用(SaaS アプリケーション特性)
- 結果:OU ごとの異なるポリシーを同時管理、全組織の監査対応を自動化
ユースケース 4:エンタープライズへの AWS 移行時のベースライン構築
- オンプレミスデータセンターを AWS へ全面移行(Lift & Shift)
- 既存の 500 サーバーを 30 個の AWS アカウント に分散配置予定
- 従来:データセンター PM が各アカウントで IAM ロール・CloudWatch 設定を 2-3 ヶ月かけて準備
- Quick Setup 導入:
- 事前に Organizations 30 アカウント + Quick Setup で全基盤自動構築
- サーバー移行チーム:CloudFormation / Terraform で EC2 起動 → Quick Setup で自動設定済み
- 移行直後から Systems Manager Patch Manager・Session Manager 利用可能
- 結果:準備期間を 2 ヶ月削減
主要機能
1. Quick Setup Configuration Types(設定タイプ)
Quick Setup が提供する標準設定テンプレート:
[A] Host Management(ホスト管理)- 最も一般的
目的:EC2 インスタンスを Systems Manager で管理できる前提条件を整備
実施内容:
├─ SSM エージェント自動インストール・自動更新
├─ IAM インスタンスプロファイル(AmazonSSMManagedInstanceCore ロール)自動アタッチ
├─ CloudWatch エージェント自動インストール・設定
├─ Inventory 収集有効化(ソフトウェアリスト・ハードウェア仕様)
├─ CloudWatch Logs グループ自動作成(/aws/systems-manager/... )
└─ Session Manager ログ(S3 + CloudWatch)自動有効化
前提条件:
├─ EC2 インスタンス(Windows / Linux / Managed Node)
├─ IAM ロール(存在する場合は上記権限をアタッチ)
├─ CloudWatch Logs グループ(自動作成)
└─ S3 バケット(Session Manager ログ用、自動作成可)
[B] Patch Manager(パッチマネージャー)- 自動パッチ適用
目的:OS / ソフトウェアパッチを定期的に自動適用・コンプライアンス監視
実施内容:
├─ パッチグループ定義(OS タイプ別・環境別・OU 別)
├─ Patch Baseline の自動作成(AWS Default or Custom)
├─ パッチスケジュール定義(曜日・時刻・スキャンベース or インストールベース)
├─ パッチコンプライアンスレポート自動生成
├─ パッチ失敗アラート(SNS 通知)
└─ Deployment でグループ単位でのパッチ実行
Advanced Options:
├─ Schedule:Weekly / Monthly / Custom cron
├─ Compliance:Critical + Important のみ / All patches
├─ Approval Delay:Release 後 X 日待機してから適用(検証期間)
└─ Reboot Behavior:NoReboot / Reboot / RebootIfNeeded
[C] Config Recording(AWS Config 有効化)
目的:AWS リソース設定変更の記録・コンプライアンス監視
実施内容:
├─ AWS Config Recorder 自動起動
├─ Configuration Snapshot 定期取得(設定状態の記録)
├─ Configuration Change 記録(CloudTrail と同期)
├─ Managed Rules 自動実行(CIS / PCI-DSS ルール等)
├─ Compliance Dashboard 自動生成
└─ S3 バケット自動作成(Configuration Snapshot 保存)
Managed Rules Example:
├─ ec2-imdsv2-check(IMDSv2 強制)
├─ encrypted-volumes(EBS 暗号化)
├─ restricted-ssh(セキュリティグループ:SSH 制限)
├─ root-account-mfa-enabled(Root Account MFA 有効化)
└─ logging-enabled-check(各種ログ有効化)
[D] DevOps Guru Integration(AI-driven 異常検知)
目的:CloudWatch メトリクス・ログを AI で分析・異常検知・推奨対応
実施内容:
├─ DevOps Guru サービス自動有効化
├─ CloudWatch メトリクス・ログの自動分析(ML モデル)
├─ Anomaly 検知・自動アラート(SNS)
├─ Root Cause Analysis 自動実施
├─ Remediation Suggestions 自動提案
└─ Operational Insights Dashboard 自動作成
分析対象:
├─ Application Performance Monitoring(Lambda / EC2)
├─ RDS Performance Insights
├─ AWS X-Ray Service Map
└─ Custom CloudWatch Metrics
[E] OpsCenter Integration(インシデント管理)
目的:CloudWatch Alarms・AWS Systems Manager OpsCenter でインシデント一元管理
実施内容:
├─ OpsCenter 自動有効化
├─ Operational Items(OpsItems)の自動作成
├─ CloudWatch Alarms との自動統合
├─ Runbook(手動対応手順)の自動ラッピング
└─ Timeline ベースでのインシデント追跡
2. Deployment Targets(展開対象の指定)
Quick Setup が展開可能な範囲:
[Scope 1] Single Account + Single Region
例:Management Account の us-east-1 のみ
用途:パイロット / PoC
[Scope 2] Single Account + Multiple Regions
例:Management Account 全リージョン
用途:シングルテナント組織 or アカウント分離設計
[Scope 3] Organizations 全体 + 全リージョン(推奨)
例:
├─ Management Account 全リージョン
├─ Member Account 1 全リージョン
├─ Member Account 2 全リージョン
└─ ... × N Accounts
実装方法:CloudFormation StackSets(Organizations 統合)
特徴:
├─ 新規 Member Account 自動トリガー(Auto-deployment)
├─ OU ベースの段階的展開可能
└─ リージョン別の展開制御可能
[Scope 4] Organizations + 特定 OU のみ
例:
├─ Engineering OU(20 accounts)
├─ Sales OU(10 accounts)
└─ Ops OU(5 accounts)は除外
用途:OU ごとの異なるポリシー適用
例:
├─ Engineering OU:Weekly Patch + Full Inventory
├─ Sales OU:Monthly Patch + Minimal Logging
└─ Ops OU:Daily Patch + Extended Monitoring
[Scope 5] Organizations + 特定リージョンのみ
例:
├─ us-east-1 + eu-west-1(本社・欧州オフィス)
└─ ap-northeast-1 は除外(日本オフィス。現地法人別会計)
用途:リージョン・規制・コスト管理別の政策
3. Configuration Manager のアーキテクチャ
Quick Setup Backend Architecture:
┌─ User: Management Account(Quick Setup Console)
│
├─ Step 1: Configuration Definition
│ └─ Parameters(Organization / OU / Region / Config Type)を定義
│
├─ Step 2: CloudFormation StackSet 生成
│ └─ AWS Systems Manager が CloudFormation StackSet を自動作成
│ StackSet Name: AWS-QuickSetup-{ConfigType}-{Timestamp}
│
├─ Step 3: CloudFormation Stack 展開(各アカウント・各リージョン)
│ ├─ Member Account 1 / us-east-1:Stack 作成実行
│ ├─ Member Account 1 / eu-west-1:Stack 作成実行
│ ├─ Member Account 2 / us-east-1:Stack 作成実行
│ └─ ... × (Accounts × Regions)
│
├─ Step 4: State Manager Association 自動作成
│ └─ CloudFormation Stack 内で AWS-ConfigureAWSPackage Association が作成
│ → SSM エージェント・CloudWatch エージェント・設定スクリプト自動実行
│
├─ Step 5: Ongoing Compliance Management
│ ├─ Compliance Check(6 時間ごと):ドリフト検出
│ ├─ Auto-Remediation(設定が逸脱した場合):自動修復
│ ├─ Reporting(Dashboard):コンプライアンス状況可視化
│ └─ New Account Auto-deployment(Organizations イベント時):新規アカウント自動適用
CloudFormation StackSet Details:
┌─ AWS-QuickSetup-HostManagement-20260427
│ ├─ Description: AWS Systems Manager Quick Setup - Host Management
│ ├─ Templates:
│ │ ├─ IAM Role Creation(AmazonSSMManagedInstanceCore)
│ │ ├─ CloudWatch Logs Group Creation
│ │ ├─ S3 Bucket for Session Manager Logs
│ │ ├─ State Manager Association for SSM Agent
│ │ ├─ State Manager Association for CloudWatch Agent
│ │ └─ State Manager Association for Inventory Collection
│ │
│ ├─ StackSet-level Parameters:
│ │ ├─ OrganizationAccountAccessRole(Organizations 用 IAM ロール)
│ │ ├─ StackSetName
│ │ └─ TemplateURL
│ │
│ ├─ Stack Instances(自動展開ターゲット):
│ │ ├─ Account: 111111111111 / Region: us-east-1
│ │ ├─ Account: 111111111111 / Region: eu-west-1
│ │ ├─ Account: 222222222222 / Region: us-east-1
│ │ └─ ...
│ │
│ └─ Auto-deployment Options:
│ ├─ Enabled:有効化
│ ├─ Accounts:Organization 全体 or 特定 OU
│ └─ Regions:デプロイ対象リージョン(新規リージョン展開時も自動適用)
4. Compliance Monitoring & Drift Detection
Quick Setup のドリフト検出・修復メカニズム:
ドリフトの例:
設定前(Quick Setup 実行前):
├─ EC2 Instance(member-account / i-0abc123)
│ ├─ SSM Agent:未インストール
│ ├─ IAM Instance Profile:なし
│ ├─ CloudWatch Agent:未インストール
│ └─ Inventory:無効
設定後(Quick Setup 実行直後):
├─ EC2 Instance(member-account / i-0abc123)
│ ├─ SSM Agent:インストール済み + 自動更新有効
│ ├─ IAM Instance Profile:AmazonSSMManagedInstanceCore アタッチ
│ ├─ CloudWatch Agent:インストール済み
│ └─ Inventory:有効(ソフトウェアリスト・ハードウェア仕様自動収集)
ドリフト発生シナリオ:
ドリフト 1:IAM ロール誤削除
├─ 運用チーム管理者が誤ってインスタンスプロファイルを削除
├─ Systems Manager:インスタンスにアクセス不可→ Compliance が Failed に
├─ Quick Setup:自動検出(6 時間ごと)
└─ 自動修復:IAM ロール再アタッチ
ドリフト 2:SSM Agent 停止
├─ Security スキャン ツール(Nessus など)がプロセス終了
├─ Systems Manager:インスタンス接続不可→ Ping Status が Online ↔ Offline 反複
├─ Quick Setup:自動検出
└─ 自動修復:SSM Agent 再起動
ドリフト 3:CloudWatch Agent 無効化
├─ 運用チームが CloudWatch ログコストを削減するため Agent を無効化
├─ Systems Manager Compliance:Check Failed
├─ Quick Setup:自動検出
└─ 自動修復:CloudWatch Agent 再起動・設定再適用
Compliance Dashboard(Systems Manager Console):
ドリフト検出タイムライン:
┌──────────────────────────────────────────────┐
│ Configuration Compliance(全アカウント・全リージョン) │
├──────────────────────────────────────────────┤
│ Total Instances: 450 │
│ Compliant: 445 (98.9%) │
│ Non-Compliant: 5 (1.1%) │
│ Unknown: 0 │
├──────────────────────────────────────────────┤
│ Non-Compliant Details: │
│ ├─ Account: 333333333333 / Region: eu-west-1│
│ │ └─ Instance: i-0xyz789(IAM Role Missing)│
│ ├─ Account: 444444444444 / Region: ap-ne-1 │
│ │ └─ Instance: i-0uvw456(Agent Offline) │
│ └─ (3 more) │
│ │
│ Auto-Remediation Progress: │
│ └─ Applied Fixes: 4 / 5 Complete │
└──────────────────────────────────────────────┘
セットアップ手順
AWS Console での設定例(Host Management)
Step 1: AWS Console → Systems Manager → Quick Setup → Create configuration
Step 2: Configuration Type Selection
┌──────────────────────────────┐
│ Select Configuration Type: │
├──────────────────────────────┤
│ ○ Host Management(推奨) │
│ ○ Patch Manager │
│ ○ Config Recording │
│ ○ DevOps Guru Integration │
│ ○ OpsCenter Integration │
│ │
│ [Next] │
└──────────────────────────────┘
Step 3: Deployment Targets
┌──────────────────────────────┐
│ Choose deployment scope: │
├──────────────────────────────┤
│ ○ Current Account Only │
│ ◎ Organizations (All) │
│ - Management Account │
│ - All Member Accounts │
│ - All Regions │
│ ○ Specific OU │
│ ○ Specific Account & Region │
│ │
│ [Next] │
└──────────────────────────────┘
Step 4: Host Management Configuration
┌──────────────────────────────────────┐
│ Configure Host Management: │
├──────────────────────────────────────┤
│ □ SSM Agent Auto-Update │
│ └─ Enabled ✓ │
│ │
│ □ CloudWatch Agent Installation │
│ └─ Install and configure ✓ │
│ └─ Collect memory utilization │
│ (Additional cost) │
│ │
│ □ Inventory Collection │
│ └─ Collect Software List ✓ │
│ └─ Collect Hardware Info ✓ │
│ │
│ □ Session Manager Logging │
│ └─ Enable S3 Logging ✓ │
│ └─ S3 Bucket: (Auto-create) │
│ └─ Enable CloudWatch Logs ✓ │
│ │
│ [Next] │
└──────────────────────────────────────┘
Step 5: Review & Create
┌─────────────────────────────────────────┐
│ Summary: │
├─────────────────────────────────────────┤
│ Configuration Type: Host Management │
│ Deployment Target: All Organizations │
│ Affected Accounts: 45 │
│ Affected Regions: 4 (us-e1, eu-w, ...)│
│ Total EC2 Instances (estimated): 1200 │
│ │
│ Actions to be created: │
│ - IAM Role: AmazonSSMManagedInstance │
│ - CloudWatch Logs Group: /aws/ssm/... │
│ - S3 Bucket: aws-ssm-log-* │
│ - State Manager Associations: 3 │
│ - CloudFormation StackSet: 1 │
│ - CloudFormation Stacks: 45 × 4 = 180 │
│ │
│ [Create] │
└─────────────────────────────────────────┘
Step 6: Deployment Progress
┌────────────────────────────────────────┐
│ [████████░░░░░░░░░░░░░░░░░░░░░░░░░░░░] 25%│
│ Deploying to 180 account-region pairs │
│ │
│ Completed: │
│ ✓ Account: 111111111111 / us-east-1 │
│ ✓ Account: 111111111111 / eu-west-1 │
│ ✓ Account: 222222222222 / us-east-1 │
│ ⧗ Account: 222222222222 / eu-west-1 │
│ ⧗ Account: 333333333333 / us-east-1 │
│ ... (175 more in progress) │
│ │
│ Estimated Time: 45 minutes │
└────────────────────────────────────────┘
CLI での Patch Manager 設定例
# Step 1: Quick Setup 設定の確認
aws ssm describe-quick-setup-configurations \
--query 'ConfigurationList[].{Name: Name, Status: Status, Created: CreatedTime}'
# Step 2: Patch Manager Quick Setup を Organizations 全体に作成
aws ssm create-quick-setup-configuration \
--type PATCH_MANAGER_DEPLOYMENT \
--deployment-configs '[
{
"TargetType": "OU",
"Targets": ["ou-1234-abcdef01"],
"Regions": ["us-east-1", "eu-west-1", "ap-northeast-1"]
}
]' \
--configuration '{
"PatchGroupName": "Production",
"PatchBaseline": "AWS-DefaultPatchBaseline",
"ScheduleExpression": "cron(0 2 ? * TUE *)",
"DurationHours": 4,
"Concurrency": "50%",
"ComplianceLevel": "CRITICAL",
"RebootOption": "RebootIfNeeded"
}' \
--tags '{"Environment": "Production"}'
# Step 3: 展開状況確認
aws ssm get-quick-setup-configuration \
--configuration-name patch-manager-prod-20260427 \
--query '{
Status: Status,
Deployments: DeploymentList[],
ComplianceStatus: ComplianceStatus
}'
# Step 4: ドリフト検出・修復実行
aws ssm update-quick-setup-configuration \
--configuration-name patch-manager-prod-20260427 \
--action detect-and-remediate-drift
# Step 5: State Manager Association で実装確認
aws ssm list-associations \
--filters Key=Name,Values='AWS-QuickSetup-*' \
--query 'Associations[].{Name: Name, Status: AssociationStatus, Targets: Targets}'
ベストプラクティス
1. Organizations 設計との連携
✓ OU 構造を Quick Setup スコープと連携:
- Engineering OU:Host Management + Patch Manager(Weekly)
- Sales OU:Host Management + Patch Manager(Monthly)
- Ops OU:Host Management + Patch Manager(Daily)+ Config Recording
✗ 全アカウント同一ポリシー: 業界・環境・責務の異なるアカウントを無視して統一強制
✓ Organizations Account Factory と連携: 新規アカウント払い出し時に自動的に Quick Setup を展開(StackSets Auto-deployment)
2. パッチ戦略の設計
✓ 段階的ロールアウト:
Dev/Test → Staging → Production(段階的パッチ適用スケジュール)
dev-patch-group:毎週火曜日 深夜 2 時
staging-patch-group:毎月第 1 日曜日 深夜 3 時
prod-patch-group:毎月第 2 日曜日 深夜 4 時(十分な検証後)
✗ 全環境同時パッチ適用: 本番システムダウンのリスク
✓ Critical パッチは即時対応方針: セキュリティ脆弱性(CVE)は段階的ロールアウトを短縮
3. Compliance 監視
✓ Compliance Dashboard 定期確認: 週 1 回はドリフト状況・Non-Compliant インスタンス確認
✓ Automation Runbook との統合: ドリフト検出時に自動修復ではなく、まず Slack / メール通知 → 承認フロー
✗ 自動修復に依存: 予期しない設定変更を修復する場合、ビジネス影響を検証してから実施
4. リージョン・アカウント管理
✓ リージョンごとの異なるポリシー:
Deployed Regions:
- Primary: us-east-1 / eu-west-1(本社・欧州オフィス)
- Regional: ap-northeast-1 / ap-southeast-1(日本・APAC)
- Excluded: ap-south-1(インド。規制上別構成)
✓ 新規リージョン展開時の自動適用: StackSets Auto-deployment で新規リージョン自動カバー
料金
| 項目 | 料金 |
|---|---|
| AWS Systems Manager Quick Setup | 無料 |
| CloudFormation StackSets | 無料(Operations 機能使用時:500 operations / month まで無料、以降 0.001 USD/operation) |
| Systems Manager Agent(SSM Agent) | 無料 |
| Patch Manager | 無料(EC2 On-Premises インスタンス:要 Patch Manager ライセンス) |
| CloudWatch Logs(Session Manager Log 保存) | 0.50 USD / GB(ログ取り込み) + 0.03 USD / GB(保存) |
| S3(Session Manager Log 保存) | 標準 S3 料金(保存 0.023 USD / GB / 月) |
| AWS Config(Config Recording) | 0.003 USD / configuration item / month(オプション) |
例:100 アカウント × 4 リージョン × 50 インスタンス = 20,000 EC2 インスタンスの月額コスト概算
- Quick Setup:無料
- StackSets Operations:~5,000 operations / month → 2.50 USD / month(超過分)
- CloudWatch Logs(Session Manager):
- Concurrency セッション数に依存(平均 100 セッション × 1 hour / day = ~100 GB / month)
- 100 GB × 0.50 = 50 USD(ログ取り込み)
- 保存費用(30 日保持):≈ 100 GB × 0.03 / 30 × 30 = 100 USD
- Total:150-200 USD / month(インフラ側のコスト削減に比べて微小)
トラブルシューティング
| 問題 | 原因 | 解決策 |
|---|---|---|
| Quick Setup が Organizations アカウントに展開されない | Organizations Enable Trusted Access が無効 | AWS Organizations Console で Systems Manager を信頼できるサービスとして登録(Enable Trusted Access) |
| StackSet 展開が失敗(Service-linked role not found) | Systems Manager が Organizations アカウントにアクセス権限なし | AWSServiceRoleForAmazonSSM Service-linked role を各アカウントで作成 |
| 新規 Member Account でクイックセットアップが自動展開されない | Auto-deployment が無効 | 既存 Quick Setup Configuration で [Update] → [Enable Auto-deployment] をチェック |
| CloudWatch Logs に Session Manager ログが記録されない | IAM ロールに CloudWatch Logs 権限不足 | IAM ロールに logs:CreateLogGroup / logs:CreateLogStream 権限追加 |
| Patch Manager で特定インスタンスがスキップされる | インスタンスが Patch Group に属していない | Systems Manager Fleet Manager → インスタンス選択 → Tags に Patch Group: {GroupName} タグ付与 |
2025-2026 年のアップデート
- AI-driven 自動修復:DevOps Guru + Quick Setup で異常検知 → 自動修復パイプライン(計画中)
- AWS Lambda 統合:Lambda Function での Quick Setup イベント処理(2025)
- 多言語対応拡張:日本語・中国語・スペイン語のコンソール UI(計画中)
- Terraform モジュール提供:Terraform で Quick Setup Configuration 定義・管理可能に(計画中)
実装例:マルチアカウント・マルチリージョン統一基盤
大企業グループの実装例(100 アカウント × 4 リージョン)
Organization Structure:
Root
├─ Management Account(Quick Setup 管理)
├─ Production OU(40 accounts)
│ ├─ Apps(20 accounts)
│ ├─ Data(10 accounts)
│ └─ Security(10 accounts)
├─ Staging OU(30 accounts)
├─ Development OU(20 accounts)
└─ Security/Audit OU(10 accounts)
Quick Setup Configuration by OU:
[Production OU] Host Management + Patch Manager + Config Recording
├─ Host Management:
│ ├─ SSM Agent: Enabled
│ ├─ CloudWatch Agent: Full metrics + Custom Metrics
│ ├─ Inventory: All
│ └─ Session Manager Logging: S3 + CloudWatch
├─ Patch Manager:
│ ├─ Schedule: 毎月第 2 日曜日 3:00 AM UTC(Critical + Important)
│ ├─ Approval Delay: 30 days
│ ├─ Reboot Behavior: RebootIfNeeded
│ └─ Maintenance Window: 4 時間(大規模環境向け)
└─ Config Recording:
├─ Enabled: Yes
├─ Frequency: 1 hour
└─ Managed Rules: PCI-DSS / HIPAA / NIST
[Staging OU] Host Management + Patch Manager(Weekly)
├─ Patch Manager Schedule: 毎週火曜日 2:00 AM UTC(All patches)
└─ Deploy validation → Production へ段階的展開
[Development OU] Host Management(Patch Manager は任意)
├─ Host Management のみ(開発チーム自由な Patch 運用許可)
└─ Inventory + Session Manager Logging(セキュリティ最小要件)
[Security/Audit OU] Host Management + Patch Manager(Daily)+ Config Recording
├─ Patch Manager: 毎日 1:00 AM UTC(All patches + Reboot)
├─ Config Recording: 15 分ごと(変更の即座に検出)
└─ Compliance Dashboard: Real-time monitoring
Deployment Timeline:
Day 1:
├─ Management Account で Quick Setup 設定(Organizations 統合有効化)
├─ StackSet Auto-deployment 有効化
└─ 結果:4 時間で 100 accounts × 4 regions = 400 stack 展開開始
Day 2:
├─ 全 StackSet 展開完了(CloudFormation による 400 stack 作成)
├─ SSM Agent インストール開始(自動タスク)
└─ CloudWatch Logs Group 自動作成
Day 3:
├─ CloudWatch Agent インストール・メトリクス収集開始
├─ Patch Baseline 自動適用
├─ Inventory 収集開始
└─ Config Recording 記録開始
Day 4-7:
├─ Systems Manager Compliance Dashboard が全 OU・全アカウントの状況可視化
├─ ドリフト検出・自動修復開始
├─ Patch コンプライアンスレポート生成開始
└─ 全運用基盤が完全稼働状態へ
Result:
✓ 100 アカウント × 4 リージョン(400 スタック)が 1 週間で統一基盤完成
✓ 手動作業:ゼロ(CloudFormation StackSets が全自動)
✓ 月間運用工数削減:従来の手動設定では 6 人月 → Quick Setup は月 1 人日
チェックリスト:Quick Setup 導入前後
導入前:
□ Organizations 構造確認(OU 階層、Trusted Access 設定)
□ IAM ロール準備(AWSServiceRoleForAmazonSSM が各アカウントに存在確認)
□ VPC ネットワーク確認(SSM Endpoints が必要か確認)
□ CloudWatch Logs Group 命名規則定義(一貫性重視)
□ S3 バケット準備(Session Manager ログ保存用、存在する場合は確認)
□ Patch Baseline 検討(OS / Application 毎の戦略)
□ SNS Topic 準備(Patch Manager 失敗通知用)
□ IAM Policy 確認(各OU のアカウントが Quick Setup 設定変更権限を持つかチェック)
導入直後(1-2 週間):
□ CloudFormation StackSet デプロイ確認(全アカウント・全リージョン成功)
□ SSM Agent インストール確認(Fleet Manager で接続確認)
□ CloudWatch Logs Group 作成確認
□ S3 バケット作成・Session Manager ログ記録確認
□ Inventory 初回実行確認(ec2-instance, application, network など)
□ Patch Baseline 適用確認(AWS Compliance Dashboard)
□ Config Recorder 起動確認(Configuration timeline 開始)
□ Compliance Dashboard ダッシュボード表示確認
運用開始後(1-3 ヶ月):
□ パッチコンプライアンス報告書 月次生成
□ ドリフト状況レポート(非準拠インスタンス)定期確認
□ Session Manager ログ分析(不正アクセス検知)
□ Inventory 変更追跡(予期しないソフトウェア追加検知)
□ Cost 監視(CloudWatch Logs / S3 保存コスト)
□ Patch 失敗分析(失敗パターン特定・対応)
□ Organizations 新規アカウント作成時の自動 Quick Setup 適用確認
Advanced: カスタマイズ・拡張シナリオ
シナリオ 1:環境別ポリシーの差別化
Dev 環境:
├─ SSM Agent:Enabled
├─ Patch Manager:Disabled(開発チーム自由に実施)
├─ Inventory:Minimal(基本情報のみ)
└─ Cost Focus:最小限のログ保存
Test 環境:
├─ SSM Agent:Enabled
├─ Patch Manager:Weekly(All patches)
├─ Inventory:Full(Software + Hardware)
└─ Compliance:AWS Config ルール実行
Prod 環境:
├─ SSM Agent:Enabled + Auto-update
├─ Patch Manager:Monthly + Approval Workflow(Critical は緊急対応)
├─ Inventory:Full + Custom metadata collection
├─ Compliance:Config + Security Hub + Audit Manager
└─ Cost:Extended logging + Long-term retention
シナリオ 2:業界別コンプライアンス統一
金融機関(Banking):
├─ Quick Setup + Config Recording(FISC / 金融庁基準)
├─ Patch: Monthly(厳格な Change Management)
├─ Log Retention: 7 年(法的要件)
└─ MFA: 全管理操作に MFA 必須
Healthcare:
├─ Quick Setup + HIPAA Config Rules
├─ Patch: Quarterly(Validation 重視)
├─ Log Retention: 6 年(HIPAA 要件)
└─ Encryption: 全データ暗号化(at-rest / in-transit)
Public Sector(政府機関):
├─ Quick Setup + FedRAMP / DoD Compliance Rules
├─ Patch: Emergency patches immediately + Audit trail
├─ Log Retention: Indefinite(法的要件)
└─ Air-gapped: インターネット非接続環境もサポート
まとめ
AWS Systems Manager Quick Setup は 「Systems Manager・CloudWatch・AWS Config の前提条件をベストプラクティスで自動整備するツール」。Organizations 統合で 50+ アカウント × 複数リージョンの設定を 1 時間で統一・自動化。手動による数週間の準備フェーズを大幅短縮し、大規模組織の運用基盤を即座に構築・維持します。
ドリフト検出・自動修復・新規アカウント自動オンボーディング機能により、運用基盤の一貫性を継続的に維持。金融機関・大企業・デジタルネイティブ企業等、規模・産業を問わず AWS 運用の必須ツールです。
大規模マルチアカウント環境での標準化・自動化の中核サービスとして、CloudFormation StackSets・Organizations・IAM・Security Hub・Audit Manager と統合し、エンタープライズの運用ガバナンスを実現する唯一のツールです。