こんばんは。小寺です。
Systems Managerみなさん、活用していますか。Systems Managerの初期セットアップ時の高速セットアップを利用することで、Organizations配下の全アカウントEC2インスタンスにSSM機能が有効化できるようになりました。
https://aws.amazon.com/about-aws/whats-new/2023/10/enable-aws-systems-manager-ec2-instances-organization/

アップデート内容

Default Host Management Configuration (DHMC)なるものが発表されました。デフォルトのホスト管理構成 (DHMC) を使い、AWS Organizations配下のAWSアカウントでEC2インスタンスのSSM機能が有効化できるようになりました。
注意したいところとしては「高速セットアップ時」に有効ということで、後ほど確認してみたいと思います。
パッチ マネージャー、セッション マネージャー、インベントリなどのコアの Systems Manager機能がすべての新規および既存のインスタンスで利用可能か確認できます。

Organizations内の全てのアカウントと全てのリージョンに対してDHMCを一括で有効化し、新規で追加されたAWSアカウントに対しても有効化がされる仕組みです。

アップデートで嬉しいこと

DHMCの発表によりOrganizationsレベルで権限を付与し、Systems Managerが簡単に有効化できることです。今まではロールを付与して接続確認をしていたかと思いますが、そういった手順を踏む必要がなくなります。
また、DHMCはすべての EC2を使っているお客様向けに推奨の機能でSystem Managerツールの活用にも役立ちますね。

確認してみる

Organizations管理アカウント編

(1) Oraganizationsの管理アカウントからSystems Managerの高速セットアップを行います。

(2) 以下の内容を確認して「作成」をクリックします。デフォルトではSSMエージェントを2週間毎に有効化してくれます。

  • 組織内の全アカウントとリージョンでDHMCが有効化
  • SSM エージェントは、2週間ごとにアップデートする
  • 今後、Organizationsに追加される新しいアカウントにも自動的に適用される

(3) 設定が完了しました。1つ失敗、1つが保留中のままだったので、時間をおいて別途確認してみたいと思います。

Organizationsメンバーアカウント編

(1)OrganizationsのLinkedアカウントから確認すると、全てのリージョンでDHMC用のロールが作成されていました。

(2) Systems Managerの高速セットアップでも既にOrganizationsの管理アカウントで設定した設定が「設定済み」として表示されています。

Fleetから個々のEC2インスタンスにIAMロールを設定されていない場合、1時間位待つと表示されるようになります。※即時反映ではないです。

まとめ

Organizations配下のAWSの子アカウント(Linkedアカウント)に対して、Systems Managerの高速セットアップから新しくサポートされたDHMC機能を利用して、SSMを有効化することができるようになりました。

2週間に1度なので、即時反映ではないですがロールを最初に設定しておくという作業が不要になりました。というのが非常に便利だなーと思っています。自社でも活用していきたい機能の一つですね。