AWSでWSUSを使わずにWindows Updateを定期的に自動実行する。(AWS Patch Manager)

Windows パッチは、すべての Windows 管理者にとってめちゃくちゃ面倒でやっかいな要件です。

EC2でWindowsサーバーを作成すると、何もしないとWindows Updateは自動で実施されません。
セキュリティー的に問題がありますし、Updateを実行しようとすると大量のアップデートが必要になり時間がかかることも。
Windows サーバのパッチ適用のベストプラクティスとして、多くの人が Windows Server Update Services (WSUS) を使用することが多いですが、WSUS自体は悪いものではないのですが、Windowsのパッチ管理に別のWindowsサーバを立てる必要があり、管理対象が増えるという事態に。
これらの問題は、AWS Systems Manager を使用することでほぼ解消することができます。

AWS Systems Manager(SSM)は、AWSによって提供される無料のサービスで、AWS EC2インスタンスとオンプレミスノードを、軽量エージェントを使用して管理できます。
パッチ適用のために、EC2インスタンスとオンプレミスノードの両方が組み込まれているため、1つのコンソールからすべてのパッチを適用できます。

簡単にUpdateが実行できる

毎日2時に実行するように設定しています。履歴に1件実行した履歴が残っていますね。

ステータスが「成功」となっているので、失敗せず正常終了したのでしょう。
出力の詳細をクリックすると、アップデートの対象になったインスタンスが出てきます。

Outputをみると、KB5007192がインストールされたようです。
セキュリティ更新ですね。

実際のインスタンスのアップデート履歴も見てみましょう。
確かに、KB5007192がインストールされていました。

クラウドをつかうなら、省力化を目指そう

WSUSを使っていないのに、WindowsUpdateが実行できるのは、AWS Systems Manager エージェント (SSM Agent)がEC2インスタンスには、インストールされているからです。
SSM Agent により、Systems Manager がこれらのリソースを更新、管理、設定できるようなります。
エージェントは、 AWS 上で で Systems Manager サービスからのリクエストを処理し、リクエストに指定されたとおりに実行します。

AWSを使うなら、このように運用を極力省力化する方法をとるのがセオリーです。