1. Session Manager：SSHなしでEC2に接続

Session ManagerはAWS Systems Manager経由でEC2インスタンスにブラウザまたはAWS CLIからアクセスするサービスです。SSHポート（22番）を一切開けずにEC2に接続できるため、セキュリティグループの設定がシンプルになります。接続にはEC2インスタンスにSSMエージェントのインストールとIAMロールの設定が必要です。

2. Run CommandでEC2を一括操作

# Run CommandでNginxを一括再起動（タグで対象EC2を指定）
aws ssm send-command \
  --document-name "AWS-RunShellScript" \
  --parameters "commands=["sudo systemctl restart nginx"]" \
  --targets "Key=tag:Environment,Values=production" \
  --region ap-northeast-1

# 実行結果の確認
aws ssm list-command-invocations \
  --command-id "COMMAND-ID" \
  --details

Run Commandを使えば「productionタグが付いた全EC2インスタンスで同時にNginxを再起動する」という操作がコマンド1行で実行できます。

3. Patch Managerで自動パッチ適用

• パッチベースラインの定義：「セキュリティパッチは自動適用・メジャーアップデートは適用しない」等のルールをパッチベースラインとして定義する
• メンテナンスウィンドウとの組み合わせ：「毎週日曜日の深夜2〜4時にパッチを自動適用する」メンテナンスウィンドウを設定する
• パッチ適用前後のスナップショット：パッチ適用前にAMIスナップショットを自動取得してロールバック手段を確保する

4. パラメータストアでシークレット管理

DBのパスワード・APIキー等のシークレット情報をEC2のコード内にハードコードするのは危険です。Systems Managerのパラメータストア（または AWS Secrets Manager）に保存してアプリケーション起動時に動的に取得するアプローチが現代のベストプラクティスです。パラメータストアは標準パラメータは無料で使えます。