プライベートサブネットにEC2を置いたWebアプリケーションを作成する①

前章: プライベートサブネットにEC2を置いたWebアプリケーションを作成する ーイントロー

プライベートサブネットにEC2インスタンスを配置してSession Managerで接続する

今回作成するアプリケーションは、組織内部のみでの利用を想定しており、外部からのアクセスをできる限り許可しないような形でEC2インスタンスを配置していきます。

ここで作成するゴールはEC2にSession Managerからアクセスするところまでがゴールとなっています。

VPCの用意

まずマネジメントコンソールにログインし、VPCの作成を行います。

作成するリソースは、VPCなどを選択することとでサブネットまで一度に作成することが可能です。CIDRブロックは、VPCでは極力大きく用意することが推奨されているため、10.0.0.0/16を選択します。

最終的に2つのAZにまたがってWebサーバーを配置し負荷分散を行うため、デフォルトのまま作成を行います。

EC2インスタンスの作成

作成したプライベートサブネットにEC2インスタンスを配置していきます。

Session Managerを用いて接続するためにはEC2インスタンスにSSMエージェントのインストールが必要ですが、そこまで説明しないのでAmazon Linuxのように事前にインストールされているものを推奨します。

ネットワーク設定では、右上の編集を押し新しいセキュリティグループを作成します。この時に、インバウンドセキュリティグループのルールはデフォルトでSSHのものが設定されていますが、削除してください。

また、これはオプションですがEBS上に機密情報を載せる場合にはEBSの暗号化を行うのでストレージのアドバンストを選択し、暗号化済みに設定します。KMSはデフォルトのものを選択します。

IAMロールの作成

Session ManagerがEC2インスタンスにアクセスするために必要なIAMロールを以下の公式ドキュメントのガイドに従って作成します。

IAMポリシーの作成

AmazonSSMManagedInstanceCoreというポリシーを利用すれば簡単に設定できますが、今回はローカルマシンとの通信をKMSキーで暗号化するために、最小限の権限を付与したポリシーを作成します。

IAMからポリシーの作成を選択し、「ポリシーエディタ」でJSONを選択します。その中に以下を書き込みます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:UpdateInstanceInformation",
                "ssmmessages:CreateControlChannel",
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:OpenDataChannel"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "key-name"
        }
    ]
}

Statementの前半はSSMに権限を与えるポリシーで、後半がKMSでの暗号化の設定になっています。key-nameはKMSのARNに置換してください。

ロールのアタッチ

ロールの作成をクリックし、
「信頼されたエンティティタイプ: AWSのサービス」→「ユースケース: EC2」
と進んだら先ほど作成した許可ポリシーを選択しロールを作成します。

次に、作成済みのEC2インスタンスの詳細へ移動し、「アクション」→「セキュリティ」→「IAMロールを変更」から今作成したものを選択して完了です。

NATゲートウェイを配置する

EC2インスタンスにmysqlやjavaをインストールするためにインターネットへの接続が必要になります。そのために、NATゲートウェイを設置します。

マネジメントコンソールのVPCダッシュボードからNATゲートウェイを選択しEC2インスタンスを置いているのと同じAZ内のパブリックサブネットに作成します。

作成したNATゲートウェイはプライベートサブネットのルートテーブルに送信先を0.0.0.0/0として関連付けてください。

このようにプライベートサブネットのルートテーブルが設定されていればOKです。

NATゲートウェイの作成には数分時間を要するので、ステータスがactiveになったら次のステップへ進んでください。

Session ManagerでEC2インスタンスに接続する

ここまで長い道のりでしたが、これでようやく接続する準備が完了しました。

EC2の詳細画面を開き、接続をクリックすると4つのタブがあり、セッションマネージャーを選択すると、右下に接続ボタンが表示されているはずです。

セッションマネージャーが有効化されるまで、テスト時には20分程度要したので、待ってみてください。

もし1時間以上待っても、エラーが表示されていたり、接続ボタンがグレーアウトしている場合はIAMロールが正しくアタッチされているか、HTTPSのアウトバウンドが許可されているか、ルートテーブルが正しく設定されているかを確認してください。

接続すると以下のような背景が真っ黒の画面が表示されます。

表示している通り、session managerでログインすると、初めはssm-userというユーザーでログインしていることがわかります。

一方で、EC2インスタンスにSSH等で接続したことがある方は、ec2-userというユーザ名でログインしたと思います。このままではデフォルトで作成されているec2-userのファイルにアクセスできないため、ログインをし直す必要があります。

sudo su --login ec2-user

とすることでec2-user権限で入りなおします。

これで今回のゴールである、Session Managerでの接続が完了です！

次の章では、RDSとALBを配置してそれぞれの接続を行っていきたいと思います。

---

記事一覧
プライベートサブネットにEC2を置いたWebアプリケーションを作成する ーイントロー
プライベートサブネットにEC2を置いたWebアプリケーションを作成する①
プライベートサブネットにEC2を置いたWebアプリケーションを作成する② <- 次はこちら
プライベートサブネットにEC2を置いたWebアプリケーションを作成する③