今回はセッションマネージャーからEC2インスタンスに接続する方法をやっていきます!
前回の記事ではプライベートサブネットに置いてあるEC2インスタンスに
パブリックサブネットに配置したNATゲートウェイを経由して外部と通信できる
手法を取っていましたが、今回はVPCエンドポイントを設定して外部のインターネットに
出ることなくセッションマネージャーからEC2インスタンスにアクセスする方法になります。
セキュリティ的に考えるとインターネットに出ずにセッションマネージャーに
アクセスできることは大きなメリットになりますね!
ただ、パッケージのアップデートなどはインターネットを経由して更新する必要があるため
NATゲートウェイを経由した方がいいケースもあります。
セッションマネージャーを使用するためだけにNATゲートウェイを配置するのは
セキュリティ的に微妙なのとNATゲートウェイは結構高額なのでNATゲートウェイ経由で
アクセスするか、VPCエンドポイント経由でアクセスするか、
どちらが良いかはケースバイケースのようです。
今回の構成イメージです。
セッションマネージャーからプライベートリンクを経由して各プライベートサブネット内の
EC2インスタンスにアクセスできるようにします。
AWS内だけで完結していますね。
【手順の流れ】
①対象のVPCの設定で、DNSホスト名とDNS解決が「有効」になっていることを確認
②プライベートサブネットに配置された各EC2インスタンスに
AmazonSSMManagedInstanceCoreをポリシーに含むロールをアタッチする
③エンドポイント用のセキュリティグループを作成する
VPCからのアクセスのみ許可し、アウトバウンドはすべての通信を許可する
④エンドパイントを3つ作成する(必要なエンドポイントは以下のとおり)
com.amazonaws.[リージョン].ssm
com.amazonaws.[リージョン].ssmmessages
com.amazonaws.[リージョン].ec2messages
セキュリティグループをアタッチして、エンドポイントに対象のEC2インスタンスのある
プライベートサブネットを選択する
では、実際にやっていきます。
①VPCの設定確認
VPC > お使いのVPC から事前に作成したVPCを選択し、
「DNSホスト名」と「DNS解決」が有効になっていることを確認します。
有効になっていないとエンドポイント作成でエラーになるので注意。
②EC2インスタンスにポリシーをアタッチ
EC2 > インスタンスから各プライベートサブネットに配置したインスタンスを選択し、
AmazonSSMManagedInstanceCoreが含まれているロールを作成してアタッチします。
③セキュリティグループの作成
VPCのIPアドレスとHTTPS通信のみをインバウンド通信に許可します。
アウトバウンドは特に制限不要のためすべての通信を許可しています。
④エンドポイントの作成
VPC > エンドポイント > エンドポイントの作成からエンドポイントを作成していきます。
まずはサービス名:com.amazonaws.[リージョン].ssmから。
サブネットでEC2インスタンスの配置してあるプライベートサブネットを選択します。
セキュリティグループに③で作成したセキュリティグループを選択して作成します。
同じようにサービス名だけ変更してcom.amaonaws.[リージョン].ssmmessagesの
エンドポイントも作成します。
com.amazonaws.[リージョン].ec2messagesも同様の手順で作成します。
3つすべてのエンドポイントが作成できました。
各EC2インスタンスの「接続」ボタンから「セッションマネージャーから接続」タブに遷移して
「接続」ボタンを押すとインスタンスに接続できます!