前回の話
前回までにやったこと
セキュリティグループを作って、HTTP通信のみ許可するように設定しました。
それとEC2立てました。
前回までの作業で完成したとこ
いい感じに完成してきた。
今回目指すところ
サーバに入ってコマンドを叩けるようにする
・コンソールからコマンドを叩きたい
・そのためにはsshでサーバにつなぐのが、最初に思いつく方法
・だけど、セキュリティグループはhttpしか開けてない
・sshとか開けたくないめんどくさ。
・そもそもうちの会社のネットワーク、80と443しか外に出れないんだけど。
じゃあ、どうするの?っていうときのやり方。
SystemsManager セッションマネージャで接続しに行く
これを使うとブラウザ上でコンソールを開いて、サーバでコマンド操作ができるようになる。
Teratermとか使わなくても、ブラウザさえあればCLIやれるぜっていう強者。
ということで、諸々設定する。
IAMロールを作成する
- マネジメントコンソールからIAMを開く。↓こんな画面が出るはず。
- IAMリソース > ロールを選択する
こんな画面が出るので、「ロールの作成」を押下する
- こんな画面が出るので、下記の通り選択する。選んだら「次のステップ:アクセス権限」を押下。
- 信頼されたエンティティの種類を選択:AWSサービス
- このロールを使用するサービスを選択:EC2
- アタッチするIAMポリシーを選択する
- 今回は「AmazonEC2RoleforSSM」をアタッチする
- 検索で「SSM」とか入れたら出てくるので、チェックボックスにチェックを入れる。
- 終わったら「次のステップ:タグ」を押下。
- タグの追加画面が出るが、オプションなのでそのまま「次のステップ:確認」を押下。
- ロール名にわかりやすい名前を付けて「ロールの作成」を押下。
- 「ロールxxxxxxが作成されました」と出るはず。
→これでIAMロールが作成できた。
作成したIAMロールをEC2にアタッチする
- EC2インスタンス一覧画面を開く
- 前回作成したEC2を右クリックし、以下の通り選択する
- インスタンスの設定 > IAMロールの割り当て/置換
- インスタンスの設定 > IAMロールの割り当て/置換
- さっき作ったIAMロールを選択し、「適用」を押下。
- 割り当てが成功するはず。
Session Managerから接続してみる
- マネジメントコンソールから「SystemsManager」を選択する。
- 左ペインのInstance&Nodesから「セッションマネージャ」を選択する
- 右上「セッションの開始」を押下する
- IAMロールをアタッチしたEC2が表示されるはず
- IAMロールをアタッチしたEC2が表示されるはず
- EC2を選択して「セッションの開始」を押下する
- コンソール画面がブラウザの中に表示される
- コンソール画面がブラウザの中に表示される
→サーバ上でコマンドが叩ける状態になった1
「いや…なってない」という場合
ルートテーブルの設定を変えましょう。
- VPCからルートテーブルを選択する
- ルートテーブルの一覧から、前々回くらいに作成したVPCに紐づくルートテーブルを選択する。
- ページ下部にあるタブから、「ルート」を選択し、「ルートの編集」を押下する。
- ルートの編集画面から、「ルートの追加」を押下し、ターゲットで「Internet Gateway」を選択する。
- 選択可能なインターネットゲートウェイが表示されるので、前回くらいに作成したものを選択する。
- 送信先に「0.0.0.0」と入れると、下図のように「0.0.0.0/0」と表示されるので、それを選択する。
- こんな感じの状態になったら、「ルートの保存」を押下し、編集を終える。
- 再度、セッションマネージャから「セッションの開始」を押下すると、接続可能なインスタンスが表示されるはず。
- 表示されるまで少し時間がかかるので、良かったら煙草吸いに行って下さい。
なかなか終わらないので次回へ。
-
インターネットに抜けるようなネットワーク設定になってないとダメ。EC2がアタッチされてるVPCのルートテーブルがlocalで閉じてると、外に出れないのでSessionManagerも使えない。 ↩