LoginSignup
10
3

More than 1 year has passed since last update.

【AWS】SSH/SessionManagerによる要件別踏み台構成のまとめ

Last updated at Posted at 2022-12-18

目的

用途別に踏み台構成を用意し、それぞれのポイントや接続方法を整理します。
SSMが何かなどの話はここでは除外します。

また、構成パターン別にCloudFormation用のymlファイルは下記記事にまとめました。
ご参考までに。
https://qiita.com/eiji-noguchi/items/856b7964e7b17a76d011

構成パターンは以下になります。
1.EC2インスタンスがパブリックサブネットにあってssh接続をしたいとき
2.EC2インスタンスがパブリックサブネットにあってインターネットへの経路を持つがSession Managerを通してSSH接続する場合
3.EC2インスタンスがプライベートサブネットにあってインターネットへの経路を持たずSession Managerを通して接続する場合

1.EC2インスタンスがパブリックサブネットにあってssh接続をしたいとき

基本的な踏み台構成になります。
シンプルの構成かつ、外部とのトラフィックが発生する場合にこの構成をとることが多くなると思います。

構成図
ssh
ポイント
  • 踏み台用インスタンスはパブリックサブネットに配置する
  • 踏み台用インスタンスのキーペアを用意する
  • ルートテーブルにはInternet Gatewayへのルートを設定する
  • セキュリティグループにはポート22からのssh通信を許可するインバウンドルールを設定する
接続例
接続コマンド
ssh -i "/path/key-pair-name.pem" instance-user-name@instance-public-dns-name

2.EC2インスタンスがパブリックサブネットにあってインターネットへの経路を持つがSession Managerを通してSSH接続する場合

セキュリティグループのインバウンドルールを設定しなくてもいいため、パターン1よりもよりセキュアになります。
また、セッション履歴も管理したい場合にはこの構成になるかと思います。

構成図
ssmpub
ポイント
  • 踏み台用インスタンスはパブリックサブネットに配置する
  • 踏み台用インスタンスのキーペアを用意する
  • 踏み台用インスタンスにはIAMロール「AmazonSSMManagedInstanceCore」をアタッチする
  • ルートテーブルにはInternet Gatewayへのルートを設定する
  • セキュリティグループにはポート443からのHTTPS通信を許可するアウトバウンドルールを設定する
接続例

※AWS Session Managerを使用してSSH接続を行うためにはSSHの設定ファイル(通常 C:\Users<username>.ssh\config )に以下を追加する必要が必要になります。

config
# SSH over Session Manager
# 「host i-* mi-*」により、SSH接続を行う対象となるEC2インスタンスのIDが「i-」または「mi-」で始まるものを指定
host i-* mi-*
    ProxyCommand C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters portNumber=%p"
接続コマンド
ssh -i "/path/key-pair-name.pem" instance-user-name@instance-id
参考

3.EC2インスタンスがプライベートサブネットにあってインターネットへの経路を持たずSession Managerを通して接続する場合

一番セキュアにな構成になります。
経路を完全に閉じた状態でSSMを利用する場合にはこの構成になるかと思います。

構成図
ssmpri
ポイント
  • 踏み台用インスタンスはプライベートサブネットに配置する
  • 踏み台用インスタンスのキーペアを用意する
  • 踏み台用インスタンスにはIAMロール「AmazonSSMManagedInstanceCore」をアタッチする
  • 踏み台用インスタンスのセキュリティグループにはポート443からのHTTPS通信を許可するアウトバウンドルールを設定する
  • VPC Endpointsのセキュリティグループにはポート443からのHTTPS通信を許可するインバウンドルールを設定する
  • 下記3つのVPC Endpointsを作成する
    • ec2messages.region.amazonaws.com
    • ssm.region.amazonaws.com
    • ssmmessages.region.amazonaws.com
接続例

※AWS Session Managerを使用してSSH接続を行うためにはSSHの設定ファイル(通常 C:\Users<username>.ssh\config )に以下を追加する必要が必要になります。

config
# SSH over Session Manager
# 「host i-* mi-*」により、SSH接続を行う対象となるEC2インスタンスのIDが「i-」または「mi-」で始まるものを指定
host i-* mi-*
    ProxyCommand C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters portNumber=%p"
接続コマンド
ssh -i "/path/key-pair-name.pem" instance-user-name@instance-id
参考

まとめ

以上が3パターンによる踏み台接続の方法となります。
それぞれの要件にあった設計を選び、よりセキュアな構成を意識するようにしましょう。

10
3
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
10
3