はじめに
プライベートサブネットに配置されたEC2インスタンスは、インターネットから直接アクセスできません。
このような場合、AWS Systems Managerのセッションマネージャーを使用することで、セキュアにインスタンスへ接続することが可能です。
本記事では、セッションマネージャーを利用してプライベートサブネットのEC2インスタンスに接続する方法を解説します。
知識整理
セッションマネージャーとは
AWS Systems Managerの機能の一つで、ブラウザやAWS CLIを使ってEC2インスタンスに対してシェル接続を行うことができます。
引用画像:https://developers.prtimes.jp/2022/11/08/aws-session-manager/
EC2インスタンスへのアクセスに際しては、SSH鍵や踏み台サーバーが不要で、AWSのセキュリティグループ設定の簡素化にも繋がります。
前提条件
前提条件は以下の通りです。詳細は後述の手順で解説します。
・AWS Systems Managerエージェント(SSMエージェント)のインストール
Amazon LinuxやUbuntuなどのAMIには、デフォルトでSSMエージェントがインストールされています。インストールされていない場合は、手動でインストールが必要です。
・IAMロールの設定
EC2インスタンスに、以下の権限を持つIAMロールを付与します。
・AmazonSSMManagedInstanceCore ポリシー
・ネットワーク接続
セッションマネージャーはAWS Systems Managerと通信するため、EC2インスタンスからインターネットまたはVPCエンドポイントを介してSSMサービスにアクセスできる必要があります。
実装手順
ステップ1: EC2インスタンスの作成
AWS管理コンソールで「EC2」ダッシュボードにアクセスし、「インスタンスの起動」をクリックします。
名前を「test-ec2」に設定し、使用するAMIとインスタンスタイプを選びます。セッションマネージャーを利用するため、キーペアなしで進めます。
次に、ネットワーク設定でVPCとプライベートサブネットを選択し、インバウンド通信を許可しない(明示的には何も許可しない)セキュリティグループを作成します。
「インスタンスを起動」をクリックして作成完了です。
ステップ2: IAMロールの作成
AWS管理コンソールで「IAM」サービスを開き、「ロール」を選択し、ロールを作成します。
「AWSサービス」→「EC2」を選び、「AmazonSSMManagedInstanceCore」ポリシーをアタッチします。
名前を入力して「ロールの作成」をクリックします。ここでは「test-ec2」というロール名で作成しています。
ステップ3: EC2インスタンスにIAMロールをアタッチ
「EC2」サービスで対象インスタンスを選択し、「アクション」→「セキュリティ」→「IAMロールの変更」で先ほど作成したロールを選び、「IAMロールの更新」をクリックします。
先ほど作成した「test-ec2」のIAMロールをEC2インスタンスにアタッチします。
ステップ4: VPCエンドポイントの作成
まず、VPCエンドポイント用のセキュリティグループを作成します。AWS管理コンソールで「VPC」サービスに移動し、左側のメニューから「セキュリティグループ」を選択します。
「セキュリティグループを作成」をクリックし、名前と説明を入力します。次に、インバウンドルールでHTTPS(ポート443)を追加し、許可するIP範囲を設定します。
設定が完了したら、「セキュリティグループを作成」をクリックして保存します。セキュリティグループが作成できたら、次にVPCエンドポイントを設定します。
「VPC」サービスで「エンドポイント」を選び、「エンドポイントの作成」をクリックします。
サービス検索欄に「ssm」と入力し、「com.amazonaws.ap-northeast-1.ssm」を選択します(一番上です)。
続いて、適切なVPCとプライベートサブネットを選択します。事前に作成したVPCとプライベートサブネットを確認して選択します。
次に、先ほど作成したセキュリティグループを適用します。
※選択したAZ分料金が発生するので、使用しないものにはチェックをつけないようにしてください。
「エンドポイントの作成」ボタンをクリックして完了です。
同様の手順で「com.amazonaws.ap-northeast-1.ec2messages」と「com.amazonaws.ap-northeast-1.ssmmessages」のエンドポイントも作成してください。
サービスの検索バーで「com.amazonaws.ap-northeast-1.ec2messages」と入力して作成すると便利です。
サービスの検索バーで「com.amazonaws.ap-northeast-1.ssmmessages」と入力して作成すると便利です。
すべてのエンドポイントを作成後、合計3つのVPCエンドポイントが作成されていることを確認してください。
接続確認
「EC2」ダッシュボードで対象インスタンスを選び、「接続」→「セッションマネージャー」を選択して接続します。
セッションマネージャータブから接続ボタンをクリックして、ターミナルに画面が遷移することを確認してください。
これで、パブリックIPやSSHキーなしで、プライベートサブネット内のインスタンスにアクセスできます。
最後に、セッションマネージャーの最大の魅力は以下の点です。
・パブリックIPアドレスやSSHキーを必要とせず、安全にインスタンスにアクセスできる
まとめ
AWSのセッションマネージャーを使用することで、プライベートサブネット内のEC2インスタンスにセキュアかつ簡単にアクセスできるようになります。
これにより、踏み台サーバーの管理やSSH鍵の配布が不要となり、運用の効率化やセキュリティの向上に繋がります。
特に、インターネットアクセスが制限された環境下でのメンテナンスやトラブルシューティングに有用です。
おまけ:踏み台サーバーを利用した接続方法
踏み台サーバー(Bastionサーバー)を使うことで、プライベートサブネット内のEC2インスタンスにアクセスすることも可能です。
踏み台サーバーはパブリックサブネットに配置し、そこからSSH経由でプライベートサブネットのインスタンスに接続します。
引用画像:https://developers.prtimes.jp/2022/11/08/aws-session-manager/
この方法はセッションマネージャーを使わずにアクセスする場合に便利です。
参考文献