はじめに
今の現場で Fleet Manager が利用されているのですが、正直なところ、
- 何をしてくれる機能なのか
- なぜ使われているのか
- どんなメリットがあるのか
よく分からない状態でした。
「SSH や RDP で入ればいいのでは?」と思いつつも、実際には Fleet Manager が使われているため、
仕組みと目的を理解するために一度整理してみようと思い、本記事を書いています。
Fleet Manager とは?
AWS Systems Manager Fleet Manager は、
EC2 やオンプレミスサーバをGUI で一元管理できる Systems Manager の機能です。
- SSH や RDP を使わず
- AWS コンソールから複数のサーバをまとめて管理できる
仕組みになっています。
Fleet Manager で何ができるのか?
Fleet Manager では、主に以下のことが可能です。
✔ サーバの一覧管理
- インスタンスの状態確認
- OS 情報、IP アドレス、タグ
- 稼働 / 停止状況
✔ サーバへの接続(ブラウザ経由)
- SSH / RDP 不要
- ポート開放不要
- IAM 認証で接続
✔ OS・プロセス情報の確認
- CPU / メモリ使用状況
- 実行中プロセス
- ディスク使用率
✔ ファイル操作
- ファイルの閲覧・アップロード・ダウンロード
- 設定ファイルの確認
✔ ユーザー・サービス管理
- OS ユーザー確認
- systemd サービスの状態確認
どうやって接続しているのか?
Fleet Manager は、以下の仕組みで動作しています。
[ブラウザ]
↓
[AWS コンソール]
↓
[AWS Systems Manager]
↓
[SSM Agent]
↓
[EC2 / オンプレミス]
ポイントは、
- インバウンド通信は不要
- EC2 側から AWS へアウトバウンド通信 するだけ
- 認証は IAM で制御
という点です。
そのため、
- セキュリティグループで SSH (22) / RDP (3389) を開ける必要がない
- 踏み台サーバが不要
- 鍵管理が不要
といったメリットがあります。
Fleet Manager を使うメリット
① セキュリティ向上
- SSH/RDP ポートを閉じられる
- 鍵管理・パスワード管理が不要
- IAM + CloudTrail で操作履歴を追える
② 運用負荷の軽減
- 踏み台サーバが不要
- GUI で直感的に操作できる
③ 監査対応が楽
- 誰が・いつ・どのサーバを操作したか記録される
- 不要な管理者権限を減らせる
SSH / RDP との違い
| 観点 | Fleet Manager | SSH / RDP |
|---|---|---|
| 接続方法 | ブラウザ | クライアント |
| ポート開放 | 不要 | 必要 |
| 認証 | IAM | 鍵 / パスワード |
| 操作ログ | CloudTrail | 残りにくい |
| 踏み台 | 不要 | 必要になることが多い |
利用するための前提条件
Fleet Manager を使うためには、以下が必要です。
- EC2 に SSM Agent がインストールされている
- EC2 に適切な IAM ロール が付与されている
- AmazonSSMManagedInstanceCore
- EC2 から SSM エンドポイントへの通信が可能
- NAT Gateway or VPC Endpoint
向いているケース・向いていないケース
✔ 向いている
- 多数の EC2 を運用している
- セキュリティを重視したい
- 踏み台を廃止したい
- 監査要件がある
✘ 向いていない
- 低レイヤなデバッグ(カーネル・ネットワーク)
- GUI より CLI での操作を好む
- 特殊な OS 設定が必要
まとめ
- Fleet Manager は GUI でサーバを一元管理できる仕組み
- SSM Agent + IAM による安全な接続
- SSH / RDP を使わずに運用できるのが最大のメリット
- セキュリティ・運用・監査の観点で非常に相性が良い
「使われて確認しているだけ」から「なぜこの仕組みが採用されているのか理解して使う」
状態になると、運用の見え方がかなり変わると感じました。