こんにちは。
本日は、AWSのマネジメントコンソールで仮想サーバーをプライベートサブネットに作成して、セッションマネージャーで仮想サーバーにログインする手順を記載します。
1. セッションマネージャーでログインできる仮想サーバーを作成するための準備
Systems Managerの機能の1つ、セッションマネージャーは、AWSのマネジメントコンソールから仮想サーバーにシェルアクセスできるサービスです。
セッションマネージャーを利用すると、仮想サーバーにパブリックIPアドレスを付与することなく、AWSのマネジメントコンソールから仮想サーバーにログインすることができます。
セッションマネージャーでは、インターネットにアクセスできるローカルなLinux/Windows等の環境から、コンソールでAWS CLIを用いて、プライベートサブネットに配備した仮想サーバーログインすることも可能です。
セッションマネージャーでログインできる仮想サーバーを作成するためには、以下の準備が必要です。
- Amazon Machine Image(AMI)
- IAMロール
- VPCとサブネット
- セキュリティグループ
- 完全閉域のVPCとする場合のアクセス経路(VPCエンドポイント)
- キーペア
1-1. Amazon Machine Image(AMI)
仮想サーバーを立ち上げるためのAmazon Machine Image(AMI)では、Systems ManagerのSSM Agentがあらかじめ含まれるAMIが必要です。
この記事では、AWSで用意されているAmazon Linux 2 のAMIを利用します。
1-2. IAMロール
仮想サーバーでセッションマネージャーを使うためには、適切な権限を設定したIAMロールが必要です。
この記事では手順の確認用として、以下の記事を参照して、IAMロールを作成してください。
1-3. VPCとサブネット
仮想サーバーを作成する環境として、VPCとサブネットが必要です。
VPCは以下があります。
- インターネットとの通信が可能なInternet Gatewayを配備するVPC
- Internet Gatewayを配備しないVPC
この記事では手順の確認用として、以下の記事を参照して、後述の条件でVPCとサブネット等を作成してください。
VPCは、それぞれ以下の条件で作成してください。
違いは、パブリックサブネットとNAT Gatewayを作成するかしないかの違いだけです。
▼VPC作成の条件
| 項目 | Internet Gatewayあり | Internet Gateway無し | |
| 作成するリソース | VPCなど | 同左 | |
| 名前タグの自動生成 | チェックする | 同左 | |
| 名前タグ | PoC-20240105 ※変更する場合は、 他記事も合わせて変更 |
同左 | |
| IPv4 CIDR ブロック | 10.0.0.0/16 ※変更しても 手順確認は可 |
同左 | |
| IPv6 CIDR ブロック | IPv6 CIDR ブロックなし | 同左 | |
| テナンシー | デフォルト | 同左 | |
| アベイラビリティ ゾーン (AZ) の数 |
1 | 同左 | |
| AZのカスタマイズ | しない | 同左 | |
| パブリックサブネットの数 | 1 | 0 | |
| プライベートサブネットの数 | 1 | 同左 | |
| サブネットCIDRブロックを カスタマイズ |
しない | 同左 | |
| NAT ゲートウェイ ($) | AZごとに1 | なし | |
| VPC エンドポイント | S3ゲートウェイ | 同左 | |
| DNS オプション |
DNSホスト名を有効化 | チェックする | 同左 |
| DNS解決を有効化 | |||
Internet Gatewayを配備しないVPCを作成した場合は、
1-5で、セッションマネージャー用のVPCエンドポイントを作成してください。
1-4. セキュリティグループ
仮想サーバーに設定するセキュリティグループで、0.0.0.0/0に対するhttpsのアウトバウンドの許可ルールを含むセキュリティグループが必要です。
この記事では手順の確認用として、以下の記事を参照して、セキュリティグループを作成してください。
1-5. 完全閉域のVPCとする場合のアクセス経路
Internet Gatewayを配備しない、完全閉域のVPCを作成した場合は、仮想サーバーから、セッションマネージャーのエンドポイントへのアクセス経路が必要です。
この記事では手順の確認用として、以下の記事を参照して、アクセス経路となるVPCエンドポイントを作成してください。
1-6. キーペア
セッションマネージャーで仮想サーバーにログインする場合は、SSHで仮想サーバーにログインするためのキーペアは使用しませんが、キーペアは基本的には作成して仮想サーバーに設定しておくことをおすすめします。
この記事では手順の確認用として、以下の記事を参照してーペアをを作成してください。
2. インスタンス(仮想サーバー)の作成と確認
以下のリンクにアクセスします。
- 東京リージョンで仮想サーバーを作成する
https://ap-northeast-1.console.aws.amazon.com/ec2/home?region=ap-northeast-1#LaunchInstances:
2-1. 仮想サーバーを作成
以下の内容を入力/設定していってください。
▼名前とタグ
「名前」を入力します。
▼Application and OS Images (Amazon Machine Image)
「クイックスタート」タブの「Amazon Linux」を選択します。
▼インスタンスタイプ
デフォルトで選択されている「t2.micro」をそのまま使います。
▼キーペア (ログイン)
準備の 1-6 で作成した「PoC-20240105」キーペアを選択します。
▼ネットワーク設定
ネットワーク設定は、まず「編集」ボタンを押下し、編集できるようにします。
「VPC」と「サブネット」は、準備の 1-3 で作成した「PoC-20240105-vpc」のVPCと、そのVPC内のプライベートサブネットを選択します。
「ファイアウォール(セキュリティグループ)」は、「既存のセキュリティグループを選択する」をクリックし、準備の 1-3 で作成した「Common」セキュリティグループを選択します。
▼ストレージを設定
ここはそのままとします。
▼高度な詳細
「高度な詳細」では、「IAMインスタンスプロフィール」の項目に、準備の 1-2 で作成した「EC2RoleforSSM」を選択します。
その他の項目はデフォルトのままとします。
▼インスタンスを起動
ここまで設定したら、「インスタンスを起動」ボタンを押下します。
画面が遷移します。
「インスタンスの起動を正常に開始しました」と表示されたら、赤枠のリンクをクリックして、インスタンスの作成状況を確認していきます。
2-2. インスタンスの作成状況を確認
インスタンスの一覧画面で、作成状況を確認します。
インスタンスの状態が「実行中」で、ステータスチェックが「2/2のチェックに合格しました」になりましたら正常に作成完了です。
▼インスタンスの状態が「保留中」
▼インスタンスの状態が「実行中」で、
ステータスチェックが「初期化しています」
▼インスタンスの状態が「実行中」で、
ステータスチェックが「2/2のチェックに合格しました」
➡作成完了!
2-3. インスタンスにセッションマネージャーでログイン
インスタンス(仮想サーバー)の作成が完了しましたら、セッションマネージャーでログインします。
作成したインスタンスをチェックボックスで選択して、「接続」ボタンを押下します。
「インスタンスに接続」画面で、「セッションマネージャー」タブを選択し、「接続」ボタンを押下します。
そうすると、ブラウザ上でシェル画面が表示されます。
シェルのプロンプトで、コマンドが入力できます。
シェルで「exit」を入力するか、画面右上の「終了」ボタンを押下することで、セッションマネージャーを終了してインスタンスからログアウトすることができます。
仮想サーバーの作成とセッションマネージャーでのログインは以上で終わりです。
どなたかのお役に立てれば幸いです。
それでは、Happy AWS Life!!