こんにちは。
本日は、仮想サーバーにSystems Managerのセッションマネージャーでログインするために必要なIAMロールを作成する手順を記載します。
セッションマネージャーで仮想サーバーにログインするための準備
仮想サーバーにセッションマネージャーでログインするためには、以下が必要です。
- 仮想サーバーを立ち上げるためのAmazon Machine Image(AMI)で、
Systems ManagerのSSM Agentが含まれるAMIを用意している - 仮想サーバーでセッションマネージャーを使うために必要な、
IAMロールを作成している - 仮想サーバーから、
セッションマネージャーのエンドポイントへのアクセス経路を用意している - 仮想サーバーに設定するセキュリティグループで、
0.0.0.0/0に対するhttpsのアウトバウンドの許可ルールを含むセキュリティグループを
用意している
ここでは、セッションマネージャーで必要なIAMロールを作成する手順を記載します。
AWSのマネジメントコンソールでセッションマネージャーで仮想サーバーにログインするためのIAMロールを作成する手順
1. 以下のリンクにアクセス
以下のリンクでIAMロールを作成する画面に遷移します。
- 米国東部(バージニア北部、us-east-1)でIAMロールを作成する
https://us-east-1.console.aws.amazon.com/iam/home?region=ap-northeast-1#/roles/create
2. 以下の値を入力/設定
遷移した画面で、IAMロールを作成します。
IAMロールの作成は、以下の3ステップあります。
- 信頼されたエンティティを選択
- 許可を追加
- 名前、確認、および作成
Step 1. 信頼されたエンティティを選択
「信頼されたエンティティタイプ」で、「AWSのサービス」が選択されています。
ここはそのままでOKです。
次に、「サービスまたはユースケース」欄をクリックします。
「サービスまたはユースケース」欄をクリックすると、複数のサービスが表示されます。
ここで、「EC2」を選択します。
「サービスまたはユースケース」で「EC2」を選択すると、さらにいくつかのユースケースが表示されます。
ここで、「EC2 Role for AWS Systems Manager」を選択して、「次へ」を押下します。
Step 2. 許可を追加
前の画面で設定したユースケースに必要な権限が含まれるポリシーで、以下があらかじめ設定されます。
- AmazonSSMManagedInstanceCore
ここではそのまま「次へ」を押下します。
ここでは、セッションマネージャーの設定が行われていない状態で最小限必要な権限を設定しています。
セッションマネージャーの設定で、S3にログを保存する設定などを既に実施済である場合、その設定に応じた権限が追加で必要になります。
Step 3. 名前、確認、および作成
設定内容の確認画面が出ます。
この画面で、「ロール名」を入力します。
ここでは、ロール名を「EC2RoleForSSM」と入力しています。
次に、「ロールを作成」を押下します。
そうすると、画面が遷移してIAMロールの一覧画面が表示されます。
この画面の上部に、「ロール EC2RoleForSSMが作成されました」と表示されます。
セッションマネージャーで仮想サーバーにログインするための最小限の権限を持つIAMロールの作成は以上で終わりです。
どなたかのお役に立てれば幸いです。