Macからプライベートサブネット配下に設置したSSM経由でWindowsインスタンスにRDPアクセスする

Last updated at 2022-06-01Posted at 2022-06-01

先日業務で初めてWindowsServerに触れる機会があり、その際にSSMを経由したRDP接続に関してアウトプットとして記事の投稿をしたいと思います。

構成図

VPC内のプライベートサブネット配下に設置したWindosServerにSSM経由でアクセスするものです。

事前準備して以下のダウンロードが必要です。

マネジメントコンソールから構成図の通りVPCを作成します。
今回はシンプルな構成のためVPCウィザードから作成しました。
以下のような構成で作成していきます。

今回セキュリティグループは2つ作成します。

セキュリティグループは以下のとおり設定します。

■EC2用のセキュリティグループ

EC２にはVPCエンドポイント経由でアクセスするためEC2のインバウンド設定は不要です。

■VPCエンドポイント用のセキュリティグループ

ソースの範囲はVPCエンドポイントを配置するサブネットのCIDRを指定しています。

※いずれのセキュリティグループもアウトバウンドルールはデフォルトでOKです。

続いてWindowsServerを作成していきます。
VPCの設定とセキュリティグループを今回作成したものに変更してパブリックIPアドレスは非有効にしておきます。
あとはデフォルトでOKなので割愛します。
（サーバーはWindowsServerを指定）

EC2でSystems Managerを利用するための権限としてのIAMロールを作成します。
以下IAMロールを作成し、先程作成したEC2にアタッチします。

SSMを利用できるようにしたいので AmazonSSMManagedInstanceCoreポリシーをアタッチします。

作成後先程作成したEC2にアタッチします。

EC２インスタンスの「接続」→「RDPクライアント」から「パスワードを取得」を押下してEC2作成時に指定したキーペアをを参照してログイン用のパスワードを取得します。

あとでRDPする際に必要になりますのでメモ帳なのでコピペしておいてください。

今回プライベートサブネットに配置されているインスタンスに接続したいのでVPCエンドポイントを経由する必要があります。

以下3つのエンドポイントを今回作成したVPCのサブネットに配置します。

ターミナルで以下コマンドでセッションを開始します。

aws ssm start-session --target i-xxxx --document-name AWS-StartPortForwardingSession --parameters "portNumber=3389, localPortNumber=13389"

ターミナル上で上記コマンドを実行しWaiting for connections...の文字が表示されたらセッションが確立された状態になっています。

続いてMicroSoft Remote DesktopでRDP接続していきます。

コンピュータ名にlocalhost:13389を入力します。
※13389はポートフォワーディングで開いたローカルポートです。
この設定をAddしてConnectするとログイン画面がでてきますので、先程メモしたパスワードでログインします。

WindowsServerへのリモートデスクトップアクセスが成功しました。

接続がうまくいかない時は以下のポイントをチェックすると良いかもです。

SSM経由でインスタンスにアクセスできるようになるとEC2のポートを開かなくても良いのでセキュリティの向上につながって良いなと思いました。