0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

EC2 に入るなら SSH か Session Manager か?運用と監査で整理する

0
Posted at

EC2 に入るなら SSH か Session Manager か?運用と監査で整理する

EC2 を運用するとき、最初の接続手段として SSH を思い浮かべることは多いです。

ただし、AWS の設計として「安全に管理したい」「公開ポートを減らしたい」「鍵配布を避けたい」という要件があるなら、まず検討したいのは AWS Systems Manager Session Manager です。

この記事では、SSH と Session Manager を宗教論ではなく、運用・監査・障害対応の観点から整理します。

結論:安全性と運用性を両立したいなら Session Manager を優先したい

先に結論を書くと、次のような要件があるなら Session Manager がかなり有力です。

  • EC2 を安全に管理したい
  • 22 番ポートを公開したくない
  • SSH 鍵の配布をやめたい
  • 踏み台サーバーを減らしたい
  • 接続履歴や監査性を高めたい

つまり、管理のために SSH を公開する前に、そもそも公開不要で入れないかを考えるべきです。

なぜ従来の SSH 運用は重くなりやすいのか

SSH 自体は一般的な手段ですが、運用の現場では次のような論点が増えがちです。

  • 22 番ポートの開放管理
  • 接続元 IP 制限
  • 鍵ペアの配布と回収
  • 踏み台サーバーの構築と保守
  • 権限棚卸しや監査対応

たとえば一時対応のつもりで 22 番を広く開け、そのまま残る事故は珍しくありません。接続のための仕組みが、そのままリスク要因になりやすいわけです。

Session Manager の役割

Session Manager は、Systems Manager の機能の一つで、EC2 などへ安全にシェル接続するための仕組みです。

主な利点は次の通りです。

  • SSH ポートを公開しなくても接続しやすい
  • 踏み台サーバーを減らせる
  • 鍵配布を省ける
  • IAM ベースでアクセス制御しやすい
  • セッションログを残しやすい

このため、運用の安全性と管理性を同時に上げやすいのが強みです。

運用・監査・障害対応で比較する

特に Session Manager を選びやすいのは、次のような場面です。

  • プライベートサブネットの EC2 を管理したい
  • なるべくインバウンドを閉じたい
  • 複数運用者の権限を IAM で整理したい
  • 監査証跡を残したい
  • 踏み台の運用負荷を減らしたい

比較表で整理する

観点 SSH 中心の運用 Session Manager
22 番ポート 管理が必要 不要にしやすい
鍵配布 必要 省きやすい
踏み台 必要になりがち 省略しやすい
権限制御 OS / 鍵ベースに寄りがち IAM 中心で整理しやすい
監査 別途設計が必要 組み込みやすい

この表で見ると、Session Manager が単なる代替手段ではなく、運用設計そのものを軽くする選択肢だと分かります。

踏み台不要・鍵不要の価値

実務で特に効くのは、この 2 つです。

踏み台不要

踏み台サーバーを置くと、そのサーバー自体のパッチ、監視、アクセス管理が必要になります。つまり、管理用のサーバーをさらに管理する仕事が増えます。

鍵配布不要

SSH 鍵の配布は、人の増減がある組織ほど重くなります。

  • 誰が秘密鍵を持っているか
  • どの端末に保存されているか
  • 退職や異動時に確実に回収できるか

このあたりを曖昧にすると、後から非常に面倒です。

試験での見分け方

AWS 認定試験では、次のようなキーワードがあれば Session Manager を先に疑うべきです。

  • 安全に管理したい
  • 公開ポートを減らしたい
  • 鍵管理をなくしたい
  • 踏み台を使いたくない
  • 監査しやすくしたい

たとえば「管理アクセスを安全に提供しつつ、インターネット公開を避けたい」と書かれていれば、かなり本命です。

導入時の注意点

もちろん、Session Manager を使うには前提もあります。

  • Systems Manager Agent の動作
  • 適切な IAM ロール
  • 通信経路の確保
  • ログ保存先の設計

ただし、これらを踏まえても、22 番を開けて鍵を回すより整理しやすいケースは多いです。

まとめ

EC2 の管理手段として SSH は一般的ですが、AWS では常に最初の正解とは限りません。

  • 公開ポートを減らしたい
  • 鍵配布を避けたい
  • 踏み台をなくしたい
  • 監査しやすくしたい

こうした要件があるなら、Session Manager を先に考える方が自然です。

22 番を開ける前に、公開せずに安全に管理できる方法がないかを見る。この順番を持っておくと、設計判断がかなり安定します。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?