Edited at

[AWS] InstanceConnect と SessionManager の比較


はじめに

EC2 Instance Connect』に『Session Manager の SSH・SCPトンネリング』と、似たような機能が立て続けにリリースされましたが、「どっち使えばいいの?」と悩んでしまいますよね。

それぞれ向き/不向きなケースがありますので、どちらを利用すべきかの判断ポイントを簡単に表にまとめてみます。


比較表

表はSSHのみとなっていますが、SCPでも同様です。

SessionManagerの従来の接続方法については比較対象外としています。

比較項目
SessionManager (SSH)
EC2 InstanceConnect (SSH)

対応OS
多い
少ない

EC2ロール
必要
不要

オンプレサーバーでの利用

不可

ネットワーク
22番ポートの穴あけが不要。
Privateネットワークでも利用可。
22番ポートの穴あけが必要。
Privateネットワークでは利用不可。

SSHキー(秘密鍵)
クライアントで保持する必要がある。
不要。
msshコマンドが勝手に作って使って捨てる。

OSユーザー指定
SSHキーで制御。
IAMユーザー(IAMロール)に付与するポリシーで限定が可能。

ログ
SessionManagerにセッション履歴が残る。
CloudTrail に StartSession のログが残る。
OS上の操作ログは残らない。
CloudTrail に SendSSHPublicKey のログが残る。
OS上の操作ログは残らない。