EC2 Instance Connectの概要
- 略称はEIC。2023年6月のアップデートでエンドポイント機能が登場。
- エンドポイント機能を使うとプライベートサブネットにあるEC2インスタンスにssh/rdpで接続できる
- session managerと異なりssm agentのインストールとEC2インスタンス側のSSMへのアクセス権付与&ルーティング設定が不要で管理が楽
参考ドキュメントとイメージ図
RDPの場合の設定手順
インスタンス起動
-
VPCとsubnetはすでにあるものとする。また、Microsoft Remote Desktopもインストール済みとする。
-
aws cliも設定済みとする(IAMユーザーアクセスキーはなるべく払い出したくないのでIAM Identity Centerを設定してaws configure ssoで利用するのがおすすめです)
-
EC2インスタンスを起動。
- 後続のMicrosoft Remote Desktopの設定でパスワードの指定が必要となるが、そのパスワードの取得のためキーペアの指定が必要。
- セキュリティグループはdefaultを選択(defaultでなくても良いがEICエンドポイントから到達できるよう設定する必要あり)
EICエンドポイントの作成
-
EICエンドポイント作成
- VPCコンソールのエンドポイントを開き、エンドポイントを作成をクリック
- サービスカテゴリでEC2 Instance Connect Endpointを指定
- VPCはEC2インスタンスと同じものを指定。
- サブネットはプライベートを指定。
- セキュリティグループはdefaultを指定(2023年7月30日現在は後からEICエンドポイントのセキュリティグループを編集できないので注意)
-
エンドポイントが作成されるまで3-4分待つ。
RDP接続
-
EC2のインスタンスIDをコピー。
-
ローカルから以下のコマンドでトンネルを開通
aws ec2-instance-connect open-tunnel --instance-id {instance_id} --remote-port 3389 --local-port 13389- local-portは任意のポート番号で良い(ここでは13389を指定)
- 正常に開通すると
Listening for connections on port 13389.と表示されるのでターミナルはそのまま放置してマネコンに戻る
-
EC2コンソールで対象のインスタンスを選択し、接続をクリック
RDPクライアントタブのリモートデスクトップファイルのダウンロードをクリック-
ダウンロードしたファイルをローカルのMicrosoft Remote Desktopで開く⇒ このパターンでは動かなかった - パスワードを取得をクリックし、インスタンス起動時に指定したキーペアをアップロード or 内容をcatコマンド等で表示してコピーしパスワードを表示。
- パスワードをコピー。
-
ローカルのMicrosoft Remote Desktopを開き、Add PCをクリック
-
PC Nameにlocalhost:13389を指定。
-
User Account > Add User AccountからUsernameをAdministator、パスワードを先程コピーしたパスワードにしてAdd
-
作成したPCをダブルクリックすると接続が開始する。
