AWS SSM セッションマネージャ
#AWS
https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/session-manager.html
https://dev.classmethod.jp/articles/session-manageer-confirmation-item/
https://www.karakaram.com/aws-session-manager-tunneling-support-for-ssh/
概要
セッションマネージャを使用すれば、EC2などに接続できるようになる
ポート開放、踏み台サーバー管理、SSHキーの管理が不要になる
不要な穴が空いていない、ローカルにSSHキーを持っておく必要がないなど、よりセキュアになる
インターネットゲートウェイにつながるEC2であれば、エンドポイントは不要
プライベートサブネットならエンドポイントが必要
Session Manager の前提条件
OS
大体サポートされてそう
SSMエージェント
EC2などに、SSM Agent バージョン2.3.68.0以降がインストールされていること
次のAMIならデフォルトでインストールされている
Amazon Linux
Amazon Linux 2
Amazon Linux 2 ECS に最適化されたベース AMIs
macOS 10.14.x (Mojave)、10.15.x (Catalina)、11.x (Big Sur)
SUSE Linux Enterprise Server(SLES) 12 と 15
Ubuntu Server 16.04、18.04 および 20.04
2016 年 11 月以降に公開された Windows Server 2008-2012 R2 AMIs
Windows Server 2016 および 2019
エンドポイント
ec2messages
ssm
ssmmessages
使用するリージョンで
IAMロール
EC2にAmazonSSMManagtedInstanceCoreを含むロールがアタッチされていること
プライベートサブネットへの接続
Session Manager許可を持つIAMロールの作成
IAM > ロール > ロールを作成
信頼されたエンティティタイプ:AWSサービス
ユースケース:EC2
許可ポリシー:AmazonSSMManagedInstanceCore
ロール名などを入れて作成
VPCを作成
VPC作成
DNSホスト名を有効化
サブネット作成(private)
セキュリティグループ
インバウンド
https
同じセキュリティグループなど、エンドポイントと通信が出来るようにする
エンドポイントの作成
ssm
ssmmessages
ec2messages
主な設定項目
作成したVPC
DNS名有効
作成したサブネット(private)
作成したセキュリティグループ
ECインスタンスを作成
作成したVPC
作成したサブネット(private)
作成したセキュリティグループ
作成したロール
パブリックサブネットへの接続
Session Manager許可を持つIAMロールの作成
privateの場合と同じ
VPCを作成
VPC作成
サブネット作成
インターネットゲートウェイの作成
VPCにアタッチ
ルートテーブルを作成
インバウンド
0.0.0.0/0 → インターネットゲートウェイ
作ったサブネットに関連付ける
セキュリティグループの作成
デフォルトでもいいが一応作る
インバウンド、アウトバウンドともにデフォルト
EC2を作成
作ったVPC
作ったサブネット
パブリックIPの自動割当(Elastic IPでも良い)
作ったセキュリティグループ
作ったIAMロール