2020.11.09 【テレワーク(リモートワーク)】自宅からアクセスするAWS保守メンテナンス方法 SSM セッションマネージャーを使ったマネジメントコンソールからのメンテナンスアクセス編

SSM セッションマネージャーを使ったマネジメントコンソールでも自宅からアクセスしてメンテナンス可能?

【テレワーク(リモートワーク)】 ~自宅からアクセスするAWS保守メンテナンス方法まとめ~ 新規ウィンドウで開くで、テレワーク(リモートワーク)をしながら、自宅からアクセスするAWSメンテナンス方法はできるのか?ということをご紹介しました。

今回はその記事の続きになります。


まず、SSM セッションマネージャーのご紹介をいたします。

SSMセッションマネージャーは、SSM(AWS Systems Manager)の機能の1つであり、SSM agentを通してインスタンスとセッションを接続する機能です。

実際に構築する手順をご紹介!

まず、AWSのマネージメントコンソールからSSMセッションマネージャーのサービスを使用して目的のサーバにアクセスします。


インターネットを通し、AWSのマネージメントコンソールからSSMセッションマネージャーのサービスを使用して目的のサーバに接続する様子

構築のポイント

  • ユーザ管理と認証はIAMを使用します。
  • AWSマネージメントサービスなので、セキュリティに問題はありません。安心してご使用いただけます。
  • 接続はAWSマネジメントコンソール上からのアクセスになります。
  • CLI(コンソール)のアクセスになります。
  • EC2にSSMの権限を付与したロールの付与が必須です。
  • ログイン時のユーザは共通でssm-userになります。
  • AWSよりサポートを提供してもらえるので、サポート面に安心があります。
  • インターネット接続を禁止している場合は、VPC エンドポイントが必要になります。

AWSのマネジメントコンソールの詳しい料金体系

  • インターネット接続ができない場合のみ必要になりますので、ご注意ください
  • 東京リージョン(2020/09時点)の利用を前提として試算
VPC エンドポイント料金 1時間に付き$0.014、処理データ1 GBあたり$ 0.01

下記エンドポイントが必要になります。

com.amazonaws.region.ssm

com.amazonaws.region.ec2messages

com.amazonaws.region.ec2

com.amazonaws.region.ssmmessages

構築手順

Session Manager 開始方法ガイド 新規ウィンドウで開くを参考にSSMセッションマネージャーを使うための準備を行います。


1. EC2の起動
  • 前提条件を満たすためにSSMエージェントがすでにインストール済みのAWSが提供するAMIを使用してEC2を起動。
EC2を起動する

2. ロールの作成
  • AmazonSSMManagedInstanceCoreの権限を付与したIAM ロールを作成し、EC2に付与する。

IAMのコンソールからロールのタブを選択⇒ロールの作成をクリック⇒AWSサービスのEC2を選択

IAMのコンソールからロールのタブを選択し、ロールの作成をクリック、AWSサービスのEC2を選択する

  • AmazonSSMManagedInstanceCore権限を付与
AmazonSSMManagedInstanceCore権限を付与を選択する

  • 必要ならタブを追加
必要であればタブを追加する

  • ロール名を入力⇒ロールを作成
ロール名・ロール名の説明を入力し、ロールを作成する

  • EC2のコンソールからロールを付与⇒EC2を選択しロールを割り当て
EC2のコンソールからロールを付与し、EC2を選択しロールを割り当てる

  • IAMロールの欄に作成したロールを選択しロールを付与
IAMロールの割り当て/置き換えから、IAMロール欄より作成したロールを選択しロールを付与する

3. VPCエンドポイントの作成
  • 下記のエンドポイントを付与
  • インターフェースエンドポイント

com.amazonaws.region.ssm

com.amazonaws.region.ec2messages

com.amazonaws.region.ec2

com.amazonaws.region.ssmmessages/p>

  • ゲートウェイエンドポイント

com.amazonaws.region.s3

  • 1回の操作で1つのエンドポイントしか作れないため、以下の操作を、作成するエンドポイントの数繰り返す。

VPCコンソールからエンドポイントのタグを選択⇒エンドポイントの作成をクリック⇒サービスカテゴリのAWSサービスを選択⇒サービス名を選択

VPCコンソールからエンドポイントのタグを選択、エンドポイントの作成をクリック、サービスカテゴリのAWSサービスを選択、サービス名を選択する

  • エンドポイントを作成するサブネットと付与するセキュリティグループを選択(セキュリティグループはポート 443 でインスタンスからのインバウンドトラフィックを許可する必要があります。)

※S3のエンドポイントの場合エンドポイントへのルーティングを付与⇒ルートテーブルも選択

エンドポイントを作成するサブネットと付与するセキュリティグループを選択する

4.SSM セッションマネージャーで接続
  • SSMのコンソール画面からセッションマネージャーのタブを選択⇒セッションの開始をクリック
    SSMのコンソール画面からセッションマネージャーのタブを選択し、セッションの開始をクリックする

    • 接続したいEC2を選択⇒セッションを開始する

    ※すぐに設定が反映されずEC2が表示されない場合があります。

    接続したいEC2を選択し、セッションを開始する

    • セッション開始
    セッション開始する

    まとめ

    SSM セッションマネージャーを使ったマネジメントコンソールからのメンテナンスアクセスを構築してみました。一度環境さえ整えてしまえば、簡単に自宅よりアクセスでき、AWS保守メンテナンスがいつでもできるようになります。

    CLI限定となってしまいますが簡単なメンテナンスなどに使ってみてはいかかでしょうか。


    導入のご検討や、お困りごとがある際は、気軽に当社お問合せサイト新規ウィンドウで開くにお問合せください。お客様の環境に最適な方法を提案いたします。

    関連サービス

    導入のお問い合わせはこちら

    AWSやAmazon WorkSpacesの導入から接続回線、運用・保守まで何でもお任せください。

    お問い合わせ・資料請求