2020.11.09 【テレワーク(リモートワーク)】自宅からアクセスするAWS保守メンテナンス方法  SSM セッションマネージャーのポートフォワーディングを使用したメンテナンスアクセス編

SSM セッションマネージャーのポートフォワーディングを使用し、自宅からアクセスしてメンテナンス可能?

【テレワーク(リモートワーク)】 ~自宅からアクセスするAWS保守メンテナンス方法まとめ~新規ウィンドウで開くで、テレワーク(リモートワーク)をしながら、自宅からアクセスするAWSメンテナンス方法はできるのか?ということをご紹介しました。

今回はその記事の続きになり、SSM セッションマネージャーのポートフォワーディングを使用したAWSメンテナンスアクセスをご紹介します。

実際に構築する手順をご紹介!

まずAWS CLIを使用してローカルPCとAWS上の目的のサーバにSSM Session Managerの機能を使い、通信を暗号化するトンネルを作成します。その後、目的のサーバに接続します。

AWS CLIを使用してローカルCPとAWS上の目的のサーバにSSM Session Managerの機能を使い、通信を暗号化するトンネルを作成した後、目的のサーバに接続する様子

構築のポイント

  • ユーザ管理と認証はIAMを使用します。
  • AWSマネージメントサービスなので、セキュリティに問題はありません。安心してご使用いただけます。
  • 接続はAWS CLIを使いRDPなどをポートフォワーディングします。
  • EC2にSSMの権限を付与したロールの付与が必須です。
  • AWSよりサポートを提供してもらえるので、サポート面に安心があります。
  • 料金は、インターネット接続を禁止している場合は、エンドポイント料金分費用がかかる。

AWSのマネジメントコンソールの詳しい料金体系

  • インターネット接続ができない場合のみ必要
  • 東京リージョン(2020/09時点)の利用を前提として試算
VPN エンドポイント料金 1時間に付き$0.014、処理データ1 GBあたり$ 0.01

下記エンドポイントが必要になります。

com.amazonaws.region.ssm

com.amazonaws.region.ec2messages

com.amazonaws.region.ec2

com.amazonaws.region.ssmmessages

構築手順

AWS System Manager Sessions Manager を使用した新しい機能ガイド 新規ウィンドウで開くを参考に構築していきます。

1. SSMセッションマネージャの使用準備
  • 「SSM セッションマネージャーを使ったマネジメントコンソールからのメンテナンスアクセス」の3の手順まで実施

※起動するインスタンスはWindowsインスタンスを起動

2. AWS CLIとSystem Manager CLI 拡張機能をインストール
  • 以下Windows64bit OSバージョンで実施し、AWS CLI version 2をダウンロードしインストールする

AWS CLI version 2ダウンロード画面新規ウィンドウで開くを開き、保存する。実行をクリックする。

AWS CLI version 2をダウンロードしインストールする

  • Nextをクリック
Nextをクリックする
  • 「I accept the terms in the License Agreement」をチェック⇒nextをクリック
「I accept the terms in the License Agreement」をチェックし、nextをクリックする
  • Nextをクリック
Nextをクリックする

  • Installをクリック
Installをクリックする

  • Finishをクリック
Finishをクリックする

  • System Manager CLI 拡張機能をダウンロードしてインストール

System Manager CLI 拡張機能ダウンロード画面新規ウィンドウで開くを開き、インストール。実行をクリックする。

実行をクリックする

  • 「agreet to the License terms and conditions」をチェック⇒Installをクリック
「accept to the License terms and conditions」をチェックし、installをクリック

  • Closeをクリック
Closeをクリックする

3.アクセスキーの作成

System Manager アクセスキーの管理 (コンソール)ガイド新規ウィンドウで開くを参考に作成を行います。

  • アクセスキーを作成したいIMAユーザをクリック
アクセスキーを作成したいIMAユーザをクリックする

  • 認証情報をクリック⇒アクセスキーの作成をクリック
認証情報を選択しアクセスキーの作成をクリックする

  • CSVでダウンロード⇒シークレットアクセスキーを保存
CSVでダウンロードしシークレットアクセスキーを保存する

4. AWS CLIでポートフォワーディング
  • PowerShellを起動⇒「aws configure」を実行⇒AWS CLIの設定を実施⇒アクセスキー、シークレットアクセスキー、デフォルトリージョンを入力

PS > aws configure

AWS Access Key ID[]: 【アクセスキー】

AWS Secret Access Key []:【シークレットアクセスキー】

Default region name []: ap-northeast-1

Default output format []:

  • 下記コマンドを入力し、ポートフォワーディングを実行⇒portNumberに転送先のポート番号、localPortNumberにローカルのポート番号を指定

PS > aws configure

PS > aws ssm start-session --target 【インスタンスID】 --document-name AWS-StartPortForwardingSession --parameters "portNumber=3389,localPortNumber=33890"

5. RDPで接続
  • localhost:33890で接続する
リモートデスクトップ接続で、localhost:33890を接続する

まとめ

SSM セッションマネージャーのポートフォワーディングを使用したメンテナンスアクセスを構築してみました。

portNumberに22を指定すればSSHでも使用が可能です。構築やCLIを使う点で難しいですが、SSHやRDPを安全にかつオンプレミスを使う感覚と同じ感覚で使用できて非常に便利だと思います。

導入のご検討や、お困りごとがある際は、気軽に当社お問合せサイト新規ウィンドウで開くにお問合せください。お客様の環境に最適な方法を提案いたします。

関連サービス

導入のお問い合わせはこちら

AWSやAmazon WorkSpacesの導入から接続回線、運用・保守まで何でもお任せください。

お問い合わせ・資料請求