Session Manager を使用して Amazon EC2 インスタンスに接続する - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Session Manager を使用して Amazon EC2 インスタンスに接続する

作成者: Jason Cornick (AWS)、Abhishek Bastikoppa (AWS)、Yaniv Ron (AWS)

環境:本稼働

テクノロジー: インフラストラクチャ、 CloudNative、エンドユーザーコンピューティング、オペレーション

AWS サービス: Amazon CloudWatch Logs、AWS Systems Manager、Amazon EC2

[概要]

このパターンでは、AWS Systems Manager の一機能である Session Manager を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに接続する方法について説明します。このパターンを使用すると、ウェブブラウザを介して EC2 インスタンスで bash コマンドを実行できます。Session Manager では、インバウンドポートを開く必要はなく、EC2 インスタンスのパブリック IP アドレスも必要ありません。さらに、異なる Secure Shell (SSH) キーを使用して踏み台ホストを維持する必要がなくなります。AWS Identity and Access Management (IAM) ポリシーを使用して Session Manager へのアクセスを管理し、インスタンスのアクセスやアクションなどの重要な情報を記録するログ記録を設定できます。

このパターンでは、IAM ロールを設定し、Amazon マシンイメージ (EC2) を使用してプロビジョニングする Linux AMI インスタンスに関連付けます。次に、Amazon CloudWatch Logs でログ記録を設定し、Session Manager を使用してインスタンスとのセッションを開始します。

このパターンは Amazon Web Services (EC2) クラウドの Linux AWS インスタンスに接続しますが、このアプローチを使用して、オンプレミスサーバーやその他の仮想マシンなどの他のサーバーとの接続に Session Manager を使用できます。

前提条件と制限

前提条件

アーキテクチャ

ターゲットテクノロジースタック

  • セッションマネージャー

  • Amazon EC2

  • CloudWatch ログ

ターゲット アーキテクチャ

Session Manager は EC2 インスタンスに接続し、ログデータを CloudWatch Logs または S3 バケットに送信します。
  1. ユーザーは IAM を通じて ID と認証情報を認証します。

  2. ユーザーは Session Manager を介して SSH セッションを開始し、API インスタンスに EC2 呼び出しを送信します。

  3. AWS インスタンスにインストールされている SSM Systems Manager EC2 エージェントは、Session Manager に接続し、コマンドを実行します。

  4. 監査およびモニタリングの目的で、Session Manager はログデータを CloudWatch Logs に送信します。あるいは、Amazon Simple Storage Service (Amazon S3) バケットに、ログデータを送信することもできます。詳細については、「Amazon S3 を使用したセッションデータのログ作成」 (システムマネージャードキュメント)を参照してください。

ツール

AWS サービス

  • Amazon CloudWatch Logs は、すべてのシステム、アプリケーション、Word AWSサービスからのログを一元化し、ログをモニタリングして安全にアーカイブできるようにします。

  • Amazon Elastic Compute Cloud (Amazon EC2) は、AWSクラウドでスケーラブルなコンピューティング性能を提供します。必要な数の仮想サーバーを起動することができ、迅速にスケールアップまたはスケールダウンができます。このパターンでは、Amazon マシンイメージ (AMI) を使用して Linux EC2 インスタンスをプロビジョニングします。

  • AWS Identity and Access Management (IAM) は、誰を認証し、誰に使用を認可するかを制御することで、AWS リソースへのアクセスを安全に管理するのに役立ちます。

  • AWS Systems Manager は、AWS クラウドで実行されているアプリケーションとインフラストラクチャを管理するのに役立ちます。アプリケーションとリソースの管理を簡素化し、運用上の問題を検出して解決する時間を短縮し、AWS リソースを大規模に安全に管理できるようにします。このパターンは、システムマネージャーの機能である「Session Manager」 を使用します。

ベストプラクティス

AWS Well-Architected フレームワークのセキュリティの柱の詳細をお読みになり、暗号化オプションを調べ、「Session Manager のセットアップ」(Systems Manager ドキュメント) でセキュリティに関する推奨事項を適用することをお勧めします。

エピック

タスク説明必要なスキル

IAM ロールを作成します。

IAM Agent の SSM ロールを作成します。AWS サービスのロールの作成」(IAM ドキュメント) の指示に従い、以下の点に注意してください。

  1. AWS サービスで、EC2 を選択します。

  2. [許可] で、AmazonSSMManagedInstanceCore を選択します。

  3. [ロール名] に EC2_SSM_Role を入力します。

AWS システム管理者

EC2 インスタンスを作成します。

  1. EC2 インスタンスを作成します。「インスタンスを起動する」(Amazon EC2 ドキュメント) の指示に従い、次の点に注意してください。

    1. 名前とタグ]セクションで、[その他のタグを追加]を選択します。[キー] に「Name」と入力し、[] に「Production_Server_One」と入力します。

    2. AMI Agent がプリインストールされている Amazon Linux SSM を選択します。詳細なリストについては、AMIs エージェントをプリインストールした SSM」(Systems Manager ドキュメント) を参照してください。

    3. 詳細セクションの IAM インスタンスプロファイルで、EC2_SSM_Role を選択します。

  2. https://console.aws.amazon.com/systems-manager/ で Systems Manager コンソールを開きます。

  3. ナビゲーションペインで、[Fleet Manager] を選択します。

  4. インスタンスがマネージドノードのリストに表示されていることを検証します。

AWS システム管理者

ログ記録をセットアップする。

  1. CloudWatch Logs でロググループを作成します。「ロググループの作成」(CloudWatch Logs ドキュメント) の指示に従ってください。新しいロググループSessionManagerに名前をつけます。

  2. Session Managerのログを設定します。「Amazon CloudWatch Logs を使用したセッションデータのログ記録」 (Systems Manager ドキュメント) の指示に従い、次の点に注意してください。

    1. 暗号化された CloudWatch ロググループのみを許可する を選択しないでください。

    2. リストからロググループを選択するでSessionManager を選択します。

AWS システム管理者
タスク説明必要なスキル

EC2 インスタンスに接続します。

  1. Systems Manager コンソールでセッションを開始する方法 。手順については、「セッションを開始する 」(Systems Manager のドキュメント)を参照してください。ターゲットインスタンスの場合、Production_Server_One インスタンスの左側にあるオプションボタンを選択します。

  2. 接続が完了した後に、いくつかの bash コマンドを実行します。

  3. システムマネージャーコンソールで、セッションを終了します。手順については、「セッションの終了」 (システムマネージャードキュメント) を参照してください。

AWS システム管理者

ロギングを検証する。

  1. In CloudWatch Logs で、ロググループのログストリームを開きます。手順については、「ログデータの表示」(CloudWatch Logs ドキュメント) を参照してください。

  2. ログデータに、前の記事で実行したコマンドが一覧表示されていることを確認します。

AWS システム管理者

トラブルシューティング

問題ソリューション

IAMの問題

サポートについては、「トラブルシューティング」(IAM ドキュメント) を参照してください。

関連リソース