AWS ドキュメント » Amazon EC2 » Linux インスタンス用ユーザーガイド » Amazon EC2 インスタンス » インスタンスのライフサイクル » Linux インスタンスへの接続 » SSH を使用した Linux インスタンスへの接続

SSH を使用した Linux インスタンスへの接続

次の手順では、SSH クライアントを使って、インスタンスに接続する方法について説明します。インスタンスの接続でエラーが発生した場合は、「インスタンスへの接続に関するトラブルシューティング」を参照してください。

インスタンスを起動したら、これに接続し、普通のコンピュータと同じように使用できます。

注記

インスタンスを起動してから接続できるようになるまでには、数分かかる場合があります。インスタンスのステータスチェックが正常に終了したことを確認してください。この情報は、[Instances] ページの [Status Checks] 列で確認できます。

前提条件

Linux インスタンスに接続する前に、以下の前提条件を満たしていることを確認してください。

• SSH クライアントのインストール

  Windows 10 1709 では、「OpenSSH Client (Beta)」機能を有効にすることができます。Linux と Mac OS X では、ほとんどの場合デフォルトで SSH クライアントがインストールされています。SSH クライアントがあるかどうかを確認するには、コマンドラインで ssh と入力します。ご使用のコンピュータでこのコマンドが認識されない場合、SSH クライアントをインストールできます。詳細については、http://www.openssh.com を参照してください。

• AWS CLI ツールのインストール

  (オプション) サードパーティのパブリック AMI を使用する場合は、コマンドラインツールを使用してフィンガープリントを確認できます。AWS CLI のインストールの詳細については、『AWS Command Line Interface ユーザーガイド』の「準備作業」を参照してください。

• インスタンスの ID を取得する

  Amazon EC2 コンソールを使用して、インスタンスの ID を取得できます ([Instance ID] 列を確認します)。必要に応じて、describe-instances (AWS CLI) または Get-EC2Instance (AWS Tools for Windows PowerShell) コマンドを使用することもできます。

• インスタンスのパブリック DNS 名を取得する

  Amazon EC2 コンソールを使用してインスタンスのパブリック DNS を取得できます。[パブリック DNS (IPv4)] 列を確認します。この列が非表示の場合は、[表示/非表示] アイコンを選択してから、[パブリック DNS (IPv4)] を選択します。必要に応じて、describe-instances (AWS CLI) または Get-EC2Instance (AWS Tools for Windows PowerShell) コマンドを使用することもできます。

• (IPv6 のみ) インスタンスの IPv6 アドレスを取得する

  インスタンスに IPv6 アドレスを割り当てた場合は、オプションでパブリック IPv4 アドレスまたはパブリック IPv4 DNS ホスト名でなく IPv6 アドレスを使用して、インスタンスに接続できます。ローカルコンピュータに IPv6 アドレスがあり、IPv6 を使用するように設定されている必要があります。Amazon EC2 コンソールを使用してインスタンスの IPv6 アドレスを取得できます。[IPv6 IP] フィールドを確認します。必要に応じて、describe-instances (AWS CLI) または Get-EC2Instance (AWS Tools for Windows PowerShell) コマンドを使用することもできます。IPv6 の詳細については、「IPv6 アドレス」を参照してください。

• プライベートキーの検索とアクセス許可の確認

  インスタンスの起動時に指定したキーペアの .pem ファイルの、コンピュータ上の場所への完全修飾パスを取得します。.pem ファイルに対するアクセス許可が 0777 ではなく 0400 であることを確認します。詳細については、「エラー: Unprotected Private Key File (保護されていないプライベートキーファイル)」を参照してください。

• インスタンスの起動に使用した AMI のデフォルトのユーザー名を取得します

  • Amazon Linux 2 または Amazon Linux AMI の場合は、ユーザー名は ec2-user です。

  • Centos AMI の場合、ユーザー名は centos です。

  • Debian AMI の場合は、ユーザー名は admin または root です。

  • Fedora AMI の場合、ユーザー名は ec2-user または fedora です。

  • RHEL AMI の場合は、ユーザー名は ec2-user または root のどちらかです。

  • SUSE AMI の場合は、ユーザー名は ec2-user または root のどちらかです。

  • Ubuntu AMI の場合は、ユーザー名は ubuntu です。

  • それ以外の場合で、ec2-user および root が機能しない場合は、AMI プロバイダーに確認してください。

• IP アドレスからインスタンスへのインバウンド SSH トラフィックを有効にする

  インスタンスに関連付けられているセキュリティグループで、IP アドレスからの受信 SSH トラフィックが許可されることを確認します。VPC のデフォルトのセキュリティグループでは、着信 SSH トラフィックはデフォルトでは許可されません。起動ウィザードで作成されたセキュリティグループでは、デフォルトで SSH トラフィックが有効になります。詳細については、「Linux インスタンス用の受信トラフィックの認可」を参照してください。

Linux インスタンスへの接続

SSH クライアントを使用して Linux インスタンスに接続するには、次の手順に従います。インスタンスの接続でエラーが発生した場合は、「インスタンスへの接続に関するトラブルシューティング」を参照してください。

SSH を使用してインスタンスに接続するには

1. (オプション) ローカルシステムで (インスタンス上ではありません) 次のコマンドの 1 つを使用して、実行中のインスタンスの RSA キーフィンガープリントを確認できます。これは、サードパーティのパブリック AMI からインスタンスを起動した場合に、役立ちます。SSH HOST KEY FINGERPRINTS セクションを見つけて、RSA フィンガープリント（たとえば 1f:51:ae:28:bf:89:e9:d8:1f:25:5d:37:2d:7d:b8:ca:9f:f5:f1:6f）を書き留め、それをインスタンスのフィンガープリントと比較します。

   • get-console-output (AWS CLI)

     aws ec2 get-console-output --instance-id instance_id

   インスタンスが running 状態ではなく pending 状態であることを確認します。SSH HOST KEY FINGERPRINTS セクションは、インスタンスの最初の起動後にのみ使用できます。

2. コマンドラインシェルで、インスタンスを起動したときに作成したプライベートキーファイルの場所にディレクトリを変更します。

3. 次のコマンドを使用してプライベートキーファイルのアクセス許可を設定し、お客様以外のユーザーが読み取ることができないようにします。

   chmod 400 /path/my-key-pair.pem

   これらのアクセス権限を設定しないと、このキーペアを使用してインスタンスに接続できません。詳細については、「エラー: Unprotected Private Key File (保護されていないプライベートキーファイル)」を参照してください。

4. ssh コマンドを使って、インスタンスに接続します。プライベートキー (.pem) ファイルと user_name@public_dns_name を指定します。たとえば、Amazon Linux 2 または Amazon Linux AMI を使用した場合は、ユーザー名は ec2-user です。

   ssh -i /path/my-key-pair.pem ec2-user@ec2-198-51-100-1.compute-1.amazonaws.com

   以下のようなレスポンスが表示されます。

   The authenticity of host 'ec2-198-51-100-1.compute-1.amazonaws.com (10.254.142.33)'
   can't be established.
   RSA key fingerprint is 1f:51:ae:28:bf:89:e9:d8:1f:25:5d:37:2d:7d:b8:ca:9f:f5:f1:6f.
   Are you sure you want to continue connecting (yes/no)?

5. (IPv6 のみ) 別の方法として、IPv6 アドレスを使用してインスタンスに接続することもできます。ssh コマンドで、プライベートキー (.pem) ファイルへのパス、適切なユーザー名、および IPv6 アドレスを指定します。たとえば、Amazon Linux 2 または Amazon Linux AMI を使用した場合は、ユーザー名は ec2-user です。

   ssh -i /path/my-key-pair.pem ec2-user@2001:db8:1234:1a00:9691:9503:25ad:1761

6. (オプション) セキュリティアラートのフィンガープリントが、ステップ 1 で入手したフィンガープリントと一致することを確認します。これらのフィンガープリントが一致しない場合、「中間者 (MITM) 」攻撃を受けている可能性があります。一致した場合は、次の手順に進んでください。

7. yes と入力します。

   以下のようなレスポンスが表示されます。

   Warning: Permanently added 'ec2-198-51-100-1.compute-1.amazonaws.com' (RSA) 
   to the list of known hosts.

SCP を使用した Linux から Linux インスタンスへのファイルの転送

ローカルコンピュータと Linux インスタンスの間でファイルを転送する方法の 1 つとして、セキュアコピープロトコル (SCP) を使用します。このセクションでは、SCP でファイルを転送する方法について説明します。この手順は、SSH を使用してインスタンスに接続する手順と似ています。

前提条件

• SCP クライアントのインストール

  ほとんどの Linux、Unix、および Apple コンピュータには、デフォルトで SCP クライアントが含まれています。含まれていない場合は、OpenSSH プロジェクトから、SSH ツールの完全なスイートの無料実装が提供されており、これに SCP クライアントが含まれます。詳細については、http://www.openssh.org を参照してください。

• インスタンスの ID を取得する

  Amazon EC2 コンソールを使用して、インスタンスの ID を取得できます ([Instance ID] 列を確認します)。必要に応じて、describe-instances (AWS CLI) または Get-EC2Instance (AWS Tools for Windows PowerShell) コマンドを使用することもできます。

• インスタンスのパブリック DNS 名を取得する

  Amazon EC2 コンソールを使用してインスタンスのパブリック DNS を取得できます。[パブリック DNS (IPv4)] 列を確認します。この列が非表示の場合は、[表示/非表示] アイコンを選択してから、[パブリック DNS (IPv4)] を選択します。必要に応じて、describe-instances (AWS CLI) または Get-EC2Instance (AWS Tools for Windows PowerShell) コマンドを使用することもできます。

• (IPv6 のみ) インスタンスの IPv6 アドレスを取得する

  インスタンスに IPv6 アドレスを割り当てた場合は、オプションでパブリック IPv4 アドレスまたはパブリック IPv4 DNS ホスト名でなく IPv6 アドレスを使用して、インスタンスに接続できます。ローカルコンピュータに IPv6 アドレスがあり、IPv6 を使用するように設定されている必要があります。Amazon EC2 コンソールを使用してインスタンスの IPv6 アドレスを取得できます。[IPv6 IP] フィールドを確認します。必要に応じて、describe-instances (AWS CLI) または Get-EC2Instance (AWS Tools for Windows PowerShell) コマンドを使用することもできます。IPv6 の詳細については、「IPv6 アドレス」を参照してください。

• プライベートキーの検索とアクセス許可の確認

  インスタンスの起動時に指定したキーペアの .pem ファイルの、コンピュータ上の場所への完全修飾パスを取得します。.pem ファイルに対するアクセス許可が 0777 ではなく 0400 であることを確認します。詳細については、「エラー: Unprotected Private Key File (保護されていないプライベートキーファイル)」を参照してください。

• インスタンスの起動に使用した AMI のデフォルトのユーザー名を取得します

  • Amazon Linux 2 または Amazon Linux AMI の場合は、ユーザー名は ec2-user です。

  • Centos AMI の場合、ユーザー名は centos です。

  • Debian AMI の場合は、ユーザー名は admin または root です。

  • Fedora AMI の場合、ユーザー名は ec2-user または fedora です。

  • RHEL AMI の場合は、ユーザー名は ec2-user または root のどちらかです。

  • SUSE AMI の場合は、ユーザー名は ec2-user または root のどちらかです。

  • Ubuntu AMI の場合は、ユーザー名は ubuntu です。

  • それ以外の場合で、ec2-user および root が機能しない場合は、AMI プロバイダーに確認してください。

• IP アドレスからインスタンスへのインバウンド SSH トラフィックを有効にする

  インスタンスに関連付けられているセキュリティグループで、IP アドレスからの受信 SSH トラフィックが許可されることを確認します。VPC のデフォルトのセキュリティグループでは、着信 SSH トラフィックはデフォルトでは許可されません。起動ウィザードで作成されたセキュリティグループでは、デフォルトで SSH トラフィックが有効になります。詳細については、「Linux インスタンス用の受信トラフィックの認可」を参照してください。

SCP を使用してファイルを転送するステップを次に示します。既に SSH でインスタンスに接続し、フィンガープリントの確認が完了している場合は、SCP コマンドを実行するステップ (ステップ4) から開始できます。

SCP を使用してファイルを転送するには

1. (オプション) ローカルシステムで (インスタンス上ではありません) 次のコマンドの 1 つを使用して、インスタンスの RSA キーフィンガープリントを確認できます。これは、サードパーティのパブリック AMI からインスタンスを起動した場合に、役立ちます。SSH HOST KEY FINGERPRINTS セクションを見つけて、RSA フィンガープリント（たとえば 1f:51:ae:28:bf:89:e9:d8:1f:25:5d:37:2d:7d:b8:ca:9f:f5:f1:6f）を書き留め、それをインスタンスのフィンガープリントと比較します。

   • get-console-output (AWS CLI)

     aws ec2 get-console-output --instance-id instance_id

   SSH HOST KEY FINGERPRINTS セクションは、インスタンスの最初の起動後にのみ使用できます。

2. コマンドラインシェルで、インスタンスを起動した時に指定した秘密キーファイルの場所にディレクトリを変更します。

3. chmod コマンドを使って、秘密キーファイルが公開されていないことを確認します。たとえば、プライベートキーファイルが my-key-pair.pem という名前の場合は、次のコマンドを使用します。

   chmod 400 /path/my-key-pair.pem

4. インスタンスのパブリック DNS 名を使って、インスタンスにファイルを転送します。たとえば、プライベートキーファイルの名前が my-key-pair、転送するファイルが SampleFile.txt、ユーザー名が ec2-user、インスタンスのパブリック DNS の名前が ec2-198-51-100-1.compute-1.amazonaws.com の場合、次のコマンドを使って、ファイルを ec2-user ホームディレクトリにコピーします。

   scp -i /path/my-key-pair.pem /path/SampleFile.txt ec2-user@c2-198-51-100-1.compute-1.amazonaws.com:~

   以下のようなレスポンスが表示されます。

   The authenticity of host 'ec2-198-51-100-1.compute-1.amazonaws.com (10.254.142.33)'
   can't be established.
   RSA key fingerprint is 1f:51:ae:28:bf:89:e9:d8:1f:25:5d:37:2d:7d:b8:ca:9f:f5:f1:6f.
   Are you sure you want to continue connecting (yes/no)?

5. (IPv6 のみ) 別の方法として、インスタンスの IPv6 アドレスを使用してファイルを転送することもできます。IPv6 アドレスは、\ でエスケープした角かっこ ([]) で囲む必要があります。

   scp -i /path/my-key-pair.pem /path/SampleFile.txt ec2-user@\[2001:db8:1234:1a00:9691:9503:25ad:1761\]:~

6. (オプション) セキュリティアラートのフィンガープリントが、ステップ 1 で入手したフィンガープリントと一致することを確認します。これらのフィンガープリントが一致しない場合、「中間者 (MITM) 」攻撃を受けている可能性があります。一致した場合は、次の手順に進んでください。

7. yes と入力します。

   以下のようなレスポンスが表示されます。

   Warning: Permanently added 'ec2-198-51-100-1.compute-1.amazonaws.com' (RSA) 
   to the list of known hosts.
   Sending file modes: C0644 20 SampleFile.txt
   Sink: C0644 20 SampleFile.txt
   SampleFile.txt                                100%   20     0.0KB/s   00:00

   [bash: scp: command not found] エラーを受け取った場合は、まず Linux インスタンスに scp をインストールする必要があります。一部のオペレーティングシステムでは、これは openssh-clientsパッケージに含まれます。Amazon Linux-optimized Amazon ECS などの AMI バリアントでは、以下のコマンドを使用して scp をインストールします。

   [ec2-user ~]$ sudo yum install -y openssh-clients

8. 逆の方向 (Amazon EC2 インスタンスからローカルコンピュータに) にファイルを転送する場合は、ホストパラメータの順番を逆にします。たとえば、SampleFile.txt ファイルを EC2 インスタンスからローカルコンピュータのホームディレクトリに SampleFile2.txt として転送するには、ローカルコンピュータで次のコマンドを実行します。

   scp -i /path/my-key-pair.pem ec2-user@ec2-198-51-100-1.compute-1.amazonaws.com:~/SampleFile.txt ~/SampleFile2.txt

9. (IPv6 のみ) 別の方法として、インスタンスの IPv6 アドレスを使用して別の方向にファイルを転送することもできます。

   scp -i /path/my-key-pair.pem ec2-user@\[2001:db8:1234:1a00:9691:9503:25ad:1761\]:~/SampleFile.txt ~/SampleFile2.txt