Session Manager を使用して Amazon EC2 インスタンスに接続 - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Session Manager を使用して Amazon EC2 インスタンスに接続

作成者: Jason Cornick (AWS), Abhishek Bastikoppa (AWS), 及び Yaniv Ron (AWS)

環境:本稼働

テクノロジー: インフラストラクチャ、クラウドネイティブ、エンドユーザーコンピューティング、

AWS サービス: Amazon CloudWatch Logs、AWS Systems Manager、Amazon EC2

[概要]

このパターンでは、AWS Systems Manager の機能である セッションマネージャーを使用して、 Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに接続する方法について説明します。このパターンを使用して、ウェブブラウザから EC2 インスタンスで bash コマンドを実行できます。Session Manager では、インバウンドポートを開く必要はなく、また EC2 インスタンスのパブリック IP アドレスも必要ありません。さらに、さまざまな Secure Shell (SSH) キーでの要塞ホストの管理を不要にします。Session Manager のアクセスを AWS 識別とアクセス管理(IAM) ポリシーで管理し、インスタンスアクセスやアクションなどの重要な情報を記録するログを設定します。

このパターンでは、IAM ロールを設定し、それをAmazon マシンイメージ (AMI) を使用してプロビジョニングする Linux EC2 インスタンスに関連付けます。次に、Amazon CloudWatch Logs でログ記録を設定し、Session Manager を使用してインスタンスとのセッションを開始します。

このパターンでは、Amazon Web Services (AWS) クラウドの Linux EC2 インスタンスに接続しますが、この方法を使用して、オンプレミスサーバーや他の仮想マシンなどの他のサーバーとの接続に Session Manager を使用することもできます。

前提条件と制限

前提条件

アーキテクチャ

ターゲットテクノロジースタック

  • セッションマネージャー

  • Amazon EC2

  • CloudWatch ログ

ターゲット アーキテクチャ

Session Manager は EC2 インスタンスに接続し、ログデータを CloudWatch Logs または S3 バケットに送信します。
  1. ユーザーは IAM を通じて 自分のID と認証情報を確認7します。

  2. ユーザーはSession Managerから SSH セッションを開始し、EC2 インスタンスに API 呼び出しを送信します。

  3. EC2 インスタンスにインストールされている AWS Systems Manager SSM エージェントは、Session Managerに接続してコマンドを実行します。

  4. 監査およびモニタリングの目的で、Session Manager はログデータを CloudWatch Logs に送信します。あるいは、Amazon Simple Storage Service (Amazon S3) バケットに、ログデータを送信することもできます。詳細については、「Amazon S3 を使用したセッションデータのログ作成」 (システムマネージャードキュメント)を参照してください。

ツール

AWS サービス

  • Amazon CloudWatch Logs は、すべてのシステム、アプリケーション、AWS のサービスからのログを一元化するのに役立ちます。これにより、ログをモニタリングして安全にアーカイブできます。

  • Amazon Elastic Compute Cloud (Amazon EC2)」は、AWS クラウドでスケーラブルなコンピューティング容量を提供します。必要な数の仮想サーバーを起動することができ、迅速にスケールアップまたはスケールダウンができます。このパターンは、Amazon マシンイメージ (AMI) を使用して、Linux EC2 インスタンスをプロビジョニングします。

  • AWS Identity and Access Management (IAM)」は、AWS リソースへのアクセスを安全に管理し、誰が認証され、使用する権限があるかを制御するのに役立ちます。

  • AWS Systems Manager」は、AWS クラウドで実行されるアプリケーションとインフラストラクチャの管理に役立ちます。アプリケーションとリソースの管理が簡略化され、オペレーション上の問題の検出と解決時間が短縮され、AWS リソースを大規模かつセキュアに管理できるようになります。このパターンは、システムマネージャーの機能である「Session Manager」 を使用します。

ベストプラクティス

AWS Well-Architected フレームワークの「セキュリティの柱」 について、詳しく読み、暗号化オプションを検討し、「Session Managerのセットアップ」 (システムマネージャードキュメント)のセキュリティ推奨事項を適用することを推奨します。

エピック

タスク説明必要なスキル

IAM ロールを作成します。

SSM エージェントの IAM ロールを作成します。「AWS サービスのロールの作成」 (IAM ドキュメント)の手順に従い、次のことに注意します:

  1. AWSサービスで [EC2] を選択します。

  2. [許可] で、AmazonSSMManagedInstanceCore を選択します。

  3. [ロール名] に EC2_SSM_Role を入力します。

AWS システム管理者

EC2 インスタンスを作成します。

  1. EC2 インスタンスを作成します。「インスタンスの起動」 (Amazon EC2 ドキュメント)の手順に従い、次のことに注意します:

    1. 名前とタグ]セクションで、[その他のタグを追加]を選択します。[キー] に「Name」と入力し、[] に「Production_Server_One」と入力します。

    2. SSM エージェントがプリインストールされている Amazon Linux AMI を選択します。完全なリストについては、「SSM エージェントがプリインストールされている AMI」 (システムマネージャードキュメント)」を参照してください。

    3. 詳細情報]セクションで、IAM インスタンスプロファイルで、[ EC2_SSM_Role ]を選択します。

  2. Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。

  3. ナビゲーションペインで、[Fleet Manager] を選択します。

  4. インスタンスがマネージドノードのリストに表示されていることを検証します。

AWS システム管理者

ログ記録をセットアップする。

  1. CloudWatch Logs でロググループを作成します。「ロググループの作成」(CloudWatch ログドキュメント) の手順に従います。新しいロググループSessionManagerに名前をつけます。

  2. Session Managerのログを設定します。「Amazon CloudWatch Logs を使用したセッションデータのログ記録」(Systems Manager ドキュメント) の指示に従い、次の点に注意してください。

    1. 暗号化された CloudWatch ロググループのみを許可 を選択しないでください。

    2. リストからロググループを選択する で、 を選択しますSessionManager

AWS システム管理者
タスク説明必要なスキル

EC2 インスタンスに接続します。

  1. Systems Manager コンソールでセッションを開始する方法 。手順については、「セッションを開始する 」(Systems Manager のドキュメント)を参照してください。ターゲットインスタンスの場合、Production_Server_One インスタンスの左側にあるオプションボタンを選択します。

  2. 接続が完了した後に、いくつかの bash コマンドを実行します。

  3. システムマネージャーコンソールで、セッションを終了します。手順については、「セッションの終了」 (システムマネージャードキュメント) を参照してください。

AWS システム管理者

ロギングを検証する。

  1. CloudWatch Logs で、ロググループのログストリームを開きます。手順については、「ログデータの表示」(CloudWatch ログドキュメント) を参照してください。

  2. ログデータに、前の記事で実行したコマンドが一覧表示されていることを確認します。

AWS システム管理者

トラブルシューティング

問題ソリューション

IAM に関する問題

サポートについては、「トラブルシューティング」(IAM ドキュメント)」を参照してください。

関連リソース