ステップ 1: Session Manager の前提条件を満たす - AWS Systems Manager

ステップ 1: Session Manager の前提条件を満たす

Session Manager を使用する前に、環境が以下の要件を満たしていることを確認します。

Session Manager の前提条件
要件 説明

サポートされるオペレーティングシステム

Session Manager はアドバンストインスタンス層を使用するハイブリッドおよびマルチクラウド環境内の非 EC2 マシンに加え、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスへの接続もサポートします。

Session Manager では、次のオペレーティングシステムのバージョンがサポートされています。

注記

Session Manager はアドバンストインスタンス層を使用するハイブリッドおよびマルチクラウド環境内の EC2 インスタンス、エッジデバイス、オンプレミスサーバー、仮想マシン (VM) をサポートします。アドバンストインスタンスの詳細については、「インスタンス層の設定」を参照してください。

Linux および macOS

Session Manager は、AWS Systems Manager でサポートされている Linux および macOS のすべてのバージョンをサポートしています。詳細については、サポートされているオペレーティングシステムとマシンタイプ を参照してください。

Windows

Session Manager は Windows Server 2012 から Windows Server 2022 をサポートします。

注記

Microsoft Windows Server 2016 Nano はサポートされていません。

SSM Agent

少なくとも、セッションを介して接続するマネージドノードに AWS Systems Manager の SSM Agent バージョン 2.3.68.0 以降をインストールする必要があります。

AWS Key Management Service (AWS KMS) で作成したキーを使用してセッションデータを暗号化するオプションを使用するため、SSM Agent のバージョン 2.3.539.0 以降がマネージドノードにインストールされている必要があります。

セッションでシェルプロファイルを使用するには、マネージドノードに SSM Agent のバージョン 3.0.161.0 以降がインストールされている必要があります。

Session Manager ポート転送または SSH セッションを開始するには、マネージドノードに SSM Agent のバージョン 3.0.222.0 以降がインストールされている必要があります。

Amazon CloudWatch Logs を使用してセッションデータをストリーミングするには、マネージドノードに SSM Agent のバージョン 3.0.284.0 以降がインストールされている必要があります。

インスタンスで実行されているバージョン番号を確認する方法については、「SSM Agent バージョン番号の確認」を参照してください。SSM Agent の手動インストールまたは自動アップグレードについては、「SSM Agent の使用」を参照してください。

ssm-user アカウントについて

SSM Agent のバージョン 2.3.50.0 以降、エージェントはマネージドノード上にルートまたは管理者アクセス許可 (ssm-user と呼ばれる) のあるユーザーアカウントを作成します。(2.3.612.0 より前のバージョンでは、SSM Agent が起動または再起動するときにアカウントが作成されます。2.3.612.0 以降のバージョンでは、マネージドノード上でセッションが開始されるときに ssm-user が初めて作成されます) セッションは、このユーザーアカウントの管理者認証情報を使用して起動します。このアカウントの管理上の制御を制限することの詳細については、「ssm-user アカウントの管理権限を無効または有効する」のトピックで入手できます。

Windows Server ドメインコントローラーの ssm-user

SSM Agent の バージョン 2.3.612.0 以降、ssm-user アカウントは Windows Server のドメインコントローラーとして使用されているマネージドノードに自動的に作成されません。ドメインコントローラーとして使用されている Windows Server マシンで Session Manager を使用するには、 アカウントが存在しない場合は手動で ssm-user アカウントを作成し、ユーザーに Domain Administrator のアクセス許可を割り当てる必要があります。Windows Server で、SSM Agent はセッションが開始されるたびに ssm-user アカウントの新しいパスワードを設定するので、アカウントを作成するときにパスワードを指定する必要はありません。

エンドポイントへの接続

接続するマネージドノードは、以下のエンドポイントへの HTTPS (ポート 443) アウトバウンド・トラフィックも許可する必要があります:

  • ec2messages.region.amazonaws.com

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

詳細については、次のトピックを参照してください。

または、インターフェイスエンドポイントを使用して必要なエンドポイントに接続することもできます。詳細については、「ステップ 6: (オプション) AWS PrivateLink を使用して Session Manager の VPC エンドポイントを設定する」を参照してください。

AWS CLI

(オプション) (AWS Systems Manager コンソールまたは Amazon EC2 コンソールを使用する代わりに) AWS Command Line Interface (AWS CLI) を使用してセッションを開始する場合は、CLI のバージョン 1.16.12 以降をローカルマシンにインストールする必要があります。

aws --version を呼び出すとバージョンを確認できます。

CLI をインストールまたはアップグレードする必要がある場合は、AWS Command Line Interface ユーザーガイドの「AWS Command Line Interface のインストール」を参照してください。

重要

新しい機能が Systems Manager に追加されるか、既存の機能が更新されると必ず、更新されたバージョンの SSM Agent がリリースされます。最新バージョンのエージェントを使用しないと、マネージドノードが Systems Manager の各種機能を使用できなくなる可能性があります。このため、マシン上で SSM Agent を最新状態に維持するプロセスを自動化することをお勧めします。詳細については、SSM Agent への更新の自動化 を参照してください。GitHub の「SSM Agent リリースノート」ページをサブスクライブすると、SSM Agent の更新に関する通知を受け取ることができます。

さらに CLI を使って Session Manager でノードを管理する場合、まずローカルマシンに Session Manager プラグインをインストールする必要があります。詳細については、AWS CLI 用の Session Manager プラグインをインストールする を参照してください。

アドバンストインスタンス層 (ハイブリッドおよびマルチクラウド環境) を有効にする

Session Manager で非 EC2 に接続する場合、非 EC2 マシンをマネージドノードとして登録するためにハイブリッドアクティベーションを作成する際に AWS アカウント と AWS リージョン のアドバンストインスタンス層を有効にします。アドバンストインスタンス層の使用には料金が発生します。アドバンストインスタンス層の詳細については、インスタンス層の設定 をご参照ください。

IAM サービスロールの許可 (ハイブリッドおよびマルチクラウド環境) の確認

ハイブリッドアクティベーションノードは Systems Manager API オペレーションと通信するため、ハイブリッドアクティベーションで指定された AWS Identity and Access Management (IAM) サービスロールを使用します。このサービスロールには、Session Manager を使用してハイブリッドおよびマルチクラウドマシンに接続するために必要な許可が含まれている必要があります。サービスロールが AWS 管理ポリシー AmazonSSMManagedInstanceCore を含む場合、Session Manager に必要なアクセス許可は既に付与されています。

サービスロールに必要な許可が含まれていない場合、マネージドインスタンスの登録を解除し、必要な許可を持った IAM サービスロールを使用する新しいハイブリッドアクティベーションで登録する必要があります。マネージドインスタンスの登録解除の詳細については「ハイブリッドおよびマルチクラウド環境でのマネージドノードの登録解除」をご参照ください。Session Manager アクセス権限付き IAM ポリシーの作成方法の詳細については「ステップ 2: Session Manager のインスタンスのアクセス権限の確認または追加」を参照してください。