ステップ 1: Session Manager の前提条件を満たす - AWS Systems Manager

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 1: Session Manager の前提条件を満たす

Session Manager を使用する前に、環境が以下の要件を満たしていることを確認します。

Session Manager の前提条件
要件 説明

サポートされるオペレーティングシステム

Session Manager はアドバンストインスタンス層を使用するハイブリッドおよびマルチクラウド環境内の非 EC2 マシンに加え、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスへの接続もサポートします。

Session Manager では、次のオペレーティングシステムのバージョンがサポートされています。

注記

Session Manager はアドバンストインスタンス層を使用するハイブリッドおよびマルチクラウド環境内の EC2 インスタンス、エッジデバイス、オンプレミスサーバー、仮想マシン (VM) をサポートします。アドバンストインスタンスの詳細については、「インスタンス層の設定」を参照してください。

Linux および macOS

Session Manager は、 でmacOSサポートされている Linuxおよび のすべてのバージョンをサポートします AWS Systems Manager。詳細については、サポートされているオペレーティングシステムとマシンタイプ を参照してください。

Windows

Session Manager は Windows Server 2012 から Windows Server 2022 をサポートします。

注記

Microsoft Windows Server 2016 Nano はサポートされていません。

SSM Agent

少なくとも、 AWS Systems Manager SSM Agentセッションを介して接続するマネージドノードにバージョン 2.3.68.0 以降をインストールする必要があります。

AWS Key Management Service (AWS KMS) で作成したキーを使用してセッションデータを暗号化するオプションを使用するには、 のバージョン 2.3.539.0 以降がマネージドノードにインストールされているSSM Agent必要があります。

セッションでシェルプロファイルを使用するには、マネージドノードに SSM Agent のバージョン 3.0.161.0 以降がインストールされている必要があります。

Session Manager ポート転送または SSH セッションを開始するには、マネージドノードに SSM Agent のバージョン 3.0.222.0 以降がインストールされている必要があります。

Amazon CloudWatch Logs を使用してセッションデータをストリーミングするには、マネージドノードに SSM Agentバージョン 3.0.284.0 以降がインストールされている必要があります。

インスタンスで実行されているバージョン番号を確認する方法については、「SSM Agent バージョン番号の確認」を参照してください。SSM Agent の手動インストールまたは自動アップグレードについては、「SSM Agent の使用」を参照してください。

ssm-user アカウントについて

SSM Agent のバージョン 2.3.50.0 以降、エージェントはマネージドノード上にルートまたは管理者アクセス許可 (ssm-user と呼ばれる) のあるユーザーアカウントを作成します。(2.3.612.0 より前のバージョンでは、SSM Agent が起動または再起動するときにアカウントが作成されます。2.3.612.0 以降のバージョンでは、マネージドノード上でセッションが開始されるときに ssm-user が初めて作成されます) セッションは、このユーザーアカウントの管理者認証情報を使用して起動します。このアカウントの管理上の制御を制限することの詳細については、「ssm-user アカウントの管理権限を無効または有効する」のトピックで入手できます。

Windows Server ドメインコントローラーの ssm-user

SSM Agent の バージョン 2.3.612.0 以降、ssm-user アカウントは Windows Server のドメインコントローラーとして使用されているマネージドノードに自動的に作成されません。ドメインコントローラーとして使用されている Windows Server マシンで Session Manager を使用するには、 アカウントが存在しない場合は手動で ssm-user アカウントを作成し、ユーザーに Domain Administrator のアクセス許可を割り当てる必要があります。Windows Server で、SSM Agent はセッションが開始されるたびに ssm-user アカウントの新しいパスワードを設定するので、アカウントを作成するときにパスワードを指定する必要はありません。

エンドポイントへの接続

接続するマネージドノードは、以下のエンドポイントへの HTTPS (ポート 443) アウトバウンド・トラフィックも許可する必要があります:

  • ec2messages.region.amazonaws.com

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

詳細については、次のトピックを参照してください。

または、インターフェイスエンドポイントを使用して必要なエンドポイントに接続することもできます。詳細については、「ステップ 6: (オプション) AWS PrivateLink を使用して Session Manager の VPC エンドポイントを設定する」を参照してください。

AWS CLI

(オプションAWS CLI) ( AWS Systems Manager コンソールまたは Amazon EC2 コンソールを使用する代わりに) AWS Command Line Interface () を使用してセッションを開始する場合は、CLI のバージョン 1.16.12 以降をローカルマシンにインストールする必要があります。

aws --version を呼び出すとバージョンを確認できます。

CLI をインストールまたはアップグレードする必要がある場合は、「 AWS Command Line Interface ユーザーガイド」の「 AWS Command Line Interfaceのインストール」を参照してください。

重要

新しい機能が Systems Manager に追加されるか、既存の機能が更新されると必ず、更新されたバージョンの SSM Agent がリリースされます。最新バージョンのエージェントを使用しないと、マネージドノードが Systems Manager の各種機能を使用できなくなる可能性があります。このため、マシン上で SSM Agent を最新状態に維持するプロセスを自動化することをお勧めします。詳細については、「SSM Agent への更新の自動化」を参照してください。のSSM AgentリリースノートページにサブスクライブGitHubして、SSM Agent更新に関する通知を受け取ります。

さらに CLI を使って Session Manager でノードを管理する場合、まずローカルマシンに Session Manager プラグインをインストールする必要があります。詳細については、用の Session Manager プラグインをインストールする AWS CLI を参照してください。

アドバンストインスタンス層 (ハイブリッドおよびマルチクラウド環境) を有効にする

を使用してnon-EC2 マシンに接続するにはSession Manager、非 non-EC2 マシンをマネージドノードとして登録するハイブリッドアクティベーションを作成する AWS リージョン AWS アカウント および でアドバンストインスタンス層を有効にする必要があります。アドバンストインスタンス層の使用には料金が発生します。アドバンストインスタンス層の詳細については、インスタンス層の設定 をご参照ください。

IAM サービスロールの許可 (ハイブリッドおよびマルチクラウド環境) の確認

ハイブリッドアクティベーションノードは、ハイブリッドアクティベーションで指定された AWS Identity and Access Management (IAM) サービスロールを使用して、Systems Manager API オペレーションと通信します。このサービスロールには、Session Manager を使用してハイブリッドおよびマルチクラウドマシンに接続するために必要な許可が含まれている必要があります。サービスロールに AWS 管理ポリシー AmazonSSMManagedInstanceCore が含まれている場合、 に必要なアクセス許可Session Managerは既に付与されています。

サービスロールに必要な許可が含まれていない場合、マネージドインスタンスの登録を解除し、必要な許可を持った IAM サービスロールを使用する新しいハイブリッドアクティベーションで登録する必要があります。マネージドインスタンスの登録解除の詳細については「ハイブリッドおよびマルチクラウド環境でのマネージドノードの登録解除」をご参照ください。Session Manager アクセス権限付き IAM ポリシーの作成方法の詳細については「ステップ 2: Session Manager のインスタンスのアクセス権限の確認または追加」を参照してください。