ステップ 1: Session Manager の前提条件を満たす - AWS Systems Manager

ステップ 1: Session Manager の前提条件を満たす

Session Manager を使用する前に、環境が以下の要件を満たしていることを確認します。

Session Manager の前提条件
要件 説明

サポートされるオペレーティングシステム

Session Manager はアドバンストインスタンス層を使用するハイブリッド環境内のサーバーまたは仮想マシン (VM) に加え、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスへの接続もサポートします。

Session Manager では、次のオペレーティングシステムのバージョンがサポートされています。

注記

Session Manager はアドバンストインスタンス層を使用するハイブリッド環境内のEC2 インスタンス、エッジデバイス、オンプレミスサーバー、仮想マシン (VM) をサポートします。アドバンストインスタンスの詳細については、「インスタンス層の設定」を参照してください。

Linux

Session Manager は、AWS Systems Manager でサポートされている Linux のすべてのバージョンをサポートしています。詳細については、Systems Manager の前提条件 を参照してください。

macOS

Session Manager は、AWS Systems Manager でサポートされている macOS のすべてのバージョンをサポートしています。詳細については、Systems Manager の前提条件 を参照してください。

Windows

Session Manager は Windows Server 2012 から Windows Server 2022 をサポートします。

注記

Microsoft Windows Server 2016 Nano はサポートされていません。

SSM Agent

少なくとも、セッションを介して接続するマネージドノードに AWS Systems Manager の SSM Agent バージョン 2.3.68.0 以降をインストールする必要があります。

AWS Key Management Service (AWS KMS) で作成したキーを使用してセッションデータを暗号化するオプションを使用するため、SSM Agent のバージョン 2.3.539.0 以降がマネージドノードにインストールされている必要があります。

セッションでシェルプロファイルを使用するには、マネージドノードに SSM Agent のバージョン 3.0.161.0 以降がインストールされている必要があります。

Session Manager ポート転送または SSH セッションを開始するには、マネージドノードに SSM Agent のバージョン 3.0.222.0 以降がインストールされている必要があります。

Amazon CloudWatch Logs を使用してセッションデータをストリーミングするには、マネージドノードに SSM Agent のバージョン 3.0.284.0 以降がインストールされている必要があります。

インスタンスで実行されているバージョン番号を確認する方法については、「SSM Agent バージョン番号の確認」を参照してください。SSM Agent の手動インストールまたは自動アップグレードについては、「SSM Agentの使用」を参照してください。

ssm-user アカウントについて

SSM Agent のバージョン 2.3.50.0 以降、エージェントはマネージドノード上にルートまたは管理者アクセス許可 (ssm-user と呼ばれる) のあるユーザーアカウントを作成します。(2.3.612.0 より前のバージョンでは、SSM Agent が起動または再起動するときにアカウントが作成されます。2.3.612.0 以降のバージョンでは、マネージドノード上でセッションが開始されるときに ssm-user が初めて作成されます) セッションは、このユーザーアカウントの管理者認証情報を使用して起動します。このアカウントの管理上の制御を制限することの詳細については、「ssm-user アカウントの管理権限を無効または有効する」のトピックで入手できます。

Windows Server ドメインコントローラーの ssm-user

SSM Agent の バージョン 2.3.612.0 以降、ssm-user アカウントは Windows Server のドメインコントローラーとして使用されているマネージドノードに自動的に作成されません。ドメインコントローラーとして使用されている Windows Server マシンで Session Manager を使用するには、 アカウントが存在しない場合は手動で ssm-user アカウントを作成し、ユーザーに Domain Administrator のアクセス許可を割り当てる必要があります。Windows Server で、SSM Agent はセッションが開始されるたびに ssm-user アカウントの新しいパスワードを設定するので、アカウントを作成するときにパスワードを指定する必要はありません。

エンドポイントへの接続

接続するマネージドノードは、以下のエンドポイントへの HTTPS (ポート 443) アウトバウンド・トラフィックも許可する必要があります:

  • ec2messages.region.amazonaws.com

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

または、インターフェイスエンドポイントを使用して必要なエンドポイントに接続することもできます。詳細については、「ステップ 6: (オプション) AWS PrivateLink を使用して Session Manager の VPC エンドポイントを設定する」を参照してください。

AWS CLI

(オプション) (AWS Systems Manager コンソールまたは Amazon EC2 コンソールを使用する代わりに) AWS Command Line Interface (AWS CLI) を使用してセッションを開始する場合は、CLI のバージョン 1.16.12 以降をローカルマシンにインストールする必要があります。

aws --version を呼び出すとバージョンを確認できます。

CLI をインストールまたはアップグレードする必要がある場合は、AWS Command Line Interface ユーザーガイドの「AWS Command Line Interface のインストール」を参照してください。

重要

新しい機能が Systems Manager に追加されるか、既存の機能が更新されると必ず、更新されたバージョンの SSM Agent がリリースされます。最新バージョンのエージェントを使用しないと、マネージドノードが Systems Manager の各種機能を使用できなくなる可能性があります。このため、マシン上で SSM Agent を最新状態に維持するプロセスを自動化することをお勧めします。詳細については、「SSM Agent への更新の自動化」を参照してください。GitHub の [SSM Agent Release Notes (SSM Agent リリースノート)] ページをサブスクライブすると、SSM Agent の更新に関する通知を受け取ることができます。

さらに CLI を使って Session Manager でノードを管理する場合、まずローカルマシンに Session Manager プラグインをインストールする必要があります。詳細については、(オプション) AWS CLI 用の Session Manager プラグインをインストールする を参照してください。

アドバンストインスタンス層 (ハイブリッド環境) を有効にします

Session Manager でオンプレミスマシンに接続する場合、オンプレミスマシンをマネージドインスタンスとして登録するためにハイブリッドアクティベーションを作成する際に AWS アカウント と AWS リージョン のアドバンストインスタンス層を有効にします。アドバンストインスタンス層の使用には料金が発生します。アドバンストインスタンス層の詳細については、インスタンス層の設定 をご参照ください。

IAM サービスロールの許可 (ハイブリッド環境) の確認

ハイブリッドインスタンスは Systems Manager API オペレーションと通信するため、ハイブリッドアクティベーションで指定された AWS Identity and Access Management (IAM) サービスロールを使用します。このサービスロールは、Session Manager でオンプレミスマシンに接続するために必要な許可が含まれている必要があります。サービスロールが AWS 管理ポリシー AmazonSSMManagedInstanceCore を含む場合、Session Manager に必要なアクセス許可は既に付与されています。

サービスロールに必要な許可が含まれていない場合、マネージドインスタンスの登録を解除し、必要な許可を持った IAM サービスロールを使用する新しいハイブリッドアクティベーションで登録する必要があります。マネージドインスタンスの登録解除の詳細については「ハイブリッド環境でのマネージドノードの登録解除」をご参照ください。Session Manager 許可付 IAM ポリシーの作成方法の詳細については「Session Manager 許可付 IAM ロールの確認または作成」をご参照ください。