はじめに

こんにちは、クラウド事業部の島田です。

以前、やりがちなセキュリティグループの危険な設定と改善案という記事を執筆しました。

その発展形として、踏み台サーバを使わずにインスタンスに導入する方法をハンズオン形式でご紹介します！

今回使用するAWSサービスは・・・セッションマネージャーです！！

part1の本記事ではパブリックサブネットにあるインスタンスへの導入方法
part2ではプライベートサブネットにいるインスタンスへの導入方法
の2部構成でまとめてみたいと思います。

概要

セッションマネージャーとは

AWS System Managerの機能の1つ。
ブラウザ上でインスタンスにログインすることが可能。

セッションマネージャーを使うメリット

踏み台サーバを必要としない
SSHポートを開ける必要がない
キーペアを管理する必要がない

導入方法

セッションマネージャーを利用するには以下の作業が必要になります。

System Managerを許可するIAMロールの作成
SSM Agentのインストール

※詳細な条件はこちらをご覧ください。

やってみよう

今回はAMI カタログから無料利用枠で提供されているRedHat Enterprise Linux 9の64bit（x86_64）アーキテクチャからセッションマネージャーを利用可能にするまでを試してみます。

①System Managerを許可するIAMロールの作成
IAMロールに付与するIAMポリシーは「AmazonSSMManagedInstanceCore」を使います。

②インスタンスにログインするためキーペアを作成
（インスタンス操作はCloudShellを利用するため）

※キーペアを作成するとpemファイルがダウンロードされます。
　後ほど使いますので保管してください。

③作成したIAMロール、キーペアを指定してインスタンスを起動
SGは後ほど編集するため、インバウンドは空のままの作成でOK。
※今回は導入が目的なため、パブリックサブネットを指定する。
プライベートサブネットへの導入はVPCエンドポイントを作成する必要があるためpart2で執筆予定。

④CloudShellのグローバルIPアドレスを調べ、SGのインバウンドでSSH接続を許可

プロンプトが表示されたら下記コマンドを実行する
curl https://ifconfig.io

⑤CloudShellにダウンロードしたpemファイルをアップロードしてインスタンスにSSH接続

lsコマンドからpemファイルがアップロードされていることを確認

インスタンス > 接続 > SSHクライアント選択し、記載された手順に従ってSSH接続を実施する。

⑥SSM Agentをインストール

公式ドキュメントに従い以下のコマンドからSSM Agentをインストールする。

sudo dnf install -y https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.rpm

[ec2-user@ip-10-0-11-220 ~]$ sudo systemctl status amazon-ssm-agent
● amazon-ssm-agent.service - amazon-ssm-agent
     Loaded: loaded (/etc/systemd/system/amazon-ssm-agent.service; enabled; preset: disabled)
     Active: active (running) since Thu 2024-05-16 09:40:21 UTC; 20s ago
   Main PID: 4370 (amazon-ssm-agen)
      Tasks: 16 (limit: 4329)
     Memory: 63.4M
        CPU: 354ms
     CGroup: /system.slice/amazon-ssm-agent.service
             ├─4370 /usr/bin/amazon-ssm-agent
             └─4438 /usr/bin/ssm-agent-worker

⑦セッションマネージャーで接続できることを確認

インスタンス > 接続 > セッションマネージャーの「接続」がオレンジ色になっていれば接続可能。