セッションマネージャーをプライベートサブネットから利用してみる

みなさん、こんにちは。サニービュー事業部の小寺です。
たまたま、プライベートサブネットでセッションマネージャーを使う機会があったので、改めて設定する方法や
そもそものセッションマネージャーのメリットについて、ご紹介いたします。

セッションマネージャーとは

AWS Systems Managerの一部の機能です。Systems Managerについての過去記事はこちらから。
Session Managerを利用して、Amazon EC2インスタンス、エッジデバイス、オンプレミスサーバー、仮想マシン (VM) を管理することができます。
セッションマネージャーを利用することのメリットとしては、IAMポリシーのみ設定すればアクセスを一元的に管理することができます。

EC2にログインするには、インスタンス作成時の秘密鍵を使って、アクセス元セキュリティグループで絞り込み、ログインする必要がありますが、セッションマネージャーがあれば、秘密鍵を使うことなく、アクセス元も毎回セキュリティグループに変更を加えることなく、EC2にアクセスすることができます。
他には、多くの AWS のサービスと連携しているので、AWSアカウントのセッション履歴を監査してログに記録することができます。
セキュリティ面でも安心できるサービスですよね。

利用するには、いくつか前提条件があります。
・セッションを介して接続するマネージドノードに AWS Systems Manager の SSM Agent バージョン 2.3.68.0 以降のインストールが必要
・接続するマネージドノードは、以下のエンドポイントへの HTTPS (ポート 443) アウトバウンド・トラフィックも許可する必要があります
ec2messages.region.amazonaws.com
ssm.region.amazonaws.com
ssmmessages.region.amazonaws.com
・Session Manager でオンプレミスマシンに接続する場合、オンプレミスマシンをマネージドインスタンスとして登録するためにハイブリッドアクティベーションを作成する際に AWS アカウントとAWS リージョンのアドバンストインスタンス層を有効にする。

特に対象としているのは、セキュリティと監査の体制を強化して、アクセス制御を一元化したい方や、ブラウザまたは AWS CLI からワンクリックかつSSH キーを使わない運用を考えている方です。

プライベートサブネットにあるEC2からはどうやってアクセスするの？

セッションマネージャーを使うには、外部のインターネット経由443から該当サブネットへアクセスできることが条件となります。
まずNAT Gatewayを使う、踏み台サーバを使う、VPCエンドポイントを使う、この3つの選択肢がありますよね。

今回は、料金的にも一番安いVPCエンドポイントを用意してセッションマネージャーを使うことを試してみました。
元々、NAT Gatewayを使っているのであれば、良いと思うのですが、今回の環境ではNAT Gatewayの利用はなかったのと、EC2と比較すると若干VPCエンドポイントの方が料金も安く、System Manager利用の推奨でもあるからです。