🔰セッションマネージャーとプライベートサブネットの落とし穴

今回はインフラ初心者🔰の私がAWSコンソール画面にて環境構築をしていたところ、セッションマネージャーへの接続で思いがけず苦戦した経験を共有します。
同じような壁にぶつかった方の助けになれば嬉しいです！🐈

セッションマネージャーとは

セッションマネージャーとはAWS Systems Managerの機能のひとつで、EC2インスタンスやオンプレミスサーバーへの安全なアクセスを管理するためのサービスです。

セッションマネージャーを使用することによって、以下のメリットが得られます。

• セキュリティの向上
  インバウンドポートを開いたり、踏み台ホストを維持したり、SSHキーを管理したりする必要がありません。
• 簡単な操作
  AWSコンソール画面からワンクリックで接続することができます。
• 一元管理
  IAMポリシーによって、マネージドノード(管理対象のインスタンス)への接続権限を一元管理することができます。
• 監査
  AWS CloudTrailなどのサービスと連携することで、マネージドノードへの接続履歴を記録し監査することができます。

起きたエラーと解決までの道のり

EC2の構築が完了した後、セッションマネージャーによって接続を確認しようとしたところ、「SSM エージェントはオンラインではありません」というエラーが表示され、接続できないという問題が起きました。
以下の手順で状況を確認しつつ、事象を解消していきました。

• EC2インスタンスにロールをアタッチ
  EC2インスタンスにAmazonSSMManagedInstanceCoreポリシーがアタッチされたIAMロールを追加しました。
• SSMエージェントの確認
  EC2にセッションマネージャーで接続するには、EC2にAWS Systems ManagerのSSMエージェントがインストールされている必要があります。
  今回作成したEC2のAMIはAmazon Linux 2023 AMIだったため、デフォルトでインストールされているようでした。
• NATゲートウェイの追加
  今回EC2はプライベートサブネットに設置してあり、NATゲートウェイを設置していませんでした。
  これが原因でSSMエージェントがオフライン状態になっているようでした。
  以下の手順でプライベートサブネットからインターネットへの接続を可能にしました。
  1. パブリックサブネットにNATゲートウェイを設置
  2. プライベートサブネットのルートテーブルの0.0.0.0/0のターゲットに、作成したNATゲートウェイを設定

セッションマネージャーの仕組み：なぜNATゲートウェイが必要だったのか？

なぜNATゲートウェイがないとセッションマネージャーでEC2に接続できなかったのか、セッションマネージャーの仕組みを踏まえて解説します。

セッションマネージャーの接続は、EC2インスタンスがAWS Systems Managerサービスのエンドポイントと接続することで確立されます。
具体的な接続フローは以下です。

1. ユーザーがAWSコンソール画面のセッションマネージャーの「接続」を押下
2. セッションマネージャーはEC2内のSSMエージェントにセッション開始を指示
3. EC2のAWSSystemManagerSSMエージェントがセッションマネージャーに接続する

3の手順にて、EC2内のAWSSystemManagerSSMエージェントがAWS Systems Managerエンドポイント(インターネット)に対して接続を試みます。
EC2がプライベートサブネットに設置されている場合、NATゲートウェイが無いとインターネットに接続ができないため、エラーになってしまったようでした。

知っておきたいネットワーク用語

今回の経験で理解が深まった、ネットワーク用語をまとめました。

• NATゲートウェイとは
  プライベートサブネット内のリソースがインターネットにアクセスすることを可能にします。
  プライベートサブネットのインスタンスからトラフィックを受け取り、インターネットに転送します。
  アウトバウンド通信を許可し、インバウンド通信は許可しません。
• インターネットゲートウェイとは
  VPCをインターネットに接続するためのサービス。
  アウトバウンド通信/インバウンド通信双方を許可します。
• ルートテーブルとは
  サブネット間の通信経路を定義するための設定。
  特定のIPアドレス範囲のトラフィックをどのゲートウェイに送るかを決定します。
• セキュリティグループ
  仮想ファイアウォール機能。
  トラフィックの許可/拒否を制御します。
  ここで0.0.0.0/0のアウトバウンドを許可していても、どのゲートウェイに接続するかの「経路」が定義されていないと、インターネットに接続することはできません。

感想

参考にしていた手順と少し変えながら構築していたのですが、その方がうまくいかないことが多く、結果として多くの学びがありました。
手順通りにやって「理解した気になっている人」も、あえて手順から外れて失敗してみるのも良い経験になるのでおすすめです😉

参考

• https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/session-manager.html
• https://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/connect-to-an-amazon-ec2-instance-by-using-session-manager.html
• https://www.stylez.co.jp/aws_columns/understand_the_basics_of_aws_networking/understanding_aws_public_subnets_and_private_subnets/#NAT-2