プライベートサブネットからアクセスする設定(Windows)
はじめに
プライベートサブネット内にあるEC2インスタンスを外部ネットワークにアクセスさせるための方法を備忘録として残しておく。今回はVPCエンドポイントを作成して、Systems Managerからアクセスする(SSM AgentはWindows Server 2022の場合、デフォルトでインストールされている)。
VPCエンドポイントの作成
-
[VPC]→[エンドポイント]→[エンドポイントを作成]を選択する。
-
任意の名前を入力し、AWSのサービスから「com.amazonaws.ap-northeast-1.ssm」を選択する。
-
EC2インスタンスに該当するVPCとサブネットを選択する。
-
セキュリティグループは3で選択したVPCからのインバウンドを許可(HTTPS)したVPCエンドポイント用のセキュリティグループを設定してください。
※あとからでも変更可能なため、最初は適当に選択する。 -
エンドポイントの作成を選択する。
-
作成したエンドポイントが使用可能になっていることを確認する。
-
同じ要領で下記3つも作成する。
- com.amazonaws.ap-northeast-1.ec2messages
- com.amazonaws.ap-northeast-1.ssmmessages
- com.amazonaws.ap-northeast-1.s3 ※ゲートウェイ型で作成
IAMロールの付与、ログイン確認
EC2にSystems Managerの権限を付与し、[AWS Systems Manager]→[Session Manager]→[セッションの開始]で接続できることを確認する。※CUIでのログインとなる
IAMロールの内容については下記参照。
「AmazonSSMManagedInstanceCore」のポリシーでロールを作成する。
おわりに
大きな案件ではプライベートサブネットにEC2を配置することがほとんどなので、インスタンスにアクセスする際の踏み台サーバや今回のようなSystems Managerでの方法を覚えておきたい。またサーバ内から外部にアクセスする際はNat Gatewayなどが必要になるため、その方法についても今後記述していく。
Discussion