はじめに

プライベートサブネット内にあるEC2インスタンスを外部ネットワークにアクセスさせるための方法を備忘録として残しておく。今回はVPCエンドポイントを作成して、Systems Managerからアクセスする(SSM AgentはWindows Server 2022の場合、デフォルトでインストールされている)。

VPCエンドポイントの作成

1. [VPC]→[エンドポイント]→[エンドポイントを作成]を選択する。

2. 任意の名前を入力し、AWSのサービスから「com.amazonaws.ap-northeast-1.ssm」を選択する。
   

3. EC2インスタンスに該当するVPCとサブネットを選択する。

4. セキュリティグループは3で選択したVPCからのインバウンドを許可(HTTPS)したVPCエンドポイント用のセキュリティグループを設定してください。
   ※あとからでも変更可能なため、最初は適当に選択する。

5. エンドポイントの作成を選択する。

6. 作成したエンドポイントが使用可能になっていることを確認する。
   

7. 同じ要領で下記3つも作成する。

• com.amazonaws.ap-northeast-1.ec2messages
• com.amazonaws.ap-northeast-1.ssmmessages
• com.amazonaws.ap-northeast-1.s3 ※ゲートウェイ型で作成
  

IAMロールの付与、ログイン確認

EC2にSystems Managerの権限を付与し、[AWS Systems Manager]→[Session Manager]→[セッションの開始]で接続できることを確認する。※CUIでのログインとなる
IAMロールの内容については下記参照。
「AmazonSSMManagedInstanceCore」のポリシーでロールを作成する。
https://zenn.dev/ktr200803/articles/ca1522c795e48b

おわりに

大きな案件ではプライベートサブネットにEC2を配置することがほとんどなので、インスタンスにアクセスする際の踏み台サーバや今回のようなSystems Managerでの方法を覚えておきたい。またサーバ内から外部にアクセスする際はNat Gatewayなどが必要になるため、その方法についても今後記述していく。