🪟

プライベートサブネットからアクセスする設定(Windows)

2023/03/28に公開

はじめに

プライベートサブネット内にあるEC2インスタンスを外部ネットワークにアクセスさせるための方法を備忘録として残しておく。今回はVPCエンドポイントを作成して、Systems Managerからアクセスする(SSM AgentはWindows Server 2022の場合、デフォルトでインストールされている)。

VPCエンドポイントの作成

  1. [VPC]→[エンドポイント]→[エンドポイントを作成]を選択する。

  2. 任意の名前を入力し、AWSのサービスから「com.amazonaws.ap-northeast-1.ssm」を選択する。

  3. EC2インスタンスに該当するVPCとサブネットを選択する。

  4. セキュリティグループは3で選択したVPCからのインバウンドを許可(HTTPS)したVPCエンドポイント用のセキュリティグループを設定してください。
    ※あとからでも変更可能なため、最初は適当に選択する。

  5. エンドポイントの作成を選択する。

  6. 作成したエンドポイントが使用可能になっていることを確認する。

  7. 同じ要領で下記3つも作成する。

  • com.amazonaws.ap-northeast-1.ec2messages
  • com.amazonaws.ap-northeast-1.ssmmessages
  • com.amazonaws.ap-northeast-1.s3 ※ゲートウェイ型で作成

IAMロールの付与、ログイン確認

EC2にSystems Managerの権限を付与し、[AWS Systems Manager]→[Session Manager]→[セッションの開始]で接続できることを確認する。※CUIでのログインとなる
IAMロールの内容については下記参照。
「AmazonSSMManagedInstanceCore」のポリシーでロールを作成する。
https://zenn.dev/ktr200803/articles/ca1522c795e48b

おわりに

大きな案件ではプライベートサブネットにEC2を配置することがほとんどなので、インスタンスにアクセスする際の踏み台サーバや今回のようなSystems Managerでの方法を覚えておきたい。またサーバ内から外部にアクセスする際はNat Gatewayなどが必要になるため、その方法についても今後記述していく。

Discussion