Systems Manager設定(Windows)
はじめに
今回はEC2(Windows Server 2022)を立ち上げた後、リモートデスクトップ接続するのではなく、Systems Managerを使ってログインする方法を備忘録として残しておく。
ログ保存用S3バケットの作成
対象インスタンスのリージョン、任意の名前でS3バケットを作成する。
※バケットのバージョニング、暗号化を有効にする(その他はデフォルトの設定)。
ライフサイクルルールのアクション「オブジェクトの現行バージョンを有効期限切れにする」
「オブジェクトの非現行バージョンを完全に削除」の2つにチェックを入れ、日数を入れることでログの保存期間を調整することができる(1095日は3年)。
IAMポリシー、IAMロールの割り当て
- S3にログを置けるように下記のようなIAMポリシーを作成する。
※S3のバケット名は作成したものを記載する。
- EC2に紐づけるIAMロールを作成する。
1で作成したポリシーと「AmazonSSMManagedInstanceCore」ポリシーをアタッチして任意の名前で作成する。
※CloudWatchのポリシーも入っているが気にしなくてよい。以下で作成した。
https://zenn.dev/ktr200803/articles/ec70c51233bee3
3.作成したIAMロールを対象のEC2にアタッチする。
SSMAgentの更新
-
[Systems Manager]→[Run Command]→コマンドドキュメントで[AWS-UpdateSSMAgent]を選択する。
-
ターゲットで「インスタンスを手動で選択する」を選択し、対象のインスタンスを選択する。
3.「Run」コマンドを実行する。
※コマンド実行後、ステータスが「成功」になることを確認する。
ログ出力の設定
- [Systems Manager]→[セッションマネージャー]→[設定]の編集を選択する。
- S3 loggingのEnableにチェックを入れ、先ほど作成したS3バケットを選択し保存する。
ログイン確認
-
[Systems Manager]→[フリートマネージャー]→[設定]→対象のインスタンスを選択し[ノードアクション]→[リモートデスクトップとの接続]を選択する。
-
認証タイプ「ユーザー認証情報」を選択し、ユーザー名、パスワードを入れてログインできることを確認する。
ログ確認
対象インスタンスからログアウトし、作成したS3バケットにログが出力されることを確認する。
SSMAgentの自動更新の有効化
[Systems Manager]→[フリートマネージャー]→[設定]→[SSMエージェントの自動更新]を選択する。
ステータスが成功になることを確認する。
おわりに
今後はSSMAgentの更新失敗通知などを残していきたい。
Discussion