Systems Manager設定(Windows)

はじめに

今回はEC2(Windows Server 2022)を立ち上げた後、リモートデスクトップ接続するのではなく、Systems Managerを使ってログインする方法を備忘録として残しておく。

ログ保存用S3バケットの作成

対象インスタンスのリージョン、任意の名前でS3バケットを作成する。
※バケットのバージョニング、暗号化を有効にする(その他はデフォルトの設定)。

ライフサイクルルールのアクション「オブジェクトの現行バージョンを有効期限切れにする」
「オブジェクトの非現行バージョンを完全に削除」の2つにチェックを入れ、日数を入れることでログの保存期間を調整することができる(1095日は3年)。

IAMポリシー、IAMロールの割り当て

1. S3にログを置けるように下記のようなIAMポリシーを作成する。
   ※S3のバケット名は作成したものを記載する。

2. EC2に紐づけるIAMロールを作成する。
   1で作成したポリシーと「AmazonSSMManagedInstanceCore」ポリシーをアタッチして任意の名前で作成する。
   ※CloudWatchのポリシーも入っているが気にしなくてよい。以下で作成した。
   https://zenn.dev/ktr200803/articles/ec70c51233bee3
   

3.作成したIAMロールを対象のEC2にアタッチする。

SSMAgentの更新

1. [Systems Manager]→[Run Command]→コマンドドキュメントで[AWS-UpdateSSMAgent]を選択する。

2. ターゲットで「インスタンスを手動で選択する」を選択し、対象のインスタンスを選択する。

3.「Run」コマンドを実行する。
※コマンド実行後、ステータスが「成功」になることを確認する。

ログ出力の設定

1. [Systems Manager]→[セッションマネージャー]→[設定]の編集を選択する。
2. S3 loggingのEnableにチェックを入れ、先ほど作成したS3バケットを選択し保存する。
   

ログイン確認

1. [Systems Manager]→[フリートマネージャー]→[設定]→対象のインスタンスを選択し[ノードアクション]→[リモートデスクトップとの接続]を選択する。

2. 認証タイプ「ユーザー認証情報」を選択し、ユーザー名、パスワードを入れてログインできることを確認する。

ログ確認

対象インスタンスからログアウトし、作成したS3バケットにログが出力されることを確認する。

SSMAgentの自動更新の有効化

[Systems Manager]→[フリートマネージャー]→[設定]→[SSMエージェントの自動更新]を選択する。
ステータスが成功になることを確認する。

おわりに

今後はSSMAgentの更新失敗通知などを残していきたい。