前提条件

• VPCが構築済みであること
• インターネットへのルートテーブルを持たないサブネットを構築していること

構築

プライベートサブネットのEC2インスタンスにSystems Managerのセッションマネージャー機能で接続するためには以下のリソースを準備する必要があります。

• VPCエンドポイント
• SSMを使用できるEC2用IAMロール

VPCエンドポイント用セキュリティグループ

VPCエンドポイントを作成する際にEC2インスタンスがVPCエンドポイントに接続できる必要があります。

そのため、以下の条件でセキュリティグループを作成しておきます。

• インバウンドルールでデプロイするVPCのCIDR範囲からHTTPSを許可

エンドポイント

SSM接続を行うのに必要なエンドポイントは以下3種類です。

• SSM
• ssmmessages
• ec2messages

VPC→エンドポイント→エンドポイントを作成

サービス検索欄から必要なサービスを選択します。

EC2をデプロイするVPCとエンドポイント用に作成したSGを選択し作成します。

上記手順をエンドポイント分繰り返します。

IAMロール

IAM→ロール→ロールを作成

EC2インスタンス用のIAMロールになります。

ユースケース：EC2
ポリシー：AmazonSSMManagedInstanceCore

動作確認

EC2をVPCエンドポイントと通信できるサブネット上に作成します。

インスタンスプロフィールに作成したIAMロールを指定してください。

EC2インスタンスを選択し接続からセッションマネージャーによる接続ができるのを確認

接続ボタンが有効になっていれば成功です。