Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
プライベートサブネットにあるEC2へのアクセス方法を整理してみた / Organized ac...
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
inomaso
October 19, 2021
Technology
0
30k
プライベートサブネットにあるEC2へのアクセス方法を整理してみた / Organized access to EC2 on a private subnet.
Talked at "DevelopersIO 2021 Decade #devio2021"
inomaso
October 19, 2021
Tweet
Share
More Decks by inomaso
See All by inomaso
CyberduckでMFAを利用してS3へ接続するための導入手順まとめ、を深掘りする / A summary of the implementation steps to connect to S3 using MFA with Cyberduck, in depth.
inomasosan
0
1k
EC2のバックアップ運用について思いを馳せる / Thinking about EC2 backup operation
inomasosan
0
1.7k
Direct ConnectとSite-to-Site VPNによる冗長化構成の勘所 / Check point for redundant configuration with Direct Connect and Site-to-Site VPN
inomasosan
0
6.4k
CloudWatchアラームによるサービス継続のための監視入門 / Introduction to Monitoring for Service Continuity with CloudWatch Alarms
inomasosan
1
2.2k
Former2でコード生成してGUIポチポチ卒業の第一歩を / Generate code with Former2 and take the first step to graduate from GUI operation.
inomasosan
1
3.2k
Other Decks in Technology
See All in Technology
Claude Code Skills 勉強会 (DevelersIO向けに調整済み) / claude code skills for devio
masahirokawahara
1
22k
わからなくて良いなら、わからなきゃだめなの?
kotaoue
1
370
形式手法特論:SMT ソルバで解く認可ポリシの静的解析 #kernelvm / Kernel VM Study Tsukuba No3
ytaka23
1
450
It’s “Time” to use Temporal
sajikix
3
210
決済サービスを支えるElastic Cloud - Elastic Cloudの導入と推進、決済サービスのObservability
suzukij
2
660
OpenClaw を Amazon Lightsail で動かす理由
uechishingo
0
180
OCI技術資料 : コンピュート・サービス 概要
ocise
4
54k
ReactのdangerouslySetInnerHTMLは“dangerously”だから危険 / Security.any #09 卒業したいセキュリティLT
flatt_security
0
310
Go 1.26 Genericsにおける再帰的型制約 / Recursive Type Constraints in Go 1.26 Generics
ryokotmng
0
120
Oracle Cloud Infrastructure IaaS 新機能アップデート 2025/12 - 2026/2
oracle4engineer
PRO
0
170
Kubernetesにおける推論基盤
ry
1
410
ソフトバンク流!プラットフォームエンジニアリング実現へのアプローチ
sbtechnight
1
180
Featured
See All Featured
Agile Leadership in an Agile Organization
kimpetersen
PRO
0
110
Optimising Largest Contentful Paint
csswizardry
37
3.6k
The Illustrated Guide to Node.js - THAT Conference 2024
reverentgeek
1
310
The Curse of the Amulet
leimatthew05
1
10k
Writing Fast Ruby
sferik
630
63k
BBQ
matthewcrist
89
10k
Groundhog Day: Seeking Process in Gaming for Health
codingconduct
0
130
The Hidden Cost of Media on the Web [PixelPalooza 2025]
tammyeverts
2
250
Marketing to machines
jonoalderson
1
5k
Leading Effective Engineering Teams in the AI Era
addyosmani
9
1.7k
The Organizational Zoo: Understanding Human Behavior Agility Through Metaphoric Constructive Conversations (based on the works of Arthur Shelley, Ph.D)
kimpetersen
PRO
0
270
Reflections from 52 weeks, 52 projects
jeffersonlam
356
21k
Transcript
プライベートサブネットにあるEC2への アクセス方法を整理してみた 2021/10/14 AWS事業本部コンサルティング部 猪股翔
自己紹介 猪股 翔(inomaso) • 2021年1月入社 (元金融系SIer) • AWS事業本部コンサルティング部 • 好きなAWSサービス
◦ AWS Certificate Manager ◦ AWS Chatbot • 好きなIaCツール ◦ Terraform @inomasosan 2
本セッションは… 想定聴講者 • Web三層(ELB+EC2+RDS)の構築経験あり • 踏み台サーバを使用している ゴール • 踏み台サーバ以外のアクセス方法があることを知る •
アクセス方法のメリット・デメリットがわかる 3
まとめ プライベートサブネットにあるEC2へのアクセス方法は 主に以下の3つ • AWS Systems Manager Session Manager (以下セッションマネージャーという)
• AWS ClientVPN • 踏み台サーバ 4
まとめ プライベートサブネットにあるEC2へのアクセス方法は 主に以下の3つ • AWS Systems Manager Session Manager (以下セッションマネージャーという)
• AWS ClientVPN • 踏み台サーバ 5 まずはセッションマネージャー の採用から検討しましょう!
6 おさらい プライベートサブネットって何だっけ?
プライベートサブネットとは このセッションではプライベートサブ ネットをインターネットから直接アク セスできないサブネットとします。 ※詳細に分類するとプロテクトサブ ネットという考えもありますが、この セッションでは割愛します。 7
8 1. セッションマネージャー
セッションマネージャーとは • AWS Systems Managerの機能のひとつ • AWSマネージメントコンソールやAWS CLIから、SSHやRDPなし でEC2へCLI操作が可能 •
ProxyCommandやポート転送セッションを利用して、Linuxサーバ にSSH接続や、Windows ServerへRDP接続可能 9
10 構成例 実際に構成例を見ていきましょう
構成図(NatGateway) 11 NatGatewayを利用した構成例 EC2のフロントにELBを配置 し、SSL証明書運用の簡略化 やセキュリティ等を考慮した ネットワーク構成
構成図(NatGateway) 12 ・セキュリティグループのアウトバウ ンドルールで、HTTPSの許可があ れば通信可能 ・ユーザがアクセスしているのは、 インスタンスではなくセッションマ ネージャのエンドポイント
構成図(VPCエンドポイント) 13 VPCエンドポイントを利用した 構成例 インターネットにアクセスでき ない環境で、急遽アクセスが 必要となった場合にも最小限 の設定変更で導入可能
構成図(VPCエンドポイント) 14 ・セッションマネージャーと通信するために 3つのInterface型VPCエンドポイント作成 com.amazonaws.region.ssm com.amazonaws.region.ec2messages com.amazonaws.region.ssmmessages ・セキュリティグループのインバウンドルールに、 VPC内からのHTTPSの許可が必要 ・セキュリティグループのアウトバウ
ンドルールで、HTTPSの許可があ れば通信可能 ・SSM Agent更新用に、以下のGateway型 VPCエンドポイント作成 com.amazonaws.ap-northeast-1.s3
メリット・デメリット メリット • 踏み台用のEC2作成不要 • セッションマネージャー自体の料金無料 • EC2のセキュリティグループに、追加のインバウンドルール不用 • AWSマネージメントコンソールやAWS
CLIから公開鍵認証やパスワード 認証なしで、EC2へCLI操作可能 • ProxyCommandやポート転送セッションで、SSHやRDP接続可能 15
メリット・デメリット デメリット • Windows ServerをGUIで操作したい場合は、ポート転送セッションによる RDP接続が必要 • LinuxサーバにクライアントPCからscp等でファイルコピーしたい場合 は、ProxyCommandかポート転送セッションが必須 •
SSHやRDP接続にローカル端末でTera Termやリモートデスクトップクラ イアントを使用する場合は、AWS CLIが必要となるためIAMアクセス キーやシークレットキーを管理・運用しなければならない 16
参考資料 ProxyCommand例 https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/session-manager-getting-sta rted-enable-ssh-connections.html ポート転送セッション開始方法 https://dev.classmethod.jp/articles/ssh-through-session-manager/ セッションマネージャーを使用してプライベートサブネットのLinux用EC2にアクセス(NAT Gateway編) https://dev.classmethod.jp/articles/terraform-session-manager-linux-ec2-natgateway/ セッションマネージャーを使用してプライベートサブネットのLinux用EC2にアクセス(VPCエンドポイント編)
https://dev.classmethod.jp/articles/terraform-session-manager-linux-ec2-vpcendpoint/ 17
18 2. AWS Client VPN
AWS Client VPNとは • VPC上のAWSリソース、および VPC を経由した対向の環境への安全なアク セスを提供するマネージドなクライアントベースのVPNサービス • 認証方法は以下のいずれかを選択
◦ 相互認証(クライアント証明書認証) ◦ AD認証 ◦ SAML経由のフェデレーション認証 19
20 構成例 実際に構成例を見ていきましょう
相互認証 証明書を利用した構成例 クライアント証明書やサーバ証 明書は自前で用意し、ACMへ インポートする必要有り 21
相互認証 22 ・VPNクライアントに証明書設定し VPN接続
メリット・デメリット メリット • 踏み台用のEC2作成不要 • EC2以外にもS3やDX経由でオンプレに接続可能 • ローカル端末のTera Termやリモートデスクトップクライアントそのまま 利用可能
23
メリット・デメリット デメリット • 料金が最低でも$108/月は必要 • 相互認証の場合、クライアント証明書・サーバ証明書の発行・管理が必 要 • AD認証、SAML経由のフェデレーション認証も別途構築が必要 •
端末毎にVPNクライアントの導入準備が必要 24
参考資料 [AWS]踏み台をワンチャンなくせる!?VPC接続にClient VPNを使ってみよう https://dev.classmethod.jp/articles/vpc-client-vpn/ 【登壇資料】AWS Client VPN 入門 #devio2020 https://dev.classmethod.jp/articles/developers-io-2020-connect-aws-client-vpn/
25
26 3. 踏み台サーバ
踏み台サーバとは • プライベートサブネットのEC2にログインするための中継サーバ • インターネットからアクセス可能なパブリックサブネットに構築 • 踏み台サーバのOSにLinuxを選んでも、SSHポート転送でWindows Serverに リモートデスクトップで接続可能 27
28 構成例 実際に構成例を見ていきましょう
踏み台サーバ 踏み台サーバを利用した構成 例 踏み台サーバ用のEC2構築の みなので、簡単に準備できる 29
補足)踏み台サーバに秘密鍵のコピーは危険 30 https://dev.classmethod.jp/articles/bastion-multi-stage-ssh-only-local-pem/
メリット・デメリット メリット • 簡単に構築可能 • オンプレの踏み台と同様に使用できる • 未使用時はEC2を停止することで、コスト最小化が可能 • ECS
+ RDSのような構成の場合、RDSメンテナンス用に踏み台サーバ を構築した方が良いケース有り 31
メリット・デメリット デメリット • 継続的なサーバ管理が必要 • 踏み台サーバ含めた鍵の管理が必要 32
33 アクセス方法の比較
比較表(個人的主観) 34 セッションマネージャ Client VPN 踏み台サーバ 料金 ◎ △ ◯
運用・管理の手間 ◎ ◯ △ (AWS側)導入容易性 ◎ △ ◎ (クライアント側)導入容易性 △ ◯ ◎ 接続可能リソース数 △ ◎ ◎
比較表(個人的主観) 35 セッションマネージャ Client VPN 踏み台サーバ 料金 ◎ △ ◯
運用・管理の手間 ◎ ◯ △ (AWS側)導入容易性 ◎ △ ◎ (クライアント側)導入容易性 △ ◯ ◎ 接続可能リソース数 △ ◎ ◎ 料金や運用面で優れており、 AWS側の導入も容易
比較表(個人的主観) 36 セッションマネージャ Client VPN 踏み台サーバ 料金 ◎ △ ◯
運用・管理の手間 ◎ ◯ △ (AWS側)導入容易性 ◎ △ ◎ (クライアント側)導入容易性 △ ◯ ◎ 接続可能リソース数 △ ◎ ◎ IAM管理やEC2以外の接続要 件あり
まとめ プライベートサブネットにあるEC2へのアクセス方法は 主に以下の3つ • AWS Systems Manager Session Manager (以下セッションマネージャーという)
• AWS ClientVPN • 踏み台サーバ 37 まずはセッションマネージャー の採用から検討しましょう!
本セッションは… 想定聴講者 • Web三層(ELB+EC2+RDS)を構築経験あり • 踏み台サーバをメインで運用している ゴール • 踏み台サーバ以外のアクセス方法があることを知る •
アクセス方法のメリット・デメリットがわかる 38
None
inomasosan
masahirokawahara
kotaoue
ytaka23
sajikix
suzukij
uechishingo
ocise
flatt_security
ryokotmng
oracle4engineer
ry
sbtechnight
kimpetersen
csswizardry
reverentgeek
leimatthew05
sferik
matthewcrist
codingconduct
tammyeverts
jonoalderson
addyosmani
jeffersonlam
![参考資料 [AWS]踏み台をワンチャンなくせる!?VPC接続にClient VPNを使ってみよう https://dev.classmethod.jp/articles/vpc-client-vpn/ 【登壇資料】AWS Client VPN 入門 #devio2020 https://dev.classmethod.jp/articles/developers-io-2020-connect-aws-client-vpn/](https://files.speakerdeck.com/presentations/742e351f20ab4e20860238619e5efd05/slide_24.jpg){kind=link}
