Upgrade to Pro — share decks privately, control downloads, hide ads and more …

内製化支援で伝えている AWSネットワークとEC2への接続方法

Avatar for Masedati Masedati
February 25, 2026
Technology
11
0

内製化支援で伝えている AWSネットワークとEC2への接続方法

Avatar for Masedati

Masedati

February 25, 2026

More Decks by Masedati

See All by Masedati
Amazon Q CLIの歩き方
Avatar for Masedati masedati
0
81
改めて学ぶデプロイ戦略
Avatar for Masedati masedati
0
18
怠惰な人のためのブログ執筆術
Avatar for Masedati masedati
0
8
AWS リソース使用前に料金体系はしっかり確認しよう
Avatar for Masedati masedati
0
8
【Amazon Bedrock】存在しないヒエログリフを作りたい
Avatar for Masedati masedati
0
9
Hey、Polly。大事な話があるんだけど
Avatar for Masedati masedati
0
9
サービスが多すぎる!Amazon SageMaker 〇〇
Avatar for Masedati masedati
0
16

Other Decks in Technology

See All in Technology
Cortex Codeでデータの仕事を全部Agenticにやりきろう!
Avatar for harry gappy50
0
260
出版記念イベントin大阪「書籍紹介&私がよく使うMCPサーバー3選と社内で安全に活用する方法」
Avatar for KintoTech_Dev kintotechdev
0
140
AWSで2番目にリリースされたサービスについてお話しします(諸説あります)
Avatar for Yuuki Yamashita yama3133
0
110
The essence of decision-making lies in primary data
Avatar for 株式会社カミナシ kaminashi
0
240
制約を設計する - 非決定性との境界線 / Designing constraints
Avatar for soudai sone soudai
PRO
4
980
「決め方」の渡し方 / How to hand over the "decision-making process"
Avatar for Pauli pauli
4
350
Zephyr(RTOS)でARMとRISC-Vのコア間通信をしてみた
Avatar for misoji engineer iotengineer22
0
120
CloudFrontのHost Header転送設定でパケットの中身はどう変わるのか?
Avatar for nagisa_53 nagisa53
1
250
2026-04-02 IBM Bobオンボーディング入門
Avatar for YutaNonaka yutanonaka
0
130
【AWS】CloudTrail LakeとCloudWatch Logs Insightsの使い分け方針
Avatar for Yuma Tsurugasaki tsurunosd
0
130
GitHub Advanced Security × Defender for Cloudで開発とSecOpsのサイロを超える: コードとクラウドをつなぐ、開発プラットフォームのセキュリティ
Avatar for yuriemori yuriemori
1
120
20260326_AIDD事例紹介_ULSC.pdf
Avatar for ファインディ株式会社(イベント資料アップ用) findy_eventslides
0
450

Featured

See All Featured
The AI Search Optimization Roadmap by Aleyda Solis
Avatar for Aleyda Solis aleyda
1
5.5k
The SEO Collaboration Effect
Avatar for Kristina Bergwall kristinabergwall1
0
410
Future Trends and Review - Lecture 12 - Web Technologies (1019888BNR)
Avatar for Beat Signer signer
PRO
0
3.3k
Mind Mapping
Avatar for Hélio Medeiros helmedeiros
PRO
1
140
Embracing the Ebb and Flow
Avatar for Simon Collison colly
88
5k
WCS-LA-2024
Avatar for Leonardo Collado-Torres lcolladotor
0
510
How Software Deployment tools have changed in the past 20 years
Avatar for Geshan Manandhar geshan
0
33k
We Are The Robots
Avatar for Honza Javorek honzajavorek
0
210
The Pragmatic Product Professional
Avatar for Laura Van Doore lauravandoore
37
7.2k
Rebuilding a faster, lazier Slack
Avatar for samanthasiow samanthasiow
85
9.4k
Jess Joyce - The Pitfalls of Following Frameworks
Avatar for Tech SEO Connect techseoconnect
PRO
1
120
The browser strikes back
Avatar for Jono Alderson jonoalderson
0
870

Transcript

  1. 内製化支援で伝えている AWSネットワークとEC2への接続方法

  2. 内製化支援

  3. サーバにはどう接続すればいいですか? AWS初学者のお客様からよくいただく質問

  4. サーバにはどう接続すればいいですか? インバウンドポートを開放せず、SSHキーの管理が不要なので、 セッションマネージャ接続をおすすめします。 AWS初学者のお客様からよくいただく質問

  5. AWS初学者のお客様からよくいただく質問 なぜインバウンドポートを開放せず、 キーの管理が不要なのですか?

  6. AWS初学者のお客様からよくいただく質問 なぜインバウンドポートを開放せず、 キーの管理が不要なのですか? 説明しよう!

  7. AWS周りのネットワーク

  8. もっとグラフィカルに表現すると

  9. マネジメントコンソールへのアクセス マネジメントコンソール(マネコン)は、AWS Global Network上に存在しています。 AWS Global Networkは、AWS管理のネットワークですが、インターネットと接しています。 自宅やデータセンタ内の開発者はそれぞれのインターネット出口からマネコンへアクセスすることができます。 マネコンログイン後、同じGlobal Network内にある様々なAWSリソースを操作することができます。

    AWS Global Network

  10. VPC Endpointの役割 Private Subnet内のインターネットへの経路を持たない場合(=NAT Gatewayがない場合)のリソースは、 VPC外リソースにアクセスできないためVPC Endpointが必要になります。

  11. Session Managerでの接続要件 Session Managerは、VPC外サービスなのでInternet GatewayもしくはEndpoint経由の接続が必要です。 👈 👈 必要なEndpoint3種 ssm:Systems Manager接続用

    (ec2messages:Agentからサービス呼び出し用) ssmmessages:インスタンス接続に必要 EC2がSystems Managerを利用するために EC2が持つIAM Role(役割)へ “SSMManagedInstanceCore”の権限追加が必要

  12. Session Managerで必要なエンドポイント 必要なEndpoint3種 ssm:Systems Manager接続用 (ec2messages:Agentからサービス呼び出し用) ssmmessages:インスタンス接続に必要 2024年のアップデートで、ec2messagesが不要になるケースがあります。 Systems Manager

    のために VPC エンドポイントを使用して EC2 インスタンスのセキュリティを強化する - AWS Systems Manager

  13. なぜインバウンドポート解放が不要なのか? 👈 👈 矢印のとおり、EC2からはアウトバウンド通信のため、EC2のインバウンドポートは解放不要です。

  14. なぜインバウンドポート解放が不要なのか? 一方で、VPC Endpoint目線だとEC2からのインバウンド通信があるため、 VPC EndpointのSecurity Groupでは、VPCからのインバウンド443ポートを許可する必要があります。 👈

  15. 通信の流れ 1.SSM Agent起動後、ssmmessages APIを呼び出し、接続確立 2.ユーザがStartSessionを実行 3.ユーザのIAM認証情報を元にSystems Managerがユーザを認証・認可 4.Systems ManagerがSSM Agentに通知

    5.Systems Managerが仲介する形で双方向通信を実現

  16. セッションマネージャでの接続ができる

  17. AWS初学者のお客様からよくいただく質問と回答 なぜインバウンドポートを開放せず、 キーの管理が不要なのですか? SSM Agentがインスタンス内部からアウトバウンド接続を確立し、 認証はIAMで実施するからです。

  18. AWS初学者のお客様からよくいただく質問と回答 ブラウザ上で操作するのは慣れないので 使い慣れたTera Termで接続したい

  19. AWS初学者のお客様からよくいただく質問と回答 ブラウザ上で操作するのは慣れないので 使い慣れたTera Termで接続したい Session Manager Pluginでの接続をおすすめします。

  20. Session Manager Pluginでの接続 Session Manager Pluginとは、AWS CLIからSession Managerセッションを開始するために必要な ローカルマシン用のプラグインです。 EC2インスタンスへSession

    Manager Pluginで接続するためには、以下が必要です。 AWS CLIのインストール IAM Userのアクセスキーとシークレットアクセスキー or AWS Login 端末へのSession Manager Pluginのインストール Session Manager Pluginを使用すると、ローカルPCからポートフォワーディングする形でSSH接続できます。

  21. ポートフォワーディングセッションを開始 aws ssm start-session --document-name AWS-StartPortForwardingSession --target <インスタンスID> -- parameters

    "portNumber=22,localPortNumber=10022" ☝aws ssm start-sessionによって、トンネルが確立された AWS CLIがIAM認証情報を使って認証 Session Manager pluginが起動 ローカルポート10022を開く AWS Systems Managerに接続要求 HTTPS接続の確立 EC2のSSM Agentが応答 EC2側もSystems Managerに接続 トンネルが確立

  22. Session Manager Pluginでの接続 あとは、同様にTera Term等でSSH接続する。 →このとき、SSH通信がトンネル内にカプセル化されます。 ※カプセル化:プロトコルによるデータ表現の内部に、別のプロトコルによるデータ表現を埋め込むこと Session Manager Pluginのメリット

    通信がカプセル化されているので、EC2にSSHポートを解放する必要がない

  23. まとめ EC2接続するときは、セッションマネージャを使おう! Pluginでは、ポートフォワーディングする形で SSH, RDPへの接続、さらにはEC2経由のRDS接続も可能です。