Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
内製化支援で伝えている AWSネットワークとEC2への接続方法
Search
Masedati
February 25, 2026
Technology
21
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
内製化支援で伝えている AWSネットワークとEC2への接続方法
Masedati
February 25, 2026
More Decks by Masedati
See All by Masedati
CUDOSを構築しよう
masedati
0
23
Amazon Inspector概論
masedati
1
160
CPUクレジット使われた話
masedati
0
31
Amazon Q CLIの歩き方
masedati
0
96
改めて学ぶデプロイ戦略
masedati
0
30
怠惰な人のためのブログ執筆術
masedati
0
17
AWS リソース使用前に料金体系はしっかり確認しよう
masedati
0
15
【Amazon Bedrock】存在しないヒエログリフを作りたい
masedati
0
14
Hey、Polly。大事な話があるんだけど
masedati
0
15
Other Decks in Technology
See All in Technology
オブザーバビリティ、本当に活用できてる? 〜API連携×生成AIで成熟度を自動評価〜
dmmsre
0
440
認証認可だけじゃない! ID管理の構成要素と ライフサイクルを意識しよう
ritou
1
490
AI Agentをシステムに組み込む前にゆるく向き合ってみる
hayama17
0
200
Zoom2Youtube.Claude
kawaguti
PRO
2
410
はてなのサービス基盤を支える Kubernetes《足腰》
masayoshimaezawa
0
450
アカウントが増えてからでは遅い? ~ マルチアカウント統制の勘所 ~
kenichinakamura
0
120
Hatena Engineer Seminar 37 jj1uzh
jj1uzh
0
430
実装だけじゃない! CCA-F取得エンジニアが教えるClaude Code開発プロセス活用術
diggymo
1
120
AIに「使われる」時代のSaaS戦略 〜既存WebAPIのMCPサーバー化における開発ノウハウ〜
ekispert_api
0
290
SRE依存からの脱却 運用を開 発チームへ移す、 フルサイ クル開 発体制の実践
joooee0000
0
280
スタートアップにおけるアジャイルの実践について #shibuyagile
murabayashi
3
2.1k
AI Agent SaaS を支える自社仮想化基盤への挑戦と実運用 / ai-agent-saas-virtualization
flatt_security
2
1.3k
Featured
See All Featured
Gemini Prompt Engineering: Practical Techniques for Tangible AI Outcomes
mfonobong
2
460
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
4.3k
Designing for humans not robots
tammielis
254
26k
We Have a Design System, Now What?
morganepeng
55
8.2k
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.8k
A Modern Web Designer's Workflow
chriscoyier
698
190k
Building an army of robots
kneath
306
46k
The Art of Programming - Codeland 2020
erikaheidi
57
14k
Tell your own story through comics
letsgokoyo
1
980
How to optimise 3,500 product descriptions for ecommerce in one day using ChatGPT
katarinadahlin
PRO
1
3.7k
The Straight Up "How To Draw Better" Workshop
denniskardys
239
140k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
37
6.5k
Transcript
内製化支援で伝えている AWSネットワークとEC2への接続方法
内製化支援
サーバにはどう接続すればいいですか? AWS初学者のお客様からよくいただく質問
サーバにはどう接続すればいいですか? インバウンドポートを開放せず、SSHキーの管理が不要なので、 セッションマネージャ接続をおすすめします。 AWS初学者のお客様からよくいただく質問
AWS初学者のお客様からよくいただく質問 なぜインバウンドポートを開放せず、 キーの管理が不要なのですか?
AWS初学者のお客様からよくいただく質問 なぜインバウンドポートを開放せず、 キーの管理が不要なのですか? 説明しよう!
AWS周りのネットワーク
もっとグラフィカルに表現すると
マネジメントコンソールへのアクセス マネジメントコンソール(マネコン)は、AWS Global Network上に存在しています。 AWS Global Networkは、AWS管理のネットワークですが、インターネットと接しています。 自宅やデータセンタ内の開発者はそれぞれのインターネット出口からマネコンへアクセスすることができます。 マネコンログイン後、同じGlobal Network内にある様々なAWSリソースを操作することができます。
AWS Global Network
VPC Endpointの役割 Private Subnet内のインターネットへの経路を持たない場合(=NAT Gatewayがない場合)のリソースは、 VPC外リソースにアクセスできないためVPC Endpointが必要になります。
Session Managerでの接続要件 Session Managerは、VPC外サービスなのでInternet GatewayもしくはEndpoint経由の接続が必要です。 👈 👈 必要なEndpoint3種 ssm:Systems Manager接続用
(ec2messages:Agentからサービス呼び出し用) ssmmessages:インスタンス接続に必要 EC2がSystems Managerを利用するために EC2が持つIAM Role(役割)へ “SSMManagedInstanceCore”の権限追加が必要
Session Managerで必要なエンドポイント 必要なEndpoint3種 ssm:Systems Manager接続用 (ec2messages:Agentからサービス呼び出し用) ssmmessages:インスタンス接続に必要 2024年のアップデートで、ec2messagesが不要になるケースがあります。 Systems Manager
のために VPC エンドポイントを使用して EC2 インスタンスのセキュリティを強化する - AWS Systems Manager
なぜインバウンドポート解放が不要なのか? 👈 👈 矢印のとおり、EC2からはアウトバウンド通信のため、EC2のインバウンドポートは解放不要です。
なぜインバウンドポート解放が不要なのか? 一方で、VPC Endpoint目線だとEC2からのインバウンド通信があるため、 VPC EndpointのSecurity Groupでは、VPCからのインバウンド443ポートを許可する必要があります。 👈
通信の流れ 1.SSM Agent起動後、ssmmessages APIを呼び出し、接続確立 2.ユーザがStartSessionを実行 3.ユーザのIAM認証情報を元にSystems Managerがユーザを認証・認可 4.Systems ManagerがSSM Agentに通知
5.Systems Managerが仲介する形で双方向通信を実現
セッションマネージャでの接続ができる
AWS初学者のお客様からよくいただく質問と回答 なぜインバウンドポートを開放せず、 キーの管理が不要なのですか? SSM Agentがインスタンス内部からアウトバウンド接続を確立し、 認証はIAMで実施するからです。
AWS初学者のお客様からよくいただく質問と回答 ブラウザ上で操作するのは慣れないので 使い慣れたTera Termで接続したい
AWS初学者のお客様からよくいただく質問と回答 ブラウザ上で操作するのは慣れないので 使い慣れたTera Termで接続したい Session Manager Pluginでの接続をおすすめします。
Session Manager Pluginでの接続 Session Manager Pluginとは、AWS CLIからSession Managerセッションを開始するために必要な ローカルマシン用のプラグインです。 EC2インスタンスへSession
Manager Pluginで接続するためには、以下が必要です。 AWS CLIのインストール IAM Userのアクセスキーとシークレットアクセスキー or AWS Login 端末へのSession Manager Pluginのインストール Session Manager Pluginを使用すると、ローカルPCからポートフォワーディングする形でSSH接続できます。
ポートフォワーディングセッションを開始 aws ssm start-session --document-name AWS-StartPortForwardingSession --target <インスタンスID> -- parameters
"portNumber=22,localPortNumber=10022" ☝aws ssm start-sessionによって、トンネルが確立された AWS CLIがIAM認証情報を使って認証 Session Manager pluginが起動 ローカルポート10022を開く AWS Systems Managerに接続要求 HTTPS接続の確立 EC2のSSM Agentが応答 EC2側もSystems Managerに接続 トンネルが確立
Session Manager Pluginでの接続 あとは、同様にTera Term等でSSH接続する。 →このとき、SSH通信がトンネル内にカプセル化されます。 ※カプセル化:プロトコルによるデータ表現の内部に、別のプロトコルによるデータ表現を埋め込むこと Session Manager Pluginのメリット
通信がカプセル化されているので、EC2にSSHポートを解放する必要がない
まとめ EC2接続するときは、セッションマネージャを使おう! Pluginでは、ポートフォワーディングする形で SSH, RDPへの接続、さらにはEC2経由のRDS接続も可能です。