Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
内製化支援で伝えている AWSネットワークとEC2への接続方法
Search
Masedati
February 25, 2026
Technology
19
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
内製化支援で伝えている AWSネットワークとEC2への接続方法
Masedati
February 25, 2026
More Decks by Masedati
See All by Masedati
CUDOSを構築しよう
masedati
0
22
Amazon Inspector概論
masedati
1
150
CPUクレジット使われた話
masedati
0
29
Amazon Q CLIの歩き方
masedati
0
92
改めて学ぶデプロイ戦略
masedati
0
29
怠惰な人のためのブログ執筆術
masedati
0
13
AWS リソース使用前に料金体系はしっかり確認しよう
masedati
0
14
【Amazon Bedrock】存在しないヒエログリフを作りたい
masedati
0
13
Hey、Polly。大事な話があるんだけど
masedati
0
14
Other Decks in Technology
See All in Technology
RAG を使わないという選択肢
tatsutaka
1
220
2026TECHFRESH畢業分享會 - AI 時代的人生存檔點
line_developers_tw
PRO
0
940
SONiCのLinuxベースを活かしたZabbix監視
sonic
0
100
Claude Code の Sandbox 機能を Anthropic Sandbox Runtime(srt) で試そう!/lets-play-anthropic-sandbox-runtime
tomoki10
1
570
2026TECHFRESH畢業分享會 - 原生還是跨平台? App 開發踩坑實錄
line_developers_tw
PRO
0
940
SONiCの統計情報を取得したい
sonic
0
100
日本 Fintech 未来予測レポート 2027〜2028年(オリジナル版)
8maki
0
2.1k
AIネイティブな開発のサプライチェーンリスク対策 〜激動の開発現場でリスクに立ち向かう〜【ZennFes】
cscengineer
PRO
2
110
2026TECHFRESH畢業分享會 - Lightning Talk - 資料也要 CI/CD? 用 Airbyte 自動化資料同步
line_developers_tw
PRO
0
920
SONiCで構築・運用する生成AI向けパブリッククラウドネットワーク ~実装編~
sonic
0
140
"何を作るか"を任される エンジニアは、どう育つのか
yutaokafuji
1
660
作って終わりにしない タイミーのセマンティックレイヤー育成の現在地
chanyou0311
4
2.3k
Featured
See All Featured
Six Lessons from altMBA
skipperchong
29
4.3k
Stop Working from a Prison Cell
hatefulcrawdad
274
21k
Rebuilding a faster, lazier Slack
samanthasiow
85
9.5k
jQuery: Nuts, Bolts and Bling
dougneiner
66
8.5k
[RailsConf 2023] Rails as a piece of cake
palkan
59
6.7k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
234
17k
brightonSEO & MeasureFest 2025 - Christian Goodrich - Winning strategies for Black Friday CRO & PPC
cargoodrich
3
730
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
9
1.4k
More Than Pixels: Becoming A User Experience Designer
marktimemedia
3
440
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
4.3k
AI Search: Where Are We & What Can We Do About It?
aleyda
0
7.6k
The Cult of Friendly URLs
andyhume
79
6.9k
Transcript
内製化支援で伝えている AWSネットワークとEC2への接続方法
内製化支援
サーバにはどう接続すればいいですか? AWS初学者のお客様からよくいただく質問
サーバにはどう接続すればいいですか? インバウンドポートを開放せず、SSHキーの管理が不要なので、 セッションマネージャ接続をおすすめします。 AWS初学者のお客様からよくいただく質問
AWS初学者のお客様からよくいただく質問 なぜインバウンドポートを開放せず、 キーの管理が不要なのですか?
AWS初学者のお客様からよくいただく質問 なぜインバウンドポートを開放せず、 キーの管理が不要なのですか? 説明しよう!
AWS周りのネットワーク
もっとグラフィカルに表現すると
マネジメントコンソールへのアクセス マネジメントコンソール(マネコン)は、AWS Global Network上に存在しています。 AWS Global Networkは、AWS管理のネットワークですが、インターネットと接しています。 自宅やデータセンタ内の開発者はそれぞれのインターネット出口からマネコンへアクセスすることができます。 マネコンログイン後、同じGlobal Network内にある様々なAWSリソースを操作することができます。
AWS Global Network
VPC Endpointの役割 Private Subnet内のインターネットへの経路を持たない場合(=NAT Gatewayがない場合)のリソースは、 VPC外リソースにアクセスできないためVPC Endpointが必要になります。
Session Managerでの接続要件 Session Managerは、VPC外サービスなのでInternet GatewayもしくはEndpoint経由の接続が必要です。 👈 👈 必要なEndpoint3種 ssm:Systems Manager接続用
(ec2messages:Agentからサービス呼び出し用) ssmmessages:インスタンス接続に必要 EC2がSystems Managerを利用するために EC2が持つIAM Role(役割)へ “SSMManagedInstanceCore”の権限追加が必要
Session Managerで必要なエンドポイント 必要なEndpoint3種 ssm:Systems Manager接続用 (ec2messages:Agentからサービス呼び出し用) ssmmessages:インスタンス接続に必要 2024年のアップデートで、ec2messagesが不要になるケースがあります。 Systems Manager
のために VPC エンドポイントを使用して EC2 インスタンスのセキュリティを強化する - AWS Systems Manager
なぜインバウンドポート解放が不要なのか? 👈 👈 矢印のとおり、EC2からはアウトバウンド通信のため、EC2のインバウンドポートは解放不要です。
なぜインバウンドポート解放が不要なのか? 一方で、VPC Endpoint目線だとEC2からのインバウンド通信があるため、 VPC EndpointのSecurity Groupでは、VPCからのインバウンド443ポートを許可する必要があります。 👈
通信の流れ 1.SSM Agent起動後、ssmmessages APIを呼び出し、接続確立 2.ユーザがStartSessionを実行 3.ユーザのIAM認証情報を元にSystems Managerがユーザを認証・認可 4.Systems ManagerがSSM Agentに通知
5.Systems Managerが仲介する形で双方向通信を実現
セッションマネージャでの接続ができる
AWS初学者のお客様からよくいただく質問と回答 なぜインバウンドポートを開放せず、 キーの管理が不要なのですか? SSM Agentがインスタンス内部からアウトバウンド接続を確立し、 認証はIAMで実施するからです。
AWS初学者のお客様からよくいただく質問と回答 ブラウザ上で操作するのは慣れないので 使い慣れたTera Termで接続したい
AWS初学者のお客様からよくいただく質問と回答 ブラウザ上で操作するのは慣れないので 使い慣れたTera Termで接続したい Session Manager Pluginでの接続をおすすめします。
Session Manager Pluginでの接続 Session Manager Pluginとは、AWS CLIからSession Managerセッションを開始するために必要な ローカルマシン用のプラグインです。 EC2インスタンスへSession
Manager Pluginで接続するためには、以下が必要です。 AWS CLIのインストール IAM Userのアクセスキーとシークレットアクセスキー or AWS Login 端末へのSession Manager Pluginのインストール Session Manager Pluginを使用すると、ローカルPCからポートフォワーディングする形でSSH接続できます。
ポートフォワーディングセッションを開始 aws ssm start-session --document-name AWS-StartPortForwardingSession --target <インスタンスID> -- parameters
"portNumber=22,localPortNumber=10022" ☝aws ssm start-sessionによって、トンネルが確立された AWS CLIがIAM認証情報を使って認証 Session Manager pluginが起動 ローカルポート10022を開く AWS Systems Managerに接続要求 HTTPS接続の確立 EC2のSSM Agentが応答 EC2側もSystems Managerに接続 トンネルが確立
Session Manager Pluginでの接続 あとは、同様にTera Term等でSSH接続する。 →このとき、SSH通信がトンネル内にカプセル化されます。 ※カプセル化:プロトコルによるデータ表現の内部に、別のプロトコルによるデータ表現を埋め込むこと Session Manager Pluginのメリット
通信がカプセル化されているので、EC2にSSHポートを解放する必要がない
まとめ EC2接続するときは、セッションマネージャを使おう! Pluginでは、ポートフォワーディングする形で SSH, RDPへの接続、さらにはEC2経由のRDS接続も可能です。
masedati
tatsutaka
line_developers_tw
sonic
tomoki10
8maki
cscengineer
yutaokafuji
chanyou0311
skipperchong
hatefulcrawdad
samanthasiow
dougneiner
palkan
marcelosomers
.jpg){kind=avatar}
cargoodrich
irinanazarova
marktimemedia
kastner
aleyda
andyhume
