Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
内製化支援で伝えている AWSネットワークとEC2への接続方法
Search
Masedati
February 25, 2026
Technology
14
0
Share
内製化支援で伝えている AWSネットワークとEC2への接続方法
Masedati
February 25, 2026
More Decks by Masedati
See All by Masedati
Amazon Inspector概論
masedati
1
140
CPUクレジット使われた話
masedati
0
24
Amazon Q CLIの歩き方
masedati
0
84
改めて学ぶデプロイ戦略
masedati
0
24
怠惰な人のためのブログ執筆術
masedati
0
11
AWS リソース使用前に料金体系はしっかり確認しよう
masedati
0
10
【Amazon Bedrock】存在しないヒエログリフを作りたい
masedati
0
10
Hey、Polly。大事な話があるんだけど
masedati
0
11
サービスが多すぎる!Amazon SageMaker 〇〇
masedati
0
17
Other Decks in Technology
See All in Technology
AIコーディング時代における、ソフトウェアサプライチェーン攻撃に対する防衛術(簡易版)
soysoysoyb
0
140
ServiceNow Knowledge 26 の歩き方
manarobot
0
190
はじめての MagicPod生成AI機能 機能紹介から活用方法まで
magicpod
0
120
AI バイブコーティングでキーボード不要?!
samakada
0
630
AIが書いたコードを信じられない問題 〜レビュー負荷を下げるために変えたこと〜 / The AI Code Trust Gap: Reducing the Review Burden
bitkey
PRO
8
1.4k
[OpsJAWS 40]リリースしたら終わり、じゃなかった。セキュリティ空白期間をAWS Security Agentで埋める
sh_fk2
3
250
AI時代 に増える データ活用先
takahal
0
330
目的ファーストのハーネス設計 ~ハーネスの変更容易性を高めるための優先順位~
gotalab555
8
2.4k
Microsoft 365 / Microsoft 365 Copilot : 自分の状態を確認する「ラベル」について
taichinakamura
0
360
AIが盛んな時代に 技術記事を書き始めて起きた私の中での小さな変化
peintangos
0
210
小説執筆のハーネスエンジニアリング
yoshitetsu
0
790
サイボウズ 開発本部採用ピッチ / Cybozu Engineer Recruit
cybozuinsideout
PRO
10
79k
Featured
See All Featured
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
254
22k
Winning Ecommerce Organic Search in an AI Era - #searchnstuff2025
aleyda
1
2k
Docker and Python
trallard
47
3.8k
Self-Hosted WebAssembly Runtime for Runtime-Neutral Checkpoint/Restore in Edge–Cloud Continuum
chikuwait
0
490
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
28
3.5k
Optimizing for Happiness
mojombo
378
71k
Stop Working from a Prison Cell
hatefulcrawdad
274
21k
The Anti-SEO Checklist Checklist. Pubcon Cyber Week
ryanjones
0
120
Heart Work Chapter 1 - Part 1
lfama
PRO
6
35k
Principles of Awesome APIs and How to Build Them.
keavy
128
17k
Leo the Paperboy
mayatellez
7
1.7k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
162
16k
Transcript
内製化支援で伝えている AWSネットワークとEC2への接続方法
内製化支援
サーバにはどう接続すればいいですか? AWS初学者のお客様からよくいただく質問
サーバにはどう接続すればいいですか? インバウンドポートを開放せず、SSHキーの管理が不要なので、 セッションマネージャ接続をおすすめします。 AWS初学者のお客様からよくいただく質問
AWS初学者のお客様からよくいただく質問 なぜインバウンドポートを開放せず、 キーの管理が不要なのですか?
AWS初学者のお客様からよくいただく質問 なぜインバウンドポートを開放せず、 キーの管理が不要なのですか? 説明しよう!
AWS周りのネットワーク
もっとグラフィカルに表現すると
マネジメントコンソールへのアクセス マネジメントコンソール(マネコン)は、AWS Global Network上に存在しています。 AWS Global Networkは、AWS管理のネットワークですが、インターネットと接しています。 自宅やデータセンタ内の開発者はそれぞれのインターネット出口からマネコンへアクセスすることができます。 マネコンログイン後、同じGlobal Network内にある様々なAWSリソースを操作することができます。
AWS Global Network
VPC Endpointの役割 Private Subnet内のインターネットへの経路を持たない場合(=NAT Gatewayがない場合)のリソースは、 VPC外リソースにアクセスできないためVPC Endpointが必要になります。
Session Managerでの接続要件 Session Managerは、VPC外サービスなのでInternet GatewayもしくはEndpoint経由の接続が必要です。 👈 👈 必要なEndpoint3種 ssm:Systems Manager接続用
(ec2messages:Agentからサービス呼び出し用) ssmmessages:インスタンス接続に必要 EC2がSystems Managerを利用するために EC2が持つIAM Role(役割)へ “SSMManagedInstanceCore”の権限追加が必要
Session Managerで必要なエンドポイント 必要なEndpoint3種 ssm:Systems Manager接続用 (ec2messages:Agentからサービス呼び出し用) ssmmessages:インスタンス接続に必要 2024年のアップデートで、ec2messagesが不要になるケースがあります。 Systems Manager
のために VPC エンドポイントを使用して EC2 インスタンスのセキュリティを強化する - AWS Systems Manager
なぜインバウンドポート解放が不要なのか? 👈 👈 矢印のとおり、EC2からはアウトバウンド通信のため、EC2のインバウンドポートは解放不要です。
なぜインバウンドポート解放が不要なのか? 一方で、VPC Endpoint目線だとEC2からのインバウンド通信があるため、 VPC EndpointのSecurity Groupでは、VPCからのインバウンド443ポートを許可する必要があります。 👈
通信の流れ 1.SSM Agent起動後、ssmmessages APIを呼び出し、接続確立 2.ユーザがStartSessionを実行 3.ユーザのIAM認証情報を元にSystems Managerがユーザを認証・認可 4.Systems ManagerがSSM Agentに通知
5.Systems Managerが仲介する形で双方向通信を実現
セッションマネージャでの接続ができる
AWS初学者のお客様からよくいただく質問と回答 なぜインバウンドポートを開放せず、 キーの管理が不要なのですか? SSM Agentがインスタンス内部からアウトバウンド接続を確立し、 認証はIAMで実施するからです。
AWS初学者のお客様からよくいただく質問と回答 ブラウザ上で操作するのは慣れないので 使い慣れたTera Termで接続したい
AWS初学者のお客様からよくいただく質問と回答 ブラウザ上で操作するのは慣れないので 使い慣れたTera Termで接続したい Session Manager Pluginでの接続をおすすめします。
Session Manager Pluginでの接続 Session Manager Pluginとは、AWS CLIからSession Managerセッションを開始するために必要な ローカルマシン用のプラグインです。 EC2インスタンスへSession
Manager Pluginで接続するためには、以下が必要です。 AWS CLIのインストール IAM Userのアクセスキーとシークレットアクセスキー or AWS Login 端末へのSession Manager Pluginのインストール Session Manager Pluginを使用すると、ローカルPCからポートフォワーディングする形でSSH接続できます。
ポートフォワーディングセッションを開始 aws ssm start-session --document-name AWS-StartPortForwardingSession --target <インスタンスID> -- parameters
"portNumber=22,localPortNumber=10022" ☝aws ssm start-sessionによって、トンネルが確立された AWS CLIがIAM認証情報を使って認証 Session Manager pluginが起動 ローカルポート10022を開く AWS Systems Managerに接続要求 HTTPS接続の確立 EC2のSSM Agentが応答 EC2側もSystems Managerに接続 トンネルが確立
Session Manager Pluginでの接続 あとは、同様にTera Term等でSSH接続する。 →このとき、SSH通信がトンネル内にカプセル化されます。 ※カプセル化:プロトコルによるデータ表現の内部に、別のプロトコルによるデータ表現を埋め込むこと Session Manager Pluginのメリット
通信がカプセル化されているので、EC2にSSHポートを解放する必要がない
まとめ EC2接続するときは、セッションマネージャを使おう! Pluginでは、ポートフォワーディングする形で SSH, RDPへの接続、さらにはEC2経由のRDS接続も可能です。
masedati
soysoysoyb
manarobot
magicpod
samakada
bitkey
sh_fk2
takahal
gotalab555
taichinakamura
peintangos
yoshitetsu
cybozuinsideout
smashingmag
aleyda
trallard
chikuwait
eileencodes
mojombo
hatefulcrawdad
ryanjones
lfama
keavy
mayatellez
sstephenson
