Systems Manager を使用してインターネットアクセスなしでプライベート EC2 インスタンスを管理できるように、VPC エンドポイントを作成するにはどうすればよいですか?

最終更新日: 2020 年 9 月 10 日

現在、インターネットにアクセスできない Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを使用しています。AWS Systems Manager を使用してインスタンスを管理する方法を教えてください。 

解決方法

AWS Systems Manager で管理するには、Amazon EC2 インスタンスをマネージドインスタンスとして登録する必要があります。以下の手順を実行してください。

  1. SSM エージェントがインスタンスにインストールされていることを確認します。
  2. Systems Manager 用の AWS Identity and Access Management (IAM) インスタンスプロファイルを作成します。新しいロールを作成する、または必要なアクセス許可を既存のロールに追加することができます。
  3. プライベート EC2 インスタンスに IAM ロールを添付します。
  4. Amazon EC2 コンソールを開いてからインスタンスを選択します。Description タブの [VPC ID] と [Subnet ID] をメモします。
  5. Systems Manager の VPC エンドポイントを作成します
    [Service Name] で com.amazonaws.[region].ssm を選択します (たとえば、com.amazonaws.us-east-1.ssm)。リージョンコードの全リストについては、利用できるリージョンを参照してください。
    [VPC] で、ご自身のインスタンスの VPC ID を選択します。
    [Subnets] でインスタンスの [Sibnet ID] を選択します。リージョン内の異なるアベイラビリティーゾーンからサブネットを選択してください。
    : 同じアベイラビリティーゾーンに複数のサブネットがある場合、追加のサブネット用に VPC エンドポイントを作成する必要はありません。同じアベイラビリティーゾーン内の他のサブネットは、インターフェイスにアクセスして使用することができます。
    [Enable Private DNS Name] で [Enable for this endpoint] を選択します。
    [Security group] で既存のセキュリティグループを選択するか、新しいセキュリティグループを作成します。セキュリティグループはポート 443 のインスタンスへのインバウンドトラフィックを許可する必要があります。新しいセキュリティグループを作成する場合は、Group ID をメモします。
  6. 次のように変更し、ステップ 5 を繰り返します。
    [Service Name] で [com.amazonaws.[region].ec2messages] を選択します。
  7. 次のように変更し、ステップ 5 を繰り返します。
    [Service Name] で [com.amazonaws.[region].ssmmessages] を選択します。Session Manager を使用する場合は、この操作が必要となります。
  8. 新しいセキュリティグループを作成した場合は、[VPC console] を開き、[Security Groups] をクリックした上で、作成したセキュリティグループを選択します。[Inbound Rules] タブで [Edit inbound rules] を選択します。以下の詳細を含むルールを追加してから、[Save rules] を選択します。
    [Type] で [HTTPS] を選択します。
    [Source] で VPC/Subnet CIDR を選択します。

これら 3 つのエンドポイントが作成されると、[Managed Instances] の覧にインスタンスが表示され、Systems Manager を使用して管理できるようになります。