Systems Manager を使用してインターネットアクセスなしでプライベート EC2 インスタンスを管理できるように、VPC エンドポイントを作成するにはどうすればよいですか?

最終更新日: 2020 年 6 月 10 日

現在、インターネットにアクセスできない Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを使用しています。AWS Systems Manager を使用してインスタンスを管理する方法を教えてください。 

解決方法

AWS Systems Manager で管理するには、Amazon EC2 インスタンスをマネージドインスタンスとして登録する必要があります。以下の手順を実行してください。

  1. SSM エージェントがインスタンスにインストールされていることを確認します。
  2. Systems Manager 用の AWS Identity and Access Management (IAM) インスタンスプロファイルを作成します。新しいロールを作成する、または必要なアクセス許可を既存のロールに追加することができます。
  3. プライベート EC2 インスタンスに IAM ロールを添付します。
  4. Amazon EC2 コンソールを開いてからインスタンスを選択します。Description タブの [VPC ID] と [Subnet ID] をメモします。
  5. Systems Manager の VPC エンドポイントを作成します
    [Service Name] で [com.amazonaws.region.ssm] を選択します。
    [VPC] で、ご自身のインスタンスの VPC ID を選択します。
    [Subnets] でインスタンスの [Sibnet ID] を選択します。VPC のすべてのサブネットには、 必ずエンドポイントを作成してください。
    [Enable Private DNS Name] で [Enable for this endpoint] を選択します。
    [Security Group] をクリックし、既存のセキュリティグループを選択するか、新しいセキュリティグループを作成します。セキュリティグループはポート 443 でインスタンスからのインバウンドトラフィックを許可する必要があります。新しいセキュリティグループを作成する場合は、Group ID をメモします。
  6. 次のように変更し、ステップ 5 を繰り返します。
    [Service Name] で [com.amazonaws.region.ec2messages] を選択します。
  7. 次のように変更し、ステップ 5 を繰り返します。
    [Service Name] で [com.amazonaws.region.ssmmessages] を選択します。Session Manager を使用する場合は、この操作が必要となります。
  8. 新しいセキュリティグループを作成した場合は、[VPC コンソール] を開き、[Security Groups] をクリックした上で、作成したセキュリティグループを選択します。[Inbound Rules] タブで [Edit rules] を選択します。以下の詳細を含むルールを追加してから、[Save rules] を選択します。
    [Type] で [HTTPS] を選択します。
    [Source] で VPC/Subnet CIDR を選択します。

これら 3 つのエンドポイントが作成されると、[Managed Instances] の覧にインスタンスが表示され、Systems Manager を使用して管理できるようになります。

Systems Manager の前提条件

Systems Manager 用の VPC エンドポイントを作成する

この記事はお役に立ちましたか?

はい
いいえ

改善できることはありますか?

ご意見をお聞かせください

さらにサポートが必要な場合

AWS サポートにお問い合わせください