awsのSSMでリモートワーク時のセキュリティグループの更新をしなくてもよくなりそう

アフターアドベント4日目

今までawsのEC2にSSHでログインするときに、IP制限はしておこう、という事で、セキュリティグループで22番だけ、自分のMacの繋がるグローバルIPを登録して繋ぐ、という事をやっていたのですが、どうもSSMという仕組みを使う事で、そもそもセキュリティグループで22番を開けなくても良いという話です。

準備として、インスタンスにはSSM Agentが入っている必要があります。

Linux 用 EC2 インスタンスに手動で SSM Agent をインストールする - AWS Systems Manager

SSMの仕組みはawsクライアントで認証を通して、その情報をベースにクライアントからawsコマンドをプロキシしてSSH接続が出来るよ、という仕組みっぽいです。

接続にはEC2のインスタンスのIDが必要で、それとともにEC2に登録したSSH Keyを使ってログインします。

今回はEC2サーバ側の設定は「Linux 用 EC2 インスタンスに手動で SSM Agent をインストールする」を参考にしていただいて、ここではSSM Agentが入ったEC2へ接続するための簡単な設定を手順としてあげます。

手順(Macの場合)

EC2を起動する

Mac上に設定
~/.ssh/configファイルにエントリーを追加

Host remote-dev
  ProxyCommand sh -c "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters 'portNumber=%p'"
  HostName [ここにインスタンスのID]
  User ubuntu
  Port 22
  ForwardAgent    yes
  IdentitiesOnly  no
  StrictHostKeyChecking no
  IdentityFile [ここにSSH Keyファイルのパス]

SSH接続

ssh remote-dev

これで接続が可能になります。

最後に、awsのセキュリティグループから22番を削除して試して、接続出来ていれば完了となります。