AmazonがセッションマネージャのAWS Systems Managerを新たにリリースした。この新しいセッションマネージャは、EC2インスタンスへのシェルレベルアクセスの新たな方法を提供する。IT管理者は、新たに提供されるブラウザベースの対話型シェルとコマンドラインインターフェイス(CLI)を使用して、WindowsおよびLinuxインスタンスを管理できるようになる。
これまでもAmazonは、 AWS Systems Manager Run Commandで、EC2インスタンスへのシェルレベルでアクセスするためのセキュアなオプションを提供していた。コマンドドキュメントを作成して、LinuxやWindowsを含むEC2インスタンスの任意のセットで実行することが可能だ。コマンドの実行は非同期で、確認のためアウトプットがキャプチャされる。今後は、AWS System Managerの新しいSession Managerを使用することで、ブラウザベースのUIでCLIが使用可能になる。
リリース発表によれば、新たなブラウザベースのセッションマネージャは、次のような機能を提供する。
- セキュアなアクセス — インスタンス上にユーザーアカウントやパスワード、SSHキーを手動で設定する必要はなく、インバウンドポートを開く必要もない。
- アクセス制御 — IAMポリシとユーザを使用してインスタンスへのアクセスを制御することが可能で、SSHキーを配布する必要はない。
- 監査性 — コマンドとその応答を、Amazon CloudWatchおよびS3バケットにログすることができる。
- 対話性 — コマンドは完全にインタラクティブなbash(Linux)あるいはPowerShell(Windows)環境で、同期的に実行される。
- プログラミングとスクリプティング — コンソールアクセスに加えて、コマンドライン(aws ssm ...)から、あるいはSession Manager API経由で、セッションを開始することもできる。
新しいSession Managerを使ってEC2インスタンスにアクセスするには、エージェントの2.3.12以降で提供されているSSMエージェントがインスタンス上に必要となる。さらにそのエージェントには、Session Managerの公開エンドポイントか、あるいはインターネットアクセスやパブリックIPアドレスがない場合はPrivateLink経由で接続できなければならない。セキュリティ上の理由から、各インスタンスでのインスタンスロールは、適切なサービスにアクセス可能なポリシを参照する必要がある。これらの前提条件が満たされることで、インスタンスへのセッションのプリファレンスを指定することが — 例えば、セッションのアウトプットをS3バケットに書き込んだり、CloudWatch Logに送ることが可能になり、結果として、IT管理者がインスタンス内でセッションを開始できるようになる。
出典: https://aws.amazon.com/blogs/aws/new-session-manager/
セッションが開始されれば、セッション内でコマンドを発行し、その後、CloudWatchでログストリーム(各ストリームがひとつのセッションに対応する)を確認することができる。
Sesson ManagerをリリースしたAmazonへの反応は、期待が持てるもののようだ。reddit.comのスレッドでの反応は好意的で、Session ManagerのTwitterと同じアカウントがそれに応答している。
Session Managerは、すべてのAWSリージョン(AWS GovCloudを含む)で、追加料金なしで利用できる。さらにAmazonでは、SSHクライアントやオンプレミスインスタンスへのアクセスといった機能の追加を計画している。Session Managerに関する詳細は、AWSのドキュメントで見ることができる。
この記事を評価
- 編集者評
- 編集長アクション