今回は「WindowsのSSHで鍵ファイルを任意の場所へ配置する方法」についてまとめます。

発生する事象

Windowsで鍵ファイルを使ったSSH接続をしようとすると以下のようなメッセージに遭遇することがあります。 ととえば、AWSのEC2に対してWindowsのPowerShellやコマンドプロンプトを使ってSSH接続しようとするようなケースです。

鍵ファイルを好きな場所に置きたいのだけれど特定フォルダ以外に配置すると権限が広すぎるというエラーで接続できない事象が発生します。 今回はこの事象を解消し、自分の好きな場所に鍵ファイルを置いたうえでコマンドを使ってSSH接続する方法をまとめます。

Warning: Permanently added '54.238.108.195' (ECDSA) to the list of known hosts.
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@         WARNING: UNPROTECTED PRIVATE KEY FILE!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions for '.\\keypair.pem' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
Load key ".\\keypair.pem": bad permissions
ec2-user@54.238.108.195: Permission denied (publickey,gssapi-keyex,gssapi-with-mic).

解決策１：ユーザーフォルダ以下に置く

一番簡単な解決策は %HOMEPATH% (例： C:\Users\YOUR_NAME） 以下に配置することです。 %HOMEPATH% 以下であれば権限が制限されているので特にエラーにならず利用可能です。

解決策２：フォルダの権限を見直す

実際作業しているとどうしても D:\ など他のフォルダに配置したいこともあります。 以下では任意フォルダに対して鍵ファイルを配置してSSH接続を実現させる手順になります。

といってもやることは「鍵ファイルを配置したいフォルダの権限を見直す」だけになります。

1. 任意の場所にフォルダを作成

   

2. 作成したフォルダを右クリック「プロパティ」を選択

   

3. 「セキュリティ」タブへ移動

   

4. 「詳細設定」を選択

   

5. 「継承の無効化」を選択

   

6. 「このオブジェクトから継承されたアクセス許可をすべて削除します」を選択

   

7. 「OK」を選択

   

8. 「はい」を選択

   

9. 「編集」を選択

   

10. 「追加」を選択

    

11. 「選択するオブジェクト名を入力してください」に利用しているユーザー名を入力して「名前の確認」を選択

    

12. 自身の名前が選択されていることを確認して「OK」

    

13. 「OK」

    

14. 「フルコントロール」を選択して「OK」

    自分自身にフルコントロールが付いており、他のユーザーが存在しない状態（Admin含めて存在しない）になっていることを確認します。

    

ここまで出来たらあとは鍵ファイルを作成したフォルダへ移動してSSHするだけです。 きっと接続できるハズ！

今回は「WindowsのSSHで鍵ファイルを任意の場所へ配置する方法」についてまとめました。 参考になったでしょうか？ 本記事がお役に立っていると嬉しいです！！

今回は「複数アカウントを切り替えて利用するスイッチロール」についてまとめます。

概要

"開発" と "本番" でアカウントが違う

セキュリティ、監査上の対応やヒューマンエラーを防ぐといった目的から開発環境と本番環境で異なるアカウントを利用するといったケースがあります。 何も考えずただ普通にアカウント（IAMユーザー）を作っていくと次の図のような状態になります。

このような状態だと、複数のアカウントをいちいちログアウト/ログインを繰り返して切り替えることになり、作業がかなり面倒です。 また、ユーザー離着任のたびにIAMユーザーを消したり作ったりをそれぞれのアカウントに対して行うというのは漏れなどがありやや危険な気もします。

複数アカウントを切り替える "スイッチロール"

上記のような状態を解決する手段の１つがスイッチロールを使ったアカウント管理の集約です。

IAMユーザー自体はある1か所に集約し、他のアカウントへは適切なロールへスイッチさせて利用するという方法です。 ここで登場するのが「スイッチロール」と言う方法で、スイッチ先のロールのことを「AssumeRole」と呼びます。

今回はこの「スイッチロール（AssumeRole）」の作り方と使い方をまとめます。

設定

今回は以下のような単純化した環境での設定を行っていきます。 設定するのは「スイッチ先のロール」と「スイッチ元のポリシーおよびグループ/ユーザー」です。

スイッチ先

スイッチ先では信頼するスイッチ元のアカウントIDを指定した「IAMロール」を作成します。

ロール作成

スイッチ先のロール作成はマネジメントコンソール上から行ってみます。

1. IAMのロールから「ロールの作成」を選択

   

2. 「別のAWSアカウント」を選択

   

3. 「アカウントID」を入力して「次のステップ」を選択

   

   アカウントID

   スイッチ元のアカウントIDを入力

   外部IDが必須

   マネジメントコンソールを利用する場合、利用できないのでチェックしない。AWS CLI 利用の場合は使える。

   MFAが必須

   MFAの要否に応じてチェックを入れる

4. スイッチ先で利用させたいポリシーを選択して「次のステップ」を選択

   今回は管理権限を丸っと渡すので「AdministratorAccess」を選択。

   

5. スイッチ先のロールにタグを指定したい場合、タグ名を指定して「次のステップ」を選択

   

6. 「ロール名」を入力して「ロールの作成」を選択

   

スイッチ元

スイッチ元ではスイッチ先のIAMロールへアクセスできる「IAMポリシー」を作成し、そのポリシーを必要とするグループまたはユーザーにポリシーをアタッチします。

ポリシー作成

1. スイッチ元のIAMのポリシーから「ポリシーの作成」を選択

   

2. 「JSON」タブへ移動

   

3. ポリシーを直接記述で作成し、「ポリシーの確認」を選択

   

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "sts:AssumeRole",
               "Resource": "arn:aws:iam::<TargetAccountId>:role/<TargetAccountRoleName>"
           }
       ]
   }
   

   "TargetAccountID" にはスイッチ先のアカウントIDを入力、 "TargetAccountRoleName" はスイッチ先のロールとして作成したロール名を指定します。

4. 「名前」を設定して「ポリシーの作成」を選択

   

グループ/ユーザーへポリシー追加

作成したポリシーをあとは必要なグループやユーザーにつけてあげることで利用可能な状態になります。 ポリシーをグループやユーザーに付与するのはそのままなのでここでは割愛…。

利用

前述までの設定が終わっていればあとは利用方法です。 「ロールの切り替え」と「切り替えたロールから戻る」の2通りおさえればOKです。

ロールの切り替え

1. マネジメントコンソール右上のアカウント名を選択

   

2. 「ロールの切り替え」を選択

   

3. 初回の場合 "ロールの切り替え" が表示されるので「ロールの切り替え」を選択

   

4. 「アカウント」「ロール」を入力して「ロールの切り替え」を選択

   

   アカウント

   スイッチ先のアカウントIDを指定

   ロール

   スイッチ先のロール名を指定

   表示名

   表示名を任意の文字列で指定

5. 無事スイッチできればアカウント名が「表示名」に切り替わる

   

ロール利用の停止

1. マネジメントコンソール右上のアカウント名を選択

   

2. 「○○に戻る」を選択

   

今回は「複数アカウントを切り替えて利用する "スイッチロール"」についてまとめました。 参考になったでしょうか？ 本記事がお役に立っていると嬉しいです！！

今回は「Kinesis Data Firehose を使ってCloudWatch Logs にあるログを S3 へ転送する方法」についてまとめます。

概要

CloudWatch Logs の Log Group へ溜め込まれたログをS3へ流し込むための実装手順を見ていきます。 とりあえずログはすべてS3へまとめておくことができれば QuickSite や Athena への取り込みもできそうなので、その下準備になります。

今回は EC2 → CloudWatch Logs → Kinesis Data Firehose → S3 の流れを実装していきます。 作成するリソース類の全体は次のようなものになります。 実際に利用する際は適宜読み替え差し替えを行ってください。

上図の中で、今回は以下のリソースについてはすでに作成済みの前提で進めていきます。

• CloudWatch Logs ロググループ（＝転送元）
• S3バケット（＝転送先）

権限まわりの準備

CloudWatch Logs 用 IAMロール/ポリシー

CloudWatch Logs からは Kinesis Data Firehose への書き込みができる必要があるので、Firehose に対する書き込み権限を作っていきます。

sample-dev-firehose-write-iam-policy

まずは以下のようなIAMポリシーを作成します。

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "firehose:*"
      ],
      "Resource": [
        "arn:aws:firehose:<YOUR-REGION>:<YOUR-ACCOUNT-ID>:*"
      ]
    }
  ]
}

sample-dev-log-trans-firehose-iam-role

続いてIAMロールを…と行きたいのですが、マネジメントコンソール上から作成しようとすると「AWSサービス」に「CloudWatch Logs」が存在せず作成できません。 なので、いったん「EC2」などでIAMロールを作成し、作成したIAMロールの「信頼関係」タブから「信頼関係の編集」を選択して、以下の内容に書き換えます。

{
  "Statement": {
    "Effect": "Allow",
    "Principal": {
      "Service": "logs.<YOUR-REGION>.amazonaws.com"
    },
    "Action": "sts:AssumeRole"
  }
}

「信頼関係」が書き換われば、あとは「アクセス権限」から作成済みの「sample-dev-firehose-write-iam-policy」をアタッチします。

Kinesis Data Firehose 用 IAMロール/ポリシー

Kinesis Data Firehose はS3へ対する書き込みが必要なので、S3に対する書き込み権限を作っていきます。

sample-dev-s3-write-iam-policy

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:AbortMultipartUpload",
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:ListBucket",
        "s3:ListBucketMultipartUploads",
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::<YOUR-BUCKET-NAME>",
        "arn:aws:s3:::<YOUR-BUCKET-NAME>/*"
      ]
    }
  ]
}

sample-dev-log-trans-s3-iam-role

Kinesis Data Firehose のIAMロールはマネジメントコンソール上から作成可能なのでそんなに迷うこともありません。 作成する際は作成済み「sample-dev-s3-write-iam-policy」をアタッチします。

S3バケットポリシー

Kinesis Data Firehose にロール付与しただけだとS3バケットポリシーにはじかれるので、バケットポリシーも見直します。 Principalにはサービス指定できなさそうだったのでロールで指定します。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::<YOUR-ACCOUNT-ID>:role/<YOUR-FIREHOSE-ROLE>"
      },
      "Action": [
        "s3:AbortMultipartUpload",
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:ListBucket",
        "s3:ListBucketMultipartUploads",
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::<YOUR-BUCKET-NAME>",
        "arn:aws:s3:::<YOUR-BUCKET-NAME>/*"
      ]
    }
  ]
}

Kinesis Data Firehose の作成

1. New delivery stream

   インプット内容について設定していきます。

   

   Delivery stream name

   リソース名を指定します。今回は sample-dev-ec2-access-firehose 。

   Source

   インプット方法を指定します。 CloudWatch Logs の場合、 Direct PUT or other sources になります。

   Server-side encryption

   暗号化するかどうかの設定。今回は暗号化しないのでチェック無し。

2. Process records

   データ整形をするかどうかの設定を行っていきます。 今回は行わないのですべて Disabled になります。 もしデータ変換を行いたいのであればここで設定することができます。

   

3. Choose a destination

   アウトプット先について設定していきます。 今回はS3へアウトプットしていくのでS3に関する設定です。

   

   Destination

   「Amazon S3」を選択します。

   S3 bucket

   保存先バケット名を指定します。 ログは1つのバケットに集約したいのでログ用バケット「sample-dev-log-bucket」を指定します。

   S3 prefix

   正常に取り込む場合の保管先フォルダ名を指定します。 …正しくは保管先キー名のプリフィックス指定です。 他のログと区別がつくように保管先パスを指定します。

   S3 error prefix

   エラー発生時のエラーログ保管先プリフィックス名を指定します。

4. Configure settings

   その他オプションを設定していきます。

   

   S3 buffer conditions

   FirehoseはStreamと違ってバッファをとるのでその容量と期間を指定します。

   S3 compression and encryption

   圧縮と暗号化の設定です。 CloudWatch Logs はもともと圧縮された状態で転送されてくるので、改めて圧縮する必要はありません。 暗号化は必要に応じて設定します。 今回はどちらも利用しないので Disabled を指定します。

   Error logging

   エラーログを保存するかどうかの設定です。 保存先の設定と離れているので少しわかりづらいですが。。

   Permissions

   IAMロールを指定します。 あらかじめ作成済みなので作成したIAMロール「sample-dev-log-trans-s3-iam-role」を指定します。

5. Review

   最終確認。設定内容を確認して問題なければ「Create delivery stream」で作成します。

   

CloudWatch Logs のサブスクリプションへ登録

残念ながらマネジメントコンソール上から CloudWatch Logs のロググループに Kinesis Data Firehose をサブスクリプションとして追加することができません。 AWS CLI を使ってコマンドから接続します。

以下のコマンドを実行して CloudWatch Logs の ロググループ に Kinesis Data Firehose のサブスクリプションを追加します。

aws logs put-subscription-filter \
    --log-group-name "<LOG_GROUP_NAME>" \
    --filter-name "<SUBSCRIPTION_FILTER_NAME>" \
    --filter-pattern "<SUBSCRIPTION_FILTER_PATTERN>" \
    --destination-arn "arn:aws:firehose:<YOUR_REGION>:<YOUR_ACCOUNT_ID>:deliverystream/<FIREHOSE_NAME>" \
    --role-arn "arn:aws:iam::<YOUR_ACCOUNT_ID>:role/<CWL_IAM_ROLE_NAME>

PowerShell の複数行指定で利用する行末文字は "`"(バックティック) で、 コマンドプロンプトで利用する行末文字は "^"(ハット) です。

ちなみに…なぜか PowerShell だと filter-pattern に空文字（ "" ）指定が正しく認識されず。。 コマンドプロンプトだと正しく認識されました。

まとめ

CloudWatch Logs のロググループに入ったログを Kinesis Data Firehose を使って S3 へ転送する方法を見ていきました。 残念ながらすべてをマネジメントコンソール上からすることはかなわず。。 ところどころ手動で対応する必要がある点が注意点です。

テスト実行したいときはEC2に対してロググループへ出力される操作をしてみることになります。 …今回は具体的な内容に触れていませんが。。

Kinesis Data Firehose より後ろであれば、 Kinesis Data Firehose にサンプルデータ出力のテストコマンド実行ができるのでそちらを試してみるのもアリかと思います。

今回は「Kinesis Data Firehose を使ってCloudWatch Logs にあるログを S3 へ転送する方法」についてまとめました。 参考になったでしょうか？ 本記事がお役に立っていると嬉しいです！！

参考記事

• CCI Tech Blog - Kinesis Firehoseを使ってCloudWatch Logをs3へ出力してみた
• aws - 例 3: Amazon Kinesis Data Firehose のサブスクリプションフィルタ

今回は「Node.js を使って S3 へ ファイルアップロード、 S3 から ファイルダウンロード する方法」についてまとめます。

はじめに

今回はNode.jsのネイティブアプリからS3へアップロード/S3からダウンロードする方法を調べたのでその実装方法をまとめておきます。 ローカル開発するときは認証まわりの設定が必ようになる点、アップロードする際はファイルサイズが5GBを超えそうかどうかという点がポイントになります。

前準備

認証情報

アプリをEC2にアップロードする場合はEC2に適切なIAMロールを付与すればOKですが… 開発環境からテストしようと思うとローカルにあらかじめ認証情報ファイル（ ~/.aws/credentials ）を置いておく必要があります。

~/.aws/credentials

[default]
aws_access_key_id = <YOUR_ACCESS_KEY_ID>
aws_secret_access_key = <YOUR_SECRET_ACCESS_KEY>

もし複数プロファイルを指定する場合、環境変数 AWS_PROFILE にどのプロファイルを利用するかを設定してあげます。

環境変数

今回は以下の環境変数を設定して実行します。 コード見ればわかりますが一応まとめておきます。

• S3_BUCKET_NAME
• S3_BUCKET_KEY_PREFIX

アップロード

S3は「1ファイル5TBまで」、「1度のPUT処理が5GBまで」という制限があるので、5GBを超えるときは分割アップロードするような処理に変える必要があります。 S3.upload() は自動で切り替えてくれるようなので、今回はこのメソッドを使ってアップロードします。

const fs = require("fs");
const path = require("path");
const AWS = require("aws-sdk");
AWS.config.update({ region: "ap-northeast-1" });

var s3 = new AWS.S3();

// S3へファイルアップロード
// 自動でマルチパートアップロードもやってくれる
// https://docs.aws.amazon.com/AWSJavaScriptSDK/latest/AWS/S3.html#upload-property
 s3.upload({
  Bucket: process.env.S3_BUCKET_NAME,
  Key: path.posix.join(process.env.S3_BUCKET_KEY_PREFIX, "sample.png"),
  Body: fs.createReadStream(path.join(__dirname, "./sample.png")),
  ContentType: "image/png"
}, {
  partSize: 100 * 1024 * 1024,
  queueSize: 4
}, (err, data) => {
  if (err) {
    console.log(err);
    return;
  }
  console.log(JSON.stringify(data));
});

ダウンロード

ダウンロードはそのまま受け取る実装になっています（＝大きなファイルはその分メモリーを消費する）。。。 丁寧にやるならファイルサイズ取得（ headObject() ）して分割ダウンロード（ getObject() ）だと思います。

const fs = require("fs");
const path = require("path");
const AWS = require("aws-sdk");
AWS.config.update({ region: "ap-northeast-1" });

var s3 = new AWS.S3();

// ファイルダウンロード
s3.getObject({
  Bucket: process.env.S3_BUCKET_NAME,
  Key: path.posix.join(process.env.S3_BUCKET_KEY_PREFIX, "sample.png"),
}, (err, data) => {
  if (err) {
    console.log(err);
    return;
  }
  var writer = fs.createWriteStream(path.join(__dirname, "donwloaded.png"));
  writer.on("finish", () => {
    console.log("success");
  })
  writer.write(data.Body);
  writer.end();
});

今回は「Node.js を使って S3 へ ファイルアップロード する方法」についてまとめました。 参考になったでしょうか？ 本記事がお役に立っていると嬉しいです！！

参考記事

• AWS - 共有認証情報ファイルから Node.js に認証情報をロードする
• Class List - upload(params = {}, [options], [callback]) ⇒ AWS.S3.ManagedUpload

今回は「Session Manager (SSM) を使って EC2 へアクセスする方法 （privateサブネットでパブリックIPを持たないEC2へアクセスする方法）」についてまとめます。

概要

Systems Manager にある Session Manager を利用して EC2 へアクセスするための準備から接続方法についてまとめてみます。

Session Manager を使ってEC2へアクセスできるようになると、これまで 22ポート (SSH) を開放していたものが解放しなくてよくなります。 また、実質的な踏み台サーバーを AWS が提供していることになるので、踏み台も準備不要になってちょっと便利になります。

今回まとめとして取り上げるのは以下のような「プライベートサブネットにたてたパブリックIPを持たないEC2に対してアクセスするようなケース」で見ていきます。 EC2にはパブリックIPが付与されずプライベートIPのみとなります。 そのままではアクセスできないのでVPCエンドポイント（VPCピアリング）を付けて、AWS内の経路でアクセスしていきます。

サーバー準備

VPC

SSMを利用しようとすると、VPCのDNS解決が有効でないとアクセスできません。 またプライベートサブネットでアクセスするために設定するVPCエンドポイントでDNSを有効にしようとすると「DNSホスト名」も「有効」にしておく必要があります。 「DNSホスト名」も「有効」である必要がある点はパブリックな場合と異なる点です。

VPC

DNS解決	有効
DNSホスト名	有効

サブネット

ルートテーブル	外界とつながらないので特に指定なし

VPCエンドポイント

サービス名	エンドポイント準備が必要なのは以下3種類 com.amazonaws.ap-northeast-1.ssm com.amazonaws.ap-northeast-1.ec2messages com.amazonaws.ap-northeast-1.ssmmessages
サブネット	（接続したいEC2があるプライベートサブネットを指定）
プライベートDNS名	有効
セキュリティグループ	HTTPS(443)のEC2からのインバウンドを許可

Systems Manager

初期化がまだであれば「高速セットアップ」から初期化を行います。 一度初期化を行っていたとしても、「高速セットアップ」はダッシュボードとして状況が見えるので再設定する際もこちらから行うと便利です。

基本的にはデフォルトのままでOKですが、Configuration Options に関してはチェックなしでも問題ありません。 Targetsに関してはさすがに「Choose all instances in the current AWS account and Region」か「Specify instance tags」でないとEC2が増減したとき毎回対応になって面倒になります。

高速セットアップ

Permissions	Instance profile role Use the default role を選択。 Use the default role を選択すると AmazonSSMRoleForInstancesQuickSetup ロールが作成されます。 独自のロールを指定したい場合 Choose an existing role を選択しますが、 AmazonSSMManagedInstanceCore ポリシーを含んでいる必要があります。 Assume role for Systems Manager こちらは関係ないので Use the default role (AmazonSSMRoleForAutomationAssumeQuickSetup) を指定しておきます。
Configuration options	内容は定期的なシステムチェックをするかどうか、なので全部チェックを外しても問題ありません。 更新や状況を確認したいものがあればチェックを入れておきます。
Targets	内容は定期的なシステムチェックをするかどうか、なので全部チェックを外しても問題ありません。 更新や状況を確認したいものがあればチェックを入れておきます。

IAM

EC2に設定が必要なアクセス権は AmazonSSMManagedInstanceCore ポリシーになります。 AWS EC2 向けロールに対してあらかじめ追加しておきます。

Sysmtes Manager で初期設定している場合、 AmazonSSMRoleForInstanceQuickSetup ロールが追加されています。 このロールにはあらかじめ AmazonSSMManagedInstanceCore が追加されているので、このロールを活用してもOKです。

ロール

ロール名	AmazonSSMRoleForInstancesQuickSetup
信頼されたエンティティ	AWS サービス：ec2
アクセス権	AmazonSSMManagedInstanceCore

Security Group

「EC2に付与するもの」と「VPCエンドポイントに付与するもの」の2種類が必要になります。

EC2に付与するセキュリティグループ

EC2に付与するセキュリティグループは「VPCエンドポイント」に向かって「アウトバウンドHTTPS(443)」が通信許可されていることです。

• インバウンドルール

  （なし）

• アウトバウンドルール

  タイプ	プロトコル	ポート範囲	送信先
  HTTPS	TCP	443	(VPCエンドポイント向けのセキュリティグループ)

VPCエンドポイントに付与するセキュリティグループ

VPCエンドポイントには逆にEC2からHTTPSが入ってくるので「インバウンド HTTPS 」を許可します。

• インバウンドルール

  タイプ	プロトコル	ポート範囲	ソース
  HTTPS	TCP	443	(EC2向けのセキュリティグループ)

• アウトバウンドルール

  （なし）

EC2

Amazon Linux を使わない場合、独自に Session Manager Plugin をインストールする必要があります。 Amazon Linux は最初から入っているので特に気にする必要はありません。 今回は Amazon Linux 前提で進めていきます。

必要なセキュリティグループ、IAMロールは準備できているので、 EC2作成時には以下のような設定を行っていきます。

Step3: インスタンスの詳細の設定

ネットワーク	（作成したVPCを設定します。このVPCは「DNS解決が有効」である必要があります。）
サブネット	（作成した privateサブネット を指定します。 このサブネットは VPCエンドポイント 経由でAWSのSSMと通信できる必要があります）
自動割り当てパブリックIP	無効
IAMロール	AmazonSSMManagedInstanceCore ポリシーを含むロールを指定します。 Systems Manager の高速セットアップをデフォルト設定で利用した場合 AmazonSSMRoleForInstancesQuickSetup ロールになります。

Step6: セキュリティグループの設定

セキュリティグループ	HTTPS(443) でVPCエンドポイントへ通信できるようにしておきます。

接続確認

接続方法もいくつかありますが、今回は単純にマネジメントコンソールから接続する方法を見ておきます。 他の方法については別途記事を書こうと思います…。

Session Manager から接続

今回はSystemsManagerのセッションマネージャーから接続してみます。 もちろん、EC2のページから接続することもできます。 この方法で接続すると ssm-user をいうユーザーで接続します。

1. 「Systems Manager」へ遷移

2. 左メニューから「Session Manager」を開く

3. 「セッションの開始」を選択

4. 接続したいインスタンスを選択して「セッションを開始する」を選択

今回は「SSM を使って EC2 へアクセスする方法 （privateサブネットの場合）」についてまとめました。 参考になったでしょうか？ 本記事がお役に立っていると嬉しいです！！

今回は「Session Manager (SSM) を使って EC2 へアクセスする方法 （publicサブネットの場合）」についてまとめます。

この Session Manager を使ってEC2へアクセスできるようになると、これまで 22ポート (SSH) を開放していたものが解放しなくてよくなります。 また、実質的な踏み台サーバーを AWS が提供していることになるので、踏み台も準備不要になってちょっと便利になります。

概要

Systems Manager にある Session Manager (SSM) を利用して EC2 へアクセスするための準備から接続方法についてまとめてみます。

さて、今回まとめとして取り上げるのは以下のような「EC2にパブリックIPを付与する環境構成に対してアクセスするケース」で見ていきます。 EC2にパブリックIPが付与されているので、外回りでEC2へアクセスするようなケースになります。

サーバー準備

VPC

SSMを利用しようとすると、VPCのDNS解決が有効でないとアクセスできません。 デフォルトで有効になるはずですが…作成する際は「DNS解決」が「有効」であることを確認してください。

パブリックIPを利用してSSMによるEC2アクセスを行おうとすると、VPCには Internet Gateway が設定されており、 Internet Gateway へのルーティングが設定されている必要もあります。 Internet Gateway とそこへのルーティングがないと外との通信はできません。

VPC

DNS解決	有効

サブネット

ルートテーブル	以下の設定が入っていること 送信先： 0.0.0.0/0 ターゲット：（作成したインターネットゲートウェイ）

インターネットゲートウェイ

状態	Attached。新規作成して、作成済VPCにアタッチされていること

Systems Manager

初期化がまだであれば「高速セットアップ」から初期化を行います。 一度初期化を行っていたとしても、「高速セットアップ」はダッシュボードとして状況が見えるので再設定する際もこちらから行うと便利です。

基本的にはデフォルトのままでOKですが、Configuration Options に関してはチェックなしでも問題ありません。 Targetsに関してはさすがに「Choose all instances in the current AWS account and Region」か「Specify instance tags」でないとEC2が増減したとき毎回対応になって面倒になります。

高速セットアップ

Permissions	Instance profile role Use the default role を選択。 Use the default role を選択すると AmazonSSMRoleForInstancesQuickSetup ロールが作成されます。 独自のロールを指定したい場合 Choose an existing role を選択しますが、 AmazonSSMManagedInstanceCore ポリシーを含んでいる必要があります。 Assume role for Systems Manager こちらは関係ないので Use the default role (AmazonSSMRoleForAutomationAssumeQuickSetup) を指定しておきます。
Configuration options	内容は定期的なシステムチェックをするかどうか、なので全部チェックを外しても問題ありません。 更新や状況を確認したいものがあればチェックを入れておきます。
Targets	内容は定期的なシステムチェックをするかどうか、なので全部チェックを外しても問題ありません。 更新や状況を確認したいものがあればチェックを入れておきます。

IAM

EC2に設定が必要なアクセス権は AmazonSSMManagedInstanceCore ポリシーになります。 AWS EC2 向けロールに対してあらかじめ追加しておきます。

Sysmtes Manager で初期設定している場合、 AmazonSSMRoleForInstanceQuickSetup ロールが追加されています。 このロールにはあらかじめ AmazonSSMManagedInstanceCore が追加されているので、このロールを活用してもOKです。

ロール

ロール名	AmazonSSMRoleForInstancesQuickSetup
信頼されたエンティティ	AWS サービス：ec2
アクセス権	AmazonSSMManagedInstanceCore

Security Group

EC2に付与するセキュリティグループにはHTTPSで外へ出られる設定をしておく必要があります。 あらかじめ「アウトバウンド433（HTTPS）で送信先 0.0.0.0/0 」設定があるセキュリティグループを準備しておきます。

アウトバウンドルール

タイプ	プロトコル	ポート範囲	送信先
HTTPS	TCP	443	0.0.0.0/0

EC2

Amazon Linux を使わない場合、独自に Session Manager Plugin をインストールする必要があります。 Amazon Linux は最初から入っているので特に気にする必要はありません。 今回は Amazon Linux 前提で進めていきます。

とはいえ、すでに必要な準備は終わっているはずなので、あとは組み合わせてEC2を起動するだけです。 EC2作成時には以下のような設定を行います。

Step3: インスタンスの詳細の設定

ネットワーク	（作成したVPCを設定します。このVPCは「DNS解決が有効」である必要があります。）
サブネット	（作成した publicサブネット を指定します。 このサブネットは Internet Gateway 経由で外へアクセスできる必要があります）
自動割り当てパブリックIP	有効
IAMロール	AmazonSSMManagedInstanceCore ポリシーを含むロールを指定します。 Systems Manager の高速セットアップをデフォルト設定で利用した場合 AmazonSSMRoleForInstancesQuickSetup ロールになります。

Step6: セキュリティグループの設定

セキュリティグループ	https(443) が外へ出られるようにしておきます。

接続確認

接続方法もいくつかありますが、今回は単純にマネジメントコンソールから接続する方法を見ておきます。 他の方法については別途記事を書こうと思います…。

EC2のマネジメントコンソールから接続

SystemsManagerのセッションマネージャーからも接続できますが…今回はEC2のページから接続する方法を見ていきます。 この方法で接続すると ssm-user をいうユーザーで接続します。

1. 「EC2」へ遷移

2. 「インスタンス」を開く

3. 接続したいインスタンスを選択

4. 「接続」を選択

5. 「セッションマネージャー」を選択して、「接続」を押下

今回は「SSM を使って EC2 へアクセスする方法 （publicサブネットの場合）」についてまとめました。 参考になったでしょうか？ 本記事がお役に立っていると嬉しいです！！

今回は「AWS EC2起動時に パラメータストアの値 を 環境変数 に 設定する 方法」についてまとめます。

起動時にパラメータストアから値とってきて環境変数に設定なんてよく聞きますが…調べても自分が欲しい情報がストレートになかったので、今回まとめてみました。

概要

EC2起動時にパラメータストアの値を取りに行き、EC2の環境変数へマッピングしていくような仕組みを作っていきます（以下の図のイメージ）。 今回は「VPC」や「EC2」につけられたタグ名をキーに「パラメータストア」の値を探してくるようなものを作ります。

「VPC」のタグには「Project」「Env」を、「EC2」のタグには「Type」を定義しておきます。 これらタグを利用して、「パラメータストア」では「/{Project}/{Env}/{Type}/*」の環境変数を取得、設定するような仕組みです。

パラメータストア

今回は以下のようなパラメータを用意するものとします。

名前	種類
/sample-project/stg/app/MYSQL_HOST	String
/sample-project/stg/app/MYSQL_PORT	String
/sample-project/stg/app/MYSQL_DATABASE	String
/sample-project/stg/app/MYSQL_USERNAME	String
/sample-project/stg/app/MYSQL_PASSWORD	SecureString

"/"(バックスラッシュ) で分類するとよいようなので、この方法を採用しました。 今回は以下のような階層構造を前提として設計しています。

/{VPCのProjectタグ}/{VPCのEnvタグ}/{EC2のTypeタグ}/{環境変数名}

それぞれ以下のような想定で階層をきっています。

VPCのProjectタグ

プロジェクト名を想定。

VPCのEnvタグ

リリース環境を想定。dev, stg, prod など。

EC2のTypeタグ

サーバー種別を想定。web, app, batch, db など。

これを元にパスを書き直すと以下のようになります。

/{プロジェクト名}/{リリース環境名}/{サーバー種別}/{環境変数名}

VPC

タグ

おそらくVPCの名前には「プロジェクト名+環境」で設定することが多い気がします。 今回はそれを分解して以下2つのタグを設定しておきます。

Project

プロジェクト名。今回の例だと sample-project 。 パラメータストアにおける第1階層。

Env

リリース環境。dev, stg, prod など。 パラメータストアにおける第2階層。

EC2

EC2は「Amazon Linux」前提で記載しています。 今回設定するのは以下3か所です。

• どのパラメータストアを取り出すか指定するためのタグ
• パラメータストアなどにアクセスするための権限設定
• 起動時にパラメータストアから値をとってきて環境変数に設定するスクリプト（ユーザーデータ）

タグ

EC2は個別サーバーになります。 実際はいくつかの種類に応じて分類されると思いますので、今回は「サーバー種別」として「Type」を設定しておきこれを取得するようなサンプルにしました。

Type

サーバー種別。web, app, batch, db など。 パラメータストアにおける第3階層。

IAMロール

ユーザーデータで実行するスクリプトでは以下の機能を利用します。 以下の機能が利用可能なポリシーをロールに与え、そのロールをEC2に与えておきます。

• ec2:DescribeInstances
• ec2:DescribeVpcs
• ssm:GetParametersByPath

個別に組み込んでも良いのですが、とりあえず使うのであれば以下の組み込みポリシーが使えそうでした。

• AmazonEC2ReadOnlyAccess
• AmazonSSMReadOnlyAccess

パラメータストアから情報を取ってくる際、環境ごとにアクセスできるかどうか制御したい場合、個別ポリシーとして以下のような設定を行うとさらに制限ができます。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetParametersByPath"
      ],
      "Resource": "arn:aws:ssm:{region}:{account-id}:parameter/{project}/{env}/{type}/*"
    }
  ]
}

ユーザーデータ

お待たせしました…今回のメインのスクリプトです。 作成時に「ユーザーデータ」として以下のシェルスクリプトを「ファイルとして」選択、登録します。

user_data.sh

#!/bin/bash

#
# Install required modules.
#
curl -o /usr/local/bin/jq -L https://github.com/stedolan/jq/releases/download/jq-1.6/jq-linux64
chmod +x /usr/local/bin/jq

#
# Initialize environment variables
#
INITENV_SHELL="/etc/rc.d/initenv.sh"
SETENV_SHELL="/etc/profile.d/setenv.sh"

# Create initenv.sh
# initialize environment variable script -START-----------------------
cat >> "$INITENV_SHELL" <<"__EOS__"
#!/bin/bash

# Environment variables file name
SETENV_SHELL="/etc/profile.d/setenv.sh"

# Load environmental variables
INSTANCE_ID=$(curl 169.254.169.254/latest/meta-data/instance-id)
REGION=$(curl 169.254.169.254/latest/meta-data/placement/region)
ZONE=$(curl 169.254.169.254/latest/meta-data/placement/availability-zone)

VPC_ID=$(aws ec2 describe-instances --region ${REGION} --instance-ids ${INSTANCE_ID} --query "Reservations[0].Instances[0].NetworkInterfaces[0].VpcId" --output text)
VPC_NAME=$(aws ec2 describe-vpcs --region ${REGION} --vpc-ids ${VPC_ID} --query "Vpcs[0].Tags[?Key=='Name'].Value" --output text)
VPC_PROJECT=$(aws ec2 describe-vpcs --region ${REGION} --vpc-ids ${VPC_ID} --query "Vpcs[0].Tags[?Key=='Project'].Value" --output text)
VPC_ENV=$(aws ec2 describe-vpcs --region ${REGION} --vpc-ids ${VPC_ID} --query "Vpcs[0].Tags[?Key=='Env'].Value" --output text)

EC2_NAME=$(aws ec2 describe-instances --region ${REGION} --instance-ids ${INSTANCE_ID} --query "Reservations[0].Instances[0].Tags[?Key=='Name'].Value" --output text)
EC2_TYPE=$(aws ec2 describe-instances --region ${REGION} --instance-ids ${INSTANCE_ID} --query "Reservations[0].Instances[0].Tags[?Key=='Type'].Value" --output text)

SSM_PARAMETER_STORE=$(aws ssm get-parameters-by-path --region ${REGION} --path "/${VPC_PROJECT}/${VPC_ENV}/${EC2_TYPE}" --with-decryption)

# Output environment initialize scripts.
cat > "${SETENV_SHELL}" <<EOF
#
# [$(date '+%Y-%m-%dT%H:%M:%S+09:00' -d '9 hour')] Initialized scripts.
#
export INSTANCE_ID=${INSTANCE_ID}
export REGION=${REGION}
export ZONE=${ZONE}
export VPC_ID=${VPC_ID}
export VPC_NAME="${VPC_NAME}"
export VPC_PROJECT="${VPC_PROJECT}"
export VPC_ENV="${VPC_ENV}"
export EC2_NAME="${EC2_NAME}"
export EC2_TYPE="${EC2_TYPE}"
EOF

for PARAMS in $(echo ${SSM_PARAMETER_STORE} | /usr/local/bin/jq -r '.Parameters[] | .Name + "=" + .Value'); do
  echo "export ${PARAMS##*/}"
done >> "${SETENV_SHELL}"

chmod +x "$SETENV_SHELL"
source "$SETENV_SHELL"
__EOS__
# initialize environment variable script -END-------------------------

# Modify initenv.sh access control.
chmod +x "$INITENV_SHELL"

# Add startup service
cat > "/etc/systemd/system/initenv.service" <<EOF
[Unit]
Description=Initialize environment variables.
After=network.target

[Service]
Type=oneshot
User=root
Group=root
ExecStart="$INITENV_SHELL"

[Install]
WantedBy=default.target
EOF
systemctl daemon-reload
systemctl enable initenv

# Load environment variables.
bash "$INITENV_SHELL"
source "$SETENV_SHELL"

大まかには「initenv.sh で AWS から必要な環境変数を取得して setenv.sh を作成、作成された setenv.sh を読み込むことで環境変数に埋め込みを行う」という仕組みになっています。 initenv.sh は サービス 登録しておくことで再起動した際、読み込みなおすような仕組みになっています。

今回は「AWS EC2起動時に パラメータストアの値 を 環境変数 に 設定する 方法」についてまとめました。 参考になったでしょうか？ 本記事がお役に立っていると嬉しいです！！

参考記事

• Qiita - パラメータストアからEC2に環境変数を設定する
• aws - IAM ポリシーを使用して Systems Manager パラメータへのアクセスを制限する
• aws - インスタンスメタデータの取得
• Qiita - Systemd メモ書き
• 学生たちの技術ブログ - Systemdで起動時にスクリプトを実行する