AWS Session Managerとは？利用する5つのメリットを紹介

AWSとは？

AWSとは、Amazonが提供している175種類以上のクラウドコンピューティングサービスの総称です。正式名称を、Amazon Web Servicesといいます。

クラウドコンピューティングというのは、インターネットを使い、ストレージ・サーバー・データベース・ソフトウェアなどのサービスを使用することです。

クラウドコンピューティングは、インターネットの使える環境さえあれば、サーバー、ストレージ、データベースを必要なだけ使用することが出来ます。

AWS Session Managerとは？

AWS Session Managerとは、フルマネージド型のAWS Systems Manager 機能の事です。

AWS CLI （AWS Command Line Interface）やワンクリックブラウザベースのシェルを通じて、Amazon EC2（Amazon Elastic Compute Cloud）インスタンス、VM（仮想マシン）、オンプレミスインスタンスの管理が出来ます。

AWS Session Managerを使用する事によって、インバウンドポートを開いたり、踏み台ホストの維持をしたり、SSHキーの管理をしたりせずとも、安全で監査可能なインスタンスを管理が出来るのです。

この記事では、AWS Session Managerについて詳しく説明していきます。

AWS Systems Managerとは？

AWS Systems Managerとは、AWSにてインフラストラクチャの表示や制御をするために使用する、AWSサービスのことです。

AWS Systems Managerのコンソールを使用することで、AWSサービスのオペレーションデータを複数表示し、AWSのリソース間でオペレーションタスクの自動化をすることが出来ます。

AWS Systems Managerは、マネージドインスタンスの読み取り、違反を検出した場合、レポートもしくは是正策の措置を行うことによって、セキュリティの維持に役立ちます。

AWS Session Managerを利用するメリット5つ

AWS Session Managerを利用する上で、知っておきたいメリットが5つあります。

IAMポリシーを使ったインスタンスのアクセス制御を一元的に行うことが出来る点、踏み台ホストやSSHキーの管理をしたり、インバウンドポートを開いたりする必要の無い点、コンソールやCLIからインスタンスにワンクリックアクセスが出来る点、ポート転送が出来る点、LinuxとWindows両方でクロスプラットフォームのサポートが出来る点です。

サービスを使いこなすためには、正しい知識を身につけて理解を深めることが大切です。1つずつ説明していきましょう。

メリット1：IAMポリシーを使ったインスタンスのアクセス制御を一元的に行うことが出来る

AWS Session Managerを使用する上でのメリットを紹介します。1つ目は、IAMポリシーを使ったインスタンスのアクセス制御を一元的に行うことが出来る点です。

管理者が、インスタンスにアクセスする許可を出したり、取り消したり出来る場所は1か所のみです。IAMポリシーだけを使用し、AWS Session Managerを使える組織内のユーザー、もしくはグループ、そしてアクセス出来るインスタンスの制御が出来ます。

メリット2：踏み台ホストやSSHキーの管理をしたり、インバウンドポートを開いたりする必要が無い

2つ目は、踏み台ホストやSSHキーの管理をしたり、インバウンドポートを開いたりする必要の無い点です。

インスタンスで、リモートPowerShellポートとインバウンドSSHポートを開いたままにしておくと、悪意あるコマンドや、エンティティの許可していないコマンドをインスタンス上で行うリスクが増加します。

AWS Session Managerは、これらのポートを閉じることで、SSHキーと証明書、ジャンプボックス、および踏み台ホストの管理から解放し、セキュリティ体制の向上に役立つのです。

メリット3：コンソールやCLIからインスタンスにワンクリックアクセスが出来る

3つ目は、コンソールやCLIからインスタンスにワンクリックアクセスが出来る点です。

AWS Systems Managerコンソール、もしくはEC2コンソールを使用する事により、セッションをワンクリックで開始出来ます。AWS CLIを使用し、1つのコマンドもしくは一連のコマンドを行うセッションを開始することも出来ます。

インスタンスにアクセスする許可は、SSHキーではなく、 IAMポリシーから提供されるため、接続時間の大幅な節約となります。

メリット4：ポート転送が出来る

4つ目は、ポート転送が出来る点です。

リモートインスタンスのポートを選択し、クライアントのローカルポートへとリダイレクトします。その後、ローカルポートにアクセスし、インスタンスで実行しているサーバーアプリケーションへと接続すれば完了です。

メリット5：LinuxとWindows両方でクロスプラットフォームのサポートが出来る

5つ目は、LinuxとWindows両方でクロスプラットフォームのサポートが出来る点です。

AWS Session Managerは、1つのツールから LinuxとWindows両方にサポートの提供が出来ます。よって、LinuxのインスタンスにはSSHクライアントを使い、Windows ServerのインスタンスにはRDP接続を使うなどという事は必要ありません。

AWSサービスとの統合

組織での運用もしくはセキュリティの要件を満たすには、インスタンスに対しの接続と、そのインスタンスで実行したコマンド記録の提供をする必要があります。

組織のユーザーが、セッションアクティビティの開始もしくは終了をすることによって、通知の受け取りが出来ます。

ログ記録と監査機能は「AWS CloudTrail」「Amazon Simple Storage Service」「Amazon CloudWatch Logs」「Amazon EventBridge」といったAWSサービスと統合する事により提供されます。

AWS CloudTrail

AWS CloudTrailは、AWSアカウントで作られた「Session Manager API コール」の情報を取り込み、選択したS3バケットに保存されたログファイルへと書き込みます。

アカウントの全てのCloudTrailログに対し、バケットが1つ使われています。

Amazon Simple Storage Service

Amazon Simple Storage Service は、監査をするために指定したS3バケットへと、セッションログデータの保存します。

ログデータは、AWS KMS（AWS Key Management Service）キーを用いた暗号の有無に関わらず、S3バケットへと送信することが出来ます。

Amazon CloudWatch Logs

Amazon CloudWatch Logsを使用することで、様々なAWSサービスのログファイルを保存、監視、そしてアクセスすることが出来ます。

セッションログデータの監査をするために、CloudWatch Logsのロググループに送信が出来ます。ログデータは、AWS KMS キーを用いた暗号の有無に関わらず、ロググループへと送信することが出来ます。

Amazon EventBridge

Amazon EventBridgeを使用することで、選択したAWSリソースへの変更を検出するルールの設定が出来ます。

組織のユーザーがセッションの開始もしくは停止をしたタイミングの検出をし、そのイベントについての通知を SNSで受信するというルールが作成出来ます。

AWS Session Managerを活用してみよう

この記事では、AWS Session Managerについて説明をしてきました。

AWS Session Managerを使用する事によって、インバウンドポートを開いたり、踏み台ホストの維持をしたり、SSHキーの管理をしたりせずとも、安全で監査可能なインスタンスを管理出来ます。

興味を持たれた方は是非とも実際に活用してみて下さい。