AWSとリモートデスクトップ接続について紹介！AWS SSMとは？

AWSとリモートデスクトップ接続

WindowsインスタンスをAWS環境に作成した際、メンテナンスやシステム構築のために、オンプレミス環境と同じくリモートデスクトップ接続をする方が多いことでしょう。 リモートデスクトップ接続の方法は複数ありますが、代表的な物に踏み台サーバーを経由してのアクセスが挙げられます。 しかし、踏み台サーバーを構築する費用やランニング費用、運用の管理など、システム管理以外の部分で費用や時間がかかってしまいます。 そこでおすすめしたいのが、AWS SSMを経由してWindowsサーバーへとリモートデスクトップ接続する方法です。 AWS SSMには、アクセス権限の管理を一括で出来るなど様々な利点があります。しかも、利用するのに料金はかかりません。 この記事では、AWS SSMを使ったリモートデスクトップ接続について説明をしていきます。

AWSとは

AWSというのは、Amazonから提供されている100種類以上のクラウドコンピューティングサービスのことを指します。正式名称を、Amazon Web Servicesといいます。 クラウドコンピューティングというのは、インターネットを通じて、ストレージ・サーバー・データベース・ソフトウェアなどのコンピューターを使ったサービスを使うことです。 クラウドコンピューティングならば、1台のパソコンとインターネット環境があれば、サーバーやストレージ、データベースを必要なだけ使用出来るのです。

リモートデスクトップ接続するユーザー権限について

AWS環境へと構築したWindowsのインスタンスにリモートデスクトップの接続をするユーザー権限は、主にアプリケーションの開発者やソフトウェアの開発者、そして運用管理者が想定されています。 それらのユーザー達は、リモートデスクトップ接続する権限だけが許可されており、AWSのマネージメントコンソールにアクセスしても全て拒否されてしまうというルールを想定しています。 この記事では、IAMユーザーの管理をシステム管理者が行い、運用者や開発者は管理者に提供されたIAMの権限を使い、Windowsインスタンスへアクセスするという運用をイメージしています。

AWS SSMとは

AWS SSMとは、AWSにおけるリソースの表示をしたり、インスタンスの制御をするために使用するAWSサービスのことです。正式名称をAWS Systems Managerといいます。 主な機能に「インスタンスのパッチを管理」「ソフトウェアのインストール状況を確認」「アンチウィルス定義を更新」「運用タスクを自動化」等があります。 AWSの運用を管理する上で様々なメリットがあるので、是非とも実際に活用してみて下さい。この記事では主に、AWS SSMの「セッションマネージャー」という機能について触れていきます。

AWS SSMの特徴

AWS SSMを使用する場合、パブリックサブネットへと所属している踏み台サーバーの経由をする必要が無いので、プライベートサブネットへと所属するWindowsインスタンスへと直接リモートデスクトップ接続をする事が出来ます。 また、管理者がIAMグループにて権限の管理を一括で行えるようになるので、運用者や開発者に踏み台サーバーの認証情報の提供をする必要が無くなります。 そして、AWS SSMにはアクセスログの記録をするというオプションがあります。『Amazon S3』や『Amazon CloudWatch Logs』と連携することによって、セッションログデータを蓄積することも出来ます。 このように、AWS SSMを使用することによって、セキュリティとコストの面において優れた運用が可能となるのです。

AWS SSMを使わない場合

AWS SSMの利用をしない場合、プライベートサブネットへと所属しているWindowsインスタンスは、外部のネットワークから直接接続をする事は出来ません。 そのため、運用者や開発者はパブリックサブネットへと所属している踏み台サーバーの経由をしてWindowsインスタンスにログインをしなければいけないのです。 よって、管理者が踏み台サーバーのパスワード等の情報を運用者や開発者に提供する必要があります。

リモートデスクトップ接続の権限

ここからは「IAMグループ」と「IAMユーザー」を使って、Windowsインスタンスにリモートデスクトップ接続を行える利用者の制限をする方法について説明していきます。 手順は大きく分けて「IAMグループ」の作成、「IAMユーザー」の作成、リモートデスクトップの接続の3通りです。

IAMグループを作成

まずは「IAMグループ」の作成をしていきましょう。最初に、AWSマネージメントコンソールへとログインします。そしてサービス検索画面に「IAM」と入力して下さい。 次に、左側のダッシュボードにある「グループ」の中から「新しいグループの作成」を選びます。グループ名の設定では、任意のグループ名を入力して下さい。入力したら、右下にある「次のステップ」をクリックします。 ポリシーの画面が表示されるので、IAMグループへと与えられる権限の設定をします。入力が終わったら、右下にある「次のステップ」をクリックします。 確認の画面が表示されるので、ポリシー名の確認をして下さい。右下にある「次のステップ」をクリックします。 IAMグループ一覧が表示されるので、先程作成したグループが出来ているか確認します。これにてグループの作成は終了です。

IAMユーザーを作成

次は、Windowsインスタンスにアクセスをする利用者用のIAMユーザーを作成していきましょう。再びAWSマネージメントコンソール画面を開いて下さい。 ダッシュボード画面の「ユーザー」から「ユーザーを追加」を選びます。「ユーザーを追加」の画面が表示されるので、ユーザー名の入力をして下さい。 「アクセスの種類」は「プログラムによるアクセス」を選びます。設定を終えたら右下にある「次のステップ」をクリックします。 「アクセス許可の設定」画面に移動したら「ユーザーをグループに追加」を選び、先ほど作成したグループ名を選択して下さい。右下にある「次のステップ」をクリックします。 「タグの追加」画面に移動するので、タグの設定をします。右下にある「次のステップ」をクリックします。 「確認」の画面に移動しますので、内容に間違いが無ければ、右下にある「ユーザーの作成」をクリックして下さい。以上が、ユーザー作成の手順となります。

リモートデスクトップ接続

ここから行う操作は、Windowsインスタンスを直接操作する運用者や開発者それぞれの端末で必要となる作業です。 まずはAWS SSMを経由してリモートデスクトップを行うために必要となる「AWS CLI」をインストールします。 次に「AWS CLI」からインスタンスに接続するために必要となる「SSMプラグイン」をダウンロードします。ダウンロードが終わったらインストールを行い、必要な設定を行って下さい。 ここから、AWSのWindowsサーバーへとアクセスしていきます。端末から「リモートデスクトップ接続」を選択して下さい。 コンピューター名の画面に「localhost:13389」と入力したら、右下にある「接続」を選択します。 最後にユーザーアカウントを選んでWindowsパスワードの入力をして下さい。これにて、リモートデスクトップの接続作業は完了です。

まとめ

この記事では、AWS SSMを使ったリモートデスクトップ接続について説明してきました。 AWS SSMの使用は複雑で難しい部分も多いでしょう。しかし慣れてくれば、踏み台サーバーから接続を行うという面倒な手間が無くなるのでアクセスが楽になります。 AWS SSMを使ったシステムを構成することによって、運用管理的にも費用的にも様々な利点が生じます。興味をもたれた方は、是非ともAWS SSMの導入を検討してみて下さい。]]>