「プライベートサブネットにあるEC2へのアクセス方法を整理してみた」というビデオセッションを公開しました #devio2021

プライベートサブネットにあるEC2へのアクセス方法は踏み台サーバ以外にも、AWS Systems Manager Session ManagerやAWS Client VPNといったサービスがあります。
2021.10.20

こんにちは!コンサル部のinomaso(@inomasosan)です。

弊社のオンラインイベントDevelopersIO 2021 Decadeで「プライベートサブネットにあるEC2へのアクセス方法を整理してみた」というビデオセッションを公開しました。

セッション概要

EC2へのアクセス方法について、踏み台サーバ以外にも選択肢はあります。
今回は各アクセス方法のメリット・デメリットをご紹介します。

動画

スライド

コメンタリー

このテーマにした理由

実際の案件で、プライベートサブネットにあるEC2へのアクセス方法について悩むことが多かったからです。

基本的にはAWS Systems Manager Session Manager(以下、セッションマネージャーという)が合うケースは多いものの、メリット・デメリットを考慮した場合は必ずしも最適解ではありません。
この辺の考え方はELBの中でALB、NLB、CLBのどれを使用するかに似ていると思います。

結局どのアクセス方法が良いかは比較表があると判りやすいかと思い、資料の最後でまとめてみました。

アクセス方法の比較まとめ

以下の順で、どのアクセス方法にするか決めるのがよいかと思います。

  • セッションマネージャー ⇨ AWS Client VPN ⇨ 踏み台サーバ

一番のオススメはセッションマネージャーとなります。
セッションマネージャ自体の料金が無料で、AWSマネージメントコンソールからキーペアやパスワードなしでEC2へCLI操作できるのは魅力的です。

また、SSHやRDP接続にも対応しているのでLinuxやWindowsの基本的な管理アクセスで困ることはありません。

ライフサイクル管理もEC2にインストールしたセッションマネージャのエージェントや、ローカル端末のセッションマネージャのプラグインのバージョンアップ位なので比較的に楽です。

ただセッションマネージャーのデメリットとして、ローカル端末からSSHやRDP接続する場合は、IAMのアクセスキーやシークレットキーが必要となってしまいます。

メンバーそれぞれに対してIAMを払い出しや、接続可能なクライアントIPやEC2を制限するためのポリシー管理について、継続的な運用が難しい場合は他のアクセス方法が候補に挙がります。

またAWS Client VPN踏み台サーバであればEC2以外へのアクセスが可能なため、アクセスするリソースの種類が多い場合は検討対象とするのが良いと思います。

おすすめ参考リンク

セッションマネージャ

AWS Client VPN

踏み台サーバ

感想

まずは企画/運営の皆様、本当にありがとうございました!!

今回のイベントの裏で様々な取りまとめや、動画チェックをして頂けたおかげで、今回のビデオセッションが日の目を見ることができました。

また、今回初めて動画作成したのですが恩塚が用意してくれた動画編集の心得があったおかげでなんとか期限内に間に合いました。

今回のイベントに参加できて本当に良かったです!

この記事が、どなたかのお役に立てば幸いです。それでは!