EC2インスタンスへSSMエージェントをインストール後、マネージドインスタンス一覧に表示されない場合の解消法

確認観点は3つです。1.SSMエージェントが最新であるか。 2.Systems Managerエンドポイントへの疎通が取れているか。 3.Systems Managerに関するアクションが許可されているか。
2022.05.27

困っていた内容

Systems Manager で EC2 インスタンスを管理するために、SSM エージェントをインストールしましたが、Systems Manager のマネージドインスタンスのコンソールにて、一覧に表示されません。

どの部分を確認すればよいでしょうか。

どう対応すればいいの?

マネージドインスタンス一覧に表示されない場合、いくつかの原因があります。

  • SSM エージェントのバージョンが最新ではない
  • EC2 インスタンス内の SSM エージェントから、Systems Manager エンドポイントへの疎通が取れていない
  • EC2 インスタンスにアタッチされている IAM ポリシーにて、Systems Manager に関するアクションが許可されていない

以下の観点で問題がないかの確認を行ってください。

SSM エージェントのバージョン

基本的には最新バージョンで運用することを推奨します。

下記ドキュメントに従って再インストールを行い、最新バージョンへ更新してください。

Linux 用の EC2 インスタンスに手動で SSM Agent をインストールする - AWS Systems Manager

Windows Server 用の EC2 インスタンスに手動で SSM Agent をインストールする - AWS Systems Manager

なお、SSM エージェントの最新バージョンは下記の GitHub で確認が可能です。

Releases · aws/amazon-ssm-agent · GitHub

EC2 にアタッチされている IAM ロール

EC2 にアタッチされている IAM ロールには Systems Manager に関するアクションを実行できるポリシーが必要です。

基本的にはAWS 管理ポリシー: AmazonSSMManagedInstanceCoreを付与すれば問題ありませんが、詳細な条件については下記ドキュメントをご参照ください。

ステップ 4: Systems Manager の IAM インスタンスプロファイルを作成する - AWS Systems Manager

プロキシを設定している場合

プロキシを設定している場合、SSM Agent にもプロキシを使用するように設定する必要があります。

下記ドキュメントを元に適切な設定を実施してください。

プロキシを使用するように SSM Agent を設定する (Linux) - AWS Systems Manager

SSM Agent が Windows Server インスタンス用にプロキシを使用するように設定する - AWS Systems Manager

また、プロキシ内にてアクセス制御を行っていないかについても、ご確認ください。

VPC エンドポイントを使用していない場合

サブネットのネットワークアクセスコントロールリスト(NACL)

NACL で Systems Manager エンドポイントに対する通信を制限していないかをご確認ください。

ネットワーク ACL を使用してサブネットへのトラフィックを制御する - Amazon Virtual Private Cloud

EC2 のセキュリティグループのアウトバウンドルール

特定の要件がない場合は、EC2 のセキュリティグループのアウトバウンドルールは、 すべてのポートについて 送信先 0.0.0.0/0 を許可することがベストです。

特定の要件にて、EC2 のセキュリティグループのアウトバウンドルールを絞っている場合、Systems Manager エンドポイントに対する通信許可を設定してください。

なお、Systems Manager エンドポイントの IP アドレス範囲については、下記ドキュメント記載の ip-ranges.json 記載の範囲となります。

AWS IP アドレスの範囲 - AWS 全般のリファレンス

ip-ranges.json 記載の範囲は広範囲に渡るため、許容できない場合は、VPC エンドポイントの利用をご検討ください。

VPC エンドポイントを使用している場合

上述の NACL、及び、セキュリティグループの他に以下の部分をご確認ください。

VPC エンドポイントのセキュリティグループ

VPC エンドポイントにもセキュリティグループがあります。

VPC エンドポイントでサービスへのアクセスを制御する - Amazon Virtual Private Cloud

アウトバウンドルールにて、Systems Manager エンドポイントに対する通信許可がされているかをご確認ください。

一通りやってみたけど解消されない

SSM エージェントにはログがあるため、こちらを参照すると事象の確認ができる可能性があります。

SSM Agent ログの表示 - AWS Systems Manager

所感

テクニカルサポート窓口へは SSM エージェントの疎通に関する問い合わせがよく寄せられます。

まずは本稿記載の観点で自己診断を行っていただくと、迅速なる解決につながる可能性があります。お試しください。

参考資料

Systems Manager の前提条件 - AWS Systems Manager