EC2インスタンスへSSMエージェントをインストール後、マネージドインスタンス一覧に表示されない場合の解消法
困っていた内容
Systems Manager で EC2 インスタンスを管理するために、SSM エージェントをインストールしましたが、Systems Manager のマネージドインスタンスのコンソールにて、一覧に表示されません。
どの部分を確認すればよいでしょうか。
どう対応すればいいの?
マネージドインスタンス一覧に表示されない場合、いくつかの原因があります。
- SSM エージェントのバージョンが最新ではない
- EC2 インスタンス内の SSM エージェントから、Systems Manager エンドポイントへの疎通が取れていない
- EC2 インスタンスにアタッチされている IAM ポリシーにて、Systems Manager に関するアクションが許可されていない
以下の観点で問題がないかの確認を行ってください。
SSM エージェントのバージョン
基本的には最新バージョンで運用することを推奨します。
下記ドキュメントに従って再インストールを行い、最新バージョンへ更新してください。
Linux 用の EC2 インスタンスに手動で SSM Agent をインストールする - AWS Systems Manager
Windows Server 用の EC2 インスタンスに手動で SSM Agent をインストールする - AWS Systems Manager
なお、SSM エージェントの最新バージョンは下記の GitHub で確認が可能です。
Releases · aws/amazon-ssm-agent · GitHub
EC2 にアタッチされている IAM ロール
EC2 にアタッチされている IAM ロールには Systems Manager に関するアクションを実行できるポリシーが必要です。
基本的にはAWS 管理ポリシー: AmazonSSMManagedInstanceCoreを付与すれば問題ありませんが、詳細な条件については下記ドキュメントをご参照ください。
ステップ 4: Systems Manager の IAM インスタンスプロファイルを作成する - AWS Systems Manager
プロキシを設定している場合
プロキシを設定している場合、SSM Agent にもプロキシを使用するように設定する必要があります。
下記ドキュメントを元に適切な設定を実施してください。
プロキシを使用するように SSM Agent を設定する (Linux) - AWS Systems Manager
SSM Agent が Windows Server インスタンス用にプロキシを使用するように設定する - AWS Systems Manager
また、プロキシ内にてアクセス制御を行っていないかについても、ご確認ください。
VPC エンドポイントを使用していない場合
サブネットのネットワークアクセスコントロールリスト(NACL)
NACL で Systems Manager エンドポイントに対する通信を制限していないかをご確認ください。
ネットワーク ACL を使用してサブネットへのトラフィックを制御する - Amazon Virtual Private Cloud
EC2 のセキュリティグループのアウトバウンドルール
特定の要件がない場合は、EC2 のセキュリティグループのアウトバウンドルールは、 すべてのポートについて 送信先 0.0.0.0/0 を許可することがベストです。
特定の要件にて、EC2 のセキュリティグループのアウトバウンドルールを絞っている場合、Systems Manager エンドポイントに対する通信許可を設定してください。
なお、Systems Manager エンドポイントの IP アドレス範囲については、下記ドキュメント記載の ip-ranges.json 記載の範囲となります。
AWS IP アドレスの範囲 - AWS 全般のリファレンス
ip-ranges.json 記載の範囲は広範囲に渡るため、許容できない場合は、VPC エンドポイントの利用をご検討ください。
VPC エンドポイントを使用している場合
上述の NACL、及び、セキュリティグループの他に以下の部分をご確認ください。
VPC エンドポイントのセキュリティグループ
VPC エンドポイントにもセキュリティグループがあります。
VPC エンドポイントでサービスへのアクセスを制御する - Amazon Virtual Private Cloud
アウトバウンドルールにて、Systems Manager エンドポイントに対する通信許可がされているかをご確認ください。
一通りやってみたけど解消されない
SSM エージェントにはログがあるため、こちらを参照すると事象の確認ができる可能性があります。
SSM Agent ログの表示 - AWS Systems Manager
所感
テクニカルサポート窓口へは SSM エージェントの疎通に関する問い合わせがよく寄せられます。
まずは本稿記載の観点で自己診断を行っていただくと、迅速なる解決につながる可能性があります。お試しください。