プライベートなFargate環境に対するECS Execが利用できません。トラブルシューティング項目について教えてください。

困っていた内容

プライベートなFargate環境に対するECS Execが利用できません。トラブルシューティング項目について教えてください。

どう対応すればいいの？

以下3点について確認してください。

1. タスクロールにECS Exec用の適切なポリシーが付与されているか
2. SSM Session Manager用のVPCエンドポイントが作成されているか
3. VPCエンドポイントのセキュリティグループ設定が適切か

各項目について

1. ECS Execを利用する際は、タスク定義で指定したタスクロールに以下のポリシーが必要になります。

{
   "Version": "2012-10-17",
   "Statement": [
       {
       "Effect": "Allow",
       "Action": [
            "ssmmessages:CreateControlChannel",
            "ssmmessages:CreateDataChannel",
            "ssmmessages:OpenControlChannel",
            "ssmmessages:OpenDataChannel"
       ],
      "Resource": "*"
      }
   ]
}

なお、タスク実行ロールに上記ポリシーを付与しても動作は期待されないため、タスクロールに付与されてることを確認ください。

https://docs.aws.amazon.com/ja_jp/AmazonECS/latest/developerguide/task-iam-roles.html#ecs-exec-required-iam-permissions

2. Fargate環境が配置されているプライベートサブネットに対してSSM Session Manager用のVPCエンドポイント(com.amazonaws.<region>.ssmmessages)が必要です。

また、利用環境に応じてKMS用VPCエンドポイントが必要なケースなども考えられるため、状況に応じたエンドポイントを作成してください。
https://docs.aws.amazon.com/ja_jp/AmazonECS/latest/developerguide/ecs-exec.html#ecs-exec-troubleshooting-overview

3. VPCエンドポイントのセキュリティグループ設定が適切か

• 正しいリージョンのエンドポイントか (例: ap-northeast-1ならcom.amazonaws.ap-northeast-1.ssmmessages)
• タスクが実行されるサブネットが選択されているか
• セキュリティグループがHTTPS(443)を許可している

上記のような適切なVPCエンドポイント設定が施されているかについても確認ください。

解決しない場合

上記項目を確認・修正しても解決されない場合、Amazon ECS Ecec Checkerを利用して原因について調査することが推奨されます。
https://github.com/aws-containers/amazon-ecs-exec-checker#amazon-ecs-exec-checker

参考情報

https://docs.aws.amazon.com/ja_jp/AmazonECS/latest/developerguide/ecs-exec-troubleshooting.html

https://repost.aws/ja/knowledge-center/fargate-ecs-exec-errors

https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/session-manager-getting-started-privatelink.html