その他サービス ・
SSM Session Manager とは?SSH レス・Bastion レス接続
Session Manager は EC2 / オンプレに SSH キーや Bastion ホスト不要でシェル接続できる SSM 機能。IAM 認証で接続でき、操作は CloudTrail で監査される。インバウンドポート開放不要でセキュリティ向上 + 運用負荷削減を両立す...
SSH キー・Bastion ホスト不要で EC2 にシェル接続できるサービス。IAM 認証・CloudTrail 監査対応。
1. 概要(端的に)
Session Manager は EC2 / オンプレに SSH キーや Bastion ホスト不要でシェル接続できる SSM 機能。IAM 認証で接続でき、操作は CloudTrail で監査される。インバウンドポート開放不要でセキュリティ向上 + 運用負荷削減を両立する。
2. 何ができるか
- SSH レス接続:マネコン or AWS CLI から
- IAM 認証:通常の IAM ユーザー/ロールで認証
- インバウンドポート不要:22 番開放不要
- セッションログ:S3 / CloudWatch Logs に記録
- ポート転送:SSH トンネル代替
- マルチセッション:複数ターミナル
3. 特徴
| 観点 | 特徴 |
|---|---|
| 追加料金 | 無料 |
| 必要前提 | SSM Agent + IAM 権限 |
| 接続方法 | マネコン / AWS CLI / SSH 互換 |
| 監査 | CloudTrail + セッションログ |
| インバウンド | 不要(SSM Agent がアウトバウンド接続) |
4. 仕組み
Session Manager は SSM Agent が AWS と確立済みの接続経由でシェルセッションを提供する。インバウンドポート開放不要で、Bastion ホストの代替として強力。
接続フロー
ユーザー(マネコン or CLI)
↓ IAM 認証
[SSM 経由]
↓ AWS のセキュアバックボーン
SSM Agent on EC2
↓ 内部シェル起動
ターミナル接続5. ユースケース
ユースケース 1:Bastion ホスト廃止
踏み台サーバー不要 → コスト削減 + セキュリティ向上。
ユースケース 2:プライベートサブネット EC2 への接続
インバウンド SSH 不要でアクセス可能。
ユースケース 3:監査要件
誰がいつどんなコマンドを実行したかを CloudTrail に記録。
ユースケース 4:パスワードレス
SSH キー管理を完全廃止。
6. 関連用語
- SSM — Session Manager の親
- EC2 — 接続対象
- IAM — 認証
- CloudTrail — 監査ログ
7. 関連サイト
🎓 試験での出題傾向
| 試験 | 重要度 | 主な出題パターン |
|---|---|---|
| CLF | 中 | SSH レス接続の概念 |
| SAA | 中 | セキュア接続設計 |
| DVA | 中 | EC2 デバッグ手段 |
| SOA | 高 | 運用効率化(頻出) |