시도하고 있는 것

EC2가 세 가지 있습니다.
1. 발판 서버로 시작. 공용 IP 있음.
2. 웹 서버로 시작. 공용 IP 있음.
3. 웹 서버로 시작. 공용 IP 없음.

왜 3.은 퍼블릭 IP라고 말하면 원래 ELB 경유로 접속할 예정이므로 퍼블릭 IP 주소는 불필요합니다만, 2.의 때에 실수로 기동해 버렸다는 것입니다. 게다가 나중에 제거 할 수 없습니다

지금은 프로토 환경으로서 구축중이므로, 프로덕션 때는 붙이지 않고 기동하지 않으면! 라고 마음에 굳게 맹세할 뿐만 아니라, 제대로 메모한 곳입니다.

EC2 Instance Connect라는 것이 있는 것 같지 않다! ?

보수 작업에 있어서의 액세스 제한이나 조작 기록등, 어떻게 할까라고 여러가지 생각중에 EC2 Instance Connect라고 하는 것이 있는 것을 알고 시험하고 있습니다.

환경 구축

원래, 발판 서버로부터 ssh로 액세스 할 수 있도록하고 있었으므로, 거기는 할애합니다.
실은, 발판 서버에의 로그인도 어떻게 할까, 아직 생각중으로. . . AWS 콘솔 사용? 불필요한 것을 보여주고 싶지 않아. . . 기회가 있다면 게시하려고합니다.

적어도 발판 서버에서 EC2 인스턴스로 EC2 Instance Connect로 로그인하도록 할 것이라고 생각했습니다. 로그에 남아 있고(미확인 ), IAM으로 제어할 수 있고(아직 잘 모르고 )라고 하는 것이 목적입니다.

IAM 사용자(실제로 한 것은 사용자가 속한 그룹)에 EC2InstanceConnect 정책을 추가.

발판 서버에 로그인하고 pip install ec2instanceconnectcli를 실행합니다. 라고 문서에는 써 있었지만, 그 전에 sudo easy_install pip 하지 않으면 pip를 사용할 수 없다. . .

IAM 사용자의 액세스 키를 만듭니다. 그것을 아래와 같이 설정 (AWS 문서에있는 샘플이므로 안심). 리전도 설정해 두면 접속시에 지정하지 않아도 되므로 편하다.

$ aws configure
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json

드디어 연결!

mssh 2.のWebサーバのインスタンスID 라고 했더니, 별로. . . 잠시 후 시간 초과
한편으로 mssh 3.のWebサーバのインスタンスID 로 했는데, 무사 접속.
시간 초과 메시지를 보면 공용 IP 주소에 대한 연결 시간 초과라는 것. 그럼 웹 서버에 밖에서 ssh 연결되도록 포트 열지 않고. mssh는 IP 주소를 지정할 수 없기 때문에 인스턴스가 시작된 시점에서 막히는 것! ?

아직 여행 도중

보수 작업 등으로 로그인할 때 사람별로 ID를 부여하고 조작 기록을 남기는 것은 원칙이라고 생각합니다. AWS에서 모범 사례를 찾는 여행 도로 중입니다. 간다라는 있을까. . .