프라이빗 서브넷 EC2에 SSM을 사용하지 않음

개요

최근 AWS를 사용한 인프라 구축도 되었습니다. 피타고라 스위치 만들고 있는 것 같고 즐겁다.
그런 가운데, VPC의 프라이빗 서브넷에 지어진 EC2에 SSM Session Manager로 들어가려고 했는데 넣지 않고 곤란했으므로, 비망록으로서 메모합니다.

SSM(Systems Manager) Session Manager란?

AWS Systems Manager Session Manager - AWS Systems Manager

EC2 에 KeyPair 를 등록하거나 하지 않아도 EC2 의 쉘을 두드려 편리. 게다가 무료.

ssm-user 로 로그인되어 PW 없이 sudo

SSM 기반 정책(자세히 잊어버렸음)을 연결한 역할을 EC2 인스턴스 프로필에 할당해야 합니다.

시도한 일

타이틀 대로입니다만, VPC 의 프라이빗 서브넷상에 지은 EC2 에 Session Manager 로 들어가려고 했는데, 이하와 같이 표시되어 들어갈 수 없었습니다.

원인

Session Manager 요구 사항은 대상 EC2에서 443 포트로 아웃바운드 액세스할 수 있어야 합니다.
프라이빗 서브넷에서는 기본적으로 모든 아웃바운드 트래픽이 나오지 않기 때문에 이것이 원인이었습니다.

며칠 전에 다른 EC2를 무의식적으로 퍼블릭 서브넷에 세우고 Session Manager를 사용할 수 있었기 때문에 프라이빗 서브넷에서도 갈 수 있다고 생각했는데 이번 사건에 이르렀습니다.

솔직하게 GW 서버를 세우는 것이 무난하다.

참고

Systems Manager 전제 조건 - AWS Systems Manager

그 세션 관리자, 정말 필요? 프라이빗 서브넷을 EC2에 통신하는 방법을 생각해보십시오 | Developers.IO