Session Manager を使用すると、パスワードなしで Elastic Compute Service (ECS) インスタンスに接続できます。SSH や RDP (Remote Desktop Protocol) と比較して、Session Manager を使用すると、より便利で安全な方法でインスタンスに接続できます。このトピックでは、ECS コンソールで Session Manager を使用してインスタンスに接続する方法について説明します。
前提条件
接続先の ECS インスタンスは、[実行状態]
ECS コンソールの [インスタンス] ページで、インスタンスのステータスを表示できます。
インスタンスのステータスの確認方法については、「インスタンス情報の表示」をご参照ください。
クラウドアシスタントクライアント がインスタンスにインストールされている
Session Manager は クラウドアシスタント に基づいて実装されています。インスタンスに クラウドアシスタントクライアント をインストールする必要があります。ECS コンソールの ECS クラウドアシスタント ページで クラウドアシスタントクライアント のステータスを表示できます。
クラウドアシスタントクライアント は、2017 年 12 月 1 日以降に Alibaba Cloud パブリックイメージから作成された ECS インスタンスにプリインストールされています。2017 年 12 月 1 日より前に作成された ECS インスタンスの場合は、クラウドアシスタントクライアント を手動でインストールする必要があります。詳細については、「クラウドアシスタントクライアントのインストール」をご参照ください。
クラウドアシスタントクライアントのステータスを表示し、異常を処理する方法については、「クラウドアシスタントのステータスを表示し、異常を処理する」をご参照ください。
セキュリティグループを構成することでネットワーク接続が提供される
Session Manager を使用して ECS インスタンスに接続する場合は、次のルールをアウトバウンド セキュリティグループに追加して、ECS インスタンスで実行されている クラウドアシスタントクライアント が クラウドアシスタント サーバーに接続されていることを確認してください。
SSH や RDP (Remote Desktop Protocol) などの接続方法と比較して、クラウドアシスタントクライアント は Session Manager サーバーへの WebSocket 接続をアクティブに確立します。セキュリティルールでは、クラウドアシスタント サーバーのアウトバウンド WebSocket ポートのみを開く必要があります。Session Manager のしくみについては、このトピックの「Session Manager のしくみ」セクションをご参照ください。
重要 デフォルト セキュリティグループを含む基本セキュリティグループを使用している場合、すべてのアウトバウンド トラフィックが許可されます。追加の構成は必要ありません。
高度なセキュリティグループを使用している場合、すべてのアウトバウンド トラフィックは拒否されます。関連するルールを構成する必要があります。次の表にルールを示します。セキュリティグループについては、「基本セキュリティグループと高度なセキュリティグループ」をご参照ください。
セキュリティグループにルールを追加する方法については、「セキュリティグループルールの追加」をご参照ください。
アクション | 優先度 | プロトコル タイプ | ポート範囲 | 承認オブジェクト | 説明 |
許可 | 1 | カスタム TCP | 443 | 100.100.0.0/16
| このポートは、クラウドアシスタント サーバーへのアクセスに使用されます。 |
許可 | 1 | カスタム TCP | 443 | 100.0.0.0/8
| このポートは、クラウドアシスタントクライアント をインストールまたは更新する場合に、クラウドアシスタントクライアント インストール パッケージが格納されているサーバーへのアクセスに使用されます。 |
許可 | 1 | カスタム UDP | 53 | 0.0.0.0/0
| このポートは、ドメイン名を解決するために使用されます。 |
Session Manager のみを使用してインスタンスに接続する場合は、ECS インスタンスのセキュリティを向上させるために、SSH ポート (デフォルト 22) と RDP ポート (デフォルト 3389) を許可するインバウンド ルールをセキュリティグループから削除します。
Resource Access Management (RAM) ユーザーが Session Manager に必要な権限を持っている
RAM ユーザーが ECS コンソールで Session Manager を使用してインスタンスに接続する場合、RAM ユーザーには最小権限の原則に基づいて次の権限が付与されている必要があります。
ecs:StartTerminalSession: Session Manager を使用してインスタンスに接続するための権限。Resource パラメーターを構成して、RAM ユーザーが Session Manager を使用して接続できる ECS インスタンスを指定できます。
ecs:DescribeCloudAssistantStatus: ECS インスタンスに クラウドアシスタントクライアント をインストールする必要があるかどうかをクエリするための権限。ECS コンソールでインスタンスに接続する前に、システムはこの権限を確認します。
ecs:DescribeUserBusinessBehavior: Session Manager が有効になっているかどうかをクエリするための権限。ECS コンソールでインスタンスに接続する前に、システムはこの権限を確認します。
(オプション) ecs:ModifyCloudAssistantSettings: Session Manager を有効または無効にするための権限。現在の Alibaba Cloud アカウントで Session Manager が有効になっている場合は、この権限を付与する必要はありません。
カスタムポリシーの例:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": "ecs:StartTerminalSession",
"Resource": "*" // セッションマネージャーを使用できるインスタンスを指定
},
{
"Effect": "Allow",
"Action": [
"ecs:DescribeUserBusinessBehavior", // セッションマネージャーの設定を表示する権限
"ecs:DescribeCloudAssistantStatus", // クラウドアシスタントのステータスを取得する権限
"ecs:ModifyCloudAssistantSettings" // セッションマネージャーを有効/無効にする権限
],
"Resource": "*"
}
]
}
RAM ユーザーに権限を付与する方法については、「RAM ユーザーへの権限の付与」をご参照ください。
手順
ECS コンソール - インスタンス に移動します。
上部のナビゲーションバーで、管理するリソースのリージョンとリソースグループを選択します。
接続するインスタンスの ID をクリックします。[インスタンスの詳細] ページで、右上隅にある [接続] をクリックします。
[その他のログオン方法を表示] をクリックし、[セッション管理が有効(全リージョン)] が [セッション マネージャー] セクションに表示されているかどうかを確認します。[セッション管理がオン (フルリージョン) と表示されている場合は、スイッチをオンにしてセッション マネージャーを有効にします。
重要 RAM ユーザーとして Session Manager を有効にする前に、RAM ユーザーに Session Manager の構成を表示するための DescribeUserBusinessBehavior 権限と、Session Manager を有効または無効にするための ModifyUserBusinessBehavior 権限が付与されていることを確認してください。必要な権限を RAM ユーザーに付与するためにアタッチできるサンプルポリシーについては、このトピックの「前提条件」セクションをご参照ください。
[パスワードなしログイン] をクリックします。
インスタンスが接続されると、Linux インスタンスの場合は ecs-assist-user として、Windows インスタンスの場合はシステム ユーザーとしてログインします。この例では、Linux インスタンスが使用されています。次の図は、Linux インスタンスにログインしていることを示しています。
