すべてのプロダクト
Search

このプロダクト

    Elastic Compute Service:Session Managerの作業メカニズム、サポートされるリージョン、およびセキュリティ

    ドキュメントセンター

    Elastic Compute Service:Session Managerの作業メカニズム、サポートされるリージョン、およびセキュリティ

    最終更新日:Apr 18, 2024

    Session Managerは、Cloud Assistantが提供する機能です。 SSHおよび仮想ネットワークコンピューティング (VNC) と比較して、Session ManagerはElastic Compute Service (ECS) インスタンスへの接続をより便利で安全にします。 このトピックでは、Session Managerがサポートされているリージョン、Session Managerの仕組み、およびSession Managerのセキュリティについて説明します。

    サポートされるリージョン

    セッションマネージャーは、中国 (青島) 、中国 (北京) 、中国 (張家口) 、中国 (フホト) 、中国 (ウランカブ) 、中国 (杭州) 、中国 (上海) 、中国 (深セン) 、中国 (河源) 、中国 (広州) 、中国 (成都) 、中国 (香港) 、日本 (東京) 、韓国 (ソウル) 、シンガポール、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ) 、フィリピン (マニラ) 、タイ (バンコク) 、ドイツ (フランクフルト) 、英国 (ロンドン) 、米国 (シリコンバレー) 、米国 (バージニア) 、UAE (ドバイ) 、SAU (リヤド) 。

    制限

    セッションマネージャーを使用してインスタンスに接続する場合、ファイルのアップロードまたはダウンロード速度は20 KB/sに制限されます。

    セッションマネージャーの仕組み

    セッションマネージャでは、次のコンポーネントが使用されます。

    • Session Manager Client: セッションを開始し、ユーザーが送信したコマンドを受信し、コマンド出力を表示します。

    • Cloud Assistantサーバー: アクセス許可を制御し、セッションステータスを管理します。

    • インスタンスにインストールされているCloud Assistant Agent: ユーザーが送信したコマンドを実行します。

    次のセクションでは、Session Managerを使用して接続を確立する手順について説明します。

    1. Session Manager Clientがセッションを開始します。

    2. Cloud Assistantサーバーは、セッションリクエストを認証します。 リクエストが認証された後、サーバーはWebSocket URLと10分間有効なトークンを生成し、URLとトークンをSession Manager Clientに返します。

    3. Session Manager Clientは、URLとトークンを使用して、Cloud AssistantサーバーへのWebSocket接続を確立します。

    4. Cloud Assistantサーバーは、インスタンスにインストールされているCloud Assistant AgentへのWebSocket接続の確立を要求します。

    5. Cloud AssistantサーバーとCloud Assistant Agentの間にWebSocket接続が確立されています。

    6. WebSocket接続が確立されたら、Session Manager Clientでコマンドを入力できます。 このコマンドは、Cloud Assistant Agentがインストールされているインスタンスにストリーミングされ、実行されます。 コマンド出力は、Session Manager Clientに表示されます。

    image

    セキュリティ

    • Web Socket Secure (WSS) プロトコルは、Session Manager ClientとCloud Assistantサーバーの間、およびCloud AssistantサーバーとCloud Assistant Agentの間に永続的なWebSocket接続を確立するために使用されます。 WSSプロトコルは、SSLプロトコルを使用して永続的なWebSocket接続を暗号化し、セキュリティを確保します。

    • Session Managerを使用してインスタンスに接続する場合、インスタンスのパスワードを管理する必要はありません。 ユーザー名 /パスワードベースの認証を使用するSSHやVNCとは異なり、Session ManagerはResource Access Management (RAM) ベースの認証を使用します。 Alibaba Cloudアカウントを使用して、アカウント内のすべてのインスタンスに対してSession Managerを有効または無効にできます。 Session Managerを有効にすると、Alibaba CloudアカウントとRAMユーザーの両方がこの機能を使用してインスタンスに接続できます。

    • ポリシーをRAMユーザーにアタッチし、ECSインスタンスをRAMユーザーとして管理してセキュリティを向上させることができます。 Session ManagerをRAMユーザーとして使用する場合は、StartTerminalSession操作を呼び出す権限を付与するポリシーをRAMユーザーにアタッチする必要があります。 RAMポリシーを使用すると、タグ、リージョン、ECSインスタンス、ソースIPアドレスなど、さまざまなディメンションからの権限を制御できます。 RAMポリシーのおかげで、パスワードを使用せずにインスタンスに接続し、安全な方法でインスタンスを管理できます。 詳細については、「」をご参照ください。

    • インスタンスにインストールされたクラウドアシスタントエージェントとクラウドアシスタントサーバーの間にWebSocket接続が確立された後、インスタンスのインバウンドトラフィック用のポートを開く必要なく、SSHまたはVNCの代わりにセッションマネージャーを使用してインスタンスに接続できます。 これにより、インスタンスのセキュリティを向上させることができます。

    アプリケーションでのリモートログオンにSession Managerを使用する

    cloud-assistant-starterオープンソースプロジェクトには、Session Managerを使用してECSインスタンスまたはマネージドインスタンスに接続するための完全なコードが含まれています。 プロジェクトのAxtSession.tsxには、インスタンスに接続し、StartTerminalSession操作によって返されるWebSocket URLを使用するための完全なコードが含まれています。 コードをアプリケーションにコピーして、パスワード不要およびパブリックIPアドレス不要のリモートログオンを実装できます。