[AWS CDK] Bastion(踏み台)構築。SSMとEC2InstanceConnectでの接続

[AWS CDK] Bastion(踏み台)構築。SSMとEC2InstanceConnectでの接続

2022-03-068 min read

目次

  1. 概要
  2. aws-cdk-stack
  3. 色々な接続方法を試す
  4. ssmopensshで接続
  5. まとめ
  6. 参考にしたサイト

概要

AWS CDK で EC2のBastion(踏み台)を構築した際のメモです。

ここで記載した方法は以下の内容での接続方法を想定しています。

  • AWS Systems Manager (Session Manager (SSM))
    • マネジメントコンソール上で接続
    • HTTPS: aws cli での接続
    • SSH over HTTPS: OpenSSH経由での接続
  • EC2 Instance Connect
    • マネジメントコンソールから接続
    • ローカル環境から接続

Bastion

Bastion = 要塞ホスト

AWS CDK Stack

以下のソースが AWS CDK のBastion構築スタックです。

import {
  Stack,
  aws_ec2 as ec2,
  StackProps
} from "aws-cdk-lib";
import { Construct } from "constructs";

export class BastionStack extends Stack {
  constructor(scope: Construct, id: string, props?: StackProps) {
    super(scope, id, props);

    const PROJECT_NAME = "bastion-test";

    let vpc: ec2.Vpc;
    vpc = new ec2.Vpc(this, "VPC", {
      cidr: "10.0.0.0/16",
      vpcName: `${PROJECT_NAME}-vpc`,
      enableDnsHostnames: true,
      enableDnsSupport: true,
      subnetConfiguration: [
        {
          cidrMask: 24,
          name: "PublicSubnet",
          subnetType: ec2.SubnetType.PUBLIC,
        }
      ],
      maxAzs: 2,
    });
  
    this.addBastion(vpc)
    
  }

  private addBastion(vpc: ec2.Vpc) {
    const bastionGroup = new ec2.SecurityGroup(
      this,
      "Bastion to DB Connection",
      { vpc }
    );
    // EC2 Instance Connect (マネジメントコンソールから接続)対応
    bastionGroup.addIngressRule(
      ec2.Peer.ipv4("3.112.23.0/29"),
      ec2.Port.tcp(22),
      "EC2 Instance Connect for Management console"
    );

    // EC2 Instance Connect (ローカル環境から接続)対応
    bastionGroup.addIngressRule(
      ec2.Peer.ipv4("0.0.0.0/0"), //任意のIP
      ec2.Port.tcp(22),
      "EC2 Instance Connect for local"
    );

    const host = new ec2.BastionHostLinux(this, "BastionHost", {
      vpc,
      instanceType: ec2.InstanceType.of(
        ec2.InstanceClass.T4G,
        ec2.InstanceSize.NANO
      ),
      securityGroup: bastionGroup,
      subnetSelection: {
        subnetType: ec2.SubnetType.PUBLIC,
      },
    });
    host.instance.addUserData("yum -y update");
  }
}

ざっと説明すると、

  • vpcとパブリックサブネットを構築
  • その上にBastionを構築
  • BastionはEC2 Instance Connectからのインバウンドの接続を許可する

ということを行ってます。

ポイントとしては ec2.BastionHostLinuxクラスを利用してインスタンスの構築を定義しています。

色々な接続方法を試す

cdkのデプロイが完了すると踏み台に接続できる様になります。

ここで色々な接続方法を試してみます。

SSM(マネジメントコンソール)上で接続

マネジメントコンソールにて

AWS Systems Manager > Session Manager

を開き、セッションの開始から接続したいインスタンスを選択し、接続することができます。

SSM(AWS CLI)で接続

SSM接続環境をクライアント側で構築します。

https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/what-is-systems-manager.html

次のコマンドで接続します。

aws ssm start-session --target i-xxxxxxxxxxxxx

ssm-userで接続ができるとを確認できます。

Starting session with SessionId: botocore-session-xxxxxxxxxxxxx-xxxxxxxxxxxxxxx
sh-4.2$ whoami
ssm-user

SSMでの接続の場合ユーザがssm-userとなります。

ssm-userはデフォルトだとsudoが利用できrootに昇格できました。

SSM(OpenSSH)で接続

ローカル環境にて公開鍵と秘密鍵を作成します。

※オプションは適当なものを設定してますが、必要であれば置き換えます。

ssh-keygen -t rsa -C "test@mail.example.com"

これによりローカル環境に公開鍵id_rsa.pubと秘密鍵id_rsaが生成されます。

上記のSSM(AWS CLI)で接続、もしくは後述の EC2 Instance Connect で生成した公開鍵をリモートの任意のユーザ(ssm-userやec2-user)の~/.ssh/authorized_keysに追記します。

次にローカル環境の~/.ssh/config に次の設定を記載します。

host i-* mi-*
  ProxyCommand sh -c "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters 'portNumber=%p'"

これで準備が完了です。sshコマンドで任意のユーザでリモートに接続できます。

ssh ssm-user@i-xxxxxxxxxx

EC2 Instance Connect で マネジメントコンソールから接続

マネジメントコンソールから

EC2 > インスタンス > インスタンスID と選択し、接続ボタンから接続できます。

これによりマネジメントコンソールから接続できました。

EC2 Instance Connectが利用できるIPの範囲は指定されており、 次のURLで確認できます。

https://ip-ranges.amazonaws.com/ip-ranges.json

※2022/03時点では、3.112.23.0/29となっています。

EC2 Instance Connectは60秒だけ有効です。

EC2 Instance Connect でローカル接続

この手順はクライアント環境から接続を許可するセキュリティグループの設定を行う必要があります。

次のコマンドでmsshをインストールします。

pip install ec2instanceconnectcli

セットアップ完了後、msshコマンドでインスタンスIDを指定して接続できます。

mssh i-xxxxxxxxxxxxx

まとめ

SSMは

  • ポート解放不要
  • ローカル経由ならAWS CLI/Session Managerプラグイン設定が必要
  • OpenSSHを介す場合は鍵必要。他のケースは不要。

EC2 Instance Connect

  • ポート解放必要
  • ローカル経由ならAWS CLI設定が必要
  • 鍵不要

参考にしたサイト

Recommends
[AWS CDK] Bastion(踏み台)構築。SSMとEC2InstanceConne...
2022-03-06
amazon%20aws
aws%20cdk
node.js
[AWS CDK] Lambda で S3 オブジェクトを読み書きするStackの構築
2022-03-18
aws%20cdk
amazon%20aws
typescript
[AWS CDK] Cognito を構築
2022-03-04
amazon%20aws
aws%20cdk
node.js
AWS CDK v2 でVPC上にAPI Gateway + Lambda + RDS +...
2022-02-28
amazon%20aws
aws%20cdk
node.js
[AWS CDK] Cognito の OIDC プロバイダに Auth0 を設定
2022-07-03
auth0
amazon%20aws
aws%20cdk
[AWS CDK]ECS FargateでNestJSで作成したRESTfull APIデ...
2022-05-24
nestjs
amazon%20aws
aws%20cdk
[AWS CDK]S3 CloudFront OAI Route53 構成 で NextJ...
2022-05-23
amazon%20aws
aws%20cdk
typescript
[CDK]SNS+SQS+DynamoDBでBounceとComplaint情報を収集する...
2022-04-11
amazon%20aws
node.js
typescript
[AWS CDK] S3 + CloudFrontの構築とOriginAccessIden...
2022-03-09
amazon%20aws
aws%20cdk
typescript
AWS CDK v2 で Lambda関数のデプロイ
2022-02-23
typescript
amazon%20aws
aws%20cdk
NestJSアプリケーションをwebpackでBundle
2022-02-20
javascript
typescript
nestjs
[NestJS]少し大きな規模のRESTfull APIを構築するディレクトリ構成を考えて...
2022-09-04
nestjs
typescript
%E3%82%A2%E3%83%BC%E3%82%AD%E3%83%86%E3%82%AF%E3%83%81%E3%83%A3
Prisma MySQL でUTC以外の任意のタイムゾーンを利用するのが難しい件
2022-08-08
prisma
typescript
mysql
Prisma TypeScript MySQLなプロジェクトの構築
2022-08-08
prisma
typescript
mysql
Prisma TypeScript SQLiteなプロジェクトの構築
2022-08-06
prisma
typescript
sqlite
New Posts
zplug 環境の構築とpromptの調整
2022-11-13
zsh
mac
linux
バッチ処理を採用する際に考慮したことと実装の諸々
2022-10-30
%E3%82%A2%E3%83%BC%E3%82%AD%E3%83%86%E3%82%AF%E3%83%81%E3%83%A3
[JS]Intl.DateTimeFormatで和暦と西暦を変換
2022-08-18
javascript
[NestJS]少し大きな規模のRESTfull APIを構築するディレクトリ構成を考えて...
2022-09-04
nestjs
typescript
%E3%82%A2%E3%83%BC%E3%82%AD%E3%83%86%E3%82%AF%E3%83%81%E3%83%A3
Prisma MySQL でUTC以外の任意のタイムゾーンを利用するのが難しい件
2022-08-08
prisma
typescript
mysql
Prisma TypeScript MySQLなプロジェクトの構築
2022-08-08
prisma
typescript
mysql
Prisma TypeScript SQLiteなプロジェクトの構築
2022-08-06
prisma
typescript
sqlite
[AWS]Lambda vs Fargate. APIを実装する場合に思うこと
2022-07-30
amazon%20aws
amazon%20ecs
%E9%9B%91%E8%AB%87
macOSにzigをインストールしてHello World!する
2022-07-18
zig
mac
[AWS CDK] Cognito の OIDC プロバイダに Auth0 を設定
2022-07-03
auth0
amazon%20aws
aws%20cdk
Amazon S3 でライフサイクルポリシーを設定する
2022-06-19
amazon%20aws
amazon%20s3
AWS Certified Developer Associate に合格した
2022-06-19
amazon%20aws
%E8%B3%87%E6%A0%BC%E8%A9%A6%E9%A8%93
Fisher-Yates shuffleで配列シャッフル [js/ts/php]
2022-06-19
javascript
node.js
typescript
JavaScriptでUTF-16コードを文字列に変換
2022-06-18
javascript
node.js
[JS]乱数でランダムな整数を生成する
2022-06-18
javascript
node.js
Hot posts!
Proxy環境下でcurlを実行する
2019-12-07
linux
curl
OpenCVのMatのタイプ一覧表
2018-11-25
%E7%94%BB%E5%83%8F%E5%87%A6%E7%90%86
opencv
Macでも利用できるDBクライアント MySQL PostgreSQL Oracle など
2019-12-21
linux
%E3%83%87%E3%83%BC%E3%82%BF%E3%83%99%E3%83%BC%E3%82%B9
mysql
TablePlusを使ってみる。シンプルでモダンなSQLクライアントツール
2018-09-30
%E3%83%87%E3%83%BC%E3%82%BF%E3%83%99%E3%83%BC%E3%82%B9
DBクライアントツールはDBeaverをおすすめしたい
2021-03-08
oracle
mysql
sqlite
AWS S3のアクセスキーIDとシークレットアクセスキーの取得 作業用ユーザを作成
2019-06-12
amazon%20aws
linux
amazon%20s3
AtCoderで初めて色がつくまでの話(茶色) レートが中々上がらなかった原因
2018-11-25
%E3%82%A2%E3%83%AB%E3%82%B4%E3%83%AA%E3%82%BA%E3%83%A0
%E7%AB%B6%E6%8A%80%E3%83%97%E3%83%AD%E3%82%B0%E3%83%A9%E3%83%9F%E3%83%B3%E3%82%B0
%E9%9B%91%E8%AB%87
CentOS8でEPELとPowerToolsリポジトリの有効化
2020-11-30
centos
red%20hat
EPEL
Macでターミナルからポートスキャンを行う方法。
2018-12-09
linux
mac
apple
Python + OpenCVのfillConvexPolyで複雑なポリゴンを描画する
2018-11-27
python
%E7%94%BB%E5%83%8F%E5%87%A6%E7%90%86
opencv
Date
▶︎
2022 年 (41)
▶︎
2021 年 (40)
▶︎
2020 年 (30)
▶︎
2019 年 (90)
▶︎
2018 年 (89)
▶︎
2017 年 (1)
Tags
javascript(98)
linux(48)
amazon%20aws(47)
node.js(38)
%E3%82%A2%E3%83%AB%E3%82%B4%E3%83%AA%E3%82%BA%E3%83%A0(36)
%E7%94%BB%E5%83%8F%E5%87%A6%E7%90%86(30)
html5(29)
typescript(28)
php(24)
centos(24)
python(22)
%E7%AB%B6%E6%8A%80%E3%83%97%E3%83%AD%E3%82%B0%E3%83%A9%E3%83%9F%E3%83%B3%E3%82%B0(21)
mac(20)
mysql(19)
canvas(18)
opencv(17)
%E9%9B%91%E8%AB%87(16)
wordpress(15)
atcoder(14)
docker(14)
apache(12)
%E6%A9%9F%E6%A2%B0%E5%AD%A6%E7%BF%92(12)
%E3%83%87%E3%83%BC%E3%82%BF%E3%83%99%E3%83%BC%E3%82%B9(12)
amazon%20s3(12)
red%20hat(12)
ubuntu(11)
github(10)
git(10)
vue.js(10)
%E7%94%BB%E5%83%8F%E5%87%A6%E7%90%86100%E6%9C%AC%E3%83%8E%E3%83%83%E3%82%AF(10)
mariadb(10)
aws%20cdk(9)
css3(8)
%E5%8F%AF%E8%A6%96%E5%8C%96(8)
%E5%B0%8F%E3%83%8D%E3%82%BF(8)
amazon%20lightsail(7)
react(7)
%E3%83%96%E3%83%AD%E3%82%B0(6)
cms(6)
oracle(6)
perl(6)
gitlab(6)
next.js(6)
iam(5)
amazon%20ec2(5)
%E8%B3%87%E6%A0%BC%E8%A9%A6%E9%A8%93(5)
aws%20amplify(5)
curl(4)
webassembly(4)
ssh(4)
Author
s-yoshiki
s-yoshiki
githubzennqiita
ただの備忘録です。
JavaScript/TypeScript/node.js/React/AWS/OpenCV
※このブログの内容は個人の見解であり、所属する組織等の見解ではありません。