EC2 Instance Connect は、EC2 へSSH接続するときに、固定のSSH公開鍵を各サーバーへ配り続ける代わりに、一時的な公開鍵を使って接続しやすくするAWSの仕組みです。SSHそのものをやめる仕組み ではなく、SSH の鍵運用を軽くしやすくする入口と考えると分かりやすいです。
まず押さえたいポイント
- EC2へSSH接続するときの鍵配布を軽くしやすい
- 接続時に一時的な公開鍵を送り、その短時間だけログインしやすくする
- 固定鍵の配布や
authorized_keysの手管理を減らしたい場面で効く - 権限管理は IAM と合わせて考えやすい
- ただし、22番ポートやネットワーク設計を完全に無視できるわけではない
どんな場面で使うか
EC2 Instance Connect は、複数人でEC2を運用していて、個人ごとの公開鍵を各サーバーへ配るのがつらくなってきたときに使われます。開発者、運用担当、委託先などが入れ替わる現場では、古い鍵の消し忘れや、誰の鍵がどこへ入っているか分からなくなる問題が起きやすいです。そうしたときに、必要な瞬間だけ鍵を使う 形へ寄せやすくなります。
また、EC2管理をAWS側の権限設計へ少し寄せたいときにも相性があります。OS内の authorized_keys だけで持つより、IAM側でも入口を整理しやすくなるためです。
どう理解するとよいか
初心者向けには、EC2 Instance Connect を SSH鍵を置きっぱなしにしないためのAWS寄りの接続補助 と考えると分かりやすいです。
ただし、接続自体はSSHなので、セキュリティグループ、OSユーザー、sudo権限、監査ログの考え方まで不要になるわけではありません。
この点で、SSHそのものを薄くしたい 場合は Session Manager 系の方法と比較する必要があります。EC2 Instance Connect は、既存SSH運用を大きく壊さずに鍵管理を軽くする方向です。
注意点
EC2 Instance Connect を入れても、誰が何をできるかの管理は残ります。IAMポリシーだけでなく、Linuxユーザー、作業権限、接続経路、ログ確認まで含めて見た方が安全です。
また、public IPv4 を前提にしない接続を考えるなら、EC2 Instance Connect Endpoint のような別要素も関わります。同じ名前で混ざりやすいですが、役割は同じではありません。
詳しい整理は、EC2 Instance Connectとは?SSH鍵を配りすぎない接続方法 で解説しています。