Session Manager は、AWS Systems Manager の機能のひとつで、EC2などの管理対象へセッション接続するための仕組みです。IAM と SSM Agent を使って接続するので、22番ポートを外へ開けたり、各人へSSH鍵を配ったりする運用を減らしやすいのが特徴です。
まず押さえたいポイント
- AWS Systems Manager経由で管理対象へ入る仕組み
- 22番ポート公開を前提にしなくてよい構成を取りやすい
- SSH鍵配布を減らしやすい
- SSM Agent、IAM権限、通信経路の前提がある
- CloudTrail や CloudWatch Logs、S3 と組み合わせてログを残しやすい
どんな場面で使うか
Session Manager は、EC2へ入りたいが、管理用に22番を開けたくない、踏み台サーバーを減らしたい、接続権限をAWS側で整理したい、といった場面で使われます。特に、private subnet のEC2管理や、複数人で運用する環境で相性がよいです。
また、誰が入れるか をIAMで見やすくし、接続ログやセッションログも残しやすいので、運用や監査の観点でも使いやすいです。
どう理解するとよいか
初心者向けには、Session Manager を SSHの代わりに、AWS管理の入口からサーバーへ入る方法 と考えると分かりやすいです。実際にはSSM Agentが仲介するため、通常のSSH前提とは運用の重心が少し変わります。
この点で、EC2 Instance Connect は SSHを続けつつ鍵運用を軽くする 方向、Session Manager は 22番や鍵前提を薄くする 方向と分けると整理しやすいです。
注意点
Session Manager は便利ですが、SSM Agent が動いていない、インスタンスロールが足りない、Systems Manager までの通信経路がない、といった状態では使えません。22番を閉じる前に、前提がそろっているか確認した方が安全です。
また、入れるようになっても、sudo権限、実行可能な操作、ログ保存、監査方針は別で整理が必要です。
詳しい整理は、Session Managerとは?22番ポートを開けずにEC2へ入る方法 で解説しています。