AWSクラウド上にTerraformの実行環境を作る

[gosaaan1]

• IaCにCloudFormationを使う。
• 本番・開発環境とは別にTerraform用のVPCを作成し、実行用のEC2インスタンスを設置する。VPC間の接続にはVPCピア機能を使う。
• ターミナルのアクセスには Session Manager を使用する。

[gosaaan1]

VPCについて整理してくれているサイト https://qiita.com/c60evaporator/items/2f24d4796202e8b06a77 https://qiita.com/c60evaporator/items/b9e645b96afa3a34f41e

Amazon Virtual Private Cloud ユーザーガイド https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/what-is-amazon-vpc.html

VPC ピアリング接続 https://docs.aws.amazon.com/ja_jp/vpc/latest/peering/what-is-vpc-peering.html

[gosaaan1]

Terraform AWS modules https://github.com/terraform-aws-modules

[gosaaan1]

Session Manager のセットアップ

SSHポートを開けていなくても接続できるようにSessionManagerをセットアップする。

• IAMインスタンスプロファイルを作り、EC2インスタンスに付与する

[gosaaan1]

キーペアには、プライベートキーと公開キーを含んでおり、 Amazon EC2 インスタンスへの接続時の身分証明に使用する、セキュリティ認証情報のセットを構成しています。パブリックキーは、Amazon EC2 によりお客様のインスタンス内に保管されます。またプライベートキーは、お客様自身が保管します。Linux インスタンスの場合、プライベートキーにより、インスタンスへの安全な SSH 接続を可能にしています。キーペアの代わりに、インタラクティブなワンクリックのブラウザベースのシェルまたは AWS Command Line Interface (AWS CLI) を使用してインスタンスに接続するために、AWS Systems Manager Session Manager を使用できます。

SessionManagerを使うなら Amazon EC2 キーペアは不要。

• Amazon EC2 のキーペアと Linux インスタンス

[gosaaan1]

ステップ 2: Session Manager のインスタンスのアクセス権限の確認または追加 の要約

---

インスタンスのアクセス許可の付与方法

• デフォルトでは、AWS Systems Manager はインスタンスでアクションを実行できない。
• アカウントレベルでのアクセス許可は IAM ロールを使用して付与する。インスタンスレベルでのアクセス許可はインスタンスプロファイルを使用して付与する。
• オンプレミスサーバーや VM はハイブリッドアクティベーションに関連付けられた IAM サービスロールによってアクセス許可が付与される。

Session Manager に必要な基本許可

• AWS 管理ポリシー AmazonSSMManagedInstanceCore を含むインスタンスプロファイルやサービスロールがあれば、Session Manager に必要な基本許可は付与されている。
• インスタンスプロファイルにアタッチされたアクセス許可を変更する必要がある場合は、既存の IAM ロールに Session Manager 許可を追加するか、Session Manager のカスタム IAM ロールを作成するか、Systems Manager にインスタンスのアクセス許可を設定する方法がある。

[gosaaan1]

既存の IAM ロールに Session Manager 許可を追加

この手順はお客様の既存ロールが既に他の Systems Manager ssm において、アクセスを許可したアクションの許可が含まれていることを前提とします。このポリシーだけでは、Session Manager を使用するには十分ではありません。

…足らへんのかい

[gosaaan1]

AWS System Manager Overview

EC2インスタンスをマネージドノードにするためには以下の条件を満たす必要がある。

1. SSM Agentが導入されている（AmazonLinuxにはプリインストール）
2. 「アウトバウンド経路」が確保されている。（インバウンドは不要）
3. 権限付与（デフォルトのホスト管理設定 / IAMロールをEC2インスタンスにアタッチ）
4. EC2インスタンスにプロファイルが設定されていないこと。(SSM Agentがプロファイルを優先処理するため）

[gosaaan1]

トラブルシュートのまとめ（途中経過）

• ネットワーク構成に問題があった
  • terraform-aws-modules/vpc/aws を使わないで構築
  • aws_route の destination_cider_block が設定できていなかった ... 外部通信できなかった原因？
  • aws_subnet の map_public_ip_on_launch ... EC2インスタンスにパブリックIPが割り当てされていなかった
  • 通信路の確認は AWS の Reachability Analizerが使える
• EC2 Instance Connect
  • インバウンドでEC2_INSTANCE_CONNECTのCIDRを許可すれば簡単に接続できたのでデバッグに活用した
  • EC2インスタンスの SSMAgent が正常動作していることはわかったが、バージョンが 3.1.1732.0 と、デフォルトのホスト管理設定に対応していない古いバージョンであることがわかった。

[gosaaan1]

参考サイト

• セッションマネージャーのハマりどころをパターンごとに整理してみる
• そのセッションマネージャー、本当に必要？プライベートサブネットのEC2への通信方法を考えてみる

[gosaaan1]

Linux インスタンスのユーザーアカウントを管理する