Session Manager を使用すると、パスワードなしで Elastic Compute Service (ECS) インスタンスに接続できます。 SSH や RDP (Remote Desktop Protocol) と比較して、Session Manager を使用すると、より便利で安全な方法でインスタンスに接続できます。このトピックでは、ECS コンソールで Session Manager を使用してインスタンスに接続する方法について説明します。
前提条件
[実行中] 状態の ECS インスタンスに接続する場合
ECS コンソールのインスタンス ページで、インスタンスのステータスを表示できます。
インスタンスのステータスの確認方法については、「インスタンス情報の表示」をご参照ください。
インスタンスに クラウドアシスタントクライアント がインストールされていること
Session Manager はクラウドアシスタントに基づいて実装されています。インスタンスに クラウドアシスタントクライアント をインストールする必要があります。 ECS コンソールの ECS クラウドアシスタント ページで クラウドアシスタントクライアント のステータスを表示できます。
クラウドアシスタントクライアント は、2017 年 12 月 1 日以降に Alibaba Cloud パブリックイメージ から作成された ECS インスタンスにプリインストール済みです。 2017 年 12 月 1 日より前に作成された ECS インスタンスの場合は、クラウドアシスタントクライアント を手動でインストールする必要があります。詳細については、「クラウドアシスタントクライアントのインストール」をご参照ください。
クラウドアシスタントクライアントのステータスを表示し、異常を処理する方法については、「クラウドアシスタントのステータスを表示し、異常を処理する」をご参照ください。
セキュリティグループを構成することで、ネットワーク接続が提供されること
Session Manager を使用して ECS インスタンスに接続する場合は、次のルールをアウトバウンド セキュリティグループに追加して、ECS インスタンスで実行されているクラウドアシスタントクライアントがクラウドアシスタントサーバーに接続されていることを確認してください。
SSH や RDP (Remote Desktop Protocol) などの接続方法と比較して、クラウドアシスタントクライアント は Session Manager サーバーへの WebSocket 接続をアクティブに確立します。セキュリティルールでは、クラウドアシスタントサーバーのアウトバウンド WebSocket ポートを開くだけで済みます。 Session Manager のしくみの詳細については、このトピックの「Session Manager のしくみ」セクションをご参照ください。
重要 デフォルト セキュリティグループを含む基本セキュリティグループを使用している場合、すべてのアウトバウンド トラフィックが許可されます。追加の構成は必要ありません。
高度なセキュリティグループを使用している場合、すべてのアウトバウンド トラフィックは拒否されます。関連するルールを構成する必要があります。次の表にルールを示します。セキュリティグループの詳細については、「基本セキュリティグループと高度なセキュリティグループ」をご参照ください。
セキュリティグループにルールを追加する方法については、「セキュリティグループルールの追加」をご参照ください。
アクション | 優先度 | プロトコル タイプ | ポート範囲 | 承認オブジェクト | 説明 |
許可 | 1 | カスタム TCP | 443 | 100.100.0.0/16
| このポートは、クラウドアシスタントサーバーにアクセスするために使用されます。 |
許可 | 1 | カスタム TCP | 443 | 100.0.0.0/8
| このポートは、クラウドアシスタントクライアント をインストールまたは更新する場合に、クラウドアシスタントクライアント インストール パッケージが格納されているサーバーにアクセスするために使用されます。 |
許可 | 1 | カスタム UDP | 53 | 0.0.0.0/0
| このポートは、ドメイン名を解決するために使用されます。 |
Session Manager のみを使用してインスタンスに接続する場合は、ECS インスタンスのセキュリティを向上させるために、SSH ポート (デフォルト 22) と RDP ポート (デフォルト 3389) を許可するインバウンドルールをセキュリティグループから削除します。
Resource Access Management (RAM) ユーザーが Session Manager に必要な権限を持っていること
RAM ユーザーが ECS コンソールで Session Manager を使用してインスタンスに接続するには、最小権限の原則に基づいて、RAM ユーザーに次の権限が付与されている必要があります。
ecs:StartTerminalSession: Session Manager を使用してインスタンスに接続するための権限。Resource パラメーターを構成して、RAM ユーザーが Session Manager を使用して接続できる ECS インスタンスを指定できます。
ecs:DescribeCloudAssistantStatus: ECS インスタンスにクラウドアシスタントクライアントをインストールする必要があるかどうかを照会するための権限。ECS コンソールでインスタンスに接続する前に、システムはこの権限を確認します。
ecs:DescribeUserBusinessBehavior: Session Manager が有効になっているかどうかを照会するための権限。ECS コンソールでインスタンスに接続する前に、システムはこの権限を確認します。
(オプション) ecs:ModifyCloudAssistantSettings: Session Manager を有効または無効にするための権限。現在の Alibaba Cloud アカウントで Session Manager が有効になっている場合は、この権限を付与する必要はありません。
カスタムポリシーの例:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": "ecs:StartTerminalSession",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ecs:DescribeUserBusinessBehavior",
"ecs:DescribeCloudAssistantStatus",
"ecs:ModifyCloudAssistantSettings"
],
"Resource": "*"
}
]
}
RAM ユーザーに権限を付与する方法については、「RAM ユーザーへの権限の付与」をご参照ください。
手順
ECS コンソール にログインします。 左側のナビゲーションウィンドウで、 を選択します。 ページの左上で、インスタンスが存在するリソースグループとリージョンを選択します。 [インスタンス] ページで、接続するインスタンスを見つけ、[アクション] 列の [接続] をクリックします。
| 
|
[その他のログオン方法の表示] をクリックし、[セッション管理が有効(全リージョン)] が [セッション マネージャー] セクションに表示されているかどうかを確認します。[セッション管理が無効] と表示されている場合は、ボタンをオンにします。
重要 RAM ユーザーとして Session Manager を有効にする前に、RAM ユーザーに Session Manager の構成を表示するための DescribeUserBusinessBehavior 権限と、Session Manager を有効または無効にするための ModifyUserBusinessBehavior 権限が付与されていることを確認してください。サンプルポリシーの詳細については、このトピックの「前提条件」セクションをご参照ください。
| 
|
[パスワードなしログイン] をクリックします。 インスタンスが接続されると、Linux インスタンスの場合は ecs-assist-user として、Windows インスタンスの場合はシステムユーザーとしてログインします。この例では、Linux インスタンスを使用しています。次の図は、Linux インスタンスへのログインを示しています。
| 
|
