多段ssh設定のまとめ
B! 350 0 0 0 多段sshについて、ターミナルからsshを直接使う場合と WindowsでのPuTTYでの設定について、 久しぶりに設定をしなおしたのでそのまとめ。 ~/.ssh/configで多段接続 同じ踏み台サーバーを持つ物を一括指定 複数の踏み台サーバーを経由してログイン Windows+PuTTYで多段ssh plinkを使用する方法 ログインサーバーにログインしてさらにsshコマンドを実行する ショートカットの作成 Gitサーバーに対する多段接続 ~/.ssh/configで多段接続 ターミナルからsshを使うときには~/.ssh/configファイルが設定ファイルとして 使われます。 直接外部からログインできない様なサーバーに踏み台サーバーを通って ログインするときに、毎回踏み台サーバーにsshしてそこから また入りたいサーバーにログインして。。。は面倒なので そこ
SSH不要時代がくるか!?AWS Systems Manager セッションマネージャーがリリースされました! | DevelopersIO
はじめに おはようございます、加藤です。す...すごい機能がリリースされました!AWS Systems Mangerの新機能でセッションマネージャーという機能です。 一言で言えば、「EC2インスタンスにSSH・RDPで接続せずにブラウザ上からCLI操作ができる機能」です。ブラウザがSSHクライアントとして動作している訳でなく、制御はSSMによって実現されています。 セキュリティグループのインバウンド設定や踏み台ホストを作ること無く安全にEC2インスタンスへ接続できちゃいます!テンション高まる! やってみた 前提 SSMエージェントのバージョンが2.3.12以上である必要があります(2018/09/12 09:00 時点で起動したインスタンスはアップデート必要と思われます) 作成済みのインスタンスの場合はRun CommandのAWS-UpdateSSMAgentを使うなどしてバージョンアッ
従来アプリケーション側で必須だった機密情報の復号化が、マネージドな仕組みで実現できるようになりました。 これでついにあんな秘密やこんな秘密をコンテナに渡しやすくなりますね — ポジティブな Tori (@toricls) 2018年11月16日 先日のアップデートで、ECSコンテナ内への機密情報の受け渡しが非常に簡単になりました。 従来は機密情報の展開にアプリケーション側での処理が必要だったものが、マネージドな仕組みで実現可能となっているので、既存ECSユーザーには必見のアップデートとなっております。 参考:AWS Launches Secrets Support for Amazon Elastic Container Service あんなことやこんなこと!? ( ゚д゚) ガタッ / ヾ __L| / ̄ ̄ ̄/_ \/ / 従来の方法の面倒くささ(自前で機密情報を展開していた
Ansible使いの人はちょっと見逃せない。AWS Systems Managerで複雑な構成のAnsible-Playbookの実行が可能になりました | DevelopersIO
AWS事業本部 梶原@新福岡オフィスです。 数日前に、AWS Systems Manager で複雑な構成のAnsible-Playbookの実行がサポートされました。 https://aws.amazon.com/jp/about-aws/whats-new/2019/09/now-use-aws-systems-manager-to-execute-complex-ansible-playbooks/ 一瞬、以前からAnsible Playbookの実行はできてたじゃん。とスルーしそうになったんですが、Complexの文字が目にとまりました。 よくよく読んでみると、S3 or Github上のzip またはディレクトリ構造のPlaybookを実行できるとの記載があります。 そうです、AnsibleのBest Practicesに沿った構成のまま、EC2上でAnsible-Playboo
TimeTree の SRE が海外展開においてやったこと&やってないこと by【TimeTree × みてね勉強会】 グローバル対応への挑戦 〜SRE/インフラ編〜
AWS Systems Manager セッションマネージャーでSSH・SCPできるようになりました | DevelopersIO
AWS Systems Manager セッションマネージャーに待望の機能(のひとつ)がやってきました! Session Manager launches tunneling support for SSH and SCP サーバーにSSHしたり、ローカル・リモート間での SCP 越しのファイルの送受信も可能になりました。 更には SSH セッション越しにポート転送もできます。 ということで、さっそく試してみましょう! リモートの準備 SSM エージェントをインストール SSH先サーバーに 2.3.672.0 以上の SSM エージェントがインストールされている必要があります。 古いエージェントがインストールされている場合、アップデートしてください。 Manually Install SSM Agent on Amazon EC2 Linux Instances - AWS Systems
AWS System Managerセッションマネージャーがリモートホストのポートフォワードに対応しました | DevelopersIO
AWS System Managerセッションマネージャーはポートフォワードに対応しており、セキュリティグループで特定のポートをあけることなく、プライベートサブネットのWindowsサーバーにRDPするといったことが可能です。 従来は、セッション接続先のEC2インスタンス内で LISTEN しているポートしかフォワードできませんでしたが、今回のアップデートにより、リモートホストのポートも転送できるようになりました。 より具体的には、EC2インスタンスを踏み台に、VPC内のリソース、例えばRDSのホスト・ポートを転送するといったことが可能になりました。 やってみた SSM エージェントバージョンを確認 AWS Systems Managerは操作対象のインスタンスにエージェントをインストールします。 Session Managerを利用したリモートホスト・ポートフォワードの場合、バージョン
セッションマネージャー越しにSSHアクセスする構成のメリットについて考えてみました。 なにそれ? 公式ドキュメントでいうと以下内容のことです。 Step 8: (Optional) Enable SSH connections through Session Manager もう少し詳しく まず、クライアントはセッションマネージャーを使ってアクセスしたいインスタンスにアクセスします。 もう少しこの部分を具体的に説明すると、クライアントがアクセスしているのはインスタンスではなく、SSM(Systems Manager)のエンドポイントです。 そして、アクセス先インスタンス内のSSM Agentがポーリングアクセスしていて、こちらを通じてアクセスしています。 そして、この接続の先で、SSH接続し直しているイメージになります。これが今回扱う「セッションマネージャー越しにSSHアクセス」です。 わ
任意のパラメータを格納できる EC2 Systems Manager「パラメータストア」を試したら便利だった - kakakakakku blog
re:Invent 2016 で発表されたけど,オンプレ関連だと勝手に思い込んでいて,今まで試していなかった Amazon EC2 Systems Manager の中に「パラメータストア」というサービスがあり,試してみたらこれが非常に便利だった.簡単に言うと,任意のパラメータをパラメータストアに格納することができて,アプリケーションと環境変数を完全に切り離すことができてしまうというもの.The Twelve-Factor App を実現できるぞ! Amazon EC2 Systems Manager (Amazon EC2 とオンプレミスシステムの設定と管理) | AWS パラメータストアとは? 任意のパラメータをパラメータストアに格納することができる データタイプは3種類ある String String List Secure String (パラメータを KMS で暗号化して格納する
AWS Systems Manager(SSM) の数多い機能群を攻略するための図を書いてみた 2021 | DevelopersIO
まずまとめ できた図がこちら AWS Systems Manager(SSM) を理解しようとする上で厄介なのは、 「インスタンス管理(左部分)」で使う機能群、それぞれに関連性があること だと思っています。 なので以降の説明は、 図の左半分 インスタンス管理 の説明が大半です。 さっそく インスタンス管理で使える機能を上から舐めていきましょう。 #1 なにはともあれマネージドインスタンス なにはともあれ EC2インスタンスを マネージドインスタンス 化するところから始まります。 マネージドインスタンスにするために、ざっくりいうと 3つの作業が必要です。 SSM エージェント をインストールすること 適切なIAMインスタンスプロファイル※ をアタッチしていること SSM関連エンドポイント※ へのアウトバウンド方向の通信ができること ※ 詳細は以下参照 EC2 インスタンスが AWS Syst
過去1年の間にEC2インスタンスにシェルアクセスするAWSサービスが3つもリリースされました。 AWS Systems Manager Session Manager(2018/09/11) EC2 Instance Connect(2019/06/27) AWS Systems Manager Session Manager(SSHトンネリング対応)(2019/07/09) 機能が似通っていており、違いがわかりにくいため、ざっと整理しました。 シェルアクセスの比較表 サービス 素のSSH Systems Manager Session Manager Systems Manager Session Manager(SSH) EC2 Instance Connect
EC2のSSHアクセスをIAMで制御できるEC2 Instance Connectが発表されました | DevelopersIO
大栗です。 先程EC2に対してIAMでログイン制御を行えるEC2 Instance Connectが発表されました。 Introducing Amazon EC2 Instance Connect New: Using Amazon EC2 Instance Connect for SSH access to your EC2 Instances EC2 Instance Connect EC2 Instance ConnectではIAMの権限でアクセス制御が行えて、一時的に生成した公開鍵でSSHログインが可能となります。 全体の概要は以下のような流れでログインします。ユーザーは自分のローカルマシンからログインできますし、Management Consoleからもログイン可能です。 クライアントで公開鍵/秘密鍵のペアを生成する。 EC2 Instance ConnectのAPI (Send
AWSのParameter StoreとSecrets Manager、結局どちらを使えばいいのか?比較 - Qiita
AWSのParameter StoreとSecrets Manager、結局どちらを使えばいいのか?比較AWSSecurityIAMSSM AWSのアクセスキー/シークレットアクセスキーのコード書き込みは危険 GitHubにAccess Key/Secret Access Keyを含むコードをPushしてしまい、 公開されたキーで犯罪者にAWS環境へのアクセスを許してしまい、 ハイスペックインスタンスタイプ(料金が高い)のインスタンスを 仮想通貨マイニング等に利用されてしまい、 請求書を見て青ざめる、 というインシデントが定期的に発生しています。 今年の2月にその危険性を検証された方がおられ、 「git pushから13分でご利用開始」とのこと。 GitHub に AWS キーペアを上げると抜かれるってほんと???試してみよー! - Qiita GitHubからアクセスキーを抽出するスクレ
PCI DSS対応 AWS 上の踏み台サーバーでの操作ログ取得、MFA、アイドルタイムアウトを実現 | DevelopersIO
PCI DSS に対応すべく Linux サーバーの操作履歴を S3 へ保存する、ログイン時に MFA を使用する、アイドルタイムアウトを実装する方法を紹介します。 こんにちは。 ご機嫌いかがでしょうか。 "No human labor is no human error" が大好きな ネクストモード株式会社 の吉井です。 AWS 上の踏み台サーバー (ここでは Amazon Linux 2 を想定しています) での操作履歴を S3 へ保存する、ログイン時に MFA を使用する、アイドルタイムアウトを実装する方法を紹介します。 PCI DSS の関連して以下のような要件があり、これを実現するために考えた方法です。 ssh ログインは Google Authenticator を利用した二要素認証にしたい ssh ログイン後の操作ログ(コマンドログ)を保管したい 踏み台サーバーから更に業務サ
AWS Systems Manager から直接 AWS API をたたけるようになりました! | DevelopersIO
AWS Systems Manager から AWS API を呼び出すことができるようになりました。CloudFront のキャッシュクリア(Invalidation)を例に、実際に試してみます。 本日(現地時間の 8/28)、AWS Systems Manager に AWS API を直接呼び出す機能が追加されました。控えめに言って 革命です。 何が出来るようになった? YAML を書くだけで、AWS CLI から出来ること はたいていのことが AWS Systems Manager のマネジメントコンソールから実行可能になった もちろん従来通り、実行前に承認を待ったり、権限をその YAML (ドキュメント)に AssumeRole させることも可能 オペ業務的にいえば、AWS CLI を順に実行するだけのようなシェルスクリプトは ほぼ全てこれに置き換えることが可能 と言えば良いでし
[アップデート] 実行中のコンテナに乗り込んでコマンドを実行できる「ECS Exec」が公開されました | DevelopersIO
もう、コンテナ調査のためにEC2に乗り込む必要は無い! もう、Fargateだからコンテナの状況が見れないと悩むこともない! ECS開発者待望の機能がリリースされました! みなさん、こんにちは! AWS事業本部の青柳@福岡オフィスです。 Amazon Elastic Container Service (ECS) において、実行中のコンテナに乗り込んでコマンドを実行できる機能「ECS Exec」が公開されました。 Amazon ECS now allows you to execute commands in a container running on Amazon EC2 or AWS Fargate どんなものなのか、早速使ってみたいと思います。 これまでの方法 デバッグやトラブルシューティングを行うために、実行中のコンテナに乗り込んでコマンドを実行したいという時があると思います。
![[アップデート] 実行中のコンテナに乗り込んでコマンドを実行できる「ECS Exec」が公開されました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/f10e4b6d55aa4fe987e9584f7b2febd50e43f158/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Famazon-elastic-container-service.png)
セキュリティグループのSSH全開放をAWS Configで自動修復したら3分くらいで直ったからみんな使ってほしい件 | DevelopersIO
こんにちは、臼田です。 皆さん、自動化してますか?(挨拶 先日AWS Config Rulesでコンプライアンスに非準拠となった時に自動修復ができるようになりました。 もともとはLambdaを経由して自動修復が可能でしたが、今回はConfig Rulesで違反を検知してそのままSSM Automationを実行できるのでよりスマートに、より適切になった感じです。詳細は下記をご確認下さい。 [アップデート] AWS Config Rule 非準拠リソースを自動修復する機能が追加になりました! で、今回はこの機能を利用してSSHを0.0.0.0/0で全開放してしまったセキュリティグループを自動的に修復するという事をやってみました! タイトルに結論を書きましたが、3分くらいで自動的に修復されましたのでぜひ活用してほしいです。 SSHを全開放することは万死に値するので、もうすべてのAWSユーザはこ
VS CodeからCloudShellに接続!「AWS CloudShell plugin for VS Code」を試してみた | DevelopersIO
こんにちは!DA(データアナリティクス)事業本部 インテグレーション部の大高です。 re:Invent 2020 で発表されたマネジメントコンソールから利用できるシェル「AWS CloudShell」ですが、これをVS Codeから利用できる「AWS CloudShell plugin for VS Code」という拡張機能があります。 以前から気になっていたのですが、やっと試すことができたので設定方法などをまとめたいと思います。 前提条件 以下については既に対応済みであることを前提として記載しています。 AWS CLIをインストール済み Session Manager plugin をインストール済み IAMユーザを作成しており、IAMユーザのアクセスキーが発行済み AWS CLIのインストールと、Session Manager pluginのインストールについては以下の記事でも記載して
EC2インスタンスの踏み台を用意したくない こんにちは、のんピ(@non____97)です。 皆さんはEC2インスタンスの踏み台を用意したくないと思ったことはありますか? 私はあります。 VPC上のRDS DBインスタンスやRedisクラスター、OpenSearch Service ドメインなどのリソースに接続したい場合、Site-to-Site VPNやClient VPN、Direct Connectがなければ踏み台(Bastion)が必要になります。 踏み台へのアクセス方法は以下のようなものがあります。 直接SSH SSMセッションマネージャー EC2 Instance Connect そして、踏み台となるリソースとして採用される多くがEC2インスタンスだと考えます。EC2インスタンスの場合、OS周りの面倒をみる必要があります。OS内のパッケージのアップデートが面倒であれば「踏み台が
SSH用の秘密鍵を無くしてしまった方へ。Systems MangerでEC2の秘密鍵を追加してみた | DevelopersIO
こんにちは。Kyoです。 「EC2の秘密鍵を無くしてしまった…。」 こんな状況に出くわしたことはありませんか? 秘密鍵は厳密に管理されるべきですが、チームメンバの入れ替わり時に鍵の情報が引き継がれていなかったなど、どうしようもないシチュエーションもあるかと思います。 今回はそんな時のためにSystems Manger(以下、SSM)のオートメーションAWSSupport-ResetAccessを利用して秘密鍵を追加する方法をご紹介します。 なお、SSMを利用できる状況であればセッションマネージャーによる接続も可能です。 もし、秘密鍵にこだわらなくても良いという状況であれば、そちらが有効かと思います。 また、「それっぽい鍵があるんだけど、これって本当に対象の鍵なの?」という場合には、フィンガープリントの確認が有効です(過去にpemファイルが違う名前で保存されていたケースがありました)。 こち
EC2インスタンスにインストールされているソフトウェアとバージョン一覧を表示したい | DevelopersIO
こんにちは。 ご機嫌いかがでしょうか。 "No human labor is no human error" が大好きな吉井です。 「管理している EC2 インスタンスにインストールされているソフトウェアとそのバージョンを一覧表示したい」 という要望を受けまして実現方法を調べてみました。 今回は Systems Manager を使います。 事前準備 EC2 インスタンスのタグ付け EC2 インスタンスに任意のタグを付けます。 必須ではありませんが、管理が楽になるので付けておきます。 下の例では 「key=Inventory, Value=true」 にしています。 データ同期用 S3 バケットの作成 Systems Manager リソースデータ同期 という機能を使い、インベントリデータを S3 バケットへ保管します。 (S3 バケットを作成する手順は割愛します) S3 バケットを作成し
AWS Lambda からサービスアカウントで Google APIs を叩くまでにやったこと | DevelopersIO
コンサルティング部の西野です。 AWS Lambda からサービスアカウントを使用して Google APIs を叩く機会がありましたので、その手順を紹介します。 やりたいこと G Suite ドメイン内のユーザーによって Google Drive 上に保存されたファイルの名称を AWS Lambda 経由で取得することをゴールとします。 構成図 server-to-server (Lambda to Google API) で API をコールするためサービスアカウントを用いる Using OAuth 2.0 for Server to Server Applications AWS リージョンはアジアパシフィック(東京)/ ap-northeast-1 を使用 API コール用のサービスアカウントキーを SSM Parameter Store に SecureString として保存す
AWS Step FunctionsとSSM RunCommandでWebシステムの起動・停止のジョブネットを組んでみた | DevelopersIO
ジョブ管理システムから抜け出したくないですか? こんにちは、のんピ です。 皆さんはジョブ管理システムから抜け出したいと思ったことはありますか? 私は常に思っています。 ジョブ管理システムとは、バッチ処理やOSの起動の一つ一つの処理をジョブとして、制御・運用をするシステムです。 ジョブ管理システムを使うことによって、定型業務を自動化するなどのメリットがあります。 しかし、私が思うに、ジョブ管理システムが便利だからこその辛みもあると思っています。 私が感じるジョブ管理システムの辛いところを以下にまとめます。 ジョブ管理システムで全てのシステムのジョブネットを管理しているがために、ジョブ管理システムのメンテナンスが大変 ジョブ管理システムが停止すると、全てのシステムに影響があるため、高い可用性が求められる ジョブ管理システムによっては、エージェント毎にライセンスの購入が必要になり、大量のクライ
AWS System Managerセッションマネージャーでポートフォワードする | DevelopersIO
AWS System Managerセッションマネージャーを利用し、SSM エージェントのインストール先インスタンスからローカルに対してポートフォワードする手順を紹介します。 ユースケース リモートの Windows サーバーにリモートデスクトップ(RDP)でアクセスするケースを考えます。 本機能を利用することで、以下のようなメリットがあります。 リモート VPC のセキュリティグループで RDP ポートを開けなくてよい RDP ポート(3389)のアウトバウンド通信が許可されていなくても、セッションマネージャーが利用するHTTPS(443) ポートだけで RDP 可能 プライベートサブネットのサーバーに対して、踏み台を経由せずに直接 RDP 可能 リモートサーバーに SSH をインストールしなくてよい 注意点として、ポートフォワード出来るのは、リモートサーバー内で LISTEN している
【待望】コンテナデバッグが捗る!ECS-optimized AMIにSSMエージェントがプリインストールされるようになりました | DevelopersIO
【待望】コンテナデバッグが捗る!ECS-optimized AMIにSSMエージェントがプリインストールされるようになりました 「やっぱり…タスクが変な動きしてる時、Dockerコマンド使いたくなるやん。それが人間ってもんやん…」 ECS(on EC2)の環境で、コンテナが妙な起動をしているとき、そのホストインスタンスにログインしてDockerコマンドで原因追求することを日常のオペレーションとして実施されている現場多いと思います。Fargateではできない、docker execを利用した調査、捗りますよね。そんな皆様に待望のアップデートです。 AWS Systems Manager Agent を Amazon ECS 用に最適化された Linux 2 AMI にプリインストール SSMエージェントがプリインストールされるということは、セッションマネージャーが使えるということです。という
事前準備、確認 IAMユーザー、スイッチロールの設定 アカウントBのロールにセッションマネージャー接続が可能な権限があることを確認します。 今回は以下の権限を追加しました。 AmazonSSMFullAccess MFAが有効化されているユーザーを使用する場合、ローカルPCのAWS CLI configには以下のようにスイッチロール先の設定を記載します。 profile名はaccountBで設定しています。 [profile accountB] role_arn = arn:aws:iam::<AWSアカウントBのアカウント番号>:role/accountBrole source_profile = accountA mfa_serial = arn:aws:iam::<AWSアカウントAのアカウント番号>:mfa/accountAuser EC2(踏み台サーバ) アカウントBにあるEC2
クライアント認証と Path Based Routing が必要なサーバを AWS で構築(後編:App 層) | MEDLEY Developer Portal
2017-08-24クライアント認証と Path Based Routing が必要なサーバを AWS で構築(後編:App 層)今回の内容についてメドレー開発本部の田中です。 先日、Proxy 層を Elastic Beanstalk 上の Nginx で、App 層を EC2 インスタンスで構築する機会がありました。ここだけ見るととても普通に見えますが、制約があることで苦労した点もあり(前編参照)、制約を乗り越えるための工夫も含めてお話できる限り共有させていただきます。 前編ではProxy 層の構成として、主に Nginx を使用した Path Based Routing 周りについてのお話でした。後編では App 層で使用した EC2、 Systems Manager パラメータストアあたりについて共有いたします。 App 層の構成App 層の方針や構築の流れ等をまとめると以下の通り
mediba advent calendar 2017 15日目担当の沼沢 @numasawa です。 インフラストラクチャー部所属、AWS インフラ全般やってます。 SSM の記事ではありますが、タイトルに深い意味はありません。 皆さん、SSM 使ってますか?というより知っていますか? Amazon EC2 Systems Manager ←こいつですね。 今回はこの SSM についてお話をしたいと思います。 なお、"SSM" は Simple Systems Manager の略なのですが、公式紹介ページでの名称から Simple が無くなっているのはとても深い謎です。 公式ドキュメント内でも表記が揺れているようですので、気にしないでおきましょう。 SSM とは そもそも SSM とはなんぞや。 一番簡単な使い所で言うと、ssh ログインせずとも、Management Console
AWS Systems Manager パラメータストア + Chamberで機密情報を管理する | DevelopersIO
シークレットの保存 chamber writeで、引数で指定した値をSSMパラメータストアに保存します。 ## chamber write <service> <key> <value> $ AWS_PROFILE=prod chamber write prod/web dbuser prod-user01 上記のコマンドを実行すると、SSMパラメータストア上では/prod/web/dbuserというキーで値prod-user01が保存されます。 はシークレットをまとめて管理する単位、といったイメージです。例えばWebサーバーで使用するシークレットを保存する場合はに「web」や「prod/web」等を指定し、````に「dbuser」等を指定する使い方になります。 指定したキーがすでに存在する場合は、新しいバージョンでシークレットが保存されます。 またvalueの代わりに-を指定することで
(初心者向け)EC2に CloudWatch エージェントをインストールして SSM で起動する | DevelopersIO
コンサル部@大阪オフィスのYui(@MayForBlue)です。 今回は EC2 に CloudWatch エージェントをインストールして SSM ( AWS Systems Manager ) を使って起動する方法をご紹介します。 わりと初歩的な内容かな?と思うのですが、個人的にハマりどころが多かったので手順を残しておきたいと思います。 構成 今回はパブリックサブネットに構築したEC2インスタンスにCloudWatchエージェントをインストールします。 EC2 インスタンスからインターネットゲートウェイを経由して CloudWatch にログをプッシュします。 なお、EC2 インスタンスから CloudWatch にログをプッシュするためにはアウトバウンドのインターネット接続が必要になります。 やってみる 前提条件 EC2インスタンス、インターネットゲートウェイは構築済みとします。 また
何の話? 以前、うちのエンジニアの人たちに、EC2に接続するときはSSHやめて、セッションマネージャーすすめてみたんですが、SSHでのターミナルだけでなく、SCPでのファイルコピーとか、インスタンス内でサービス立ち上げてアクセスするためにPortforwardとか頻繁に使うってことであまりセッションマネージャーは使っていなかったんですが・・・ こんなアナウンスが。 Session Manager launches tunneling support for SSH and SCP これはもしや! セットアップ クライアント側 セッションマネージャープラグイン 1.1.22.0 が必要なのでアップデートしましょう。 https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-working-with
AWS System Manager Sessions Manager を使用した新しい機能 – Port Forwarding | Amazon Web Services
Amazon Web Services ブログ AWS System Manager Sessions Manager を使用した新しい機能 – Port Forwarding 昨今不変のインフラストラクチャアーキテクチャパターンを採用しているお客様が増えており、更新ごとにインフラストラクチャ全体を再構築およびリデプロイしています。SSH や RDP を介してサーバーに接続して、設定を更新したり、ソフトウェアの更新をデプロイしたりすることはほとんどありません。ただし、既存のアプリケーションをクラウドに移行する場合、Amazon Elastic Compute Cloud (EC2) インスタンスに接続して、さまざまな管理タスクまたは運用タスクを実行するのが一般的です。攻撃にさらされる面を減らすために、AWS では、ジャンプホストとも呼ばれる Bastion ホストを使用することをお勧めしま
Tera TermでSSMセッションマネージャーを通してSSHアクセスしてみる | DevelopersIO
こんにちは!コンサル部のinomaso(@inomasosan)です。 SSMセッションマネージャーを使用すれば、プライベートサブネットにあるEC2 Linuxに、SSHなしで簡単に接続することができます。 もし、業務上の要件でローカル端末からEC2に直接ファイル送受信したい場合、SSH接続を検討する必要があります。 SSMセッションマネージャーでは、SSHありでも接続可能です。 Windows端末の場合はOpenSSHを使用して頂くのが一番手取り早いです。 ただ、Tera Termを利用したいケースもあるかと思いますので、今回は基本的な接続方法を試してみました。 SSMセッションマネージャーの準備 以下のブログを参考に準備しました。 上記ブログはAWS CLIのバージョンが古いため、最新のバージョン2をインストールしています。 尚、SSHのconfigは今回の検証では設定不要です。 もし
AWS CDKでAWS Systems Manager パラメータストア及びAWS Secrets Managerからパラメータを取り込む方法 | DevelopersIO
valueFromLookup このメソッドを使うと生成するテンプレートにパラメータストアに格納されていたStringを転記します。テンプレートに転記する為、SecureStringに対して使用する事ができません。SecureStringに対して使用できてしまうと、CloudFormationに対する読み取り権限があれば誰でもテンプレートを閲覧する事で内容を確認できてしまいます。Stringに対してパラメータストアの階層構造などで権限管理している場合、その管理から外れて閲覧できるユーザーが発生しうるので注意が必要です。 パラメータのバージョンはlatestに強制されます。 実は、SecureStringに対して使用する事は出来ますが、暗号化されたままの文字列で取り出されるので使い道はありません。 import { Construct, RemovalPolicy, Stack, Stack
2021/3/16 ついにecsのfargateにもaws cli経由でdocker exec的なことができるようになったそうです。 実際に僕もfargateのecsクラスタでためしてみましたが、 タスクroleに権限追加したのと、platform-veresionを1.4.0に、さらに、ドキュメンにあるとおりの追加のオプションをつけるだけでローカルのmacからecsのコンテナに入ることができました。 こちらのほうがだいぶ使いやすそうなので、これからはこちらがおすすめだと思います。 https://aws.amazon.com/jp/about-aws/whats-new/2021/03/amazon-ecs-now-allows-you-to-execute-commands-in-a-container-running-on-amazon-ec2-or-aws-fargate/ 一点ハ
![[AWS ECS]Fargateのcontainerにシェルで入りたい(sshd無しで!) - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/01a78bfce541597339d32b037a70ca2cc08bf620/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-412672c5f0600ab9a64263b751f1bc81.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTk3MiZoPTM3OCZ0eHQ9JTVCQVdTJTIwRUNTJTVERmFyZ2F0ZSVFMyU4MSVBRWNvbnRhaW5lciVFMyU4MSVBQiVFMyU4MiVCNyVFMyU4MiVBNyVFMyU4MyVBQiVFMyU4MSVBNyVFNSU4NSVBNSVFMyU4MiU4QSVFMyU4MSU5RiVFMyU4MSU4NCUyOHNzaGQlRTclODQlQTElRTMlODElOTclRTMlODElQTclRUYlQkMlODElMjkmdHh0LWFsaWduPWxlZnQlMkN0b3AmdHh0LWNvbG9yPSUyMzIxMjEyMSZ0eHQtZm9udD1IaXJhZ2lubyUyMFNhbnMlMjBXNiZ0eHQtc2l6ZT01NiZzPWM0ZjA3OWJhYWMzMTVhMGNkZWEzZTZlMmMzOGUwMTI1%26mark-x%3D142%26mark-y%3D57%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZoPTc2Jnc9NzcwJnR4dD0lNDBwb2NhcmkmdHh0LWNvbG9yPSUyMzIxMjEyMSZ0eHQtZm9udD1IaXJhZ2lubyUyMFNhbnMlMjBXNiZ0eHQtc2l6ZT0zNiZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZzPTI1NGQxNTkwNTE4MmJjOWUzNjg2ZDQ3MjVjMGQzNmQ0%26blend-x%3D142%26blend-y%3D436%26blend-mode%3Dnormal%26txt64%3DaW4g44GX44GP44G_6KO95L2c5omA5qCq5byP5Lya56S-%26txt-width%3D770%26txt-clip%3Dend%252Cellipsis%26txt-color%3D%2523212121%26txt-font%3DHiragino%2520Sans%2520W6%26txt-size%3D36%26txt-x%3D156%26txt-y%3D536%26s%3De63545d2bca5edbce0195a4b1cb59bf7)
AWSなら、踏み台サーバー無しでWindowsサーバにRDP接続できるようになった。便利だけど、設定方法をすぐ忘れちゃうのでメモ。 今まで: Linux 踏み台サーバーを経由して、AWS Windowsサーバーにリモートデスクトップ接続していた(RDP over SSH)。 メリット:使い慣れている。SSH鍵を所有する人だけがOSにログインできた。 デメリット:会社のHTTP/HTTPSプロキシ経由では、RDPがブロックされて接続できない。 これから: AWS Systems Manager (SSM)のセッションマネージャー経由でEC2 Windowsサーバーにリモートデスクトップ接続したい。 メリット:会社のHTTP/HTTPSプロキシ経由でも、クラウドのサーバーOSにSSHクライアントやRD接続でログインできるかも。 デメリット:AzureやIBM Cloudなどの他クラウドと異なる
KeycloakはOIDC認証等を利用してシングル・サインオンを実現するOSSです。 先日、Keycloakの環境を検証する機会があったので、構築手順をまとめました。 本ブログはその備忘録です。 先日、Keycloakの環境を検証する機会があったので、構築手順をまとめました。 本ブログはその備忘録です。 Keycloakとは KeycloakはOIDC認証等を利用してシングル・サインオンを実現するOSSです。 Keycloak より詳細に知りたい方は、@ITの記事がわかりやすいので、こちらを御覧ください。 マイクロサービス時代のSSOを実現する「Keycloak」とは:Keycloak超入門(1) - @IT 構成図 こんな感じの構成をCloudFormationで作ります。Keycloakは、EC2上のDockerで動かします。 HTTPS接続できるようにするため、ALBをSSL終端にし
[新機能] AWS Systems Manager から Managed Instance のパスワード変更が可能になりました! | DevelopersIO
[新機能] AWS Systems Manager から Managed Instance のパスワード変更が可能になりました! こんにちは 園部です。 AWS Systems Manager(以下、SSM)といえば、最近 Session Manager でアップデートがありましたね。 個人的にも興味深いものでした。 この辺りは弊社メンバーも取り上げてくれています。 [ついに来た!?] AWS Systems Manager セッションマネージャーを OS ユーザー指定で使えるようになりました AWS Systems Manager セッションマネージャーでSSH・SCPできるようになりました 今日は、同時期に新しい機能として追加された 「パスワード変更」 機能について取り上げていきます。 You can reset the password for any user on a manag
AWS Systems Managerインベントリはどのアプリケーション情報を収集しているのか調べてみた | DevelopersIO
しばたです。 先日弊社吉井によりAWS Systems Managerインベントリの機能を使い「管理している EC2 インスタンスにインストールされているソフトウェアとそのバージョンを一覧表示する」記事が公開されました。 EC2インスタンスにインストールされているソフトウェアとバージョン一覧を表示したい Systems ManagerインベントリではSSM Agentの機能で対象となるEC2インスタンスにインストールされているアプリケーション情報を収集しています。 ここで単純に「インストールされているアプリケーション」と記載しましたが、実際には各OSにおけるアプリケーションのインストール方法およびその検出方法は千差万別です。 本記事ではSystems ManagerインベントリおよびSSM Agentがどの様な「アプリケーション」を検出対象としているか調べてみました。 ドキュメントの記載
ECS(Fargate)で動かすコンテナにSSMからクレデンシャル情報を渡す - Khigashiguchiのソフトウェアエンジニアリング探求日誌
発表時の資料 本記事に関する発表資料はこちらです。 ※ プラットフォームバージョン1.3以上の場合 この記事はプラットフォーム1.3より前を使用する前提で記載しています。 1.3以上をお使いになる場合は、こちらの記事をご覧ください。 https://devblog.thebase.in/entry/2019/01/16/110000 目次 クレデンシャル情報の扱い方 概要構成 具体的な手順 参考資料 クレデンシャル情報の扱い方 クレデンシャル情報の扱い方を考えるに当たり、Beyond the Twelve-Factor Appというクラウドネイティブアプリケーションの設計パターンについて説明した資料がよく参照されています。 上記の資料内の「05. CONFIGURATION, CREDENTIALS, AND CODE」という章で次のように記載されています。 「今すぐにでもコードをオープン
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ECSでごっつ簡単に機密情報を環境変数に展開できるようになりました! | DevelopersIO
1日でSSHをやめることができた話 #jawsdays
セッションマネージャー越しにSSHアクセスすると何が嬉しいのか | DevelopersIO
EC2インスタンスへのシェルアクセスサービスを雑にまとめてみた | DevelopersIO
AWS CDKでECS Fargate Bastionを一撃で作ってみた | DevelopersIO
スイッチロール先のアカウントにあるRDSにローカルPCから接続 | DevelopersIO
EC2 SSM で ssh レスの夢を見るか - Qiita
Session ManagerでSCPとかSSH Portforwardもできる! - Qiita
[AWS ECS]Fargateのcontainerにシェルで入りたい(sshd無しで!) - Qiita
図解で、もう踏み台要らずAWS SSM経由Windowsサーバーにリモートデスクトップ接続 - Qiita
KeycloakをALB+EC2構成で構築してみた | DevelopersIO