ablog

不器用で落着きのない技術者のメモ

Private Subnet の EC2 にセッションマネージャーで接続できない

AWS

IAM ロールも VPC エンドポイントも正しく設定しているのに、Private Subnet の EC2 にセッションマネージャーで接続できない場合の原因と解決策。

事象

Private Subnet の EC2 にセッションマネージャーで接続できない。
以下の VPC エンドポイントは作成している。
- com.amazonaws.region.ssm
- com.amazonaws.region.ec2messages
- com.amazonaws.region.ssmmessages
EC2 インスタンスに AmazonSSMManagedInstanceCore（IAMポリシー）をアタッチした IAM ロールをアタッチしている。

原因

VPC エンドポイントに関連付けているセキュリティグループのインバウンドで EC2 インスタンスからの https が許可されていないため。

解決策

VPC エンドポイントに関連付けているセキュリティグループで VPC やサブネットの CIDR、EC2 にアタッチしているセキュリティグループなどからのインバウンドの https を許可する。

参考

[Security group] で既存のセキュリティグループを選択するか、新しいセキュリティグループを作成します。新しいセキュリティグループを作成した場合は、VPC コンソールを開き、[Security Groups] をクリックした上で、作成したセキュリティグループを選択します。[Inbound Rules] タブで [Edit inbound rules] を選択します。以下の詳細を含むルールを追加してから、[Save rules] を選択します。
[Type] で [HTTPS] を選択します。
[Source] で [VPC/Subnet CIDR] を選択します。
セキュリティグループ ID を書き留めます。この ID は、他のエンドポイントで使用します。
Systems Manager を使用したインターネットアクセスなしでのプライベート EC2 インスタンスの管理

関連

Session Manager plugin で Private Subnet の EC2 に踏み台なしで接続する - ablog