ラボの概要
セキュリティグループは、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにアタッチされた仮想ファイアウォールです。セキュリティグループのルールでは、どのようなトラフィックがインスタンスに出入りする許可があるかを定義します。このラボでは、自分が Amazon EC2 インスタンスのアクセスルールを設定するよう指示された、セキュリティモニタリング担当者であると考えてください。認可されたトラフィックのみが、それぞれのインスタンスにアクセスできることを確認する必要があります。このタスクでは、どのトラフィックを許可するかを確認し、インスタンスにアタッチされているセキュリティグループのルールの内容を確認します。次に、接続をテストし、誤って設定されたルールを修正します。
このラボでは、アプリケーションサーバーとして機能する AppServer という名前のインスタンスが、プライベートサブネットで作成されています。つまり、インターネットから直接このインスタンスにアクセスできないということです。AppServer セキュリティグループのルールをテストするには、まず、同じ仮想プライベートクラウド (VPC) のパブリックサブネットで中間の Amazon EC2 インスタンスに接続します。中間インスタンスは踏み台ホスト (またはジャンプサーバー) と呼ばれるため、BastionHost という名前が付けられています。BastionHost 接続から、プライベートサブネット内の AppServer インスタンスのセキュリティグループルールに接続してテストします。踏み台ホストまたはジャンプサーバーモデルの実装は、プライベートサブネットリソースをリモートで管理するための、一般的なネットワークセキュリティ構成です。
パブリックサブネット内に PublicServer という名前の 2 つ目の Amazon EC2 インスタンスがあります。最初に PublicServer を使用して、SSH トラフィックが BastionHost から AppServer にのみ許可されることをテストして確認します。これにより、AppServer で不正な SSH オペレーションのリスクが最小限に抑えられます。後で、セキュリティ構成を BastionHost から PublicServer に複製して、冗長性のための 2 つ目の踏み台ホストを作成します。
簡単にするために、AWS Systems Manager サービスのエージェントが BastionHost と PublicServer にインストールされています。これにより、Systems Manager Session Manager を使用して、これらのいずれかのインスタンスに対する SSH セッションをブラウザで事前設定された URL を使って即座に作成できます。ラボの終盤には、従来の踏み台ホストを使用する代替としての Session Manager について詳しく調べます。
Session Manager は完全マネージド型の AWS Systems Manager の機能であり、これを使用すると、対話型、ワンクリック、ブラウザベースのシェルまたは AWS Command Line Interface (AWS CLI) を使って Amazon EC2 インスタンス、オンプレミスインスタンス、仮想マシン (VM) を管理できます。Session Manager では、セキュアで監査可能なインスタンス管理が提供されます。インバウンドポートを開いたり、踏み台ホストを維持したり、SSH キーを管理したりする必要はありません。また、Session Manager を使用すると、インスタンスに対するアクセスの制御、厳格なセキュリティプラクティス、インスタンスアクセスの詳細を含む完全に監査可能なログを必要とする企業のポリシーに容易に準拠できます。エンドユーザーは引き続き、ワンクリックのクロスプラットフォームアクセスでマネージドインスタンスにアクセスできます。
取り上げるトピック
このラボを修了すると、以下のことができるようになります。
- セキュリティグループを調べ、どのトラフィックが許可されているかを確認する
- Amazon EC2 インスタンスに適用されるセキュリティグループを変更する
- 最小権限の原則に従ってセキュリティグループを更新する
- セキュリティグループから他のセキュリティグループを参照する方法を理解する
- Session Manager を活用してインスタンスに接続する方法を理解する
前提条件
このラボの前提条件は以下のとおりです。
- Microsoft Windows、macOS、Linux (Ubuntu、SuSE、Red Hat) が搭載されている Wi-Fi 対応ノートパソコンを使用できること
注意: 受講者ガイドは iPad やタブレット端末でも閲覧できます (ラボ環境へのアクセスには使用できません)。
- Microsoft Windows ユーザーの場合は、コンピュータへの管理者アクセス
- Chrome、Firefox、Internet Explorer 9 (これより前のバージョンの Internet Explorer はサポート対象外) などのインターネットブラウザ
- オプション: PuTTY などの SSH クライアント
所要時間
このラボの所要時間は約 45 分です。
このラボで使用しない AWS のサービス
ラボ環境では、このラボで使用しない AWS のサービスにはアクセスできません。また、このラボで使用する各種サービスの機能は、ラボで必要なものに制限されています。このラボガイドに指定されていないサービスを使用したりアクションを実行したりすると、エラーが発生することがあります。
