ある企業が、AWS で Web アプリケーションを運用している。セキュリティ監査で、EC2 インスタンスへのポート 22(SSH)がインターネット(0.0.0.0/0)に開放されていることが指摘された。SSH アクセスを廃止せずに、インターネットから直接アクセスできないよう改善したい。運用負荷を最小限にする最も適切なソリューションはどれか。
- A. AWS Systems Manager Session Manager を使用してブラウザまたは CLI から EC2 インスタンスに接続し、SSH ポート(22)をセキュリティグループから削除する。
- B. 踏み台(Bastion)ホストを別途 EC2 で構築し、踏み台のパブリック IP からのみ SSH を許可するようセキュリティグループを変更する。
- C. VPN 接続を構築し、VPN のプライベート IP アドレスからのみ SSH を許可するようセキュリティグループを変更する。
- D. EC2 インスタンスのセキュリティグループを修正して SSH ポートを完全に閉じ、コンソールアクセスのみを使用する。
解答と解説を見る
正解: A
AWS Systems Manager Session Manager は、SSM エージェント経由で EC2 インスタンスにブラウザや AWS CLI からセキュアに接続できる機能で、SSH ポートを一切開放する必要がない。セキュリティグループからポート 22 を完全に削除でき、接続の監査ログも CloudTrail と Session Manager ログで自動的に記録される。踏み台ホストの管理も不要で運用負荷が最も低い。選択肢Dは SSH を完全に廃止するものでコンソールアクセスのみでは実用上制限が多く、リモート接続の要件を失う可能性がある。選択肢Bの踏み台ホストは有効な手段だが、踏み台 EC2 自体の管理・パッチ適用・コストが追加で発生し、運用負荷が増える。選択肢CのVPN は構築・管理のコストが高く、小規模環境には過剰な投資になる場合が多い。
📚 関連サービスの解説: AWS Systems Manager ・ Amazon EC2