あるグローバル企業が AWS Organizations で管理するマルチアカウント環境において、すべての EC2 インスタンスへの SSH/RDP アクセスをセキュアに管理したいと考えています。SSH キーペアの管理をなくし、監査ログを残し、踏み台サーバー(Bastion Host)を廃止したいと考えています。また、アクセスは IAM Identity Center で管理されるユーザーの役割に基づく必要があります。最も適切な実装はどれですか?
- A. 全アカウントで踏み台サーバーを AWS Managed Microsoft AD に統合し、AD グループでアクセスを管理する
- B. AWS EC2 Instance Connect エンドポイントを各 VPC に作成し、SSH キーをプッシュして一時的なアクセスを提供する
- C. AWS Systems Manager Session Manager を全アカウントで有効化し、EC2 インスタンスに SSM Agent をインストールする。IAM Identity Center の権限セットに Session Manager の実行権限を付与し、CloudTrail と Session Manager のセッションログを S3 と CloudWatch Logs に記録する
- D. VPN と IAM ユーザーの組み合わせで接続を管理し、キーペアを AWS Secrets Manager に保存して定期ローテーションする
解答と解説を見る
正解: C
Systems Manager Session Manager は SSH キーペアや踏み台サーバーを一切不要にし、IAM ポリシーでアクセスを制御します。IAM Identity Center と統合することで役割ベースのアクセス管理が実現でき、セッションの開始・終了・コマンド実行が CloudTrail と Session Manager ログに完全記録されます。ポート 22/3389 の開放も不要でセキュリティが向上します。 A: Managed AD との踏み台統合では SSH キーの問題は解決されず、踏み台サーバーの管理負荷も残ります。要件の「踏み台サーバーの廃止」を満たしません。 B: EC2 Instance Connect エンドポイントは SSH キーをプッシュする方式であり、キーペア管理をなくす要件を完全には満たしません。また役割ベースのアクセス制御との統合も限定的です。 D: VPN と IAM ユーザーの組み合わせでは SSH キーの管理が依然必要で、IAM ユーザーの管理負荷も生じます。Identity Center との役割ベース統合も実現できません。
📚 関連サービスの解説: AWS Systems Manager ・ Amazon EC2