AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post

EC2インスタンスとのファイル送受信の簡易かつ理想的な方法はあるのか?

0

サービスのEC2インスタンスの設定をする状況。デバッグ対応等でインスタンスとローカル開発マシンとのファイルの送受信(臨時パッチの送信、ログ等の受信)の必要が発生すると想定される。

キーペアを用いてSSH/SCPをすればファイルの送受信は行える。しかしキーペアはインスタンスにつきひとつであるため重要なキーを複数の開発要員で共有しなければならず理想的ではない。インスタンスにメンバー分のSSHキーをインストールすればメンバーごとの鍵になるが、これではAWSユーザーの管理と乖離してしまい離職等のシチュエーションでの鍵情報メンテナンスが煩雑化する。

SSMセッションマネージャーを用いればAWSユーザーに紐づいたアクセス権でのシェルログインはできるがstart-sessionではファイルの送受信はできない。start-sessionをSSHプロキシとして利用すればSCPも使えるがやはり共有のキーペアかAWS管理ではないsshキーの管理のどちらかしかできない。

S3を経由すればAWSの権限管理の下で個別の開発メンバーがインスタンスとファイルの送受信ができるが今度はS3の管理が煩雑になってしまう。

aws ssm start-sessionにファイルの送受信の機能がないのは単なる機能の不備なのか?それともファイルの送受信は基本的には自動化されアドホックな需要がそもそも発生しないようにするというのがAWSの哲学なのか?

緊急対応や開発時のデバッグのためのインスタンスとのファイルの送受信について簡便で権限管理が合理的な手段は存在しないのか?

Googleクラウドのgcloudコマンドであればsshとともにscpサブコマンドも提供されGoogleクラウドの権限管理のもとでローカルとのファイル送受信が可能となっている。

トピック
セキュリティ、アイデンティティ、コンプライアンス管理とガバナンス計算する
タグ
AWS Identity and Access ManagementAWS コマンドラインインターフェイスAmazon EC2AWSシステムマネージャーAWS アカウントマネジメント
言語
日本語
Yusuke Suzuki
質問済み 1ヶ月前512ビュー
2回答
0

SSHキーなどの管理が懸念なのであればS3にファイルを送るようにするのが楽だと思います。
S3であればIAMユーザーなりIAM Identity Centerで権限を与えられたユーザーのみがS3にアクセスできますし、退職などでメンバーの整理が必要であればユーザー削除で終わります。

S3を経由すればAWSの権限管理の下で個別の開発メンバーがインスタンスとファイルの送受信ができるが今度はS3の管理が煩雑になってしまう。

S3の管理が複雑になるというのは具体的にどのようなケースを想定されていますでしょうか?
例えばEC2にはログアップロード用のS3にのみアクセスするIAMロールをアタッチしておけば複数のS3にアップロードさせるみたいなことを防ぐことができると思います。
https://recipe.kc-cloud.jp/archives/7456/

profile picture
エキスパート
Riku_Kobayashi
回答済み 1ヶ月前
0

(そもそもアドホックな作業が発生するのがよろしくないのですが)アドホックな作業についてS3バケットを用意しようとすると誰が作ったか、それがなんなのか、いつ削除していいのか、削除の際に他のものと混同しないか、などの懸念があり検討をせねばならずそれを煩雑であると書きました。直接ファイルを送ることができるのであればレビューと保存は開発環境側で完結します。S3という一時ディレクトリの管理に頭を悩ませることはなくなります。

Yusuke Suzuki
回答済み 25日前

ログインしていません。 ログイン 回答を投稿する。

優れた回答とは、質問に明確に答え、建設的なフィードバックを提供し、質問者の専門分野におけるスキルの向上を促すものです。

質問に答えるためのガイドライン

関連するコンテンツ