以前、「SSM Session Manager 経由での SSH」で、Public IP address を持たない EC2 Instance に対して SSH 接続する方法を確認したが、SSM の Session Manager だけでは事前に EC2 Instance 側に Public Key が登録されている必要があった。
しかし、今回 Public Key の登録されていない Instance に SSH したくなった。確か、一時的な Public Key を登録する機能があったよな、ということでメモっておく。
一時的な Public Key を送った後に Session Manger を使って接続すれば今回やりたいことができる。
Public Key の登録は aws ec2-instance-connect send-ssh-public-key コマンドで行う。
aws ec2-instance-connect send-ssh-public-key \ --instance-id i-xxxxxxxxxxxxxxxxx \ --instance-os-user ec2-user \ --availability-zone ap-northeast-1c \ --ssh-public-key file://$HOME/.ssh/id_rsa.pub
わざわざ --availability-zone を指定しなくてはならないというのが面倒だが Instance Id から取ってくる wrapper を書く。
aws ec2 describe-instances \ --instance-ids i-xxxxxxxxxxxxxxxxx \ --query 'Reservations[0].Instances[0].Placement.AvailabilityZone' \ --output text
send-ssh-public-key で登録した Public Key は 60 秒間だけ有効なのでその間に SSM の Session Manager で接続します。これは「SSM Session Manager 経由での SSH」で書いた通りで ~/.ssh/config に次の様に書いておけば ssh ec2-user@i-xxxxxxxxxxxxxxxxx で接続できます。
host i-* mi-* ProxyCommand sh -c "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters 'portNumber=%p'"
とりあえずこんな wrapper で
#!/bin/bash instance_id=$1 user=ec2-user if [ -z "$instance_id" ] ; then echo "Usage: ssmssh [username@]instance_id" 1>&2 exit 1 fi echo $instance_id | grep -q @ if [ $? -eq 0 ] ; then user=$(echo $instance_id | cut -d @ -f 1) instance_id=$(echo $instance_id | cut -d @ -f 2) fi echo $instance_id | grep -q ^i- if [ $? -ne 0 ] ; then echo "invalid instance id: $instance_id" 1>&2 exit 2 fi echo "Getting availability zone of instance" 1>&2 az=$(aws ec2 describe-instances \ --instance-ids $instance_id \ --query 'Reservations[0].Instances[0].Placement.AvailabilityZone' \ --output text ) echo "Sending ssh public key" 1>&2 aws ec2-instance-connect send-ssh-public-key \ --instance-id $instance_id \ --instance-os-user $user \ --availability-zone $az \ --ssh-public-key file://$HOME/.ssh/id_rsa.pub echo "exec ssh $user@$instance_id" 1>&2 exec ssh $user@$instance_id
