SSMセッションマネージャーでEC2タグベースのアクセス制御を試してみた

• URL: https://dev.classmethod.jp/articles/ssm-tag-base
• 日付: 2026-06-22
• Tier: Tier 2
• 要旨: AWS Systems Manager Session Manager で EC2 へのアクセスを IAM ポリシー + EC2 タグで制御。VPC エンドポイント経由でSSM接続（NAT Gateway 不要）。Terraform で検証環境構築。構成：プライベートサブネット EC2・3 つの VPC エンドポイント（SSM/SSMMessages/EC2Messages）・IAM ロール・タグベースアクセス制御。EC2 に SSMAccess=allowed タグを付与、IAM ポリシーで ec2:ResourceTag 条件キーで制御。

詳細

AWS Systems Manager Session Manager で EC2 へのアクセスを IAM ポリシー + EC2 タグベースで制御。構成：プライベートサブネット EC2（パブリック IP なし）→ VPC エンドポイント経由で SSM 接続（NAT Gateway 不要）。Terraform で検証環境構築。構成要素：(1) VPC + プライベートサブネット、(2) 3 つの VPC エンドポイント（com.amazonaws.region.ssm / ssmmessages / ec2messages）に Interface タイプ指定・Private DNS 有効化・VPC エンドポイント用セキュリティグループで VPC 内 443 許可、(3) EC2 インスタンスに IAM ロール・SSMAccess=allowed タグ付与、(4) IAM ポリシー ec2:ResourceTag で タグベースアクセス制御。利点：限定 EC2 へのみ Session Manager 接続可・タグで柔軟管理・パブリック IP/NAT Gateway 不要。Terraform で aws_vpc/aws_subnet/aws_vpc_endpoint（SSM/SSMMessages/EC2Messages）/aws_security_group/aws_instance でコード化。