コーヒーが好きな木谷映見です。

本日は、AWS Systems Manager のセッションマネージャーを使用したリモートホストへのポートフォワードを制限してみます。

• セッションマネージャーでリモートホストへのポートフォワードを制限する経緯
• 準備：リモートホストへのポートフォワードができる環境を作る
• 検証：リモートホストへのポートフォワードは禁止する
• 検証：リモートホストへのポートフォワードもポートフォワードも禁止する
• 考慮事項
• 参考

セッションマネージャーでリモートホストへのポートフォワードを制限する経緯

2022年5月27日、AWS Systems Manager（以降、SSM と表記）のセッションマネージャーでリモートホストへのポートフォワード機能をサポートしたアップデートがありました。
aws.amazon.com

ここでメリットとして「手元のローカル端末からプライベートサブネットの RDS にログインして操作できる」ことが考えられました。

逆に考えると「"ssm:StartSession" Action が許可されたユーザであれば、RDS にログインして操作できてしまう」という側面も考えられます。
そこで、セッションマネージャーは使えるようにしつつ、リモートホストへのポートフォワードは禁止する IAM ポリシーを書いてみます。

準備：リモートホストへのポートフォワードができる環境を作る

リモートホストへのポートフォワードができる環境を整えます。

詳細は以下ブログをご参照ください。
blog.serverworks.co.jp

今回、AWS CLI を実行するユーザには "ssm:StartSession" Action を許可したポリシーを直接アタッチします。

手元のローカル端末で、リモートホストへのポートフォワード用のコマンドを実行します。

aws ssm start-session \
   --target i-bastionxxxxxxxxxx \
   --document-name AWS-StartPortForwardingSessionToRemoteHost \
   --parameters '{"host":["remote-rds.xxxxxxxxxxxx.ap-northeast-1.rds.amazonaws.com"],"portNumber":["3306"], "localPortNumber":["13306"]}'

実行結果

$ aws ssm start-session \
>   --target i-bastionxxxxxxxxxx \
>   --document-name AWS-StartPortForwardingSessionToRemoteHost \
>   --parameters '{"host":["remote-rds.xxxxxxxxxxxx.ap-northeast-1.rds.amazonaws.com"],"portNumber":["3306"], "localPortNumber":["13306"]}'

Starting session with SessionId: user-port-forwarding-to-remote-hosts-xxxxxxxxxxxxxxxxx
Port 13306 opened for sessionId user-port-forwarding-to-remote-hosts-xxxxxxxxxxxxxxxxx.
Waiting for connections...

ターミナルはこのまま、別途コマンドプロンプトを開き、ポートフォワード用ローカルポート番号 13306 ポートに接続します。

>mysql -u admin -p -h localhost -P 13306

リモートホストの Amazon RDS （MySQL） にログインできました。

検証：リモートホストへのポートフォワードは禁止する

AWS CLI を実行するユーザの IAM 権限を制限して、リモートホストへのポートフォワードを禁止します。

SSM ドキュメント AWS-StartPortForwardingSessionToRemoteHost へのアクションを拒否する IAM ポリシーを作成し、ユーザーグループに付与します。

IAM コンソール画面で [ポリシー] - [ポリシーの作成]をクリックします。
JSON でポリシーを記載してもいいのですが、今回はビジュアルエディタで作成してみました。

• ビジュアルエディタ
  • サービス：Systems Manager
  • アクション：StartSession
  • document：「ARN の追加」をクリック

document の ARN は以下のように指定します。

• Region：*
• Account：*
• Document name： AWS-StartPortForwardingSessionToRemoteHost

リモートホストへのポートフォワードアクションが定義された SSM ドキュメント名は、SSM コンソールの [共有リソース] - [ドキュメント] を開き、「Amazon が所有」タブで「 Session Documents」にチェックして探すと確認できます。

【今回作成したポリシー】

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": "ssm:StartSession",
            "Resource": "arn:aws:ssm:*:*:document/AWS-StartPortForwardingSessionToRemoteHost"
        }
    ]
}

このユーザーグループに、ユーザーを追加します。
追加したユーザーで、リモートホストへのポートフォワード用のコマンドを実行すると、以下のようにエラーになりました。

$ aws ssm start-session \
>   --target i-bastionxxxxxxxxxx \
>   --document-name AWS-StartPortForwardingSessionToRemoteHost \
>   --parameters '{"host":["remote-rds.xxxxxxxxxxxx.ap-northeast-1.rds.amazonaws.com"],"portNumber":["3306"], "localPortNumber":["13306"]}'

An error occurred (AccessDeniedException) when calling the StartSession operation: User: arn:aws:iam::716243146259:user/user-port-forwarding-to-remote-hosts is not authorized to perform: ssm:StartSession on resource: arn:aws:ssm:ap-northeast-1::document/AWS-StartPortForwardingSessionToRemoteHost with an explicit deny in an identity-based policy

ちなみに、通常のポートフォワードはできます。

$ aws ssm start-session \
>   --target  i-bastionxxxxxxxxxx \
>   --document-name AWS-StartPortForwardingSession \
>   --parameters "portNumber=22,localPortNumber=10022"

Starting session with SessionId: user-port-forwarding-to-remote-hosts-xxxxxxxxxxxxxxxxx
Port 10022 opened for sessionId user-port-forwarding-to-remote-hosts-xxxxxxxxxxxxxxxxx.
Waiting for connections...

検証：リモートホストへのポートフォワードもポートフォワードも禁止する

ついでに、AWS CLI を実行するユーザの IAM 権限を制限して、セッションマネージャーを利用したポートフォワード自体の禁止も試してみましょう。

SSM ドキュメント AWS-StartPortForwardingSessionToRemoteHost 、 AWS-StartPortForwardingSession へのアクションを拒否するポリシーを作成し、ユーザーグループに付与します。

【今回作成したポリシー】

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": "ssm:StartSession",
            "Resource": [
                "arn:aws:ssm:*:*:document/AWS-StartPortForwardingSessionToRemoteHost",
                "arn:aws:ssm:*:*:document/AWS-StartPortForwardingSession"
            ]
        }
    ]
}

このユーザーグループに、ユーザーを追加します。
追加したユーザーで、リモートホストへのポートフォワード用のコマンドを実行すると、以下のようにエラーになりました。

$ aws ssm start-session \
>   --target i-bastionxxxxxxxxxx \
>   --document-name AWS-StartPortForwardingSessionToRemoteHost \
>   --parameters '{"host":["remote-rds.xxxxxxxxxxxx.ap-northeast-1.rds.amazonaws.com"],"portNumber":["3306"], "localPortNumber":["13306"]}'

An error occurred (AccessDeniedException) when calling the StartSession operation: User: arn:aws:iam::716243146259:user/user-port-forwarding-to-remote-hosts is not authorized to perform: ssm:StartSession on resource: arn:aws:ssm:ap-northeast-1::document/AWS-StartPortForwardingSessionToRemoteHost with an explicit deny in an identity-based policy

通常のポートフォワード用のコマンドを実行すると、以下のようにエラーになりました。

$ aws ssm start-session \
>   --target  i-bastionxxxxxxxxxx \
>   --document-name AWS-StartPortForwardingSession \
>   --parameters "portNumber=22,localPortNumber=10022"

An error occurred (AccessDeniedException) when calling the StartSession operation: User: arn:aws:iam::xxxxxxxxxxxx:user/user-port-forwarding-to-remote-hosts is not authorized to perform: ssm:StartSession on resource: arn:aws:ssm:ap-northeast-1::document/AWS-StartPortForwardingSession with an explicit deny in an identity-based policy

考慮事項

以下のように、接続する AWS アカウント ID を指定すると、ポートフォワードの制御ができない（ポートフォワードできてしまう）ので、ご注意ください。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": "ssm:StartSession",
            "Resource": "arn:aws:ssm:*:123456789012:document/AWS-StartPortForwardingSessionToRemoteHost"
        }
    ]
}

参考

共有 SSM ドキュメントを使用する - AWS Systems Manager

Session Manager の追加サンプル IAM ポリシー - AWS Systems Manager

IAM ポリシーを使用して Systems Manager パラメータへのアクセスを制限する - AWS Systems Manager

AWS Policy Generator