はじめに

AWSコンソール上からWindowsServerにユーザを作成できる機能があることを知ったので実際に試してみました。

流れ

1.前提条件
2.AWS Systems Manager設定
3.IAMロール設定
4.OSユーザ作成
5.実機確認

1. 前提条件

・VPC・EC2等が作成済み
・SGのアウトバウンドで443ポートを開放済み
・OSに最新バージョンのSSMAgentがインストール済み(プリインストールされているAMIもあります)
・セッションマネージャで利用するKMSキーが作成済み(ユーザ作成時にパスワード設定する場合)

2. AWS Systems Manager設定

はじめにフリートマネージャを利用してユーザを作成するために、セッションマネージャの設定を行います。
ナビゲーションペインより「セッションマネージャ」を選択し、設定タブから「General preferences」の編集を押下します。

「Enable KMS encryption」にチェックを入れ「KMS key option」にあらかじめ作成したKMSキーを選択します。

設定を保存したのち、「KMS encryption」が「Enabled」と表示されていれば設定完了です。

3. IAMロール設定

EC2インスタンスにアタッチするIAMロールを作成します。

IAMロールにアタッチするポリシーは以下の2つです。

・AmazonSSMManagedInstanceCore(AWS管理ポリシー)
・KMSへのアクセス権限を与えるカスタマー管理ポリシー(ユーザ作成時にパスワード設定する場合)

2つ目のカスタマー管理ポリシーは下記の内容で作成してください。

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": [
      "kms:Encrypt",
      "kms:Decrypt"
    ],
    "Resource": "設定したKMSキーのARN"
  }
}

作成したIAMロールをEC2インスタンスにアタッチしたらIAMロール設定は完了です。

4. OSユーザ作成

Systems Managerのナビゲーションペインより「フリートマネージャ」を選択し、ユーザを追加したいインスタンスのノードID(＝インスタンスID) を押下します。全般から「ユーザとグループ」を選択すると現在サーバ上に存在するユーザの一覧が表示されます。

右上の「新しいユーザーの作成」を押下します。
作成するユーザの名前、説明(オプション)、パスワード設定(オプション)を入力して「新しいユーザーの作成」を押下します。

ユーザの一覧に作成したユーザが追加されていることを確認し、OSユーザ作成は完了です。

今回は作成したユーザでRDP接続するためにユーザをグループに追加します。
作成したユーザを選択し、「アクション」から「ユーザをグループに追加」を選択
「Remote Desktop Users」を追加します。

5.実機確認

実際にサーバにユーザが追加されているか確認します。
今回はフリートマネージャの機能の「リモートデスクトップ」を利用します。
全般の「リモートデスクトップ」から認証タイプ「ユーザ認証情報」を選択し、ユーザ名とパスワードを入力します。

「接続」を押下するとコンソール上からサーバに接続できます。

サーバ上の「computer management」でもユーザが作成されていることが確認できました。

おわりに

コンソールからユーザを追加する機会はあまりないと思いますが、方法の一つとして頭の片隅に置いておきたいと思います。