SSM接続の謎を深堀してみた

musaka.k

目次

  • はじめに
  • ゴール
  • そもそもインターネットとは
  • AWS グローバルインフラストラクチャとは
  • まとめ

はじめに

SSM接続、便利です。
インターネットにでることなくエージェントがインストールされているインスタンスに接続できます。
しかもインバウンドを開けておく必要がなく、特定のエンドポイントにアウトバウンド(443)が許可されていれば使用可能です。

ただ、よく考えたらこれってどんな仕組みを使っているだろう?
というわけで、記事にしてみました。

ゴール

・SSM接続がなぜインターネットを経由することなく、プライベートサブネットに配置されているインスタンスに接続可能なのか理解する

そもそもインターネットとは

そもそもの話ですが、インターネットでは末端のデバイス(スマホやPCなど)以外はすべて物理的なケーブルでつながっているという前提があります。

こんな感じにケーブルが海を越えて張り巡らされています・・・少し気持ち悪いですね(笑)
画像引用元
file

つまり、例えば、東京からニューヨークのサーバーにアクセスする場合:

  1. 自宅ルーター
  2. 日本の主要ネットワーク
  3. 海底ケーブル
  4. アメリカの主要ネットワーク
  5. ニューヨークのデータセンター
  6. 目的のサーバー

という経路をたどります。
インターネットをさらに理解するために重要な概念が「自律システム」(Autonomous System、略してAS)です。ASとは、インターネットを構成する独立した組織のネットワークのことです。
先ほどのニューヨークへトラフィックの流れを言い換えると、物理的なケーブルを経由しながら複数のASを跨いで、出発点から目的地に到達することになります。

なので、インターネットとは複数のASの集まりと一言で表現することも可能ですね。
※TierやBGPという概念は記事の本旨から外れるので説明は省きます。

AWS グローバルインフラストラクチャとは

AWSのグローバルインフラストラクチャーとは、Amazonが世界中に構築したデータセンターやネットワーク設備の集合体です。
こちらには以下の特徴があります。
引用元

①プライベートネットワークですべての AWS リージョン(中国リージョン除く)とエッジロケーションを接続
②完全冗⻑の複数の 100 GbE メトロファイバーネットワーク
③暗号化されたネットワークトラフィック

file

つまり、AWSは世界中にデータセンター(リージョン・アベイラビリティーゾーン)を持っているため、インターネット(複数のASをまたいで通信する経路)を使わずに、AWS内のリソース間で通信することができます。

VPCに関するよくある質問を記載します。
引用元
質問

2 つのインスタンスがパブリック IP アドレスを使用して通信する場合、またはインスタンスがパブリックな AWS のサービスエンドポイントと通信する場合、トラフィックはインターネットを経由しますか?

回答

いいえ。パブリック IP アドレスを使用する場合、AWS でホストされているインスタンスとサービス間の
すべての通信は AWS のプライベートネットワークを使用します。
AWS ネットワークから発信され、AWS ネットワーク上の送信先を持つパケットは、
AWS 中国リージョンとの間のトラフィックを除いて、AWS グローバルネットワークにとどまります。

さらに、データセンターとリージョンを相互接続する AWS グローバルネットワークを流れるすべてのデータは、安全性が保証された施設を離れる前に、物理レイヤーで自動的に暗号化されます。すべての VPC クロスリージョンピアリングトラフィックや、カスタマーまたはサービス間のトランスポート層セキュリティ (TLS) 接続などといった追加の暗号化レイヤーもあります。

今回の焦点であるVPCエンドポイントを使用したSSM接続は質問にあるインスタンスがパブリックな AWS のサービスエンドポイントと通信するに該当するため、SSM接続はインターネット(ほかのAS)を経由しない。ということがわかります。

まとめ

通常のEC2への接続(RDPなど)とSSM接続をした場合の通信の流れを整理すると

通常の接続(インターネット経由)

PC → 最寄りISP(AS) → 複数の中継AS → サーバーのISP(AS) → EC2インスタンス

SSM接続(AWSプライベートネットワーク経由)

PC → AWS管理コンソール → AWS独自のAS内のネットワーク → EC2インスタンス

となります。

参考

公式
https://aws.amazon.com/jp/about-aws/global-infrastructure/

VPCよくある質問
https://aws.amazon.com/jp/vpc/faqs/?nc1=h_ls

AWSのグローバルIPの空間はインターネットなのか?
https://tech.nri-net.com/entry/2021/05/10/085654

Last modified: 2025-04-19

Author