本記事は、AWS ECS on Fargateへ ECS execを利用してシェルログインを行う手順を記載する。

ECS execについて

ECS execは、ECSクラスター上で起動している ECSインスタンス / Fargate に対してコンテナ内でコマンドを実行したり、シェルを取得する事が出来る機能。

前提条件

• ECS Exec は対象が Linux コンテナでのみサポートされる。
• AWS Management Console からの実行は不可能でAWS CLI から行う必要がある。 また、AWS CLI バージョン 1.19.28 以上 または バージョン 2.1.31 以上でないと、コマンドが実行できないため注意が必要。
• Systems Manager の Session Managerを利用して、実行中のコンテナとの接続を確立するため、インターフェイス Amazon VPC エンドポイントを作成する必要がある。
• EC2にて利用する場合、2021年 1月 20日以降にリリースされた Amazon ECS 最適化済みの AMI 、エージェントバージョン 1.50.2 以上で使用する必要がある。 Fargateにて利用する場合は、プラットフォームバージョン 1.4.0 以上を使用する必要がある。

手順

IAMロール

ECS Exec を使用するためには、ECSタスクロールに SSMエージェントとSSMサービス間の通信に必要な権限をコンテナに付与する必要がある。
ECS Exec で使用するコンテナのタスクロールに、以下の IAM ポリシーを追加する。

{
   "Version": "2012-10-17",
   "Statement": [
       {
       "Effect": "Allow",
       "Action": [
            "ssmmessages:CreateControlChannel",
            "ssmmessages:CreateDataChannel",
            "ssmmessages:OpenControlChannel",
            "ssmmessages:OpenDataChannel"
       ],
      "Resource": "*"
      }
   ]
}

ECS on Fargate

ECS クラスター / サービス / タスク定義は既に作成している前提

既に使用しているタスクに対して ECS Execを有効する事は出来ない。
そのため、サービスに設定されている "enableExecuteCommand" という ECS Execを有効にする設定の変更を行う必要がある。
enableExecuteCommandはデフォルトで falseとなっている。

aws ecs describe-services --cluster <cluster-name> --service <service-name>

サービスの更新を行い、 enableExecuteCommandを tureに変更する。

aws ecs update-service --cluster <cluster-name> --service <service-name> --enable-execute-command 

enableExecuteCommandが trueになっている状態から起動をしないとタスクは有効にならない。

aws ecs describe-tasks --cluster <cluster-name> --tasks <task-ID>

サービスが更新された状態でタスクを起動して、enableExecuteCommandが有効になっているか確認する。

この状態で ECS Execが使用可能となるため、ecs execute-commandを実行してシェルログインを行う。
ecs execute-commandでは --interactive / --commandオプションが必須であり、 --commandでは、コンテナで実行するコマンドを指定する。

aws ecs execute-command --cluster <cluster-name> --task <task-ID> --container <container-name> --command "<command>" --interactive

コンテナに対してシェルログインを行う場合は、 --command "/bin/bash" を指定して、実行すると、セッションがスタートし、ログインが可能となる。