MENU
  1. ホーム
  2. PowerShell
  3. PowerShellでAWS ECS Execを活用しコンテナのトラブルシューティングを効率化する方法

PowerShellでAWS ECS Execを活用しコンテナのトラブルシューティングを効率化する方法

PowerShell

PowerShellを使用してAWSのECS Exec機能を活用し、コンテナ内部でのトラブルシューティングを効率的に行う方法について解説します。

AWS ECS(Elastic Container Service)は、コンテナ化されたアプリケーションをスケーラブルに管理するための強力なサービスですが、実際の運用ではコンテナ内のエラー解析やデバッグ作業が必要になることがあります。従来、ECSで動作するコンテナにアクセスするには、docker execのようなローカル環境のツールを利用するか、SSHトンネルを設定するなどの手間がかかっていました。しかし、AWSは「ECS Exec」機能を提供することで、より簡単にコンテナへ直接アクセスし、トラブルシューティングを行えるようになりました。

本記事では、PowerShellを用いてECS Execを実行し、コンテナ内部の状態を確認する方法を詳しく説明します。また、ECS Execを活用することで得られるメリットや、よくあるエラーとその解決策、さらにはPowerShellスクリプトを利用した自動化の方法についても紹介します。AWS ECS環境のデバッグや保守業務を効率化したい方にとって、本記事が有益なガイドとなるでしょう。

目次
  1. AWS ECS Execとは?
    1. ECS Execの主な特徴
    2. 従来の方法との違い
  2. PowerShellを使うメリット
    1. 1. 高度なスクリプト処理が可能
    2. 2. Windows環境との親和性が高い
    3. 3. スクリプトによる自動化が可能
  3. AWS ECS Execを有効化する手順
    1. 1. IAMロールの設定
    2. 2. ECSタスクの更新
    3. 3. Systems Manager (SSM) エージェントの有効化
    4. 4. ECSサービスの再デプロイ
  4. PowerShellを使ったECS Execの基本操作
    1. 1. PowerShell環境の準備
    2. 2. 実行可能なECSタスクの確認
    3. 3. PowerShellを使ったECS Execの実行
    4. 4. ECS Execを利用したコンテナ内の操作
    5. 5. セッション終了
  5. コンテナ内でのトラブルシューティング手法
    1. 1. ログの確認
    2. 2. プロセスの監視
    3. 3. ネットワーク接続の確認
    4. 4. リソース使用状況の確認
    5. 5. トラブルシューティングの自動化
  6. よくあるエラーと対処法
    1. 1. 「An error occurred (AccessDeniedException)」エラー
    2. 2. 「Cannot execute command because the task does not have execute-command enabled」エラー
    3. 3. 「Session manager plugin not found」エラー
    4. 4. 「The container name does not exist」エラー
    5. 5. 「Timed out while waiting for handshake」エラー
    6. 6. 「NoCredentialProviders: no valid providers in chain」エラー
  7. PowerShellスクリプトでの自動化
    1. 1. ECS Execを自動実行するPowerShellスクリプト
    2. スクリプトの動作:
    3. 2. 特定のログを自動取得するスクリプト
    4. スクリプトの動作:
    5. 3. タスクのヘルスチェックを自動実行するスクリプト
    6. スクリプトの動作:
    7. 4. ECS Execの処理を定期的に実行するスケジュール設定
    8. 手順: タスクスケジューラに登録
    9. 5. CI/CD パイプラインでの自動デバッグ
    10. まとめ
  8. セキュリティとベストプラクティス
    1. 1. IAMポリシーによるアクセス制御
    2. 2. CloudTrailによる監査ログの有効化
    3. 3. SSMセッションログの保存
    4. 4. ネットワークセキュリティの強化
    5. 5. 一時的なアクセスの制御
    6. 6. 自動アラートの設定
    7. まとめ
  9. まとめ
    1. 重要なポイント

AWS ECS Execとは?


AWS ECS Execは、ECS(Elastic Container Service)で動作するコンテナに対し、セキュアな方法で直接アクセスできる機能です。従来、ECSで稼働するコンテナのトラブルシューティングを行う際には、SSHトンネルの設定や、ログを取得して分析する必要がありました。しかし、ECS Execを利用することで、コンテナのシェル環境へ直接接続し、リアルタイムで診断やデバッグを行うことが可能になります。

ECS Execの主な特徴

1. SSH不要でコンテナに直接アクセス


ECS Execは、AWS Systems Manager (SSM) エージェントを活用し、コンテナへ直接接続できる仕組みを提供します。そのため、従来のようにSSHキーの管理や特別なネットワーク設定を行う必要がありません。

2. AWS IAMによるアクセス制御


ECS ExecはIAMロールを利用してアクセスを管理するため、細かな権限設定が可能です。これにより、不適切なアクセスを防ぎながら、必要なユーザーだけがコンテナにアクセスできるように制御できます。

3. FargateとEC2ベースのECSタスクの両方で利用可能


ECS Execは、Fargateを利用したサーバーレス環境と、EC2ベースのECS環境の両方で利用できます。特にFargate環境では、ホストマシンにSSHアクセスができないため、ECS Execの利用価値が高まります。

従来の方法との違い

項目ECS ExecSSHアクセスCloudWatch Logs
直接コンテナに接続
追加のネットワーク設定
IAMによるアクセス制御
Fargateでの利用可否

ECS Execは、AWS環境でコンテナ管理を行う際の利便性を向上させ、デバッグ作業を簡素化する強力な機能です。次のセクションでは、PowerShellを使用してECS Execを活用するメリットについて詳しく説明します。

PowerShellを使うメリット

PowerShellを利用してAWS ECS Execを実行することで、AWS CLIよりも高度なスクリプト処理や自動化が可能になります。特に、Windows環境でAWS ECSを管理している場合、PowerShellの柔軟性と統合性を活かすことで、より効率的にコンテナ内のトラブルシューティングを行えます。

1. 高度なスクリプト処理が可能


PowerShellは、オブジェクト指向のシェル環境として動作し、コマンドの出力をオブジェクトとして扱うことができます。これにより、AWS CLIのJSON形式の出力を簡単に解析し、柔軟な処理を行うことが可能です。

例: ECSのタスク一覧を取得し、特定のコンテナを選択してECS Execを実行する

$clusterName = "my-cluster"
$taskArn = (aws ecs list-tasks --cluster $clusterName | ConvertFrom-Json).taskArns[0]
aws ecs execute-command --cluster $clusterName --task $taskArn --container my-container --command "/bin/sh" --interactive


このように、JSONデータをPowerShellのオブジェクトとして処理し、動的にコンテナを指定することができます。

2. Windows環境との親和性が高い


PowerShellはWindows環境に標準搭載されており、Windows ServerやローカルPCからAWS ECS環境をスムーズに管理できます。

  • PowerShellスクリプトを使ってECS Execを自動実行
  • スケジュールタスクで定期的にコンテナの状態をチェック
  • Windows Event Logsと連携してアラートを設定

3. スクリプトによる自動化が可能


PowerShellを活用することで、ECS Execを利用したトラブルシューティングのプロセスを自動化できます。

例えば、以下のスクリプトを使えば、特定のコンテナへ自動でアクセスし、エラーログを確認することが可能です。

$clusterName = "my-cluster"
$taskArn = (aws ecs list-tasks --cluster $clusterName | ConvertFrom-Json).taskArns[0]
aws ecs execute-command --cluster $clusterName --task $taskArn --container my-container --command "cat /var/log/app.log" --interactive

このように、PowerShellを活用することで、ECS Execの操作を効率的に自動化でき、運用負担を軽減できます。

次のセクションでは、ECS Execを利用するための設定手順について詳しく解説します。

AWS ECS Execを有効化する手順

ECS Execを利用するには、事前にいくつかの設定を行う必要があります。本セクションでは、IAMロールの設定、ECSタスクの更新、Systems Manager (SSM) エージェントの有効化といった準備手順を詳しく解説します。

1. IAMロールの設定

ECS Execを利用するためには、適切なIAM権限を設定する必要があります。特に、ECSタスクロールとECSタスク実行ロールの両方に必要なポリシーを付与する必要があります。

1.1 ECSタスクロールにポリシーを付与


ECSタスク内でECS Execを利用するには、以下のIAMポリシーをタスクロールに追加します。

{
    "Effect": "Allow",
    "Action": [
        "ssmmessages:CreateControlChannel",
        "ssmmessages:CreateDataChannel",
        "ssmmessages:OpenControlChannel",
        "ssmmessages:OpenDataChannel"
    ],
    "Resource": "*"
}

このポリシーは、ECS ExecがAWS Systems Managerのセッションを確立し、コンテナ内部に接続するために必要です。

1.2 ECSタスク実行ロールにAWS管理ポリシーを適用


タスク実行ロール (ecsTaskExecutionRole) に、以下のAWS管理ポリシーをアタッチします。

aws iam attach-role-policy --role-name ecsTaskExecutionRole --policy-arn arn:aws:iam::aws:policy/service-role/AmazonECSTaskExecutionRolePolicy

これにより、タスクの起動時に必要なリソース(Systems Managerエージェントなど)を適切に実行できます。

2. ECSタスクの更新

ECS Execを有効にするためには、タスク定義の設定を変更し、以下のオプションを追加する必要があります。

"ephemeralStorage": {
    "sizeInGiB": 20
},
"executionRoleArn": "arn:aws:iam::123456789012:role/ecsTaskExecutionRole",
"taskRoleArn": "arn:aws:iam::123456789012:role/myECSTaskRole",
"containerDefinitions": [
    {
        "name": "my-container",
        "image": "my-app-image",
        "essential": true,
        "command": ["sh", "-c", "while true; do sleep 30; done"],
        "linuxParameters": {
            "initProcessEnabled": true
        }
    }
]

ポイントとして、initProcessEnabledtrue に設定することで、ECS Execが適切に動作します。

3. Systems Manager (SSM) エージェントの有効化

ECS ExecはAWS Systems Manager (SSM) エージェントを利用してコンテナにアクセスします。そのため、SSMエージェントがECSのコンテナインスタンスで有効になっていることを確認してください。

aws ssm describe-instance-information

もし有効になっていない場合は、SSMエージェントをインストールするか、タスク実行ロールに必要な権限が付与されているかを確認してください。

4. ECSサービスの再デプロイ

設定変更後、ECSタスクを再デプロイする必要があります。以下のコマンドで、サービスを更新し、新しいタスクを適用します。

aws ecs update-service --cluster my-cluster --service my-service --force-new-deployment

これにより、新しい設定が反映され、ECS Execが有効化されます。

これでECS Execを利用する準備が整いました。次のセクションでは、PowerShellを使ったECS Execの基本的な操作方法について解説します。

PowerShellを使ったECS Execの基本操作

PowerShellを活用すれば、AWS ECS Execの操作をスムーズに実行できます。本セクションでは、PowerShellを使用したECS Execの基本コマンドと、コンテナ内へアクセスする具体的な手順を解説します。

1. PowerShell環境の準備

ECS ExecをPowerShellで実行するには、AWS CLIが正しくインストールされている必要があります。以下のコマンドでAWS CLIのバージョンを確認してください。

aws --version

もしAWS CLIがインストールされていない場合は、AWS CLIの公式ドキュメントを参考にインストールしてください。また、AWS認証情報の設定も事前に行っておきます。

aws configure

必要な認証情報(AWS Access Key IDAWS Secret Access KeyDefault region name など)を入力してください。

2. 実行可能なECSタスクの確認

まず、ECS Execを実行する対象のコンテナを特定するために、現在実行中のタスクを取得します。

$clusterName = "my-cluster"
aws ecs list-tasks --cluster $clusterName

このコマンドを実行すると、現在稼働しているタスクのARN(Amazon Resource Name)が表示されます。特定のタスクの詳細を確認するには、以下のコマンドを実行します。

$taskArn = "arn:aws:ecs:region:account-id:task/my-cluster/task-id"
aws ecs describe-tasks --cluster $clusterName --tasks $taskArn

この出力から、ターゲットのコンテナ名を特定します。

3. PowerShellを使ったECS Execの実行

コンテナ内部へアクセスするには、以下のコマンドを使用します。

$containerName = "my-container"
aws ecs execute-command --cluster $clusterName --task $taskArn --container $containerName --command "/bin/sh" --interactive

このコマンドを実行すると、/bin/sh シェルを通じてコンテナ内にアクセスできます。Windowsベースのコンテナを使用している場合は、cmd.exe または powershell.exe を指定します。

aws ecs execute-command --cluster $clusterName --task $taskArn --container $containerName --command "powershell.exe" --interactive

この方法で、Windows ServerベースのECSタスクにもアクセス可能です。

4. ECS Execを利用したコンテナ内の操作

ECS Execを使ってコンテナ内部に入った後、以下のような操作が可能です。

4.1 ログの確認


アプリケーションのエラーログを確認するには、以下のように実行します。

cat /var/log/app.log

または、Windowsコンテナの場合は、PowerShellコマンドでログを表示できます。

Get-Content C:\logs\app.log -Tail 50

4.2 プロセスの確認

Linuxコンテナでは、現在動作中のプロセスを確認するには ps コマンドを使用します。

ps aux

Windowsコンテナの場合、Get-Process を使用します。

Get-Process

4.3 ネットワーク接続の確認

コンテナのネットワーク状態を調査するには、netstat コマンドを使用します。

netstat -tulnp

または、Windowsコンテナでは以下を実行します。

netstat -ano

これにより、現在のネットワーク接続やリッスンポートを確認できます。

5. セッション終了

コンテナ内の作業が完了したら、以下のコマンドでセッションを終了します。

exit

または、PowerShellセッションを終了する場合は以下を実行します。

Exit-PSSession

このように、PowerShellを使えばECS Execを簡単に実行でき、AWS環境のトラブルシューティングが効率化されます。次のセクションでは、コンテナ内での具体的なトラブルシューティング手法について詳しく解説します。

コンテナ内でのトラブルシューティング手法

ECS Execを使用してコンテナにアクセスできるようになったら、次はトラブルシューティングの具体的な方法を学びましょう。コンテナ内で発生する問題には、ログの確認、プロセスの監視、ネットワークの診断、リソースの使用状況のチェックなどが含まれます。本セクションでは、それぞれの手法をPowerShellとLinuxの両方の環境で解説します。

1. ログの確認

ログの確認は、問題の原因を特定するための最も基本的な手法です。多くのアプリケーションでは、標準出力やログファイルにエラー情報を記録します。

1.1 アプリケーションログの確認

Linuxコンテナの場合:

cat /var/log/app.log
tail -f /var/log/app.log

tail -f を使用すると、リアルタイムでログの更新を確認できます。

Windowsコンテナの場合:

Get-Content C:\logs\app.log -Tail 50

Windows環境では Get-Content コマンドでログを閲覧できます。

1.2 Dockerの標準出力ログを確認

ECSタスクが出力するログは、AWS CloudWatch Logsに記録されている場合があります。そのため、CloudWatch Logsから直接ログを確認することも可能です。

aws logs tail /aws/ecs/my-cluster --follow

これにより、指定したECSクラスタのログをリアルタイムで監視できます。

2. プロセスの監視

ECSコンテナ内のプロセスを確認し、アプリケーションが正常に動作しているかをチェックします。

Linuxコンテナの場合:

ps aux
top

ps aux は現在実行中のプロセスの一覧を表示し、top はCPUやメモリ使用率をリアルタイムで監視できます。

Windowsコンテナの場合:

Get-Process

Windows環境では Get-Process を使用すると、プロセスの詳細情報が得られます。

3. ネットワーク接続の確認

ネットワークの問題は、アプリケーションの動作に大きな影響を与えるため、通信状況を確認することが重要です。

3.1 ポートの確認

Linuxコンテナの場合:

netstat -tulnp

このコマンドを実行すると、リッスンしているポートや接続状態を確認できます。

Windowsコンテナの場合:

netstat -ano

プロセスID(PID)と紐付いたネットワーク接続状況が確認できます。

3.2 外部との通信テスト

外部サービスやデータベースにアクセスできない場合、ping コマンドを使用してネットワーク疎通を確認できます。

Linuxコンテナ:

ping google.com
curl -I http://example.com

Windowsコンテナ:

Test-NetConnection google.com

また、特定のポートが開いているかを確認する場合は、telnet コマンドを使用します。

Test-NetConnection example.com -Port 443

4. リソース使用状況の確認

アプリケーションが適切なリソースを使用しているかを監視することも重要です。

4.1 CPUとメモリの使用状況を確認

Linuxコンテナの場合:

top
free -m

free -m を使用すると、メモリ使用状況をMB単位で表示できます。

Windowsコンテナの場合:

Get-Process | Sort-Object -Property CPU -Descending

CPU使用率の高いプロセスを特定することができます。

4.2 ディスク使用量の確認

Linuxコンテナ:

df -h
du -sh /var/log/

ディスクの使用量が逼迫していないか確認できます。

Windowsコンテナ:

Get-PSDrive

Windowsのストレージ使用状況を確認できます。

5. トラブルシューティングの自動化

毎回手動でコマンドを実行するのは非効率です。PowerShellスクリプトを活用すれば、トラブルシューティングを自動化できます。

例: ECSタスクのログを自動取得するPowerShellスクリプト

$clusterName = "my-cluster"
$taskArn = (aws ecs list-tasks --cluster $clusterName | ConvertFrom-Json).taskArns[0]
aws ecs execute-command --cluster $clusterName --task $taskArn --container my-container --command "cat /var/log/app.log" --interactive

このスクリプトを実行すると、最新のログを自動取得できます。

これらの手法を活用すれば、ECSコンテナ内のトラブルシューティングを迅速に行えます。次のセクションでは、ECS Execを使用する際によく発生するエラーとその解決策について解説します。

よくあるエラーと対処法

ECS Execを使用する際、さまざまなエラーが発生する可能性があります。本セクションでは、ECS Execの実行中によく遭遇するエラーと、それぞれの原因および解決策について解説します。

1. 「An error occurred (AccessDeniedException)」エラー

エラーメッセージ:

An error occurred (AccessDeniedException) when calling the ExecuteCommand operation: User: arn:aws:iam::123456789012:user/MyUser is not authorized to perform: ecs:ExecuteCommand

原因:
このエラーは、ECS Execを実行するIAMユーザーまたはロールに ecs:ExecuteCommand の権限が付与されていない場合に発生します。

解決策:
IAMポリシーに以下の権限を追加してください。

{
    "Effect": "Allow",
    "Action": [
        "ecs:ExecuteCommand",
        "ssmmessages:CreateControlChannel",
        "ssmmessages:CreateDataChannel",
        "ssmmessages:OpenControlChannel",
        "ssmmessages:OpenDataChannel"
    ],
    "Resource": "*"
}

このポリシーを適用した後、AWS CLIでログインし直して、権限が反映されていることを確認してください。

2. 「Cannot execute command because the task does not have execute-command enabled」エラー

エラーメッセージ:

Cannot execute command because the task does not have execute-command enabled.

原因:
ECSタスクがECS Execを有効化していないために発生するエラーです。

解決策:
ECSタスク定義の enableExecuteCommand オプションを true に設定する必要があります。以下のコマンドでECSサービスを更新してください。

aws ecs update-service --cluster my-cluster --service my-service --force-new-deployment

また、タスク定義に enableExecuteCommand が含まれていることを確認してください。

{
    "enableExecuteCommand": true
}

変更後、ECSサービスを再デプロイし、新しいタスクが適用されるようにします。

3. 「Session manager plugin not found」エラー

エラーメッセージ:

Session manager plugin was not found. Please install the session manager plugin.

原因:
ECS Execを実行するには、AWS Systems Manager (SSM) の Session Manager プラグインがインストールされている必要があります。このエラーは、プラグインがインストールされていない場合に発生します。

解決策:
以下の手順でAWS Session Manager Pluginをインストールしてください。

  • Windowsの場合:
    公式ダウンロードページ からインストール可能です。
    インストール後、PowerShellを再起動して以下のコマンドで確認してください。
  session-manager-plugin --version
  • Linux/macOSの場合:
    以下のコマンドを実行してプラグインをインストールします。
  curl "https://s3.amazonaws.com/session-manager-downloads/latest/linux_amd64/session-manager-plugin.rpm" -o "session-manager-plugin.rpm"
  sudo yum install -y session-manager-plugin.rpm

4. 「The container name does not exist」エラー

エラーメッセージ:

The container name provided does not exist for this task.

原因:
指定したコンテナ名が、ECSタスク内に存在しない場合に発生します。

解決策:
タスク内のコンテナ名を正しく指定しているか確認してください。以下のコマンドでタスクの詳細を確認できます。

aws ecs describe-tasks --cluster my-cluster --tasks my-task-arn

この出力内の containerName フィールドを確認し、適切なコンテナ名を使用してください。

5. 「Timed out while waiting for handshake」エラー

エラーメッセージ:

Timed out while waiting for handshake

原因:
ECS Execがコンテナに接続できない場合に発生します。主な原因として、

  • ECSタスクが正常に実行されていない
  • SSMエージェントが動作していない
  • ネットワーク設定が適切でない

が考えられます。

解決策:

  1. ECSタスクのステータスを確認
   aws ecs list-tasks --cluster my-cluster

タスクが RUNNING 状態であることを確認してください。

  1. SSMエージェントの動作を確認
    コンテナ内にログインして、以下のコマンドでSSMエージェントが実行されているか確認します。
   ps aux | grep ssm-agent

エージェントが動作していない場合、コンテナイメージにSSMエージェントを含めるか、最新のAmazon ECS-Optimized AMIを使用することを検討してください。

  1. ネットワーク設定の確認
    security group に適切なルールが設定されているか確認してください。特に、ECSタスクがSystems Manager (SSM) に接続できるように、適切なアウトバウンド通信が許可されていることを確認します。

6. 「NoCredentialProviders: no valid providers in chain」エラー

エラーメッセージ:

NoCredentialProviders: no valid providers in chain.

原因:
AWS CLIに適切な認証情報が設定されていない場合に発生します。

解決策:

  1. aws configure コマンドを実行し、認証情報を再設定する。
   aws configure

必要なAWSアクセスキー、シークレットキー、リージョンを入力してください。

  1. 環境変数で認証情報を設定する(特にCI/CD環境やスクリプトでの実行時に有効)。
   $env:AWS_ACCESS_KEY_ID = "your-access-key"
   $env:AWS_SECRET_ACCESS_KEY = "your-secret-key"
   $env:AWS_DEFAULT_REGION = "your-region"

これらのエラーと解決策を理解することで、ECS Execの利用時に発生する問題を迅速に解決できます。次のセクションでは、PowerShellを活用したECS Execの自動化について解説します。

PowerShellスクリプトでの自動化

AWS ECS Execを利用してコンテナ内部へアクセスし、トラブルシューティングを行う作業は、頻繁に実施する可能性があります。毎回手動でコマンドを入力するのは非効率なため、PowerShellスクリプトを活用して自動化すると、運用負担を大幅に軽減できます。本セクションでは、ECS Execを自動化するPowerShellスクリプトの作成方法について解説します。

1. ECS Execを自動実行するPowerShellスクリプト

以下のスクリプトは、ECSクラスタ内の最新の実行中のタスクを取得し、指定したコンテナでECS Execを実行するものです。

# パラメータ設定
$clusterName = "my-cluster"
$containerName = "my-container"

# 最新の実行中のタスクを取得
$taskArn = (aws ecs list-tasks --cluster $clusterName --desired-status RUNNING | ConvertFrom-Json).taskArns[0]

# ECS Execを実行
if ($taskArn) {
    Write-Host "Executing command on container..."
    aws ecs execute-command --cluster $clusterName --task $taskArn --container $containerName --command "/bin/sh" --interactive
} else {
    Write-Host "No running tasks found in cluster: $clusterName"
}

スクリプトの動作:

  1. ECSクラスタ内の実行中のタスクをリストアップし、最新のタスクARNを取得
  2. 指定されたコンテナに対して ECS Exec を実行し、シェルを開く
  3. 実行中のタスクが見つからなかった場合はエラーメッセージを表示

2. 特定のログを自動取得するスクリプト

コンテナのログを取得してトラブルシューティングを効率化するためのスクリプトです。

# パラメータ設定
$clusterName = "my-cluster"
$containerName = "my-container"
$logFilePath = "/var/log/app.log"

# 最新の実行中のタスクを取得
$taskArn = (aws ecs list-tasks --cluster $clusterName --desired-status RUNNING | ConvertFrom-Json).taskArns[0]

# ECS Execでログを取得
if ($taskArn) {
    Write-Host "Retrieving logs from container..."
    aws ecs execute-command --cluster $clusterName --task $taskArn --container $containerName --command "cat $logFilePath" --interactive
} else {
    Write-Host "No running tasks found in cluster: $clusterName"
}

スクリプトの動作:

  1. ECSクラスタ内の実行中のタスクを特定
  2. コンテナ内の /var/log/app.logcat コマンドで表示
  3. 実行中のタスクがなかった場合はエラーを通知

Windowsコンテナの場合:
WindowsベースのECSタスクの場合は、ログファイルのパスとPowerShellコマンドを変更します。

$logFilePath = "C:\logs\app.log"
aws ecs execute-command --cluster $clusterName --task $taskArn --container $containerName --command "Get-Content $logFilePath -Tail 50" --interactive

3. タスクのヘルスチェックを自動実行するスクリプト

特定のタスクが正常に動作しているかをチェックし、異常があれば警告を出すスクリプトです。

# パラメータ設定
$clusterName = "my-cluster"
$serviceName = "my-service"

# サービスのタスク情報を取得
$taskStatus = aws ecs describe-services --cluster $clusterName --services $serviceName | ConvertFrom-Json

# タスクの稼働状態をチェック
$runningTasks = $taskStatus.services[0].runningCount
$desiredTasks = $taskStatus.services[0].desiredCount

# ヘルスチェック判定
if ($runningTasks -ne $desiredTasks) {
    Write-Host "Warning: Running tasks ($runningTasks) do not match desired tasks ($desiredTasks)!"
} else {
    Write-Host "ECS service is healthy: $runningTasks/$desiredTasks tasks running."
}

スクリプトの動作:

  1. 指定されたECSサービスのタスク状況を取得
  2. 実行中のタスク数 (runningCount) と、望ましいタスク数 (desiredCount) を比較
  3. ずれがある場合は警告を表示

4. ECS Execの処理を定期的に実行するスケジュール設定

PowerShellスクリプトを定期的に実行するには、Windowsのタスクスケジューラを利用する方法があります。以下の手順でスクリプトを自動実行できます。

手順: タスクスケジューラに登録

  1. taskschd.msc を開く(Windowsキー + R → taskschd.msc
  2. 「基本タスクの作成」をクリック
  3. 「プログラムの開始」を選択
  4. powershell.exe をプログラムとして指定し、引数としてスクリプトのパスを入力
   -File "C:\scripts\ecs-exec.ps1"
  1. スケジュールを設定し、適用

5. CI/CD パイプラインでの自動デバッグ

ECS ExecをCI/CDパイプラインに統合することで、自動デバッグを実現できます。例えば、GitHub ActionsやAWS CodePipelineを利用して、デプロイ後にECS Execを自動実行するスクリプトを組み込むことが可能です。

GitHub ActionsでのECS Execの例:

jobs:
  ecs-exec:
    runs-on: ubuntu-latest
    steps:
      - name: Configure AWS Credentials
        uses: aws-actions/configure-aws-credentials@v1
        with:
          aws-access-key-id: ${{ secrets.AWS_ACCESS_KEY_ID }}
          aws-secret-access-key: ${{ secrets.AWS_SECRET_ACCESS_KEY }}
          aws-region: us-east-1

      - name: Run ECS Exec
        run: |
          CLUSTER_NAME="my-cluster"
          TASK_ARN=$(aws ecs list-tasks --cluster $CLUSTER_NAME --desired-status RUNNING --query "taskArns[0]" --output text)
          aws ecs execute-command --cluster $CLUSTER_NAME --task $TASK_ARN --container my-container --command "/bin/sh" --interactive

まとめ

PowerShellスクリプトを活用することで、ECS Execの操作を効率化し、運用の自動化が可能になります。

  • タスクへのログイン → 最新のタスクを特定してECS Execを実行
  • ログの自動取得 → コンテナ内のエラーログをリアルタイムで取得
  • ヘルスチェック → ECSの稼働状況を監視し、異常時にアラートを出す
  • スケジュール実行 → Windowsタスクスケジューラで定期的に実行
  • CI/CD連携 → GitHub Actionsなどで自動デバッグを実行

次のセクションでは、ECS Execを利用する際のセキュリティ対策とベストプラクティスについて解説します。

セキュリティとベストプラクティス

AWS ECS Execを利用する際には、セキュリティ対策を適切に行うことが重要です。ECS Execはコンテナ内部に直接アクセスできるため、適切なアクセス制御や監査機能を導入しないと、不正アクセスやデータ漏洩のリスクが発生します。本セクションでは、ECS Execの安全な運用のためのベストプラクティスを紹介します。

1. IAMポリシーによるアクセス制御

ECS Execの使用を制限するためには、適切なIAMポリシーを設定することが必要です。特に、ECS Execを実行できるユーザーやロールを限定し、不要な権限を付与しないようにしましょう。

1.1 必要最小限の権限を付与

以下のIAMポリシーを適用することで、ECS Execの実行を許可しつつ、他の不要な操作を防ぐことができます。

{
    "Effect": "Allow",
    "Action": [
        "ecs:ExecuteCommand",
        "ssmmessages:CreateControlChannel",
        "ssmmessages:CreateDataChannel",
        "ssmmessages:OpenControlChannel",
        "ssmmessages:OpenDataChannel"
    ],
    "Resource": "arn:aws:ecs:region:account-id:cluster/my-cluster"
}

このポリシーにより、指定されたECSクラスタに対してのみECS Execを実行できるようになります。

1.2 IAMロールの適用範囲を限定

ECS Execの実行を許可するIAMロールは、特定の開発者や管理者のみに適用し、全員に付与しないようにしましょう。また、必要に応じてIAM条件 (Condition) を設定し、特定のIPアドレスや時間帯のみアクセスを許可することも可能です。

2. CloudTrailによる監査ログの有効化

ECS Execの実行履歴を記録し、監査できるようにすることが重要です。AWS CloudTrailを利用することで、誰がいつECS Execを実行したのかを記録できます。

CloudTrailでECS Execのログを確認する手順:

  1. AWS マネジメントコンソールCloudTrail を開く
  2. [イベント履歴] でフィルタを適用し、ecs:ExecuteCommand を検索
  3. 誰が、どのクラスタやコンテナでECS Execを実行したのかを確認

また、以下のコマンドを実行することで、ECS Execの実行履歴をAWS CLIから確認できます。

aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventName,AttributeValue=ExecuteCommand

これにより、ECS Execの実行履歴を取得し、監査ログを分析できます。

3. SSMセッションログの保存

ECS Execのセッションログを記録しておくことで、トラブルシューティングの履歴を残し、セキュリティ監査を強化できます。ECS ExecはAWS Systems Manager (SSM) を通じて動作するため、セッションログをCloudWatch Logsに保存することが可能です。

3.1 SSMログの有効化

ECSタスクの実行ロールに、以下のポリシーを追加します。

{
    "Effect": "Allow",
    "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents"
    ],
    "Resource": "arn:aws:logs:region:account-id:log-group:/aws/ecs/exec-logs:*"
}

次に、AWS Systems Managerのセッションマネージャーで、CloudWatch Logsへの出力を有効にします。

aws ssm update-document-default-version --name "SSM-SessionManagerRunShell" --document-version "2"

この設定を有効にすることで、ECS ExecのセッションログがCloudWatch Logsに保存され、後から内容を確認できます。

4. ネットワークセキュリティの強化

ECS Execを使用する際には、コンテナが外部から直接アクセスされないように適切なネットワーク設定を行うことが重要です。

4.1 セキュリティグループの設定

ECSタスクが外部に公開されている場合、適切なセキュリティグループを設定し、SSHやRDPのような不要なポートを閉じておきます。

aws ec2 authorize-security-group-ingress --group-id sg-12345678 --protocol tcp --port 443 --cidr 192.168.1.0/24

この設定により、HTTPS (443) の通信のみ特定のIP範囲から許可されます。

4.2 プライベートサブネットの利用

ECSタスクをパブリックIPのあるサブネットで実行するのではなく、プライベートサブネットで実行し、必要に応じてNAT Gatewayを通じて外部と通信する構成にすることが推奨されます。

5. 一時的なアクセスの制御

ECS Execのアクセスは、一時的な権限昇格で許可し、不要なユーザーにはアクセスを即時取り消す運用が推奨されます。

AWS IAMの一時クレデンシャルを使用する例:

aws sts assume-role --role-arn "arn:aws:iam::123456789012:role/ECSExecRole" --role-session-name "TempAccess"

このコマンドを実行すると、一時的なアクセス権が発行され、一定時間後に自動で無効になります。

6. 自動アラートの設定

異常なECS Execの使用を検知するために、CloudWatchアラートを設定することができます。例えば、通常の運用時間外にECS Execが実行された場合にアラートを発生させるように設定できます。

aws cloudwatch put-metric-alarm --alarm-name "ECSEExecUnauthorizedUsage" --metric-name "ExecuteCommandCount" --namespace "AWS/ECS" --statistic Sum --threshold 1 --comparison-operator GreaterThanOrEqualToThreshold --evaluation-periods 1 --alarm-actions arn:aws:sns:us-east-1:123456789012:MyTopic

これにより、異常なコマンド実行をリアルタイムで監視し、アラートを発生させることができます。

まとめ

ECS Execは便利な機能ですが、不適切な管理をするとセキュリティリスクが発生します。以下のベストプラクティスを守ることで、安全に運用できます。

  • IAMポリシーを適切に設定 し、最小限の権限を付与
  • CloudTrailとSSMセッションログを有効化 し、監査を行う
  • セキュリティグループやネットワークACLでアクセス制御 を強化
  • 一時的な権限を利用 し、不要なアクセスを制限
  • CloudWatchアラートを設定 し、不審なECS Execの使用を検知

次のセクションでは、本記事のまとめを行います。

まとめ

本記事では、PowerShellを活用してAWS ECS Execを利用し、コンテナ内でのトラブルシューティングを効率化する方法について解説しました。

重要なポイント

  • ECS Execの概要
    ECS Execを利用することで、SSH不要でECSタスク内のコンテナへ直接アクセスし、デバッグや運用作業が可能になります。
  • PowerShellの活用
    PowerShellを利用することで、ECS Execの操作をスクリプト化し、効率的に実行できます。
  • ECS Execの設定
    IAMポリシー、タスク定義、Systems Managerエージェントの設定が必要です。
  • トラブルシューティング手法
    ログの確認、プロセス監視、ネットワーク診断などの方法を紹介しました。
  • 自動化の実践
    PowerShellスクリプトを活用し、ECS Execの実行やログ取得、ヘルスチェックの自動化を実装できます。
  • セキュリティ対策
    IAMポリシーの適切な設定、CloudTrailによる監査、SSMセッションログの有効化、ネットワーク制限などを行い、安全な運用を実現します。

AWS ECS環境での運用をスムーズに行うために、ECS ExecとPowerShellを組み合わせることで、より柔軟かつ効率的な管理が可能になります。本記事の内容を活用し、コンテナ内のトラブルシューティングや保守作業の効率化に役立ててください。

PowerShell

コメント

コメントする

目次
  1. AWS ECS Execとは?
    1. ECS Execの主な特徴
    2. 従来の方法との違い
  2. PowerShellを使うメリット
    1. 1. 高度なスクリプト処理が可能
    2. 2. Windows環境との親和性が高い
    3. 3. スクリプトによる自動化が可能
  3. AWS ECS Execを有効化する手順
    1. 1. IAMロールの設定
    2. 2. ECSタスクの更新
    3. 3. Systems Manager (SSM) エージェントの有効化
    4. 4. ECSサービスの再デプロイ
  4. PowerShellを使ったECS Execの基本操作
    1. 1. PowerShell環境の準備
    2. 2. 実行可能なECSタスクの確認
    3. 3. PowerShellを使ったECS Execの実行
    4. 4. ECS Execを利用したコンテナ内の操作
    5. 5. セッション終了
  5. コンテナ内でのトラブルシューティング手法
    1. 1. ログの確認
    2. 2. プロセスの監視
    3. 3. ネットワーク接続の確認
    4. 4. リソース使用状況の確認
    5. 5. トラブルシューティングの自動化
  6. よくあるエラーと対処法
    1. 1. 「An error occurred (AccessDeniedException)」エラー
    2. 2. 「Cannot execute command because the task does not have execute-command enabled」エラー
    3. 3. 「Session manager plugin not found」エラー
    4. 4. 「The container name does not exist」エラー
    5. 5. 「Timed out while waiting for handshake」エラー
    6. 6. 「NoCredentialProviders: no valid providers in chain」エラー
  7. PowerShellスクリプトでの自動化
    1. 1. ECS Execを自動実行するPowerShellスクリプト
    2. スクリプトの動作:
    3. 2. 特定のログを自動取得するスクリプト
    4. スクリプトの動作:
    5. 3. タスクのヘルスチェックを自動実行するスクリプト
    6. スクリプトの動作:
    7. 4. ECS Execの処理を定期的に実行するスケジュール設定
    8. 手順: タスクスケジューラに登録
    9. 5. CI/CD パイプラインでの自動デバッグ
    10. まとめ
  8. セキュリティとベストプラクティス
    1. 1. IAMポリシーによるアクセス制御
    2. 2. CloudTrailによる監査ログの有効化
    3. 3. SSMセッションログの保存
    4. 4. ネットワークセキュリティの強化
    5. 5. 一時的なアクセスの制御
    6. 6. 自動アラートの設定
    7. まとめ
  9. まとめ
    1. 重要なポイント