はじめに

今回検証の一環でAmazon EC2上にMicrosoft Officeを構築しました。その際、AWS Systems Manager (SSM) と DHCPオプションセットを利用して各種設定を行いました。この2つの設定に苦戦したため、この記事では備忘録も兼ねて手順をまとめました!

本記事で構築するOffice on EC2環境の構成図は以下の通りです。

この記事で扱う主要な設定

AWS Systems Manager (SSM)とは?

EC2 インスタンスなどのサーバーを、ポートを開放せずに安全に管理できるサービスです。サーバー内部で動作する 「SSM Agent」 が AWS と通信することで、踏み台サーバーを用意せずともリモート操作を可能にします。

DHCP オプションセットとは?

VPC 内の EC2 インスタンスが起動時に受け取る「DNS サーバー」や「ドメイン名」といったネットワーク設定をまとめたものです。これをカスタマイズすることで、VPC 全体の DNS の挙動を一元管理でき、今回のようなライセンス認証の問題解決にもつながります。

ステップ1:権限の準備 – IAMロールの作成

AWSマネジメントコンソールでIAMサービスに移動し、左側メニューから「ロール」を選択後、「ロールを作成」ボタンをクリックします。

信頼されたエンティティタイプでAWS、ユースケースでEC2を選択

AmazonSSMManagedInstanceCoreを上部から検索し、それを選択し、次へ

任意のロールを入力し、作成をクリック

クリックすれば、作成完了です

1-1. ライセンスマネージャー用カスタムポリシーの作成

次に、IAMの画面からポリシーを選択し、ポリシーの作成をクリック

右上のJSONを選択し下記のコードポリシーエディタに貼り付け

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "license-manager:CheckoutLicense",
        "license-manager:CheckInLicense",
        "license-manager:GetLicense"
      ],
      "Resource": "*"
    }
  ]
}

任意のポリシー名と説明を入力し、作成をクリック

クリックすれば、作成完了です

1-2. IAMロールの作成とポリシーのアタッチ

左の欄からロールを選択し、検索バーから先ほど作成したロール名を検索し、ロール名をクリック

右にある許可を追加をクリックし、そこから出てきたポリシーをアタッチをクリック

ポリシー名を検索し、選択して許可を追加をクリック

クリックすれば、追加完了です

ステップ2:通信経路の準備 – VPCエンドポイントの作成

2-1. エンドポイント用セキュリティグループの作成

ECサービスに移動し、左のセキュリティグループを選択し、右上のセキュリティグループの作成をクリック

任意のセキュリティグループ名と説明を入力し、VPCにはOfficeライセンス用のEC2インスタンスを起動するVPCを選択します。
インバウンドルールのタイプをHTTPS、ソースをOfficeライセンス用のEC2のセキュリティグループ(推奨)か、0.0.0.0を選択する

下に作成があるのでクリック

クリックすれば、作成完了です

2-2. 4つのVPCエンドポイントの作成

VPCの画面に移動し、左のエンドポイントを選び、エンドポイント作成をクリック

エンドポイントの名前タグを入力し、タイプはAWSのサービスを選択する

リージョンが東京の場合サービスにサービスの検索欄にcom.amazonaws.ap-northeast-1.ssmを入力する。
自分が作成しているVPCを選択し、エンドポイントの作成をクリック

サブネットでVPCエンドポイントおくサブネットを指定
先ほど作成したセキュリティグループ名を検索し、選択して下にあるエンドポイントの作成をクリック

クリックすれば、作成完了です

2-2の手順を繰り返してcom.amazonaws.ap-northeast-1.ec2messages、com.amazonaws.ap-northeast-1.ssmmessages、com.amazonaws.ap-northeast-1.license-managerも作成する

ステップ3:名前解決の安定化 – DHCPオプションセットの設定

3-1. 新しいDHCPオプションセットの作成

VPCの画面に移動し、左にあるDHCPオプションセットを選択し、DHCPオプションセットを作成をクリック

任意のDHCPオプションセット名を指定し、ドメイン名にはMicrosoft ADのドメインを、ドメインネームサーバにはMicrosoft ADのIPアドレスを入力DHCPオプションセットの作成をクリックし作成

クリックすれば、作成完了です

3-2. VPCへの関連付け

VPCの画面に移動し、左のお使いのVPCを選択し、検索バーで今回使用するVPC名を入力
出てきたVPCを選択し、アクションからVPCの設定を編集をクリック

<

DHCP設定で先ほど作成したDHCPオプションセットを選択し、保存

クリックすれば、変更完了です

おわりに

これで、Officeライセンス付きAMIをSSMで安全に管理・運用するための、すべての事前準備が整いました。この後は、実際にOfficeサーバーとなるEC2インスタンスを起動し、ADドメインに参加させることで、環境の完成となります!

まとめ

今回は、SSMとDHCPオプションセットを使ったOffice on EC2環境の構築手順をまとめました。特にライセンス付きAMIの安定稼働には、IAMロールやVPCエンドポイントといった基本的な設定に加え、DHCPオプションセットによるDNS設定が不可欠であることが分かりました。この備忘録が、同じような構成を組む方の助けになれば幸いです!