セッションマネージャでPortForwardの接続テストをしています。Public / Privateにインスタンスをおいて、セッションマネージャ用のエンドポイントをS3も含めて4つ作ってPrivateの方は接続できたのですが、Publicのインスタンスは接続できませんでした。
よく考えてみると、セッションマネージャ用の3つのエンドポイントのセキュリティグループを厳しく作っていて、接続もとで正しくSecurity Groupを選定していないと、Dnayするようにしていました。
Publicのインスタンスに入って、curlを叩いて、接続できなかったので、Publicから引けない、、これは仕様だとおもっていたけど、違ってよかった。
