Zugreifen auf No-Ingress-Instances mit EC2 AWS Systems Manager

Eine „EC2No-Ingress-Instance“, die für eine EC2 Umgebung erstellt wurde, ermöglicht es AWS Cloud9 , eine Verbindung zu ihrer EC2 Amazon-Instance herzustellen, ohne dass eingehende Ports auf dieser Instance geöffnet werden müssen. Sie können die No-Ingress-Option wählen, wenn Sie eine EC2 Umgebung mithilfe der Konsole, der Befehlszeilenschnittstelle oder eines Stacks erstellen.AWS CloudFormation Weitere Informationen zum Erstellen einer Umgebung mithilfe der Konsole oder der Befehlszeilenschnittstelle finden Sie unter. Schritt 1: Erstellen einer Umgebung

Wichtig

Für die Verwendung von Systems Manager Session Manager zur Verwaltung von Verbindungen zu Ihrer EC2 Instanz fallen keine zusätzlichen Gebühren an.

Wenn Sie auf der Seite „Umgebung erstellen“ der Konsole einen Umgebungstyp auswählen, können Sie eine neue EC2 Instance wählen, die eingehende Konnektivität erfordert, oder eine neue EC2 No-Ingress-Instance, für die Folgendes nicht erforderlich ist:

• Neue EC2 Instanz — Bei diesem Setup verfügt die Sicherheitsgruppe für die Instanz über eine Regel, die eingehenden Netzwerkverkehr zulässt. Eingehender Netzwerkverkehr ist auf beschränkt IP-Adressen, die für AWS Cloud9 -Verbindungen genehmigt wurden. Ein offener eingehender Port ermöglicht AWS Cloud9 die Verbindung SSH zu seiner Instance. Wenn Sie AWS Systems Manager Session Manager verwenden, können Sie auf Ihre EC2 Amazon-Instance zugreifen, SSM ohne eingehende Ports zu öffnen (kein Ingress). Diese Methode gilt nur für neue EC2 Amazon-Instances. Weitere Informationen finden Sie unter Vorteile der Verwendung von Systems Manager für EC2 Umgebungen.

• Bestehende Rechenleistung — Bei diesem Setup wird auf eine bestehende EC2 Amazon-Instance zugegriffen, für die SSH Anmeldedaten erforderlich sind, für die Instance muss eine Sicherheitsgruppenregel für eingehenden Datenverkehr gelten. Wenn Sie diese Option auswählen, wird automatisch eine Servicerolle erstellt. Den Namen der Servicerolle finden Sie in einem Hinweis am unteren Rand des Setup-Bildschirms.

Wenn Sie eine Umgebung mit dem erstellen AWS CLI, können Sie eine EC2 No-Ingress-Instance konfigurieren, indem Sie die --connection-type CONNECT_SSM Option beim Aufrufen des Befehls festlegen. create-environment-ec2 Weitere Informationen zum Erstellen der erforderlichen Servicerolle und des Instance-Profils finden Sie unter Verwaltung von Instanzprofilen für Systems Manager mit dem AWS CLI.

Nachdem Sie die Erstellung einer Umgebung abgeschlossen haben, die eine EC2 No-Ingress-Instanz verwendet, bestätigen Sie Folgendes:

• Systems Manager Session Manager ist berechtigt, in Ihrem Namen Aktionen auf der EC2 Instance auszuführen. Weitere Informationen finden Sie unter Verwalten von Systems Manager Berechtigungen.

• AWS Cloud9 Benutzer können auf die von Session Manager verwaltete Instanz zugreifen. Weitere Informationen finden Sie unter Benutzern Zugriff auf Instances gewähren, die von Session Manager verwaltet werden.

Vorteile der Verwendung von Systems Manager für EC2 Umgebungen

Wenn Session Manager die sichere Verbindung zwischen AWS Cloud9 und seiner EC2 Instanz handhaben kann, bietet dies zwei wichtige Vorteile:

• Keine Notwendigkeit, eingehende Ports für die Instance zu öffnen

• Option zum Starten der Instance in einem öffentlichen oder privaten Subnetz

No open inbound ports

Sichere Verbindungen zwischen AWS Cloud9 und ihrer EC2 Instanz werden vom Session Manager verwaltet. Session Manager ist eine vollständig verwaltete Systems Manager Manager-Funktion, die es ermöglicht, eine Verbindung AWS Cloud9 zu ihrer EC2 Instanz herzustellen, ohne eingehende Ports öffnen zu müssen.

Wichtig

Die Option, Systems Manager für No-Ingress-Verbindungen zu verwenden, ist derzeit nur verfügbar, wenn neue EC2 Umgebungen erstellt werden.

Mit dem Start einer Session Manager-Sitzung wird eine Verbindung mit der Ziel-Instance hergestellt. Wenn die Verbindung vorhanden ist, kann die Umgebung jetzt über den Systems-Manager-Service mit der Instance interagieren. Der Systems Manager-Dienst kommuniziert mit der Instanz über den Systems Manager Agent (SSMAgent).

Standardmäßig ist der SSM Agent auf allen Instanzen installiert, die von EC2 Umgebungen verwendet werden.

Private/public subnets

Wenn Sie ein Subnetz für Ihre Instance im Abschnitt Netzwerkeinstellungen (erweitert) auswählen, können Sie ein privates oder öffentliches Subnetz auswählen, wenn über Systems Manager auf die Instance für Ihre Umgebung zugegriffen wird.

Private Subnetze

Stellen Sie bei einem privaten Subnetz sicher, dass die Instance weiterhin eine Verbindung zum Dienst herstellen kann. SSM Dazu können Sie ein NAT Gateway in einem öffentlichen Subnetz einrichten oder einen VPC Endpunkt für Systems Manager konfigurieren.

Der Vorteil der Verwendung des NAT Gateways besteht darin, dass es verhindert, dass das Internet eine Verbindung zur Instanz im privaten Subnetz aufbaut. Der Instance für Ihre Umgebung wird eine private IP-Adresse anstelle einer öffentlichen zugewiesen. Das NAT Gateway leitet also den Datenverkehr von der Instance an das Internet oder andere AWS Dienste weiter und sendet dann die Antwort zurück an die Instance.

Erstellen Sie für VPC diese Option mindestens drei erforderliche Schnittstellenendpunkte für Systems Manager: com.amazonaws.region.ssm, com.amazonaws.region.ec2messages und com.amazonaws.region.ssmmessages. Weitere Informationen finden Sie im AWS Systems Manager Benutzerhandbuch unter Creating VPC Endpoints for Systems Manager.

Wichtig

Wenn die EC2 Instance für Ihre Umgebung in einem privaten Subnetz gestartet wird, können Sie derzeit keine AWS verwalteten temporären Anmeldeinformationen verwenden, um der EC2 Umgebung den Zugriff auf einen AWS Dienst im Namen einer AWS Entität (z. B. eines IAM Benutzers) zu ermöglichen.

Öffentliche Subnetze

Wenn Ihre Entwicklungsumgebung für SSM den Zugriff auf eine EC2 Instance verwendet wird, stellen Sie sicher, dass der Instance von dem öffentlichen Subnetz, in dem sie gestartet wird, eine öffentliche IP-Adresse zugewiesen wird. Dazu können Sie Ihre eigene IP-Adresse angeben oder die automatische Zuweisung einer öffentlichen IP-Adresse aktivieren. Die Schritte zur Änderung der Einstellungen für die automatische IP-Zuweisung finden Sie unter IP-Adressierung VPC in Ihrem VPC Amazon-Benutzerhandbuch.

Weitere Informationen zum Konfigurieren privater und öffentlicher Subnetze für Ihre Umgebungs-Instances finden Sie unter Erstellen Sie ein Subnetz für AWS Cloud9.

Verwalten von Systems Manager Berechtigungen

Standardmäßig ist Systems Manager nicht berechtigt, Aktionen auf EC2 Instanzen auszuführen. Der Zugriff erfolgt über ein Instanzprofil AWS Identity and Access Management (IAM). (Ein Instanzprofil ist ein Container, der beim Start IAM Rolleninformationen an eine EC2 Instance weitergibt.)

Wenn Sie die EC2 No-Ingress-Instance mithilfe der AWS Cloud9 Konsole erstellen, werden sowohl die Servicerolle (AWSCloud9SSMAccessRole) als auch das IAM Instanzprofil (AWSCloud9SSMInstanceProfile) automatisch für Sie erstellt. (Sie können es AWSCloud9SSMAccessRole in der IAM Management-Konsole einsehen. Instanzprofile werden nicht in der IAM Konsole angezeigt.)

Wichtig

Wenn Sie mit zum ersten Mal eine EC2 No-Ingress-Umgebung erstellen AWS CLI, müssen Sie die erforderliche Servicerolle und das Instanzprofil explizit definieren. Weitere Informationen finden Sie unter Verwaltung von Instanzprofilen für Systems Manager mit dem AWS CLI.

Wichtig

Wenn Sie eine AWS Cloud9 Umgebung erstellen und Amazon EC2 Systems Manager mit den angehängten AWSCloud9User Richtlinien AWSCloud9Administrator oder verwenden, müssen Sie auch eine benutzerdefinierte Richtlinie mit bestimmten IAM Berechtigungen anhängen, sieheBenutzerdefinierte IAM Richtlinie für die Erstellung von SSM Umgebungen. Dies ist auf ein Berechtigungsproblem mit den AWSCloud9User Richtlinien AWSCloud9Administrator und zurückzuführen.

Um zusätzlichen Schutz der Sicherheit zu gewährleistenAWSServiceRoleforAWSCloud9, enthält die AWSCloud9ServiceRolePolicy Richtlinie für die AWS Cloud9 dienstbezogene Rolle eine PassRole Einschränkung. Wenn Sie eine IAM Rolle an einen Dienst übergeben, kann dieser Dienst die Rolle übernehmen und Aktionen in Ihrem Namen ausführen. In diesem Fall stellt die PassRole Berechtigung sicher, dass nur die AWSCloud9SSMAccessRole Rolle (und ihre Berechtigung) an eine EC2 Instanz weitergegeben werden AWS Cloud9 kann. Dadurch werden die Aktionen, die auf der EC2 Instanz ausgeführt werden können, auf diejenigen beschränkt, die von AWS Cloud9 erforderlich sind.

Anmerkung

Wenn Sie den Systems Manager nicht mehr für den Zugriff auf eine Instance verwenden müssen, können Sie die AWSCloud9SSMAccessRole-Servicerolle löschen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Löschen von Rollen oder Instanzprofilen.

Verwaltung von Instanzprofilen für Systems Manager mit dem AWS CLI

Sie können auch eine EC2 No-Ingress-Umgebung mit dem erstellen. AWS CLI Wenn Siecreate-environment-ec2, legen Sie die--connection-type-Option auf CONNECT_SSM.

Wenn Sie diese Option verwenden, werden die AWSCloud9SSMAccessRole-Servicerolle und AWSCloud9SSMInstanceProfile nicht automatisch erstellt. Führen Sie einen der folgenden Schritte aus, um das erforderliche Serviceprofil und das Instance-Profil zu erstellen:

• Erstellen Sie eine EC2 Umgebung mithilfe der Konsole, nachdem Sie die AWSCloud9SSMAccessRole Service-Rolle übernommen und anschließend automatisch AWSCloud9SSMInstanceProfile erstellt haben. Nachdem sie erstellt wurden, sind die Servicerolle und das Instanzprofil für alle weiteren EC2 Umgebungen verfügbar, die mit dem AWS CLI erstellt wurden.

• Führen Sie die folgenden AWS CLI Befehle aus, um die Servicerolle und das Instanzprofil zu erstellen.

  aws iam create-role --role-name AWSCloud9SSMAccessRole --path /service-role/ --assume-role-policy-document '{"Version": "2012-10-17","Statement": [{"Effect": "Allow","Principal": {"Service": ["ec2.amazonaws.com","cloud9.amazonaws.com"]      },"Action": "sts:AssumeRole"}]}'
  aws iam attach-role-policy --role-name AWSCloud9SSMAccessRole --policy-arn arn:aws:iam::aws:policy/AWSCloud9SSMInstanceProfile
  aws iam create-instance-profile --instance-profile-name AWSCloud9SSMInstanceProfile --path /cloud9/
  aws iam add-role-to-instance-profile --instance-profile-name AWSCloud9SSMInstanceProfile --role-name AWSCloud9SSMAccessRole

Benutzern Zugriff auf Instances gewähren, die von Session Manager verwaltet werden

Um eine AWS Cloud9 Umgebung zu öffnen, die über Systems Manager mit einer EC2 Instanz verbunden ist, muss ein Benutzer über die Berechtigung für den API Vorgang verfügenStartSession. Dieser Vorgang initiiert eine Verbindung mit der verwalteten EC2 Instanz für eine Session Manager-Sitzung. Sie können Benutzern Zugriff gewähren, indem Sie eine AWS Cloud9 bestimmte verwaltete Richtlinie verwenden (empfohlen) oder indem Sie eine IAM Richtlinie bearbeiten und die erforderlichen Berechtigungen hinzufügen.

Methode	Beschreibung
Verwenden Sie eine AWS Cloud9 spezifische verwaltete Richtlinie	Wir empfehlen, AWS verwaltete Richtlinien zu verwenden, um Benutzern den Zugriff auf von Systems Manager verwaltete EC2 Instanzen zu ermöglichen. Verwaltete Richtlinien bieten eine Reihe von Berechtigungen für AWS Cloud9 Standardanwendungsfälle und können problemlos einer IAM Entität zugeordnet werden. Alle verwalteten Richtlinien enthalten auch die Berechtigungen zur Ausführung des StartSession API Vorgangs. Die folgenden verwalteten Richtlinien sind spezifisch für AWS Cloud9: AWSCloud9Administrator (arn:aws:iam::aws:policy/AWSCloud9Administrator) AWSCloud9User (arn:aws:iam::aws:policy/AWSCloud9User) AWSCloud9EnvironmentMember (arn:aws:iam::aws:policy/AWSCloud9EnvironmentMember) Wichtig Wenn Sie eine AWS Cloud9 Umgebung erstellen und Amazon EC2 Systems Manager mit den angehängten AWSCloud9User Richtlinien AWSCloud9Administrator oder verwenden, müssen Sie auch eine benutzerdefinierte Richtlinie mit bestimmten IAM Berechtigungen anhängen, sieheBenutzerdefinierte IAM Richtlinie für die Erstellung von SSM Umgebungen. Dies ist auf ein Berechtigungsproblem mit den AWSCloud9User Richtlinien AWSCloud9Administrator und zurückzuführen. Weitere Informationen finden Sie unter AWS verwaltete Richtlinien für AWS Cloud9.
Bearbeiten Sie eine IAM Richtlinie und fügen Sie die erforderlichen Richtlinienerklärungen hinzu	Um eine bestehende Richtlinie zu bearbeiten, können Sie Berechtigungen für die hinzufügen StartSessionAPI. Um eine Richtlinie mithilfe von AWS Management Console oder zu bearbeiten AWS CLI, folgen Sie den Anweisungen unter IAMRichtlinien bearbeiten im IAMBenutzerhandbuch. Wenn Sie die Richtlinie bearbeiten, fügen Sie Folgendes hinzu policy statement (siehe unten), mit dem der ssm:startSession API Vorgang ausgeführt werden kann.

Sie können die folgenden Berechtigungen verwenden, um den StartSession API Vorgang auszuführen. Der ssm:resourceTag Bedingungsschlüssel gibt an, dass eine Session Manager-Sitzung für jede Instanz (Resource: arn:aws:ec2:*:*:instance/*) gestartet werden kann, sofern es sich bei der Instanz um eine AWS Cloud9 EC2 Entwicklungsumgebung (aws:cloud9:environment) handelt.

Anmerkung

Die folgenden verwalteten Richtlinien enthalten auch diese Richtlinienanweisungen: AWSCloud9Administrator, AWSCloud9User, und AWSCloud9EnvironmentMember.

{
            "Effect": "Allow",
            "Action": "ssm:StartSession",
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:cloud9:environment": "*"
                },
                "StringEquals": {
                    "aws:CalledViaFirst": "cloud9.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:document/*"
            ]
        } 

Wird verwendet AWS CloudFormation , um Umgebungen ohne Zutritt EC2 zu erstellen

Wenn Sie eine AWS CloudFormation Vorlage verwenden, um eine EC2 Amazon-Entwicklungsumgebung ohne Zutritt zu definieren, gehen Sie vor der Erstellung des Stacks wie folgt vor:

1. Erstellen Sie eine AWSCloud9SSMAccessRole Servicerolle und ein AWSCloud9SSMInstanceProfile Instance-Profil. Weitere Informationen finden Sie unter Servicerolle und Instanzprofil mit einer AWS CloudFormation Vorlage erstellen.

2. Aktualisieren Sie die Richtlinie für die aufrufende IAM Entität. AWS CloudFormation Auf diese Weise kann die Entität eine Session Manager-Sitzung starten, die eine Verbindung zur EC2 Instanz herstellt. Weitere Informationen finden Sie unter Hinzufügen von Systems Manager Manager-Berechtigungen zu einer IAM Richtlinie.

Servicerolle und Instanzprofil mit einer AWS CloudFormation Vorlage erstellen

Sie müssen die Servicerolle AWSCloud9SSMAccessRole und das Instanzprofil erstellenAWSCloud9SSMInstanceProfile, damit Systems Manager die EC2 Instanz verwalten kann, die Ihre Entwicklungsumgebung unterstützt.

Wenn Sie zuvor eine EC2 No-Ingress-Umgebung erstellt AWSCloud9SSMAccessRole with the console oder AWS CLI Befehle ausgeführt haben, können die Servicerolle und das Instanzprofil bereits verwendet werden. AWSCloud9SSMInstanceProfile

Anmerkung

Angenommen, Sie versuchen, einen AWS CloudFormation Stack für eine EC2 No-Ingress-Umgebung zu erstellen, haben aber nicht zuerst die erforderliche Servicerolle und das Instanzprofil erstellt. Dann wird der Stack nicht erstellt und die folgende Fehlermeldung wird angezeigt:

Das Instanzprofil AWSCloud9SSMInstanceProfile ist im Konto nicht vorhanden.

Wenn Sie zum ersten Mal eine EC2 No-Ingress-Umgebung erstellen AWS CloudFormation, können Sie die AWSCloud9SSMAccessRole und AWSCloud9SSMInstanceProfile als IAM Ressourcen in der Vorlage definieren.

Dieser Auszug aus einer Beispielvorlage zeigt, wie Sie diese Ressourcen definieren. Die AssumeRole Aktion gibt Sicherheitsanmeldedaten zurück, die den Zugriff sowohl auf die AWS Cloud9 Umgebung als auch auf ihre EC2 Instanz ermöglichen.

AWSTemplateFormatVersion: 2010-09-09
Resources: 
  AWSCloud9SSMAccessRole:
    Type: AWS::IAM::Role
    Properties: 
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              Service:
              - cloud9.amazonaws.com
              - ec2.amazonaws.com
            Action:
              - 'sts:AssumeRole'
      Description: 'Service linked role for AWS Cloud9'
      Path: '/service-role/'
      ManagedPolicyArns: 
        - arn:aws:iam::aws:policy/AWSCloud9SSMInstanceProfile
      RoleName: 'AWSCloud9SSMAccessRole'

  AWSCloud9SSMInstanceProfile:
    Type: "AWS::IAM::InstanceProfile"
    Properties: 
      InstanceProfileName: AWSCloud9SSMInstanceProfile
      Path: "/cloud9/"
      Roles: 
        - 
          Ref: AWSCloud9SSMAccessRole
 

Hinzufügen von Systems Manager Manager-Berechtigungen zu einer IAM Richtlinie

Nachdem Sie eine Servicerolle und ein Instanzprofil in der AWS CloudFormation Vorlage definiert haben, stellen Sie sicher, dass die IAM Entität, die den Stack erstellt, berechtigt ist, eine Session Manager-Sitzung zu starten. Eine Sitzung ist eine Verbindung, die mithilfe des Sitzungsmanagers mit der EC2 Instanz hergestellt wird.

Anmerkung

Wenn Sie keine Berechtigungen zum Starten einer Session Manager-Sitzung hinzufügen, bevor Sie einen Stack für eine EC2 No-Ingress-Umgebung erstellen, wird ein AccessDeniedException Fehler zurückgegeben.

Fügen Sie der Richtlinie für die IAM Entität die folgenden Berechtigungen hinzu, indem Sie aufrufen. AWS CloudFormation

{
            "Effect": "Allow",
            "Action": "ssm:StartSession",
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:cloud9:environment": "*"
                },
                "StringEquals": {
                    "aws:CalledViaFirst": "cloudformation.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:document/*"
            ]
        } 

Konfiguration von VPC Endpunkten für Amazon S3 zum Herunterladen von Abhängigkeiten

Wenn die EC2 Instance Ihrer AWS Cloud9 Umgebung keinen Zugang zum Internet hat, erstellen Sie einen VPC Endpunkt für einen bestimmten Amazon S3 S3-Bucket. Dieser Bucket enthält die Abhängigkeiten, die zur Aufbewahrung Ihres Buckets erforderlich sind IDE up-to-date.

Die Einrichtung eines VPC Endpunkts für Amazon S3 beinhaltet auch die Anpassung der Zugriffsrichtlinie. Die Zugriffsrichtlinie soll nur Zugriff auf den vertrauenswürdigen S3-Bucket gewähren, der die Abhängigkeiten enthält, die heruntergeladen werden sollen.

Anmerkung

Sie können VPC Endpoints mithilfe von AWS Management Console AWS CLI, oder Amazon VPC API erstellen und konfigurieren. Das folgende Verfahren zeigt, wie Sie mithilfe der Konsolenschnittstelle einen VPC Endpunkt erstellen.

Erstellen und konfigurieren Sie einen VPC Endpunkt für Amazon S3

1. Gehen Sie in der AWS Management Console zur Konsolenseite für AmazonVPC.

2. Wählen Sie im Navigationsbereich Endpoints (Endpunkte) aus.

3. Wählen Sie im Navigationsbereich Endpoints (Endpunkte) und klicken Sie auf Create Endpoint (Endpunkt erstellen).

4. Auf der Seite Create Endpoint (Endpunkt erstellen) geben Sie im Suchfeld „s3" ein und drücken auf Return (Zurück), um verfügbare Endpunkte für Amazon S3 in der aktuellen AWS-Region aufzulisten.

5. Wählen Sie aus der Liste der zurückgegebenen Amazon S3 Endpunkte die Option Gateway-Typ.

6. Wählen Sie als Nächstes die ausVPC, die die EC2 Instance Ihrer Umgebung enthält.

7. Wählen Sie nun die VPC Routing-Tabelle aus. Auf diese Weise können die zugeordneten Subnetze auf den Endpunkt zugreifen. Die EC2 Instanz Ihrer Umgebung befindet sich in einem dieser Subnetze.

8. Wählen Sie im Abschnitt Policy (Richtlinie) die Option Custom (Benutzerdefiniert) aus und ersetzen Sie die Standardrichtlinie durch Folgendes.

   {
     "Version": "2008-10-17",
     "Statement": [
         {
             "Sid": "Access-to-C9-bucket-only",
             "Effect": "Allow",
             "Principal": "*",
             "Action": "s3:GetObject",
             "Resource": "arn:aws:s3:::{bucket_name}/content/dependencies/*"
         }
     ]
   }

   Ersetzen Sie für das Element Resource {bucket_name} durch den tatsächlichen Namen des Buckets, der in Ihrer AWS-Region verfügbar ist. Wenn Sie beispielsweise AWS Cloud9 in der Region Europa (Irland) verwenden, geben Sie Folgendes an:"Resource": "arn:aws:s3:::static-eu-west-1-prod-static-hld3vzaf7c4h/content/dependencies/.

   In der folgenden Tabelle sind die Bucket-Namen für den Bereich Where aufgeführt AWS-Regionen , der verfügbar AWS Cloud9 ist.

   Amazon S3 S3-Buckets in Regionen AWS Cloud9

   AWS-Region	Bucket-Name
   US East (Ohio)	static-us-east-2-prod-static-1c3sfcvf9hy4m
   USA Ost (Nord-Virginia)	static-us-east-1-prod-static-mft1klnkc4hl
   USA West (Oregon)	static-us-west-2-prod-static-p21mksqx9zlr
   USA West (Nordkalifornien)	static-us-west-1-prod-static-16d59zrrp01z0
   Afrika (Kapstadt)	static-af-south-1-prod-static-v6v7i5ypdppv
   Asia Pacific (Hong Kong)	static-ap-east-1-prod-static-171xhpfkrorh6
   Asia Pacific (Mumbai)	static-ap-south-1-prod-static-ykocre202i9d
   Asia Pacific (Osaka)	static-ap-northeast-3-prod-static-ivmxqzrx2ioi
   Asia Pacific (Seoul)	static-ap-northeast-2-prod-static-1wxyctlhwiajm
   Asien-Pazifik (Singapur)	static-ap-southeast-1-prod-static-13ibpyrx4vk6d
   Asien-Pazifik (Sydney)	static-ap-southeast-2-prod-static-1cjsl8bx27rfu
   Asien-Pazifik (Tokio)	static-ap-northeast-1-prod-static-4fwvbdisquj8
   Canada (Central)	static-ca-central-1-prod-static-g80lpejy486c
   Europe (Frankfurt)	static-eu-central-1-prod-static-14lbgls2vrkh
   Europa (Irland)	static-eu-west-1-prod-static-hld3vzaf7c4h
   Europa (London)	static-eu-west-2-prod-static-36lbg202837x
   Europa (Milan)	static-eu-south-1-prod-static-1379tzkd3ni7d
   Europe (Paris)	static-eu-west-3-prod-static-1rwpkf766ke58
   Europe (Stockholm)	static-eu-north-1-prod-static-1qzw982y7yu7e
   Middle East (Bahrain)	static-me-south-1-prod-static-gmljex38qtqx
   Südamerika (São Paulo)	static-sa-east-1-prod-static-1cl8k0y7opidt
   Israel (Tel Aviv)	static-il-central-1-prod-static-k02vrnhcesue

9. Klicken Sie auf Endpunkt erstellen.

   Wenn Sie die richtigen Konfigurationsinformationen angegeben haben, wird in einer Meldung die ID des erstellten Endpunkts angezeigt.

10. Um zu überprüfen, ob Sie auf den Amazon S3 S3-Bucket zugreifen IDE können, starten Sie eine Terminalsitzung, indem Sie in der Menüleiste Fenster, Neues Terminal wählen. Führen Sie anschließend den folgenden Befehl aus und ersetzen Sie {bucket_name} durch den tatsächlichen Namen des Buckets für Ihre Region.

    ping {bucket_name}.s3.{region}.amazonaws.com.

    Wenn Sie beispielsweise einen Endpunkt für einen S3-Bucket in der Region USA Ost (Nord-Virginia) erstellt haben, führen Sie den folgenden Befehl aus.

    ping static-us-east-1-prod-static-mft1klnkc4hl.s3.us-east-1.amazonaws.com

    Wenn der Ping eine Antwort erhält, bestätigt dies, dass Sie auf den Bucket und seine Abhängigkeiten zugreifen IDE können.

Weitere Informationen zu dieser Funktion finden Sie im AWS PrivateLinkHandbuch unter Endpoints for Amazon S3.

Konfiguration von VPC Endpunkten für private Konnektivität

Wenn Sie eine Instance in einem Subnetz mit der Option Zugriff über Systems Manager verwenden, verfügt die entsprechende Sicherheitsgruppe über keine Regel für eingehenden Datenverkehr, die eingehenden Netzwerkverkehr zulässt. Die Sicherheitsgruppe verfügt jedoch über eine Regel für ausgehenden Datenverkehr, die ausgehenden Datenverkehr von der Instance zulässt. Dies ist erforderlich, um Pakete und Bibliotheken herunterzuladen, die für die Aktualisierung AWS Cloud9 IDE erforderlich sind.

Um ausgehenden und eingehenden Datenverkehr für die Instance zu verhindern, erstellen und konfigurieren Sie VPC Amazon-Endpunkte für Systems Manager. Mit einem VPC Schnittstellenendpunkt (Schnittstellenendpunkt) können Sie eine Verbindung zu Diensten herstellen, die von bereitgestellt werden. AWS PrivateLink AWS PrivateLink ist eine Technologie, mit der private IP-Adressen für den privaten Zugriff auf Amazon EC2 und Systems Manager APIs verwendet werden können. Folgen Sie den Anweisungen in dieser Knowledge Center-Ressource, um VPC Endpoints für die Verwendung von Systems Manager zu konfigurieren.

Warnung

Angenommen, Sie konfigurieren eine Sicherheitsgruppe, die keinen eingehenden oder ausgehenden Netzwerkverkehr zulässt. Dann hat die EC2 Instanz, die Ihren unterstützt, AWS Cloud9 IDE keinen Internetzugang. Sie müssen einen Amazon S3 S3-Endpunkt erstellenVPC, damit Sie auf die Abhängigkeiten zugreifen können, die in einem vertrauenswürdigen S3-Bucket enthalten sind. Darüber hinaus funktionieren einige AWS-Services, z. B. AWS Lambda, ohne Internetzugang möglicherweise nicht wie vorgesehen.

Bei fallen für jedes Gigabyte AWS PrivateLink, das über den VPC Endpunkt verarbeitet wird, Datenverarbeitungsgebühren an. Dies ist unabhängig von der Quelle oder dem Ziel des Datenverkehrs. Weitere Informationen finden Sie unter AWS PrivateLink Preise.