Arbeiten mit VPC-Endpunkten AWS Systems Manager Incident Manager und Schnittstellen ()AWS PrivateLink

Sie können eine private Verbindung zwischen Ihrer VPC herstellen und AWS Systems Manager Incident Manager einen VPC-Schnittstellen-Endpunkt erstellen. Schnittstellenendpunkte werden von unterstütz AWS PrivateLink. Mit AWS PrivateLink können Sie privat auf Incident Manager-API-Operationen zugreifen, ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder AWS Direct Connect eine Verbindung zu benötigen. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um mit Incident Manager-API-Vorgängen zu kommunizieren. Der Verkehr zwischen Ihrer VPC und dem Incident Manager verbleibt im Amazon-Netzwerk.

Jeder Schnittstellenendpunkt wird durch eine oder mehrere Elastic-Network-Schnittstellen in Ihren Subnetzen dargestellt.

Weitere Informationen finden Sie unter Schnittstellen-VPC-Endpunkte (AWS PrivateLink) im Amazon-VPC-Benutzerhandbuch.

Überlegungen zu Incident Manager-VPC-Endpunkten

Bevor Sie einen Schnittstellen-VPC-Endpunkt für Incident Manager einrichten, stellen Sie sicher, dass Sie die Eigenschaften und Einschränkungen und AWS PrivateLink Kontingente der Schnittstellen-Endpunkte im Amazon VPC-Benutzerhandbuch lesen.

Incident Manager unterstützt Aufrufe aller API-Aktionen von Ihrer VPC aus. Um Incident Manager vollständig verwenden zu können, müssen Sie zwei VPC-Endpunkte erstellen: einen für ssm-incidents und einen für. ssm-contacts

Erstellen eines VPC-Schnittstellen-Endpunkts für Incident Manager

Sie können einen VPC-Endpunkt für Incident Manager entweder mit der Amazon VPC-Konsole oder mit AWS Command Line Interface ()AWS CLI erstellen. Weitere Informationen finden Sie unter Erstellung eines Schnittstellenendpunkts im Benutzerhandbuch für Amazon VPC.

Erstellen Sie einen VPC-Endpunkt für Incident Manager unter Verwendung unterstützter Dienstnamen für Incident Manager in Ihrem AWS-Region. Die folgenden Beispiele zeigen die Schnittstellen-Endpunktformate für IPv4 und Dual-Stack-Endpunkte.

IPv4 Endpunktformate

• com.amazonaws.region.ssm-incidents

• com.amazonaws.region.ssm-contacts

Dual-Stack IPv4 - (und IPv6) Endpunktformate

• aws.api.region.ssm-incidents

• aws.api.region.ssm-contacts

Eine Liste der unterstützten Endgeräte für alle Regionen finden Sie unter AWS Systems Manager Incident Manager-Endpunkte und Kontingente im AWS Allgemeinen Referenzhandbuch.

Wenn Sie privates DNS für den Schnittstellenendpunkt aktivieren, können Sie API-Anfragen an Incident Manager stellen, indem Sie dessen standardmäßige regionale DNS-Namen im folgenden Format verwenden. Die folgenden Beispiele zeigen das Standardformat für regionale DNS-Namen.

• ssm-incidents.region.amazonaws.com

• ssm-contacts.region.amazonaws.com

Weitere Informationen finden Sie unter Zugriff auf einen Service über einen Schnittstellenendpunkt im Benutzerhandbuch für Amazon VPC.

Erstellen einer VPC-Endpunktrichtlinie für Incident Manager

Sie können Ihrem VPC-Endpunkt eine Endpunktrichtlinie hinzufügen, die den Zugriff auf Incident Manager steuert. Die Richtlinie gibt die folgenden Informationen an:

• Prinzipal, der die Aktionen ausführen kann.

• Aktionen, die ausgeführt werden können

• Die Ressourcen, auf denen diese Aktionen ausgeführt werden können.

Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon-VPC-Benutzerhandbuch.

Beispiel: VPC-Endpunktrichtlinie für Incident Manager-Aktionen

Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie für Incident Manager. Wenn diese Richtlinie an einen Endpunkt angehängt ist, gewährt sie allen Principals auf allen Ressourcen Zugriff auf die aufgelisteten Incident Manager-Aktionen.

{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "ssm-contacts:ListContacts",
            "ssm-incidents:ListResponsePlans",
            "ssm-incidents:StartIncident"
         ],
         "Resource":"*"
      }
   ]
}