Verbessern Sie die Sicherheit von EC2 Instanzen, indem Sie VPC Endpunkte für Systems Manager verwenden - AWS Systems Manager
VPCEinschränkungen und Beschränkungen für EndgeräteVPCEndpunkte für Systems Manager erstellenErstellen Sie eine VPC Schnittstellen-Endpunktrichtlinie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verbessern Sie die Sicherheit von EC2 Instanzen, indem Sie VPC Endpunkte für Systems Manager verwenden

Sie können die Sicherheitslage Ihrer verwalteten Knoten (einschließlich EC2 Nicht-Maschinen in einer Hybrid- und Multi-Cloud-Umgebung) verbessern, indem Sie die Verwendung eines VPC Schnittstellenendpunkts in Amazon Virtual Private Cloud (AmazonVPC) konfigurieren AWS Systems Manager . Mithilfe eines VPC Schnittstellenendpunkts (Schnittstellenendpunkt) können Sie eine Verbindung zu Diensten herstellen, die von bereitgestellt werden AWS PrivateLink. AWS PrivateLink ist eine Technologie, mit der Sie privat auf Amazon Elastic Compute Cloud (AmazonEC2) und Systems Manager zugreifen können, APIs indem Sie private IP-Adressen verwenden.

AWS PrivateLink schränkt den gesamten Netzwerkverkehr zwischen Ihren verwalteten Instances, Systems Manager und Amazon EC2 auf das Amazon-Netzwerk ein. Dies bedeutet, dass Ihre verwalteten Instances keinen Zugriff auf das Internet haben. Wenn Sie verwenden AWS PrivateLink, benötigen Sie kein Internet-Gateway, kein NAT Gerät oder ein virtuelles privates Gateway.

Eine Konfiguration ist nicht erforderlich AWS PrivateLink, wird aber empfohlen. Weitere Informationen zu AWS PrivateLink VPC Endpunkten finden Sie unter AWS PrivateLink VPCEndpunkte.

Anmerkung

Die Alternative zur Verwendung eines VPC Endpunkts besteht darin, ausgehenden Internetzugang auf Ihren verwalteten Instances zuzulassen. In diesem Fall müssen die verwalteten Instanzen auch ausgehenden Datenverkehr HTTPS (Port 443) zu den folgenden Endpunkten zulassen:

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

  • ec2messages.region.amazonaws.com

SSM Agent initiiert alle Verbindungen zum Systems Manager Manager-Dienst in der Cloud. Aus diesem Grund müssen Sie Ihre Firewall nicht so konfigurieren, dass eingehender Datenverkehr zu Ihren Instances für Systems Manager zugelassen wird.

Weitere Informationen über Anrufe an diese Endpunkte finden Sie unter Referenz: ec2messages, ssmmessages und andere Operationen API.

Über Amazon VPC

Sie können Amazon Virtual Private Cloud (AmazonVPC) verwenden, um ein virtuelles Netzwerk in Ihrem eigenen logisch isolierten Bereich innerhalb der AWS Cloud sogenannten virtuellen privaten Cloud (VPC) zu definieren. Sie können Ihre AWS Ressourcen, wie z. B. Instances, in Ihrem VPC starten. Ihr Netzwerk VPC ähnelt stark einem herkömmlichen Netzwerk, das Sie möglicherweise in Ihrem eigenen Rechenzentrum betreiben, bietet jedoch die Vorteile, die sich aus der Nutzung der skalierbaren Infrastruktur ergeben AWS. Sie können Ihr System konfigurierenVPC; Sie können seinen IP-Adressbereich auswählen, Subnetze erstellen und Routing-Tabellen, Netzwerk-Gateways und Sicherheitseinstellungen konfigurieren. Sie können Instances in Ihrem mit dem VPC Internet verbinden. Sie können Ihr VPC Rechenzentrum mit Ihrem eigenen Unternehmensrechenzentrum verbinden und es so zu AWS Cloud einer Erweiterung Ihres Rechenzentrums machen. Um die Ressourcen in den einzelnen Subnetzen zu schützen, können Sie mehrere Sicherheitsebenen verwenden, darunter Sicherheitsgruppen und Netzwerk-Zugriffskontrolllisten. Weitere Informationen finden Sie im VPCAmazon-Benutzerhandbuch.

VPCEinschränkungen und Beschränkungen für Endgeräte

Bevor Sie VPC Endpoints für Systems Manager konfigurieren, sollten Sie die folgenden Einschränkungen und Einschränkungen beachten.

Regionsübergreifende Anforderungen

VPCEndgeräte unterstützen keine regionsübergreifenden Anfragen. Stellen Sie sicher, dass Sie Ihren Endpunkt in demselben Bereich wie Ihren Bucket erstellen. AWS-Region Sie können den Standort Ihres Buckets mithilfe der Amazon S3 S3-Konsole oder mithilfe des get-bucket-locationBefehls ermitteln. Verwenden Sie einen regionsspezifischen Amazon S3-Endpunkt, um auf Ihren Bucket zuzugreifen, z. B, amzn-s3-demo-bucket.s3-us-west-2.amazonaws.com. Weitere Informationen über regionsspezifische Endpunkte für Amazon S3 finden Sie unter Amazon-S3-Endpunkte im Allgemeine Amazon Web Services-Referenz. Wenn Sie das verwenden, AWS CLI um Anfragen an Amazon S3 zu stellen, setzen Sie Ihre Standardregion auf dieselbe Region wie Ihr Bucket oder verwenden Sie den --region Parameter in Ihren Anfragen.

VPCPeering-Verbindungen

VPCAuf Schnittstellen-Endpunkte kann sowohl über regionsinterne als auch über regionsübergreifende Peering-Verbindungen zugegriffen werden. VPC Weitere Informationen zu VPC Peering-Verbindungsanfragen für VPC Schnittstellenendpunkte finden Sie unter VPCPeering-Verbindungen (Kontingente) im Amazon Virtual Private Cloud Cloud-Benutzerhandbuch.

VPCGateway-Endpunktverbindungen können nicht von einem aus erweitert werden. VPC Ressourcen auf der anderen Seite einer VPC Peering-Verbindung in Ihrem VPC können den Gateway-Endpunkt nicht verwenden, um mit Ressourcen im Gateway-Endpunktdienst zu kommunizieren. Weitere Informationen zu VPC Peering-Verbindungsanfragen für VPC Gateway-Endpunkte finden Sie unter VPCEndpunkte (Kontingente) im Amazon Virtual Private Cloud Cloud-Benutzerhandbuch

Eingehende Verbindungen

Die dem VPC Endpunkt zugeordnete Sicherheitsgruppe muss eingehende Verbindungen über Port 443 aus dem privaten Subnetz der verwalteten Instance zulassen. Wenn eingehende Verbindungen nicht zulässig sind, kann die verwaltete Instanz keine Verbindung zu den EC2 Endpunkten SSM und herstellen.

DNSAuflösung

Wenn Sie einen benutzerdefinierten DNS Server verwenden, müssen Sie einen bedingten Forwarder für alle Anfragen an die amazonaws.com Domain an den DNS Amazon-Server für Sie VPC hinzufügen.

S3-Buckets

Ihre VPC Endpunktrichtlinie muss den Zugriff auf mindestens die unter aufgeführten Amazon S3 S3-Buckets ermöglichen. SSM Agent Kommunikation mit AWS verwalteten S3-Buckets

Anmerkung

Wenn Sie eine lokale Firewall verwenden und beabsichtigen, diese zu verwenden Patch Manager, diese Firewall muss auch den Zugriff auf den entsprechenden Patch-Baseline-Endpunkt ermöglichen.

CloudWatch Amazon-Protokolle

Wenn Sie Ihren Instances nicht erlauben, auf das Internet zuzugreifen, erstellen Sie einen VPC Endpunkt für CloudWatch Logs, um Funktionen zu verwenden, die CloudWatch Protokolle an Logs senden. Weitere Informationen zum Erstellen eines Endpunkts für CloudWatch Logs finden Sie unter Creating a VPC Endpoint for CloudWatch Logs im Amazon CloudWatch Logs-Benutzerhandbuch.

DNSin einer Hybrid- und Multi-Cloud-Umgebung

Informationen DNS zur Konfiguration für die Verwendung mit AWS PrivateLink Endpunkten in Hybrid- und Multi-Cloud-Umgebungen finden Sie unter Private DNS für Schnittstellenendpunkte im VPCAmazon-Benutzerhandbuch. Wenn Sie Ihren eigenen verwenden möchtenDNS, können Sie Route 53 Resolver verwenden. Weitere Informationen finden Sie unter Auflösen von DNS Abfragen zwischen VPCs und Ihrem Netzwerk im Amazon Route 53-Entwicklerhandbuch.

VPCEndpunkte für Systems Manager erstellen

Verwenden Sie die folgenden Informationen, um VPC Schnittstellenendpunkte für zu erstellen. AWS Systems Manager Dieses Thema enthält Links zu den Verfahren im VPCAmazon-Benutzerhandbuch.

Anmerkung

region steht für die Kennung einer Region, die von AWS-Region unterstützt wird AWS Systems Manager, z. B. us-east-2 für die Region USA Ost (Ohio). Für eine Liste der unterstützten region Werte finden Sie in der Spalte Region in Systems Manager Manager-Dienstendpunkten in der Allgemeine Amazon Web Services-Referenz.

Befolgen Sie die Schritte unter Erstellen eines Schnittstellen-Endpunkts zum Erstellen der folgenden Schnittstellen-Endpunkte:

  • com.amazonaws.region.ssm – Der Endpunkt für den Systems-Manager-Service.

  • com.amazonaws.region.ec2messages— Systems Manager verwendet diesen Endpunkt, um Anrufe von SSM Agent zum Systems Manager Manager-Dienst. Beginnend mit Version 3.3.40.0 von SSM Agent, Systems Manager begann, den ssmmessages:* Endpunkt zu verwenden (Amazon Message Gateway Service), wann immer verfügbar, anstelle des ec2messages:* Endpunkts (Amazon Message Delivery Service).

  • com.amazonaws.region.ec2— Wenn Sie Systems Manager verwenden, um Snapshots mit VSS aktivierter Funktion zu erstellen, müssen Sie sicherstellen, dass Sie über einen Endpunkt für den EC2 Dienst verfügen. Wenn der EC2 Endpunkt nicht definiert ist, schlägt ein Aufruf zur Aufzählung angehängter EBS Amazon-Volumes fehl, was dazu führt, dass der Systems Manager Manager-Befehl fehlschlägt.

  • com.amazonaws.region.s3— Systems Manager verwendet diesen Endpunkt zum Aktualisieren SSM Agent. Systems Manager verwendet diesen Endpunkt auch, wenn Sie optional Skripts oder andere in Buckets gespeicherte Dateien abrufen oder Ausgabeprotokolle in einen Bucket hochladen möchten. Wenn die mit Ihren Instances verknüpfte Sicherheitsgruppe den ausgehenden Datenverkehr einschränkt, müssen Sie eine Regel hinzufügen, um Datenverkehr zur Präfixliste für Amazon S3 zuzulassen. Weitere Informationen finden Sie unter Modify your security group im AWS PrivateLink -Guide.

  • com.amazonaws.region.ssmmessages— Dieser Endpunkt ist erforderlich für SSM Agent um mit dem Systems Manager Manager-Dienst zu kommunizieren, für Run Command, und wenn Sie über einen sicheren Datenkanal eine Verbindung zu Ihren Instances herstellen Session Manager. Weitere Informationen finden Sie unter AWS Systems Manager Session Manager undReferenz: ec2messages, ssmmessages und andere Operationen API.

  • (Optional) com.amazonaws.region.kms — Erstellen Sie diesen Endpunkt, wenn Sie die Verschlüsselung AWS Key Management Service (AWS KMS) verwenden möchten für Session Manager or Parameter Store Parameter.

  • (Optional) com.amazonaws.region.logs — Erstellen Sie diesen Endpunkt, wenn Sie Amazon CloudWatch Logs (CloudWatch Logs) verwenden möchten für Session Manager, Run Command, oder SSM Agent Logs.

Für Informationen über die AWS verwalteten S3-Buckets, die SSM Agent muss darauf zugreifen können, sieheSSM Agent Kommunikation mit AWS verwalteten S3-Buckets. Wenn Sie in Ihren Systems Manager-Vorgängen einen Virtual Private Cloud (VPC) -Endpunkt verwenden, müssen Sie in einem EC2 Instanzprofil für Systems Manager oder in einer Servicerolle für nicht EC2 verwaltete Knoten in einer Hybrid- und Multicloud-Umgebung ausdrückliche Berechtigungen erteilen.

Erstellen Sie eine VPC Schnittstellen-Endpunktrichtlinie

Sie können Richtlinien für VPC Schnittstellen-Endpunkte erstellen, für AWS Systems Manager die Sie Folgendes angeben können:

  • Der Prinzipal, der die Aktionen ausführen kann

  • Aktionen, die ausgeführt werden können

  • Ressourcen, für die Aktionen ausgeführt werden können

Weitere Informationen finden Sie unter Steuern des Zugriffs auf Dienste mit VPC Endpunkten im VPCAmazon-Benutzerhandbuch.