Restricciones y limitaciones de los puntos de enlace de la VPC Creación de puntos de enlace de la VPC para Systems Manager Crear una política de punto de enlace de la VPC de tipo interfaz

Mejora de la seguridad de las instancias de EC2 mediante puntos de conexión de VPC para Systems Manager

Puede mejorar la posición de seguridad de los nodos administrados (incluidas las máquinas que no son de EC2 en su entorno híbrido y multinube) mediante la configuración de AWS Systems Manager para que use un punto de conexión de VPC de interfaz en Amazon Virtual Private Cloud (Amazon VPC). Mediante un punto de conexión de VPC de la interfaz (punto de conexión de la interfaz), puede conectarse a servicios con tecnología de AWS PrivateLink. AWS PrivateLink es una tecnología que permite obtener acceso de forma privada a las API de Amazon Elastic Compute Cloud (Amazon EC2) y Systems Manager mediante direcciones IP privadas.

AWS PrivateLink restringe todo el tráfico de red entre las instancias administradas, Systems Manager y Amazon EC2 y la red de Amazon. Esto significa que las instancias administradas no tienen acceso a Internet. Si utiliza AWS PrivateLink, no necesita una puerta de enlace de Internet, un dispositivo NAT ni una puerta de enlace privada virtual.

No es necesario configurar AWS PrivateLink, pero es recomendable. Para obtener más información sobre AWS PrivateLink y los puntos de conexión de VPC, consulte AWS PrivateLink y los puntos de conexión de VPC.

nota

La alternativa a usar un punto de enlace de la VPC es permitir el acceso a Internet saliente en las instancias administradas. En este caso, las instancias administradas también deben permitir el tráfico saliente HTTPS (puerto 443) a los siguientes puntos de enlace:

ssm.region.amazonaws.com
ssmmessages.region.amazonaws.com
ec2messages.region.amazonaws.com

SSM Agent inicia todas las conexiones al servicio de Systems Manager en la nube. Por este motivo, no es necesario configurar el firewall para permitir el tráfico entrante a las instancias de Systems Manager.

Para obtener más información acerca de los puntos de enlace, consulte Referencia: ec2messages, ssmmessages y otras operaciones de la API.

Acerca de Amazon VPC

Puede utilizar Amazon Virtual Private Cloud (Amazon VPC) para definir una red virtual en su propia área aislada lógicamente dentro de la Nube de AWS, conocida como una nube privada virtual (VPC). Puede lanzar recursos de AWS, como, por ejemplo, instancias, en su VPC. Una VPC es prácticamente idéntica a una red tradicional que usted puede operar en su propio centro de datos, con los beneficios que supone utilizar la infraestructura escalable de AWS. Puede configurar la VPC, seleccionar su rango de direcciones IP, crear subredes y configurar tablas de enrutamiento, puerta de enlace de red y ajustes de seguridad. Ahora puede conectar sus instancias de la VPC a Internet. Puede conectar la VPC a su propio centro de datos corporativo, lo que convierte la Nube de AWS en una ampliación del centro de datos. Para proteger los recursos de cada subred, puede utilizar varias capas de seguridad, incluidos grupos de seguridad y listas de control de acceso a la red. Para obtener más información, consulte la Guía del usuario de Amazon VPC.

Temas

Restricciones y limitaciones de los puntos de enlace de la VPC
Creación de puntos de enlace de la VPC para Systems Manager
Crear una política de punto de enlace de la VPC de tipo interfaz

Restricciones y limitaciones de los puntos de enlace de la VPC

Antes de configurar los puntos de enlace de la VPC para Systems Manager debe conocer las siguientes restricciones y limitaciones.

Solicitudes entre regiones

Los puntos de conexión de VPC no admiten las solicitudes entre regiones. Asegúrese de crear el punto de conexión en la misma Región de AWS que el bucket. Puede encontrar la ubicación del bucket utilizando la consola de Amazon S3 o utilizando el comando get-bucket-location. Utilice un punto de enlace de Amazon S3 específico de región para acceder al bucket, por ejemplo, DOC-EXAMPLE-BUCKET.s3-us-west-2.amazonaws.com. Para obtener más información sobre los puntos de conexión específicos de la región para Amazon S3, consulte Puntos de conexión de Amazon S3 en la Referencia general de Amazon Web Services. Si usa la AWS CLI para realizar solicitudes a Amazon S3, establezca la región predeterminada en la misma región que el bucket o utilice el parámetro --region en las solicitudes.

Interconexiones de VPC

A los puntos de enlace de la interfaz de VPC se puede acceder a través de una interconexión con VPC dentro de las regiones y entre regiones. Para obtener más información acerca de las solicitudes de conexión de emparejamiento de VPC para los puntos de conexión de la interfaz de la VPC, consulte Cuotas de Amazon VPC en la Guía del usuario de Amazon Virtual Private Cloud.

Las conexiones de punto de conexión de puerta de enlace de VCP no se pueden ampliar más allá de una VPC. Los recursos del otro lado de una interconexión de VPC en la VPC no pueden utilizar el punto de enlace de gateway para comunicarse con los recursos del servicio de punto de enlace de gateway. Para obtener más información acerca de las solicitudes de conexión de emparejamiento de VPC para puntos de conexión de puertas de enlace de la VPC, consulte Cuotas de Amazon VPC en la Guía del usuario de Amazon Virtual Private Cloud

Conexiones entrantes

El grupo de seguridad asociado al punto de enlace de la VPC debe permitir las conexiones entrantes en el puerto 443 desde la subred privada de la instancia administrada. Si no se permiten las conexiones entrantes, la instancia administrada no podrá conectarse a los puntos de enlace de SSM y EC2.

Resolución de los DNS

Si utiliza un servidor DNS personalizado, debe agregar un reenviador condicional para cualquier consulta sobre el dominio amazonaws.com al servidor DNS de Amazon de su VPC.

Buckets de S3

Su política de punto de conexión de VPC debe permitir al menos el acceso a los siguientes buckets de Simple Storage Service (Amazon S3):

Los buckets de S3 que aparecen en Comunicaciones de SSM Agent con buckets de S3 administrados de AWS.
Debe permitir el acceso a los buckets de S3 que utiliza Patch Manager para las operaciones de línea de base de revisiones en su Región de AWS. Estos buckets contienen el código que el servicio de líneas de base de revisiones recupera y ejecuta en las instancias. Cada Región de AWS tiene sus propios buckets de operaciones de línea de base de revisiones a partir de los cuales se recupera el código en el momento de ejecutar un documento de línea de base de revisiones. Si el código no se puede descargar, el comando de línea de base de revisiones producirá un error.

nota
Si utiliza un firewall local y planea usar Patch Manager, ese firewall también debe permitir el acceso al punto de enlace de línea de base de revisiones correspondiente.

Para proporcionar acceso a los buckets de la Región de AWS, incluya el siguiente permiso en la política de punto de conexión.
```
arn:aws:s3:::patch-baseline-snapshot-region/*
arn:aws:s3:::aws-ssm-region/*
```
region representa el identificador de Región de AWS compatible con AWS Systems Manager, como us-east-2 para la región EE. UU. Este (Ohio). Para ver una lista de los valores de regiones admitidos, consulte la columna Región en Puntos de conexión de servicio de Systems Manager en la Referencia general de Amazon Web Services.

Consulte el siguiente ejemplo.
```
arn:aws:s3:::patch-baseline-snapshot-us-east-2/*
arn:aws:s3:::aws-ssm-us-east-2/*
```
nota
Solo en la región Medio Oriente (Baréin) (me-south-1), estos buckets utilizan convenciones de nomenclatura diferentes. Solo en esta Región de AWS, utilice los dos siguientes buckets en su lugar:
- patch-baseline-snapshot-me-south-1-uduvl7q8
- aws-patch-manager-me-south-1-a53fc9dce

Registros de Amazon CloudWatch

Si no permite que las instancias accedan a Internet, cree un punto de enlace de la VPC para que los Registros de CloudWatch utilicen características que envíen Registros a CloudWatch. Para obtener más información acerca de cómo crear un punto de enlace para los Registros de CloudWatch, consulte Creación de un punto de enlace de la VPC para los Registros de CloudWatch en la Guía del usuario de los Registros de Amazon CloudWatch.

DNS en un entorno híbrido y multinube

Para obtener más información sobre cómo se configura DNS para trabajar con los puntos de conexión de AWS PrivateLink en entornos híbridos y multinube, consulte DNS privado para puntos de conexión de interfaz en la Guía del usuario de Amazon VPC. Si desea utilizar su propio DNS, puede utilizar Route 53 Resolver. Para obtener más información, consulte Resolving DNS queries between VPCs and your network en la Guía para desarrolladores de Amazon Route 53.

Creación de puntos de enlace de la VPC para Systems Manager

Utilice la siguiente información para crear interfaces de VPC y puntos de enlace de gateway para AWS Systems Manager. Este tema se vincula con los procedimientos en la Guía del usuario de Amazon VPC.

Para crear puntos de enlace de la VPC para Systems Manager

En el primer paso de este procedimiento, se crean tres puntos de enlace de interfaz necesarios y uno opcional para Systems Manager. Los primeros tres puntos de enlace son necesarios para que Systems Manager funcione en una VPC. El cuarto, com.amazonaws.region.ssmmessages, solo es necesario si utiliza capacidades de Session Manager.

En el segundo paso, se crea el punto de enlace de gateway necesario para que Systems Manager acceda a Amazon S3.

nota

region representa el identificador de una Región de AWS compatible con AWS Systems Manager, como us-east-2 para la región EE. UU. Este (Ohio). Para ver una lista de los valores de regiones admitidos, consulte la columna Región en Puntos de conexión de servicio de Systems Manager en la Referencia general de Amazon Web Services.

Siga los pasos descritos en Create an interface endpoint (Creación de un punto de enlace de interfaz) para crear los siguientes puntos de enlace de la interfaz:
- com.amazonaws.region.ssm: el punto de conexión para el servicio de Systems Manager.
- com.amazonaws.region.ec2messages: Systems Manager utiliza este punto de conexión para realizar llamadas desde SSM Agent al servicio de Systems Manager. A partir de la versión 3.3.40.0 de SSM Agent, Systems Manager comenzó a utilizar el punto de conexión ssmmessages:* (Amazon Message Gateway Service) siempre que estaba disponible en lugar del punto de conexión de ec2messages:* (Amazon Message Delivery Service).
- com.amazonaws.region.ec2: si utiliza Systems Manager para crear instantáneas compatibles con VSS, debe asegurarse de que tiene un punto de conexión al servicio de EC2. Si el punto de conexión de EC2 no está definido, se produce un error en una llamada para enumerar los volúmenes de Amazon EBS adjuntos, lo que hace que el comando de Systems Manager no se ejecute correctamente.
- com.amazonaws.region.ssmmessages: este punto de conexión es necesario para que el agente SSM se comunique con el servicio de Systems Manager, para Run Command, y si se conecta a sus instancias a través de un canal de datos seguro mediante Session Manager. Para obtener más información, consulte AWS Systems Manager Session Manager y Referencia: ec2messages, ssmmessages y otras operaciones de la API.
- com.amazonaws.region.kms: este punto de conexión es opcional. Sin embargo, se puede crear si desea utilizar el cifrado de AWS Key Management Service (AWS KMS) para parámetros de Parameter Store o Session Manager.
- com.amazonaws.region.logs: este punto de conexión es opcional. Sin embargo, se puede crear si desea utilizar los Registros de Amazon CloudWatch (Registros de CloudWatch) para registros de Session Manager, Run Command o SSM Agent.
Siga los pasos descritos en Create a gateway endpoint (Creación de un punto de enlace de gateway) para crear el siguiente punto de enlace de gateway para Amazon S3.
- com.amazonaws.region.s3: Systems Manager utiliza este punto de conexión para actualizar SSM Agent y realizar operaciones de aplicación de revisiones. Systems Manager también utiliza este punto de conexión para tareas como cargar los registros de salida que elija para almacenar en buckets de S3, recuperar scripts u otros archivos que almacene en buckets, etc. Si el grupo de seguridad asociado a su instancia restringe el tráfico saliente, debe agregar una regla para permitir el tráfico hacia la lista de prefijos para Amazon S3. Para obtener más información, consulte Modificación del grupo de seguridad en la Guía de AWS PrivateLink.
Para obtener información acerca de los buckets de S3 de AWS administrados a los que SSM Agent debe tener acceso, consulte Comunicaciones de SSM Agent con buckets de S3 administrados de AWS. Si utiliza un punto de conexión de nube privada virtual (VPC) en las operaciones de Systems Manager, necesita conceder permiso explícito en un perfil de instancia de EC2 para Systems Manager o en un rol de servicio para nodos que no son de EC2 en un entorno híbrido y multinube.

Crear una política de punto de enlace de la VPC de tipo interfaz

Puede crear políticas para los puntos de enlace de la interfaz de VPC de AWS Systems Manager en la que puede especificar:

la entidad principal que puede realizar acciones
Las acciones que se pueden realizar
los recursos en los que se pueden realizar acciones

Para obtener más información, consulte Control access to services with VPC endpoints en la Guía del usuario de Amazon VPC.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Configuración de permisos de instancia requeridos para Systems Manager

Uso de Systems Manager en entornos híbridos y multinube