Mejora de la seguridad de las instancias de EC2 mediante puntos de conexión de VPC para Systems Manager
Puede mejorar la posición de seguridad de los nodos administrados (incluidas las máquinas que no son de EC2 en su entorno híbrido y multinube) mediante la configuración de AWS Systems Manager para que use un punto de conexión de VPC de interfaz en Amazon Virtual Private Cloud (Amazon VPC). Mediante un punto de conexión de VPC de la interfaz (punto de conexión de la interfaz), puede conectarse a servicios con tecnología de AWS PrivateLink. AWS PrivateLink es una tecnología que permite obtener acceso de forma privada a las API de Amazon Elastic Compute Cloud (Amazon EC2) y Systems Manager mediante direcciones IP privadas.
AWS PrivateLink restringe todo el tráfico de red entre las instancias administradas, Systems Manager y Amazon EC2 y la red de Amazon. Esto significa que las instancias administradas no tienen acceso a Internet. Si utiliza AWS PrivateLink, no necesita una puerta de enlace de Internet, un dispositivo NAT ni una puerta de enlace privada virtual.
No es necesario configurar AWS PrivateLink, pero es recomendable. Para obtener más información sobre AWS PrivateLink y los puntos de conexión de VPC, consulte AWS PrivateLink y los puntos de conexión de VPC.
nota
La alternativa a usar un punto de enlace de la VPC es permitir el acceso a Internet saliente en las instancias administradas. En este caso, las instancias administradas también deben permitir el tráfico saliente HTTPS (puerto 443) a los siguientes puntos de enlace:
-
ssm.
region
.amazonaws.com -
ssmmessages.
region
.amazonaws.com -
ec2messages.
region
.amazonaws.com
SSM Agent inicia todas las conexiones al servicio de Systems Manager en la nube. Por este motivo, no es necesario configurar el firewall para permitir el tráfico entrante a las instancias de Systems Manager.
Para obtener más información acerca de los puntos de enlace, consulte Referencia: ec2messages, ssmmessages y otras operaciones de la API.
Acerca de Amazon VPC
Puede utilizar Amazon Virtual Private Cloud (Amazon VPC) para definir una red virtual en su propia área aislada lógicamente dentro de la Nube de AWS, conocida como una nube privada virtual (VPC). Puede lanzar recursos de AWS, como, por ejemplo, instancias, en su VPC. Una VPC es prácticamente idéntica a una red tradicional que usted puede operar en su propio centro de datos, con los beneficios que supone utilizar la infraestructura escalable de AWS. Puede configurar la VPC, seleccionar su rango de direcciones IP, crear subredes y configurar tablas de enrutamiento, puerta de enlace de red y ajustes de seguridad. Ahora puede conectar sus instancias de la VPC a Internet. Puede conectar la VPC a su propio centro de datos corporativo, lo que convierte la Nube de AWS en una ampliación del centro de datos. Para proteger los recursos de cada subred, puede utilizar varias capas de seguridad, incluidos grupos de seguridad y listas de control de acceso a la red. Para obtener más información, consulte la Guía del usuario de Amazon VPC.
Temas
Restricciones y limitaciones de los puntos de enlace de la VPC
Antes de configurar los puntos de enlace de la VPC para Systems Manager debe conocer las siguientes restricciones y limitaciones.
Solicitudes entre regiones
Los puntos de conexión de VPC no admiten las solicitudes entre regiones. Asegúrese de crear el punto de conexión en la misma Región de AWS que el bucket. Puede encontrar la ubicación del bucket utilizando la consola de Amazon S3 o utilizando el comando get-bucket-location. Utilice un punto de enlace de Amazon S3 específico de región para acceder al bucket, por ejemplo, amzn-s3-demo-bucket.s3-us-west-2.amazonaws.com
. Para obtener más información sobre los puntos de conexión específicos de la región para Amazon S3, consulte Puntos de conexión de Amazon S3 en la Referencia general de Amazon Web Services. Si usa la AWS CLI para realizar solicitudes a Amazon S3, establezca la región predeterminada en la misma región que el bucket o utilice el parámetro --region
en las solicitudes.
Interconexiones de VPC
A los puntos de enlace de la interfaz de VPC se puede acceder a través de una interconexión con VPC dentro de las regiones y entre regiones. Para obtener más información acerca de las solicitudes de conexión de emparejamiento de VPC para los puntos de conexión de la interfaz de la VPC, consulte Cuotas de Amazon VPC en la Guía del usuario de Amazon Virtual Private Cloud.
Las conexiones de punto de conexión de puerta de enlace de VCP no se pueden ampliar más allá de una VPC. Los recursos del otro lado de una interconexión de VPC en la VPC no pueden utilizar el punto de enlace de gateway para comunicarse con los recursos del servicio de punto de enlace de gateway. Para obtener más información acerca de las solicitudes de conexión de emparejamiento de VPC para puntos de conexión de puertas de enlace de la VPC, consulte Cuotas de Amazon VPC en la Guía del usuario de Amazon Virtual Private Cloud
Conexiones entrantes
El grupo de seguridad asociado al punto de enlace de la VPC debe permitir las conexiones entrantes en el puerto 443 desde la subred privada de la instancia administrada. Si no se permiten las conexiones entrantes, la instancia administrada no podrá conectarse a los puntos de enlace de SSM y EC2.
Resolución de los DNS
Si utiliza un servidor DNS personalizado, debe agregar un reenviador condicional para cualquier consulta sobre el dominio amazonaws.com
al servidor DNS de Amazon de su VPC.
Buckets de S3
Su política de punto de conexión de VPC debe permitir al menos el acceso a los siguientes buckets Amazon S3 enumerados en Comunicaciones de SSM Agent con buckets de S3 administrados de AWS:
nota
Si utiliza un firewall local y planea usar Patch Manager, ese firewall también debe permitir el acceso al punto de enlace de línea de base de revisiones correspondiente.
Registros de Amazon CloudWatch
Si no permite que las instancias accedan a Internet, cree un punto de enlace de la VPC para que los Registros de CloudWatch utilicen características que envíen Registros a CloudWatch. Para obtener más información acerca de cómo crear un punto de enlace para los Registros de CloudWatch, consulte Creación de un punto de enlace de la VPC para los Registros de CloudWatch en la Guía del usuario de los Registros de Amazon CloudWatch.
DNS en un entorno híbrido y multinube
Para obtener más información sobre cómo se configura DNS para trabajar con los puntos de conexión de AWS PrivateLink en entornos híbridos y multinube, consulte DNS privado para puntos de conexión de interfaz en la Guía del usuario de Amazon VPC. Si desea utilizar su propio DNS, puede utilizar Route 53 Resolver. Para obtener más información, consulte Resolving DNS queries between VPCs and your network en la Guía para desarrolladores de Amazon Route 53.
Creación de puntos de enlace de la VPC para Systems Manager
Utilice la siguiente información para crear interfaces de VPC y puntos de enlace de gateway para AWS Systems Manager. Este tema se vincula con los procedimientos en la Guía del usuario de Amazon VPC.
Para crear puntos de enlace de la VPC para Systems Manager
En el primer paso de este procedimiento, se crean tres puntos de enlace de interfaz necesarios y uno opcional para Systems Manager. Los primeros tres puntos de enlace son necesarios para que Systems Manager funcione en una VPC. El cuarto, com.amazonaws.
, solo es necesario si utiliza capacidades de Session Manager.region
.ssmmessages
En el segundo paso, se crea el punto de enlace de gateway necesario para que Systems Manager acceda a Amazon S3.
nota
region
representa el identificador de una Región de AWS compatible con AWS Systems Manager, como us-east-2
para la región EE. UU. Este (Ohio). Para ver una lista de los valores de regiones
admitidos, consulte la columna Región en Puntos de conexión de servicio de Systems Manager en la Referencia general de Amazon Web Services.
-
Siga los pasos descritos en Create an interface endpoint (Creación de un punto de enlace de interfaz) para crear los siguientes puntos de enlace de la interfaz:
-
com.amazonaws.
: el punto de conexión para el servicio de Systems Manager.region
.ssm -
com.amazonaws.
: Systems Manager utiliza este punto de conexión para realizar llamadas desde SSM Agent al servicio de Systems Manager. A partir de la versión 3.3.40.0 de SSM Agent, Systems Manager comenzó a utilizar el punto de conexiónregion
.ec2messagesssmmessages:*
(Amazon Message Gateway Service) siempre que estaba disponible en lugar del punto de conexión deec2messages:*
(Amazon Message Delivery Service). -
com.amazonaws.
: si utiliza Systems Manager para crear instantáneas compatibles con VSS, debe asegurarse de que tiene un punto de conexión al servicio de EC2. Si el punto de conexión de EC2 no está definido, se produce un error en una llamada para enumerar los volúmenes de Amazon EBS adjuntos, lo que hace que el comando de Systems Manager no se ejecute correctamente.region
.ec2 -
com.amazonaws.
: este punto de conexión es necesario para que SSM Agent se comunique con el servicio de Systems Manager, para Run Command, y si se conecta a sus instancias a través de un canal de datos seguro mediante Session Manager. Para obtener más información, consulte AWS Systems Manager Session Manager y Referencia: ec2messages, ssmmessages y otras operaciones de la API.region
.ssmmessages -
com.amazonaws.
: este punto de conexión es opcional. Sin embargo, se puede crear si desea utilizar el cifrado de AWS Key Management Service (AWS KMS) para parámetros de Parameter Store o Session Manager.region
.kms -
com.amazonaws.
: este punto de conexión es opcional. Sin embargo, se puede crear si desea utilizar los Registros de Amazon CloudWatch (Registros de CloudWatch) para registros de Session Manager, Run Command o SSM Agent.region
.logs
-
-
Siga los pasos descritos en Create a gateway endpoint (Creación de un punto de enlace de gateway) para crear el siguiente punto de enlace de gateway para Amazon S3.
-
com.amazonaws.
: Systems Manager utiliza este punto de conexión para actualizar SSM Agent y realizar operaciones de aplicación de revisiones. Systems Manager también utiliza este punto de conexión para tareas como cargar los registros de salida que elija para almacenar en buckets de S3, recuperar scripts u otros archivos que almacene en buckets, etc. Si el grupo de seguridad asociado a su instancia restringe el tráfico saliente, debe agregar una regla para permitir el tráfico hacia la lista de prefijos para Amazon S3. Para obtener más información, consulte Modificación del grupo de seguridad en la Guía de AWS PrivateLink.region
.s3
Para obtener información acerca de los buckets de S3 de AWS administrados a los que SSM Agent debe tener acceso, consulte Comunicaciones de SSM Agent con buckets de S3 administrados de AWS. Si utiliza un punto de conexión de nube privada virtual (VPC) en las operaciones de Systems Manager, necesita conceder permiso explícito en un perfil de instancia de EC2 para Systems Manager o en un rol de servicio para nodos que no son de EC2 en un entorno híbrido y multinube.
-
Crear una política de punto de enlace de la VPC de tipo interfaz
Puede crear políticas para los puntos de enlace de la interfaz de VPC de AWS Systems Manager en la que puede especificar:
-
la entidad principal que puede realizar acciones
-
Las acciones que se pueden realizar
-
los recursos en los que se pueden realizar acciones
Para obtener más información, consulte Control access to services with VPC endpoints en la Guía del usuario de Amazon VPC.