Paso 2: crear puntos de conexión de VPC - AWS Systems Manager
Restricciones y limitaciones de los puntos de enlace de la VPCCreación de puntos de enlace de la VPC para Systems ManagerCrear una política de punto de enlace de la VPC de tipo interfaz

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Paso 2: crear puntos de conexión de VPC

Puede mejorar la seguridad de sus nodos gestionados (incluidas las máquinas que no son EC2 en un entorno híbrido y multinube) configurándolos AWS Systems Manager para utilizar un punto de enlace de VPC de interfaz en Amazon Virtual Private Cloud (Amazon VPC). Al utilizar un punto final de VPC de interfaz (punto final de interfaz), puede conectarse a los servicios impulsados por. AWS PrivateLink AWS PrivateLink es una tecnología que le permite acceder de forma privada a las API de Amazon Elastic Compute Cloud (Amazon EC2) y Systems Manager mediante direcciones IP privadas.

AWS PrivateLink restringe todo el tráfico de red entre las instancias gestionadas, Systems Manager y Amazon EC2 a la red de Amazon. Esto significa que las instancias administradas no tienen acceso a Internet. Si lo usa AWS PrivateLink, no necesita una puerta de enlace a Internet, un dispositivo NAT o una puerta de enlace privada virtual.

No es obligatorio configurarlo AWS PrivateLink, pero se recomienda hacerlo. Para obtener más información sobre AWS PrivateLink los puntos de enlace de VPC, consulte y puntos de enlace de AWS PrivateLink VPC.

nota

La alternativa a usar un punto de enlace de la VPC es permitir el acceso a Internet saliente en las instancias administradas. En este caso, las instancias administradas también deben permitir el tráfico saliente HTTPS (puerto 443) a los siguientes puntos de enlace:

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

  • ec2messages.region.amazonaws.com

SSM Agent inicia todas las conexiones al servicio de Systems Manager en la nube. Por este motivo, no es necesario configurar el firewall para permitir el tráfico entrante a las instancias de Systems Manager.

Para obtener más información acerca de los puntos de enlace, consulte Referencia: ec2messages, ssmmessages y otras operaciones de la API.

Acerca de Amazon VPC

Puede usar Amazon Virtual Private Cloud (Amazon VPC) para definir una red virtual en su propia área aislada lógicamente dentro de la Nube de AWS, conocida como nube privada virtual (VPC). Puede lanzar recursos de AWS , como, por ejemplo, instancias, en su VPC. Una VPC es prácticamente idéntica a una red tradicional que usted puede operar en su propio centro de datos, con los beneficios que supone utilizar la infraestructura escalable de AWS. Puede configurar la VPC, seleccionar su rango de direcciones IP, crear subredes y configurar tablas de ruteo, gateways de red y ajustes de seguridad. Ahora puede conectar sus instancias de la VPC a Internet. Puede conectar su VPC a su propio centro de datos corporativo, lo que la convierte en Nube de AWS una extensión de su centro de datos. Para proteger los recursos de cada subred, puede utilizar varias capas de seguridad, incluidos grupos de seguridad y listas de control de acceso a la red. Para obtener más información, consulte la Guía del usuario de Amazon VPC.

Restricciones y limitaciones de los puntos de enlace de la VPC

Antes de configurar los puntos de enlace de la VPC para Systems Manager debe conocer las siguientes restricciones y limitaciones.

Solicitudes entre regiones

Los puntos de enlace de VPC no admiten solicitudes entre regiones; asegúrese de crear su punto de enlace de la misma manera que su bucket. Región de AWS Puede encontrar la ubicación de su depósito mediante la consola de Amazon S3 o mediante el get-bucket-locationcomando. Utilice un punto de enlace de Amazon S3 específico de región para acceder al bucket, por ejemplo, DOC-EXAMPLE-BUCKET.s3-us-west-2.amazonaws.com. Para obtener más información sobre los puntos de conexión específicos de la región para Amazon S3, consulte Puntos de conexión de Amazon S3 en la Referencia general de Amazon Web Services. Si utilizas el AWS CLI para realizar solicitudes a Amazon S3, establece tu región predeterminada en la misma región que tu bucket o usa el --region parámetro en tus solicitudes.

Interconexiones de VPC

A los puntos de enlace de la interfaz de VPC se puede acceder a través de una interconexión con VPC dentro de las regiones y entre regiones. Para obtener más información acerca de las solicitudes de interconexión de VPC para los puntos de enlace de la interfaz de la VPC, consulte VPC peering connections (Quotas) (Interconexiones de VPC [Cuotas]) en la Guía del usuario de Amazon Virtual Private Cloud.

Las conexiones de punto de conexión de puerta de enlace de VCP no se pueden ampliar más allá de una VPC. Los recursos del otro lado de una interconexión de VPC en la VPC no pueden utilizar el punto de enlace de gateway para comunicarse con los recursos del servicio de punto de enlace de gateway. Para obtener más información acerca de las solicitudes de interconexión de VPC para puntos de enlace de gateway de la VPC, consulte VPC endpoints (Quotas) (Puntos de enlace de la VPC [Cuotas]) en la Guía del usuario de Amazon Virtual Private Cloud

Conexiones entrantes

El grupo de seguridad asociado al punto de enlace de la VPC debe permitir las conexiones entrantes en el puerto 443 desde la subred privada de la instancia administrada. Si no se permiten las conexiones entrantes, la instancia administrada no podrá conectarse a los puntos de enlace de SSM y EC2.

Resolución de los DNS

Si utiliza un servidor DNS personalizado, debe agregar un reenviador condicional para cualquier consulta sobre el dominio amazonaws.com al servidor DNS de Amazon de su VPC.

Buckets de S3

Su política de punto de conexión de VPC debe permitir al menos el acceso a los siguientes buckets de Simple Storage Service (Amazon S3):

  • Los buckets de S3 que aparecen en Comunicaciones de SSM Agent con buckets de S3 administrados de AWS.

  • Debe permitir el acceso a los buckets de S3 que utiliza Patch Manager para las operaciones de línea de base de revisiones en su Región de AWS. Estos buckets contienen el código que el servicio de líneas de base de revisiones recupera y ejecuta en las instancias. Cada uno Región de AWS tiene sus propios depósitos de operaciones de referencia de parches, de los que se recupera el código cuando se ejecuta un documento de referencia de parches. Si el código no se puede descargar, el comando de línea de base de revisiones producirá un error.

    nota

    Si utiliza un firewall local y planea usar Patch Manager, ese firewall también debe permitir el acceso al punto de enlace de línea de base de revisiones correspondiente.

    Para proporcionar acceso a los depósitos que contiene Región de AWS, incluya el siguiente permiso en su política de puntos finales.

    arn:aws:s3:::patch-baseline-snapshot-region/*
arn:aws:s3:::aws-ssm-region/*

    la región representa el identificador de una región Región de AWS compatible con AWS Systems Manager, por ejemplo, la región EE.UU. Este (Ohio). us-east-2 Para ver una lista de los valores de regiones admitidos, consulte la columna Región en Puntos de conexión de servicio de Systems Manager en la Referencia general de Amazon Web Services.

    Consulte el siguiente ejemplo.

    arn:aws:s3:::patch-baseline-snapshot-us-east-2/*
arn:aws:s3:::aws-ssm-us-east-2/*
    nota

    Solo en la región Medio Oriente (Baréin) (me-south-1), estos buckets utilizan convenciones de nomenclatura diferentes. Región de AWS Solo para esto, utilice los dos grupos siguientes en su lugar:

    • patch-baseline-snapshot-me-south-1-uduvl7q8

    • aws-patch-manager-me-south-1-a53fc9dce

Amazon CloudWatch Logs

Si no permites que tus instancias accedan a Internet, crea un punto de enlace de VPC para que CloudWatch Logs utilice funciones que envían registros a CloudWatch Logs. Para obtener más información sobre la creación de un punto de enlace para CloudWatch los registros, consulte Creación de un punto de enlace de VPC para CloudWatch los registros en la Guía del usuario de Amazon CloudWatch Logs.

DNS en un entorno híbrido y multinube

Para obtener información sobre cómo configurar el DNS para que funcione con AWS PrivateLink puntos de enlace en entornos híbridos y multinube, consulte DNS privado para puntos de enlace de interfaz en la Guía del usuario de Amazon VPC. Si desea utilizar su propio DNS, puede utilizar Route 53 Resolver. Para obtener más información, consulte Resolving DNS queries between VPCs and your network (Resolución de consultas de DNS entre las VPC y la red) en la Guía para desarrolladores de Amazon Route 53.

Creación de puntos de enlace de la VPC para Systems Manager

Utilice la siguiente información para crear interfaces de VPC y puntos de enlace de gateway para AWS Systems Manager. Este tema se vincula con los procedimientos en la Guía del usuario de Amazon VPC.

Para crear puntos de enlace de la VPC para Systems Manager

En el primer paso de este procedimiento, se crean tres puntos de enlace de interfaz necesarios y uno opcional para Systems Manager. Los primeros tres puntos de enlace son necesarios para que Systems Manager funcione en una VPC. El cuarto, com.amazonaws.region.ssmmessages, solo es necesario si utiliza capacidades de Session Manager.

En el segundo paso, se crea el punto de enlace de gateway necesario para que Systems Manager acceda a Amazon S3.

nota

la región representa el identificador de una región Región de AWS compatible con AWS Systems Manager, por ejemplo, la región EE.UU. Este (Ohio). us-east-2 Para ver una lista de los valores de regiones admitidos, consulte la columna Región en Puntos de conexión de servicio de Systems Manager en la Referencia general de Amazon Web Services.

  1. Siga los pasos descritos en Create an interface endpoint (Creación de un punto de enlace de interfaz) para crear los siguientes puntos de enlace de la interfaz:

    • com.amazonaws.region.ssm: el punto de conexión para el servicio de Systems Manager.

    • com.amazonaws.region.ec2messages: Systems Manager utiliza este punto de conexión para realizar llamadas desde SSM Agent al servicio de Systems Manager.

    • com.amazonaws.region.ec2: si utiliza Systems Manager para crear instantáneas compatibles con VSS, debe asegurarse de que tiene un punto de conexión al servicio de EC2. Si el punto de conexión de EC2 no está definido, se produce un error en una llamada para enumerar los volúmenes de Amazon EBS adjuntos, lo que hace que el comando de Systems Manager no se ejecute correctamente.

    • com.amazonaws.region.ssmmessages: este punto de conexión solo es necesario si se conecta a sus instancias a través de un canal de datos seguro mediante Session Manager. Para obtener más información, consulte AWS Systems Manager Session Manager y Referencia: ec2messages, ssmmessages y otras operaciones de la API.

    • com.amazonaws.region.kms: este punto de conexión es opcional. Sin embargo, se puede crear si desea utilizar el cifrado AWS Key Management Service (AWS KMS) para Session Manager Parameter Store los parámetros.

    • com.amazonaws.region.logs: este punto de conexión es opcional. Sin embargo, se puede crear si quieres usar Amazon CloudWatch Logs (CloudWatch Logs) para Session ManagerRun Command, o SSM Agent registros.

  2. Siga los pasos descritos en Create a gateway endpoint (Creación de un punto de enlace de gateway) para crear el siguiente punto de enlace de gateway para Amazon S3.

    • com.amazonaws.region.s3: Systems Manager utiliza este punto de conexión para actualizar SSM Agent y realizar operaciones de aplicación de revisiones. Systems Manager también utiliza este punto de conexión para tareas como cargar los registros de salida que elija para almacenar en buckets de S3, recuperar scripts u otros archivos que almacene en buckets, etc. Si el grupo de seguridad asociado a su instancia restringe el tráfico saliente, debe agregar una regla para permitir el tráfico hacia la lista de prefijos para Amazon S3. Para obtener más información, consulte Modificación del grupo de seguridad en la Guía de AWS PrivateLink .

    Para obtener información sobre los depósitos de S3 AWS administrados a los que se SSM Agent debe poder acceder, consulteComunicaciones de SSM Agent con buckets de S3 administrados de AWS. Si utiliza un punto de conexión de nube privada virtual (VPC) en las operaciones de Systems Manager, necesita conceder permiso explícito en un perfil de instancia de EC2 para Systems Manager o en un rol de servicio para nodos que no son de EC2 en un entorno híbrido y multinube.

Crear una política de punto de enlace de la VPC de tipo interfaz

Puede crear políticas para los puntos finales de la interfaz de VPC AWS Systems Manager en las que puede especificar:

  • La entidad principal que puede realizar acciones

  • Las acciones que se pueden realizar

  • los recursos en los que se pueden realizar acciones

Para obtener más información, consulte Control access to services with VPC endpoints (Control del acceso a los servicios con puntos de enlace de la VPC) en la Guía del usuario de Amazon VPC.