Meningkatkan keamanan instans EC2 dengan menggunakan titik akhir VPC untuk Systems Manager - AWS Systems Manager
Pembatasan dan batasan VPC endpointMembuat VPC endpoint untuk Systems ManagerPenciptaan sebuah kebijakan VPC endpoint antarmuka

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Meningkatkan keamanan instans EC2 dengan menggunakan titik akhir VPC untuk Systems Manager

Anda dapat meningkatkan postur keamanan node terkelola Anda (termasuk mesin non-EC2 di lingkungan hybrid dan multicloud) dengan mengonfigurasi untuk AWS Systems Manager menggunakan titik akhir VPC antarmuka di Amazon Virtual Private Cloud (Amazon VPC). Dengan menggunakan antarmuka VPC endpoint (interface endpoint), Anda dapat terhubung ke layanan yang didukung oleh. AWS PrivateLink AWS PrivateLink adalah teknologi yang memungkinkan Anda mengakses Amazon Elastic Compute Cloud (Amazon EC2) dan API Systems Manager secara pribadi dengan menggunakan alamat IP pribadi.

AWS PrivateLink membatasi semua lalu lintas jaringan antara instans terkelola, Systems Manager, dan Amazon EC2 ke jaringan Amazon. Ini berarti instans terkelola Anda tidak memiliki akses ke Internet. Jika Anda menggunakannya AWS PrivateLink, Anda tidak memerlukan gateway internet, perangkat NAT, atau gateway pribadi virtual.

Anda tidak diharuskan untuk mengkonfigurasi AWS PrivateLink, tetapi disarankan. Untuk informasi selengkapnya tentang AWS PrivateLink dan titik akhir VPC, lihat dan titik akhir AWS PrivateLink VPC.

catatan

Alternatif untuk menggunakan VPC endpoint adalah untuk memungkinkan akses internet luar pada instans terkelola Anda. Dalam kasus ini, instans terkelola juga harus mengizinkan lalu lintas keluar HTTPS (port 443) ke titik akhir berikut:

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

  • ec2messages.region.amazonaws.com

SSM Agentmemulai semua koneksi ke layanan Systems Manager di cloud. Untuk alasan ini, Anda tidak perlu mengonfigurasi firewall Anda untuk mengizinkan lalu lintas masuk ke instans Anda untuk Systems Manager.

Untuk informasi lebih lanjut tentang panggilan ke titik akhir ini, lihat Referensi: ec2messages, ssmmessages, dan operasi API lainnya.

Tentang Amazon VPC

Anda dapat menggunakan Amazon Virtual Private Cloud (Amazon VPC) untuk menentukan jaringan virtual di area Anda sendiri yang terisolasi secara logis di dalam AWS Cloud, yang dikenal sebagai virtual private cloud (VPC). Anda dapat meluncurkan sumber daya AWS , seperti instans, ke dalam VPC Anda. VPC Anda sangat menyerupai jaringan tradisional yang mungkin Anda operasikan di pusat data Anda sendiri, dengan memanfaatkan infrastruktur terukur dari AWS. Anda dapat mengonfigurasi VPC Anda; Anda dapat memilih baris alamat IP, membuat subnet, dan mengonfigurasi tabel rute, gateway jaringan, dan pengaturan keamanan. Anda dapat menghubungkan instans dalam VPC Anda ke internet. Anda dapat menghubungkan VPC Anda ke pusat data perusahaan Anda sendiri, membuat AWS Cloud perpanjangan pusat data Anda. Untuk melindungi sumber daya di setiap subnet, Anda dapat menggunakan beberapa lapisan keamanan, termasuk grup keamanan dan daftar kontrol akses jaringan. Untuk informasi selengkapnya, silakan lihat ACL Jaringan di Panduan Pengguna Amazon VPC.

Pembatasan dan batasan VPC endpoint

Sebelum Anda mengkonfigurasi VPC endpoints untuk Systems Manager, perhatikan pembatasan dan batasan berikut.

Permintaan Lintas Wilayah

Titik akhir VPC tidak mendukung permintaan lintas wilayah—pastikan Anda membuat titik akhir sama dengan bucket Anda. Wilayah AWS Anda dapat menemukan lokasi bucket Anda dengan menggunakan konsol Amazon S3, atau dengan menggunakan perintah dapatkan-bucket-lokasi. Gunakan titik akhir Amazon S3 khusus wilayah untuk mengakses bucket Anda; misalnya, DOC-EXAMPLE-BUCKET.s3-us-west-2.amazonaws.com. Untuk informasi selengkapnya tentang titik akhir khusus Wilayah untuk Amazon S3, lihat titik akhir Amazon S3 di. Referensi Umum Amazon Web Services Jika Anda menggunakan AWS CLI untuk membuat permintaan ke Amazon S3, setel wilayah default Anda ke wilayah yang sama dengan bucket, atau gunakan --region parameter dalam permintaan Anda.

Koneksi peering VPC

Titik akhir antarmuka VPC dapat diakses melalui kedua antar-wilayah dan antar-wilayah Koneksi peering VPC. Untuk informasi selengkapnya tentang permintaan koneksi peering VPC untuk titik akhir antarmuka VPC, lihat Koneksi peering VPC (Kuota) di Panduan Pengguna Amazon Virtual Private Cloud.

Koneksi titik akhir gateway VPC tidak dapat diperpanjang dari VPC. Sumber daya di sisi lain dari Koneksi peering VPC di VPC Anda tidak dapat menggunakan gateway endpoint untuk berkomunikasi dengan sumber daya dalam layanan gateway endpoint. Untuk informasi selengkapnya tentang permintaan koneksi peering VPC untuk titik akhir gateway VPC, lihat Titik akhir VPC (Kuota) di Panduan Pengguna Amazon Virtual Private Cloud

Koneksi masuk

Grup keamanan yang terkait dengan VPC endpoint harus mengizinkan koneksi masuk pada port 443 dari subnet privat pada instans terkelola. Jika koneksi masuk tidak diizinkan, maka instans terkelola tidak dapat terhubung ke SSM dan EC2 endpoint.

Resolusi DNS

Jika Anda menggunakan server DNS khusus, Anda harus menambahkan forwarder bersyarat untuk kueri apa pun ke domain ke server DNS Amazon amazonaws.com untuk VPC Anda.

Bucket S3

Kebijakan titik akhir VPC Anda harus mengizinkan akses ke setidaknya bucket Amazon S3 berikut:

  • Bucket S3 yang tercantum dalam SSM Agentkomunikasi dengan bucket S3 AWS terkelola.

  • Bucket S3 yang digunakan oleh Patch Manager untuk operasi baseline patch di Anda. Wilayah AWS Bucket ini berisi kode yang diambil dan berjalan pada instans oleh layanan dasar patch. Masing-masing Wilayah AWS memiliki bucket operasi baseline patch sendiri dari mana kode diambil ketika dokumen baseline patch dijalankan. Jika kode tidak dapat diunduh, perintah dasar patch akan gagal.

    catatan

    Jika Anda menggunakan firewall lokal dan berencana untuk menggunakannyaPatch Manager, firewall tersebut juga harus mengizinkan akses ke titik akhir dasar patch yang sesuai.

    Untuk menyediakan akses ke bucket di dalam Anda Wilayah AWS, sertakan izin berikut dalam kebijakan endpoint Anda.

    arn:aws:s3:::patch-baseline-snapshot-region/*
arn:aws:s3:::aws-ssm-region/*

    wilayah mewakili pengenal untuk Wilayah AWS didukung oleh AWS Systems Manager, seperti us-east-2 untuk Wilayah Timur AS (Ohio). Untuk daftar nilai wilayah yang didukung, lihat kolom Region di titik akhir layanan Systems Manager di Referensi Umum Amazon Web Services.

    Lihat contoh berikut ini.

    arn:aws:s3:::patch-baseline-snapshot-us-east-2/*
arn:aws:s3:::aws-ssm-us-east-2/*
    catatan

    Di Wilayah Timur Tengah (Bahrain) (me-south-1) saja, ember ini menggunakan konvensi penamaan yang berbeda. Untuk ini Wilayah AWS saja, gunakan dua ember berikut sebagai gantinya:

    • patch-baseline-snapshot-me-south-1-uduvl7q8

    • aws-patch-manager-me-south-1-a53fc9dce

CloudWatch Log Amazon

Jika Anda tidak mengizinkan instans Anda mengakses internet, buat titik akhir VPC CloudWatch untuk Log untuk menggunakan fitur yang mengirim log ke Log. CloudWatch Untuk informasi selengkapnya tentang membuat titik akhir untuk CloudWatch Log, lihat Membuat titik akhir VPC CloudWatch untuk Log di Panduan Pengguna Log CloudWatch Amazon.

DNS di lingkungan hybrid dan multicloud

Untuk informasi tentang mengonfigurasi DNS agar berfungsi dengan AWS PrivateLink titik akhir di lingkungan hybrid dan multicloud, lihat DNS pribadi untuk titik akhir antarmuka di Panduan Pengguna Amazon VPC. Jika Anda ingin menggunakan DNS Anda sendiri, Anda dapat menggunakan Route 53 Resolver. Untuk informasi selengkapnya, lihat Menyelesaikan kueri DNS antara VPC dan jaringan Anda di Panduan Pengembang Amazon Route 53.

Membuat VPC endpoint untuk Systems Manager

Gunakan informasi berikut untuk membuat antarmuka VPC dan titik akhir gateway untuk AWS Systems Manager. Topik link ini untuk prosedur di Panduan Pengguna Amazon VPC.

Untuk membuat VPC endpoint untuk Systems Manager

Pada langkah pertama dari prosedur ini, buat tiga Titik akhir dan satu opsional yang diperlukan Antarmuka untuk Systems Manager. Tiga titik akhir pertama diperlukan untuk Systems Manager yang bekerja di VPC. Yang keempatcom.amazonaws.region.ssmmessages,, diperlukan hanya jika Anda menggunakan Session Manager kemampuan.

Pada langkah kedua, Anda membuat gateway titik akhir yang dibutuhkan untuk Systems Manager untuk mengakses Amazon S3.

catatan

wilayah mewakili pengenal untuk Wilayah AWS didukung oleh AWS Systems Manager, seperti us-east-2 untuk Wilayah Timur AS (Ohio). Untuk daftar nilai wilayah yang didukung, lihat kolom Region di titik akhir layanan Systems Manager di Referensi Umum Amazon Web Services.

  1. Ikuti langkah-langkah di Buat titik akhir antarmuka untuk membuat titik akhir antarmuka berikut:

    • com.amazonaws.region.ssm— Titik akhir untuk layanan Systems Manager.

    • com.amazonaws.region.ec2messages— Systems Manager menggunakan endpoint ini untuk melakukan panggilan dari SSM Agent ke layanan Systems Manager.

    • com.amazonaws.region.ec2— Jika Anda menggunakan Systems Manager untuk membuat snapshot berkemampuan VSS, Anda perlu memastikan bahwa Anda memiliki titik akhir ke layanan EC2. Tanpa titik akhir EC2 ditentukan, panggilan untuk menghitung volume Amazon EBS terlampir gagal, yang menyebabkan perintah Systems Manager gagal.

    • com.amazonaws.region.ssmmessages— Titik akhir ini hanya diperlukan jika Anda terhubung ke instans Anda melalui saluran data aman menggunakan. Session Manager Untuk informasi selengkapnya, lihat AWS Systems Manager Session Manager dan Referensi: ec2messages, ssmmessages, dan operasi API lainnya.

    • com.amazonaws.region.kmsEndpoint ini bersifat opsional. Namun, itu dapat dibuat jika Anda ingin menggunakan enkripsi AWS Key Management Service (AWS KMS) untuk Session Manager atau Parameter Store parameter.

    • com.amazonaws.region.logsEndpoint ini bersifat opsional. Namun, itu dapat dibuat jika Anda ingin menggunakan Amazon CloudWatch Logs (CloudWatch Log) untukSession Manager,Run Command, atau SSM Agent log.

  2. Ikuti langkah-langkah di Buat titik akhir gateway untuk membuat titik akhir gateway berikut untuk Amazon S3.

    • com.amazonaws.region.s3— Systems Manager menggunakan endpoint ini untuk memperbarui SSM Agent dan melakukan operasi patching. Systems Manager juga menggunakan endpoint ini untuk tugas-tugas seperti mengunggah log keluaran yang Anda pilih untuk disimpan di bucket S3, mengambil skrip atau file lain yang Anda simpan di bucket, dan sebagainya. Jika grup keamanan yang terkait dengan instans membatasi lalu lintas keluar, Anda harus menambahkan aturan untuk mengizinkan lalu lintas ke daftar awalan untuk Amazon S3. Untuk informasi selengkapnya, lihat Memodifikasi grup keamanan Anda di AWS PrivateLink Panduan.

    Untuk informasi tentang bucket S3 AWS terkelola yang SSM Agent harus dapat diakses, lihat. SSM Agentkomunikasi dengan bucket S3 AWS terkelola Jika Anda menggunakan titik akhir virtual private cloud (VPC) dalam operasi Systems Manager, Anda harus memberikan izin eksplisit dalam profil instans EC2 untuk Systems Manager, atau dalam peran layanan untuk node terkelola non-EC2 di lingkungan hybrid dan multicloud.

Penciptaan sebuah kebijakan VPC endpoint antarmuka

Anda dapat membuat kebijakan untuk titik akhir antarmuka VPC yang dapat Anda tentukan: AWS Systems Manager

  • Prinsip-prinsip yang dapat melakukan tindakan.

  • Tindakan yang dapat dilakukan

  • Sumber daya yang dapat memiliki tindakan yang dilakukan pada mereka

Untuk informasi selengkapnya, lihat Mengontrol akses ke layanan dengan titik akhir VPC di Panduan Pengguna Amazon VPC.