Fase 6: (facoltativo) utilizzo di AWS PrivateLink per configurare un endpoint VPC per Session Manager - AWS Systems Manager

Fase 6: (facoltativo) utilizzo di AWS PrivateLink per configurare un endpoint VPC per Session Manager

Puoi migliorare ulteriormente la posizione di sicurezza dei tuoi nodi gestiti configurando AWS Systems Manager in modo che utilizzi un endpoint di interfaccia virtual private cloud (VPC). Gli endpoint di interfaccia sono alimentati da AWS PrivateLink, una tecnologia che permette l'accesso privato alle API Amazon Elastic Compute Cloud (Amazon EC2) e Systems Manager utilizzando indirizzi IP privati.

AWS PrivateLink limita il traffico di rete tra i nodi gestiti, Systems Manager ed Amazon EC2 alla rete Amazon. (I nodi gestiti non hanno accesso a Internet.) Inoltre, non hai bisogno di un gateway Internet, di un dispositivo NAT o di un gateway privato virtuale.

Per informazioni su come creare un VPC, consultare (Facoltativo) Creazione di un endpoint di cloud privato virtuale.

L'alternativa all'utilizzo di un endpoint VPC è l'abilitazione dell'accesso a Internet in uscita sui nodi gestiti. In questo caso, i nodi gestiti devono permettere anche il traffico in uscita HTTPS (porta 443) verso i seguenti endpoint:

  • ec2messages.region.amazonaws.com

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

Systems Manager utilizza l’ultimo di questi endpoint, ssmmessages.region.amazonaws.com per effettuare chiamate da SSM Agent al servizio Session Manager nel cloud.

Per utilizzare funzioni opzionali come la crittografia AWS Key Management Service(AWS KMS), streaming log su Amazon CloudWatch Logs (CloudWatch Logs) e invio di log ad Amazon Simple Storage Service (Amazon S3) è necessario permettere il traffico in uscita HTTPS (porta 443) ai seguenti endpoint:

  • kms.region.amazonaws.com

  • logs.region.amazonaws.com

  • s3.region.amazonaws.com

Per ulteriori informazioni sugli endpoint richiesti per Systems Manager, consultare Referenza: ec2messages, ssmmessages e altre operazioni API.