Passaggio 2: Creazione di endpoint VPC - AWS Systems Manager
Restrizioni e limitazioni degli endpoint VPCCreazione degli endpoint VPC per Systems ManagerCreazione di una policy degli endpoint VPC d'interfaccia

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Passaggio 2: Creazione di endpoint VPC

Puoi migliorare il livello di sicurezza dei tuoi nodi gestiti (comprese le macchine non EC2 in un ambiente ibrido e multicloud) configurando l' AWS Systems Manager uso di un endpoint VPC di interfaccia in Amazon Virtual Private Cloud (Amazon VPC). Utilizzando un endpoint VPC di interfaccia (endpoint di interfaccia), è possibile connettersi ai servizi forniti da. AWS PrivateLink AWS PrivateLink è una tecnologia che consente di accedere in modo privato alle API Amazon Elastic Compute Cloud (Amazon EC2) e Systems Manager utilizzando indirizzi IP privati.

AWS PrivateLink limita tutto il traffico di rete tra le istanze gestite, Systems Manager e Amazon EC2 alla rete Amazon. Ciò vuol dire che le istanze gestite non hanno accesso a Internet. Se lo utilizzi AWS PrivateLink, non hai bisogno di un gateway Internet, di un dispositivo NAT o di un gateway privato virtuale.

La configurazione non è obbligatoria AWS PrivateLink, ma è consigliata. Per ulteriori informazioni sugli AWS PrivateLink endpoint VPC, consulta e gli endpoint AWS PrivateLink VPC.

Nota

L'alternativa all'utilizzo di un endpoint VPC è l'abilitazione dell'accesso a Internet in uscita sulle istanze gestite. In questo caso, le istanze gestite devono consentire anche il traffico in uscita HTTPS (porta 443) verso i seguenti endpoint:

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

  • ec2messages.region.amazonaws.com

SSM Agent avvia tutte le connessioni al servizio Systems Manager nel cloud. Per questo motivo, non è necessario configurare il firewall per consentire il traffico in ingresso verso le istanze di Systems Manager.

Per ulteriori informazioni sulle chiamate a questi endpoint, consulta Referenza: ec2messages, ssmmessages e altre operazioni API.

Informazioni su Amazon VPC

Puoi utilizzare Amazon Virtual Private Cloud (Amazon VPC) per definire una rete virtuale nella tua area logicamente isolata all'interno del Cloud AWS, noto come cloud privato virtuale (VPC). È possibile avviare le risorse AWS , ad esempio le istanze, nel VPC. Il VPC è molto simile a una rete tradizionale gestibile nel data center locale, ma con i vantaggi legati all'utilizzo dell'infrastruttura scalabile di AWS. È·possibile configurare il VPC, selezionare l'intervallo di indirizzi IP, creare sottoreti e configurare tabelle di routing, gateway di rete e impostazioni di sicurezza. È possibile connettere le istanze nel VPC a Internet. Puoi connettere il tuo VPC al tuo data center aziendale, rendendolo Cloud AWS un'estensione del tuo data center. Per proteggere le risorse in ciascuna sottorete, è possibile usare diversi livelli di sicurezza, compresi gruppi di sicurezza e liste di controllo accessi alla rete. Per ulteriori informazioni, consulta la Guida utente Amazon VPC.

Restrizioni e limitazioni degli endpoint VPC

Prima di configurare gli endpoint VPC di Systems Manager, occorre considerare le seguenti limitazioni e restrizioni.

Richieste tra regioni

Gli endpoint VPC non supportano le richieste interregionali: assicurati di creare l'endpoint nello stesso bucket. Regione AWS Puoi trovare la posizione del tuo bucket utilizzando la console Amazon S3 o utilizzando get-bucket-locationil comando. Utilizza un endpoint Amazon S3 specifico della regione per accedere al bucket, ad esempi, DOC-EXAMPLE-BUCKET.s3-us-west-2.amazonaws.com. Per ulteriori informazioni sugli endpoint specifici della regione per Amazon S3, consulta Endpoint Amazon S3 nella Riferimenti generali di Amazon Web Services. Se utilizzi il AWS CLI per effettuare richieste ad Amazon S3, imposta la tua regione predefinita sulla stessa regione del bucket o utilizza il --region parametro nelle tue richieste.

Connessioni in peering di VPC

Gli endpoint di interfaccia del VPC sono accessibili tramite connessioni peering VPC all'interno di una regione e tra regioni. Per ulteriori informazioni sulle richieste di connessione con peering VPC per gli endpoint dell'interfaccia VPC, consulta Connessioni peering VPC (quote) nella Guida per l'utente di Amazon Virtual Private Cloud.

Le connessioni endpoint del gateway VPC non possono essere estese all'esterno di un VPC. Le risorse sul lato opposto di una connessione di peering VPC nel VPC non possono utilizzare l'endpoint del gateway per comunicare con le risorse del servizio endpoint gateway. Per ulteriori informazioni sulle richieste di connessione con peering VPC per gli endpoint del gateway VPC, consulta Connessioni peering VPC (quote) nella Guida per l'utente di Amazon Virtual Private Cloud.

Connessioni in entrata

Il gruppo di sicurezza collegato all'endpoint VPC deve consentire le connessioni in entrata sulla porta 443 dalla sottorete privata dell'istanza gestita. Se le connessioni in entrata non sono consentite, l'istanza gestita non è in grado di connettersi agli endpoint SSM ed EC2.

Risoluzione DNS

Se utilizzi un server DNS personalizzato, devi aggiungere un server d'inoltro condizionale per eventuali query al dominio amazonaws.com al server Amazon DNS per il tuo VPC.

Bucket S3

La policy dell'endpoint VPC deve consentire almeno l'accesso ai seguenti bucket Amazon S3:

  • Bucket S3 elencati in Comunicazioni di SSM Agent con i bucket S3 gestiti di AWS.

  • I bucket S3 utilizzati da Patch Manager per le operazioni patch di base nel tuo Regione AWS. Questi bucket contengono il codice che viene recuperato e vengono eseguiti su istanze tramite il servizio base di patch. Ciascuno Regione AWS ha i propri bucket di operazioni di base delle patch da cui viene recuperato il codice quando viene eseguito un documento di base della patch. Se il codice non può essere scaricato, il comando base di patch avrà esito negativo.

    Nota

    Se si usa un firewall locale e si intende utilizzare Patch Manager, il firewall deve consentire anche l'accesso all'endpoint della base di patch appropriato.

    Per fornire l'accesso ai bucket del tuo dispositivo Regione AWS, includi la seguente autorizzazione nella tua policy sugli endpoint.

    arn:aws:s3:::patch-baseline-snapshot-region/*
arn:aws:s3:::aws-ssm-region/*

    region rappresenta l'identificatore di una regione Regione AWS supportata da AWS Systems Manager, ad esempio us-east-2 per la regione Stati Uniti orientali (Ohio). Per un elenco dei valori region supportati, consulta la colonna Regione in Endpoint del servizio Systems Manager nella Riferimenti generali di Amazon Web Services.

    Guarda l'esempio seguente.

    arn:aws:s3:::patch-baseline-snapshot-us-east-2/*
arn:aws:s3:::aws-ssm-us-east-2/*
    Nota

    Nella regione Medioriente (Bahrain) (me-south-1), soltanto, questi bucket utilizzano diverse convenzioni di denominazione. Regione AWS Solo per questo, utilizza invece i due bucket seguenti:

    • patch-baseline-snapshot-me-south-1-uduvl7q8

    • aws-patch-manager-me-south-1-a53fc9dce

CloudWatch Registri Amazon

Se non consenti alle tue istanze di accedere a Internet, crea un endpoint VPC per i registri CloudWatch per utilizzare le funzionalità che inviano i log ai registri. CloudWatch Per ulteriori informazioni sulla creazione di un endpoint per CloudWatch Logs, consulta Creating a VPC endpoint for Logs CloudWatch nella Amazon Logs User Guide. CloudWatch

DNS in ambiente ibrido e multicloud

Per informazioni sulla configurazione del DNS per funzionare con gli AWS PrivateLink endpoint in ambienti ibridi e multicloud, consulta DNS privato per endpoint di interfaccia nella Amazon VPC User Guide. Se si desidera utilizzare il proprio DNS, è possibile utilizzare il Resolver Route 53. Per ulteriori informazioni, consulta Risoluzione delle query DNS tra i VPC e la propria rete nella Guida per gli sviluppatori di Amazon Route 53.

Creazione degli endpoint VPC per Systems Manager

Utilizzare le seguenti informazioni per creare endpoint di interfaccia VPC e gateway per AWS Systems Manager. Questo argomento si collega alle procedure descritte nella Guida utente Amazon VPC.

Creare endpoint VPC per Systems Manager

Nel primo passaggio di questa procedura, si creano tre endpoint di interfaccia necessari e uno facoltativo per Systems Manager. I primi tre endpoint sono necessari per il funzionamento di Systems Manager in un VPC. Il quarto, com.amazonaws.region.ssmmessages, è necessario solo se si utilizzano le funzionalità di Session Manager.

Nel secondo passaggio si crea l'endpoint del gateway necessario per l'accesso di Systems Manager in Amazon S3.

Nota

region rappresenta l'identificatore di una regione Regione AWS supportata da AWS Systems Manager, ad esempio per la regione Stati Uniti orientali (Ohio). us-east-2 Per un elenco dei valori regione supportati, consulta la colonna Regione in Endpoint del servizio Systems Manager nella Riferimenti generali di Amazon Web Services.

  1. Seguire la procedura in Creazione di un endpoint di interfaccia per creare i seguenti endpoint di interfaccia:

    • com.amazonaws.region.ssm – L'endpoint per il servizio Systems Manager.

    • com.amazonaws.region.ec2messages – Systems Manager utilizza questo endpoint per effettuare chiamate da SSM Agent al servizio Systems Manager.

    • com.amazonaws.region.ec2 – Se si utilizza Systems Manager per creare snapshot con tecnologia VSS, verificare di disporre di un endpoint per il servizio EC2. Se non è definito l'endpoint EC2, la chiamata per enumerare i volumi Amazon EBS collegati ha esito negativo e causa un errore del comando di Systems Manager.

    • com.amazonaws.region.ssmmessages – Questo endpoint è necessario solo se si esegue la connessione alle istanze tramite un canale di dati sicuro mediante Session Manager. Per ulteriori informazioni, consultare AWS Systems Manager Session Manager e Referenza: ec2messages, ssmmessages e altre operazioni API.

    • com.amazonaws.region.kms— Questo endpoint è facoltativo. Tuttavia, può essere creato se si desidera utilizzare la crittografia AWS Key Management Service (AWS KMS) per i parametriSession Manager. Parameter Store

    • com.amazonaws.region.logs— Questo endpoint è facoltativo. Tuttavia, può essere creato se desideri utilizzare Amazon CloudWatch Logs (CloudWatch Logs) per Session ManagerRun Command, o SSM Agent logs.

  2. Attenersi alla procedura descritta in Creazione di un endpoint del Gateway per creare il seguente endpoint del gateway per Amazon S3.

    • com.amazonaws.region.s3: Systems Manager utilizza questo endpoint per l'aggiornamento di SSM Agent e per eseguire operazioni di applicazione delle patch. : Systems Manager utilizza questo endpoint per attività come il caricamento dei log di output che si sceglie di archiviare in bucket S3, recuperando script o altri file archiviati in bucket e così via. Se il gruppo di sicurezza associato alle istanze in uso limita il traffico in uscita, occorre aggiungere una regola per consentire al traffico di utilizzare l'elenco di prefissi per Amazon S3. Per ulteriori informazioni, consulta Modifica del gruppo di sicurezza nella Guida di AWS PrivateLink .

    Per informazioni sui bucket S3 AWS gestiti a cui SSM Agent deve essere possibile accedere, consulta. Comunicazioni di SSM Agent con i bucket S3 gestiti di AWS Se utilizzi un endpoint cloud privato virtuale (VPC) nelle operazioni di Systems Manager, devi fornire un'autorizzazione esplicita in un profilo dell'istanza EC2 per Systems Manager o in un ruolo di servizio per i nodi gestiti non EC2 in un ambiente ibrido e multicloud.

Creazione di una policy degli endpoint VPC d'interfaccia

È possibile creare policy per gli endpoint dell'interfaccia VPC per le AWS Systems Manager quali è possibile specificare:

  • Il principale che può eseguire operazioni.

  • Le azioni che possono essere eseguite

  • Le risorse su cui è possibile eseguire le operazioni

Per ulteriori informazioni, consulta Controllo degli accessi ai servizi con endpoint VPC nella Guida utente Amazon VPC.