Fase 6: (Facoltativo) Creare un endpoint di un Virtual Private Cloud - AWS Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Fase 6: (Facoltativo) Creare un endpoint di un Virtual Private Cloud

Puoi migliorare l'assetto di sicurezza delle istanze gestite (incluse le istanze gestite nell'ambiente ibrido) configurandoAWS Systems ManagerPer utilizzare un endpoint VPC di interfaccia in Amazon Virtual Private Cloud (Amazon VPC). Un endpoint VPC di interfaccia (endpoint di interfaccia) consente di collegarsi a servizi basati su AWS PrivateLink , una tecnologia che permette l'accesso privato alle API Amazon Elastic Compute Cloud (Amazon EC2) e Systems Manager API utilizzando indirizzi IP privati. AWS PrivateLink limita il traffico di rete tra istanze gestite, Systems Manager e Amazon EC2 alla rete Amazon. Ciò significa che le istanze gestite non hanno accesso a Internet. Se utilizzi AWS PrivateLink Non hai bisogno di un gateway Internet, di un dispositivo NAT o di un gateway privato virtuale.

Non è necessario configurare AWS PrivateLink , ma è consigliato. Per ulteriori informazioni su AWS PrivateLink e gli endpoint VPC, vedereAccesso aAWSServizi tramite PrivateLink.

Nota

L'alternativa all'utilizzo di un endpoint VPC è l'autorizzazione dell'accesso a Internet in uscita sulle istanze gestite. In questo caso, le istanze gestite devono consentire anche il traffico in uscita HTTPS (porta 443) verso i seguenti endpoint:

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

  • ec2messages.region.amazonaws.com

SSM AgentAvvio di tutte le connessioni al servizio Systems Manager nel cloud. Per questo motivo, non è necessario configurare il firewall per consentire il traffico in ingresso verso le istanze di Systems Manager.

Per ulteriori informazioni sulle chiamate a questi endpoint, consulta Riferimento: ec2messages, ssmmessages e altre chiamate API.

Informazioni su Amazon VPC

Puoi utilizzare Amazon Virtual Private Cloud (Amazon VPC) per definire una rete virtuale nella tua area isolata logicamente all'interno di Amazon Virtual Private Cloud (Amazon VPC).AWSCloud, noto comeVirtual private cloud (VPC). Puoi lanciare il tuoAWSRisorse, ad esempio le istanze, nel VPC. Il VPC è molto simile a una rete tradizionale gestibile nel data center locale, ma con i vantaggi legati all'utilizzo dell'infrastruttura scalabile di.AWS. Puoi configurare il VPC, selezionare l'intervallo di indirizzi IP, creare sottoreti e configurare tabelle di routing, gateway di rete e impostazioni di sicurezza. È possibile connettere le istanze del VPC a Internet. Puoi connettere il VPC al data center aziendale, che rende ilAWSCloud un'estensione del tuo data center. Per proteggere le risorse in ciascuna sottorete, puoi usare diversi livelli di sicurezza, compresi gruppi di sicurezza e liste di controllo accessi alla rete. Per ulteriori informazioni, consulta la Guida per l'utente di Amazon RDS.

Restrizioni e limitazioni degli endpoint VPC

Prima di configurare gli endpoint VPC per Systems Manager, tieni presente le seguenti limitazioni e restrizioni:

aws:domainJoinPlugin .

Se scegli di creare endpoint VPC, tieni presente che le richieste di aggiungere unWindows Servera un dominio da documenti SSM che utilizzano l'istanzaaws:domainJoinnon riuscirà a meno che tu non consenta il traffico dalla tua istanza al pubblicoAWS Directory ServiceEndpoint . Questo plugin richiede ilAWS Directory Service, eAWS Directory Servicenon ha il supporto per gli endpoint PrivateLink. Support per l'adesione a unWindows ServerL'istanza di un dominio da altri metodi di aggiunta di istanze a un dominio dipende esclusivamente dai requisiti di Active Directory, ad esempio garantendo che i controller di dominio siano raggiungibili e individuabili utilizzando il DNS e altri requisiti correlati. È possibile utilizzareScript per dati utente Amazon EC2 User DataPer aggiungere un'istanza a un dominio.

Richieste tra regioni

Gli endpoint VPC non supportano richieste su più regioni: assicurati di creare l'endpoint nella stessa regione del bucket. Puoi trovare il percorso del bucket utilizzando la console Amazon S3 o il comando get-bucket-location. Utilizza un endpoint Amazon S3 specifico della regione per accedere al bucket, ad esempi, DOC-EXAMPLE-BUCKET.s3-us-west-2.amazonaws.com. Per ulteriori informazioni sugli endpoint specifici di una regione per Amazon S3, consultaEndpoint del servizio Amazon S3nellaInformazioni generali di riferimento per Amazon Web Services. Se utilizzi il pluginAWS CLIPer effettuare richieste ad Amazon S3, imposta la regione predefinita sulla stessa regione del bucket o utilizza la--regionnelle tue richieste.

Connessioni peering VPC

Gli endpoint di interfaccia del VPC sono accessibili tramite connessioni peering VPC all'interno di una regione e tra regioni. Per ulteriori informazioni sulle richieste di connessione con peering VPC per gli endpoint dell'interfaccia VPC, vedereProprietà e limitazioni degli endpoint dell'interfaccianellaGuida per l'utente di Amazon Virtual Private Cloud.

Le connessioni endpoint del gateway VPC non possono essere Estese all'esterno di un VPC. Le risorse sul lato opposto di una connessione di peering VPC nel VPC non possono utilizzare l'endpoint del gateway per comunicare con le risorse del servizio endpoint gateway. Per ulteriori informazioni sulle richieste di connessione con peering VPC per endpoint gateway VPC, vedereLimitazioni dell'endpoint gatewaynellaGuida per l'utente di Amazon Virtual Private Cloud

Connessioni in entrata

Il gruppo di sicurezza collegato all'endpoint VPC deve consentire le connessioni in entrata sulla porta 443 dalla sottorete privata dell'istanza gestita. Se le connessioni in entrata non sono consentite, l'istanza gestita non è in grado di connettersi agli endpoint SSM ed EC2.

Bucket Amazon S3

La policy dell'endpoint VPC deve consentire almeno l'accesso ai seguenti bucket Amazon S3:

  • Bucket S3 utilizzati daPatch Managerper le operazioni di baseline delle patch nel AWS Region . Questi bucket contengono il codice che viene recuperato e vengono eseguiti su istanze tramite il servizio base patch. Ciascun AWS Region dispone di propri bucket per le operazioni base patch da cui il codice viene recuperato quando viene eseguito un documento base patch. Se il codice non può essere scaricato, il comando base patch avrà esito negativo.

    Nota

    Se utilizzi un firewall locale e prevedi di utilizzarePatch Manager, tale firewall deve anche consentire l'accesso all'endpoint della linea di base della patch appropriato.

    Per fornire l'accesso ai bucket nel tuo AWS Region , includi le autorizzazioni seguenti alla policy dell'endpoint:

    Nota

    Solo nella regione del Medio Oriente (Bahrain) (me-south-1), questi bucket utilizzano diverse convenzioni di denominazione. Per questo AWS Region Solo, utilizzare invece i due bucket seguenti.

    • patch-baseline-snapshot-me-south-1-uduvl7q8

    • aws-patch-manager-me-south-1-a53fc9dce

    arn:aws:s3:::patch-baseline-snapshot-region/* arn:aws:s3:::aws-ssm-region/*

    regionrappresenta l'identificatore per un AWS Region Supportato daAWS Systems Manager, ad esempious-east-2per la regione Stati Uniti orientali (Ohio). Per un elenco delle funzionalità supportateregion, consultare ilRegioncolonna inEndpoint del servizio Systems ManagernellaInformazioni generali di riferimento per Amazon Web Services.

    Ad esempio:

    arn:aws:s3:::patch-baseline-snapshot-us-east-2/* arn:aws:s3:::aws-ssm-us-east-2/*
  • Bucket S3 elencati in SSM AgentComunicazioni conAWSBucket S3 gestiti.

Amazon CloudWatch Logs

Se non si consente alle istanze di accedere a Internet, creare un endpoint VPC per CloudWatch Logs per utilizzare le funzionalità che inviano i registri ai registri CloudWatch. Per ulteriori informazioni sulla creazione di un endpoint per CloudWatch Logs, consultaCreazione di un endpoint VPC per i CloudWatch LogsnellaGuida per l'Amazon CloudWatch Logs.

DNS in ambiente ibrido

Per informazioni su come configurare il DNS per l'utilizzo con AWS PrivateLink negli ambienti ibridi, vedereDNS privato. Se si desidera utilizzare il proprio DNS, è possibile utilizzare il resolver Route 53. Per ulteriori informazioni, consultaRisoluzione di query DNS tra i VPC e la retenellaGuida per gli sviluppatori Amazon Route 53.

Creazione degli endpoint VPC per Systems Manager

Utilizzare le seguenti informazioni per creare endpoint di interfaccia VPC e gateway per AWS Systems Manager. Questo argomento si collega alle procedure nellaAmazon VPC User Guide.

Per creare endpoint VPC per Systems Manager

Nel primo passaggio di questa procedura, si creano tre obbligatori e uno facoltativointerfaceEndpoint per Systems Manager. I primi tre endpoint sono necessari per Systems Manager per il funzionamento di in un VPC. Il quarto,com.amazonaws.region.ssmmessages, è obbligatorio solo se si sta utilizzandoSession ManagerFunzionalità.

Nel secondo passaggio si crea ilGatewayPer accedere a Amazon S3, Systems Manager.

Nota

regionrappresenta l'identificatore per un AWS Region Supportato daAWS Systems Manager, ad esempious-east-2per la regione Stati Uniti orientali (Ohio). Per un elenco delle funzionalità supportateregion, consultare ilRegioncolonna inEndpoint del servizio Systems ManagernellaInformazioni generali di riferimento per Amazon Web Services.

  1. Seguire la procedura in Creazione di un endpoint di interfaccia per creare i seguenti endpoint:

    • com.amazonaws.region.ssm: l'endpoint per il servizio Systems Manager.

    • com.amazonaws.region.ec2messages: Systems Manager utilizza questo endpoint per effettuare chiamate daSSM Agental servizio Systems Manager.

    • com.amazonaws.region.ec2: se utilizzi Systems Manager per creare snapshot con tecnologia VSS, verifica di disporre di un endpoint per il servizio EC2. Se non è definito un endpoint EC2, una chiamata per enumerare i volumi EBS collegati ha esito negativo e causa un errore del comando Systems Manager.

    • com.amazonaws.region.ssmmessages: questo endpoint è necessario solo se esegui la connessione alle istanze tramite un canale di dati sicuro medianteSession Manager. Per ulteriori informazioni, consulta AWS Systems Manager Session Manager e Riferimento: ec2messages, ssmmessages e altre chiamate API.

    • com.amazonaws.region.kms: questo endpoint è facoltativo ma può essere creato se si desidera utilizzareAWS Key Management Service(AWS KMS) perSession ManageroParameter Storeparametri.

  2. Seguire la procedura riportata inCreazione di un endpoint gatewayPer creare il seguente endpoint gateway per Amazon S3.

    • com.amazonaws.region.s3: Systems Manager utilizza questo endpoint per aggiornareSSM AgentEsegui operazioni di patch e per attività come il caricamento dei registri di output che si sceglie di archiviare in bucket S3, recuperando script o altri file archiviati in bucket e così via. Se il gruppo di sicurezza associato alle istanze in uso limita il traffico in uscita, occorre aggiungere una regola per consentire al traffico di l'elenco dei prefissi per Amazon S3. Per ulteriori informazioni, consultaModifica il gruppo di sicurezzanella AWS PrivateLink Guida.

Creazione di una policy degli endpoint VPC d'interfaccia

È possibile creare criteri per gli endpoint di interfaccia VPC perAWS Systems Managerin cui puoi specificare:

  • Il principale che può eseguire operazioni.

  • Le operazioni che possono essere eseguite

  • Le risorse su cui è possibile eseguire le operazioni

Per ulteriori informazioni, consulta Controllo degli accessi ai servizi con endpoint VPC in Guida per l'utente di Amazon VPC.

Esempio 1: Consenti agli utenti di ottenere ed elencare solo le chiamate di comando

{ "Statement":[ { "Sid":"SSMCommandsReadOnly", "Principal":"*", "Action":[ "ssm:ListCommands", "ssm:ListCommandInvocations", "ssm:GetCommandInvocation" ], "Effect":"Allow", "Resource":"*" } ] }

Continua su Fase 7: (Facoltativo) Creare ruoli di servizio di Systems Manager.