AWS Systems Manager
ユーザーガイド

ステップ 6: (オプション) プライベートクラウドエンドポントの作成

マネージドインスタンス (ハイブリッド環境のマネージドインスタンスを含む) のセキュリティ体制を改善するには、Amazon Virtual Private Cloud (Amazon VPC) でインターフェイス VPC エンドポイントを使用するように AWS Systems Manager を設定します。インターフェイス VPC エンドポイント (インターフェイスエンドポイント) を使用すると、AWS PrivateLink によって提供されるサービスに接続できます。これは、プライベート IP アドレスを使用して Amazon EC2 および Systems Manager API にプライベートアクセスできるようにするテクノロジーです。PrivateLink は、マネージドインスタンス、Systems Manager および Amazon EC2 間のすべてのネットワークトラフィックを Amazon ネットワークに限定します。(マネージドインスタンスはインターネットにアクセスできません)。 また、インターネットゲートウェイ、NAT デバイスあるいは仮想プライベートゲートウェイの必要はありません。

PrivateLink の設定は要件ではありませんが、推奨されます。PrivateLink および VPC エンドポイントの詳細については、「PrivateLink を介した AWS サービスへのアクセス」を参照してください。

注記

VPC エンドポイントを使用する代わりに、マネージドインスタンスでアウトバウンドのインターネットアクセスを有効にします。

Amazon VPC について

Amazon Virtual Private Cloud (Amazon VPC) enables you to define a virtual network in your own logically isolated area within the AWS cloud, known as a virtual private cloud (VPC). You can launch your AWS resources, such as instances, into your VPC. Your VPC closely resembles a traditional network that you might operate in your own data center, with the benefits of using AWS's scalable infrastructure. You can configure your VPC; you can select its IP address range, create subnets, and configure route tables, network gateways, and security settings. You can connect instances in your VPC to the internet. You can connect your VPC to your own corporate data center, making the AWS cloud an extension of your data center. To protect the resources in each subnet, you can use multiple layers of security, including security groups and network access control lists. For more information, see the Amazon VPC User Guide.

VPC エンドポイントの制約と制限

Systems Manager の VPC エンドポイントを設定する前に、以下の制約と制限に注意してください。

aws:domainJoin プラグイン

VPC エンドポイントを作成する場合は、aws:domainJoin プラグインを使用する SSM ドキュメントから Windows インスタンスをドメインに参加させるリクエストが失敗することに注意してください。このプラグインには AWS Directory Service が必要で、AWS Directory Service は PrivateLink エンドポイントをサポートしていません。他のドメイン結合メソッドから Windows インスタンスをドメインに結合させることは、Active Directory の要件にのみ依存します (例: DNS およびその他の関連する要件を使用してドメインコントローラが到達可能であり発見可能であることを確認する場合など)。Amazon EC2 ユーザーデータスクリプトを使用して、インスタンスをドメインに結合します。

クロスリージョンリクエスト

VPC エンドポイントはクロスリージョンのリクエストをサポートしていません。必ずバケットと同じリージョンでエンドポイントを作成してください。Amazon S3 コンソールを使用するか、get-bucket-location コマンドを使用して、バケットの場所を見つけることができます。リージョン固有の Amazon S3 エンドポイントを使用してバケットにアクセスします(たとえば、mybucket.s3-us-west-2.amazonaws.com)。Amazon S3 のリージョン固有のエンドポイントの詳細については、Amazon Web Services General Referenceの「Amazon Simple Storage Service (S3)」を参照してください。AWS CLI を使用して Amazon S3 にリクエストを実行する場合は、デフォルトリージョンをバケットと同じリージョンに設定するか、またはリクエストで --region パラメータを使用します。

着信接続

VPC エンドポイントにアタッチされたセキュリティグループでは、マネージドインスタンスのプライベートサブネットから、ポート 443 で着信接続を許可する必要があります。着信接続が許可されていない場合、マネージドインスタンスは SSM および EC2 エンドポイントに接続できません。

Amazon S3 バケット

VPC ポリシーでは、少なくとも以下の Amazon S3 バケットへのアクセスを許可する必要があります。

  • Patch Manager が、AWS リージョンのパッチベースラインオペレーションに使用する S3 バケット。これらのバケットには、パッチベースラインサービスによって取得され、インスタンスで実行されるコードが含まれます。パッチベースラインドキュメントが実行されるときに、取得するコードに対する独自のパッチベースラインのバケットが各 AWS リージョンにあります。コードをダウンロードできない場合は、パッチベースラインコマンドは失敗します。

    自分の AWS リージョンのバケットへのアクセスを許可するには、エンドポイントのポリシーに次のアクセス許可を含めます。

    arn:aws:s3:::patch-baseline-snapshot-region/* arn:aws:s3:::aws-ssm-region/*

    リージョンは、AWS Systems Manager によってサポートされている AWS リージョンのリージョン ID (例: US East (Ohio) Region の場合は us-east-2) を表します。サポートされているリージョンのリストについては、AWS General ReferenceAWS Systems Manager リージョンとエンドポイントの表リージョン列を参照してください。

    以下に例を示します。

    arn:aws:s3:::patch-baseline-snapshot-us-east-2/* arn:aws:s3:::aws-ssm-us-east-2/*
  • SSM エージェント の最小 S3 バケットアクセス許可について に一覧表示されている S3 バケット。

ハイブリッド環境の DNS

ハイブリッド環境で PrivateLink エンドポイントを使用する DNS の設定の詳細については、プライベート DNS を参照してください。独自の DNS を使用する場合には、Route 53 リゾルバーを使用できます。詳細については、Amazon Route 53 Developer GuideVPC とネットワーク間の DNS クエリの解決を参照してください。

Systems Manager 用 VPC エンドポイントを作成する

以下の手順に従って、Systems Manager の 3 つの必須および 1 つのオプションの別個の VPC エンドポイントを作成します。この 3 つのエンドポイントはすべて、Systems Manager が VPC で作動するために必要です。4 つ目は Session Manager 機能を使用している場合にのみ必要です。この手順は、Amazon VPC User Guide の関連する手順へリンクしています。

Systems Manager 用 VPC エンドポイントを作成するには

  1. インターフェイスエンドポイントの作成」の手順に従って、以下のエンドポイントを作成します。

    • com.amazonaws.region.ssm: Systems Manager サービスのエンドポイント。

    • com.amazonaws.region.ec2messages: Systems Manager はこのエンドポイントを使用して、SSM エージェント エージェントから Systems Manager サービスに呼び出しを行います。

    • com.amazonaws.region.ec2: Systems Manager を使用して VSS 対応のスナップショットを作成する場合は、EC2 サービスへのエンドポイントがあることを確認します。EC2 エンドポイントが定義されていない場合、アタッチした EBS ボリュームを列挙する呼び出しは失敗し、Systems Manager コマンドが失敗します。

    • com.amazonaws.region.ssmmessages: このエンドポイントは、Session Manager を使用して安全なデータチャネルを経由してインスタンスに接続する場合にのみ必要です。詳細については、「AWS Systems Manager Session Manager」を参照してください。

    リージョンは、AWS Systems Manager によってサポートされている AWS リージョンのリージョン ID (例: US East (Ohio) Region の場合は us-east-2) を表します。サポートされているリージョンのリストについては、AWS General ReferenceAWS Systems Manager リージョンとエンドポイントの表リージョン列を参照してください。

  2. ゲートウェイエンドポイントの作成」の手順に従って Amazon S3 のエンドポイントを作成します。Systems Manager は、Amazon S3 出力ログのアップロード、および SSM エージェント の更新のためにこのエンドポイントを使用します。

ステップ 7: (オプション) Systems Manager サービスロールの作成」に進んでください。