ステップ 2: VPC エンドポイントを作成する - AWS Systems Manager
VPC エンドポイントの制約と制限Systems Manager 用の VPC エンドポイントを作成するインターフェイス VPC エンドポイントポリシーの作成

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 2: VPC エンドポイントを作成する

Amazon Virtual Private Cloud (Amazon VPC) でインターフェイス VPC エンドポイントを使用する AWS Systems Manager ように を設定することで、マネージドノード (ハイブリッドおよびマルチクラウド環境のnon-EC2 マシンを含む) のセキュリティ体制を強化できます。インターフェイス VPC エンドポイント (インターフェイスエンドポイント) を使用すると、 によって提供されるサービスに接続できます AWS PrivateLink。 AWS PrivateLink は、プライベート IP アドレスを使用して Amazon Elastic Compute Cloud (Amazon EC2) および Systems Manager APIs にプライベートにアクセスできるテクノロジーです。

AWS PrivateLink は、マネージドインスタンス、Systems Manager、Amazon EC2 間のすべてのネットワークトラフィックを Amazon ネットワークに制限します。つまり、マネージドインスタンスはインターネットにアクセスできません。を使用する場合 AWS PrivateLink、インターネットゲートウェイ、NAT デバイス、仮想プライベートゲートウェイは必要ありません。

を設定する必要はありませんが AWS PrivateLink、お勧めします。 AWS PrivateLink および VPC エンドポイントの詳細については、「 AWS PrivateLink および VPC エンドポイント」を参照してください。

注記

VPC エンドポイントを使用する代わりに、マネージドインスタンスでアウトバウンドのインターネットアクセスを許可します。この場合、マネージドインスタンスは、以下のエンドポイントへの HTTPS (ポート 443) アウトバウンドトラフィックも許可する必要があります。

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

  • ec2messages.region.amazonaws.com

SSM Agent は、クラウド内の Systems Manager サービスへのすべての接続を開始します。このため、Systems Manager のインスタンスへのインバウンドトラフィックを許可するようにファイアウォールを設定する必要はありません。

これらのエンドポイントへの呼び出しの詳細については、「リファレンス: ec2messages、ssmmessages およびその他の API オペレーション」を参照してください。

Amazon VPC について

Amazon Virtual Private Cloud (Amazon VPC) を使用して、Virtual Private Cloud (VPC) と呼ばれる AWS クラウド内の論理的に隔離された領域に仮想ネットワークを定義できます。 AWS のリソース (インスタンスなど) を VPC 内部で起動できます。VPC は、お客様自身のデータセンターで運用されている従来のネットワークによく似ていますが、 のスケーラブルなインフラストラクチャを使用できるというメリットがあります AWS お客様の VPC はお客様が設定できます。IP アドレスレンジの選択、サブネットの作成、ルートテーブル、ネットワークゲートウェイ、セキュリティの設定ができます。VPC のインスタンスをインターネットに接続できます。VPC を自社のデータセンターに接続して、データセンター AWS クラウド を拡張できます。各サブネットでのリソースの保護には、セキュリティグループ、ネットワークアクセスコントロールリストなど、複数のセキュリティレイヤーを使用できます。詳細については、Amazon VPC ユーザーガイドを参照してください。

VPC エンドポイントの制約と制限

Systems Manager の VPC エンドポイントを設定する前に、以下の制約と制限に注意してください。

クロスリージョンリクエスト

VPC エンドポイントはクロスリージョンリクエストをサポートしていません。必ずバケット AWS リージョン と同じ にエンドポイントを作成してください。バケットの場所は、Amazon S3 コンソールまたは get-bucket-location コマンドを使用して確認できます。リージョン固有の Amazon S3 エンドポイントを使用してバケットにアクセスします (例: DOC-EXAMPLE-BUCKET.s3-us-west-2.amazonaws.com)。Amazon S3 のリージョン固有のエンドポイントの詳細については、「Amazon Web Services 全般のリファレンス」の「Amazon S3 エンドポイント」を参照してください。を使用して Amazon S3 にリクエスト AWS CLI を行う場合は、デフォルトのリージョンをバケットと同じリージョンに設定するか、リクエストで --regionパラメータを使用します。

VPC ピアリング接続

VPC インターフェイスのエンドポイントには、リージョン内およびリージョン間 VPC ピア接続の両方を介してアクセスできます。VPC インターフェイスエンドポイントの VPC ピア接続リクエストの詳細については、Amazon Virtual Private Cloud ユーザーガイドの「VPC ピア接続 (クォータ)」を参照してください。

VPC ゲートウェイエンドポイントの接続を、VPC の外に延長することはできません。VPC 内の VPC ピア接続の反対側のリソースは、ゲートウェイエンドポイントを使用してゲートウェイエンドポイントサービス内のリソースと通信することはできません。VPC ゲートウェイエンドポイントの VPC ピア接続リクエストの詳細については、Amazon Virtual Private Cloud ユーザーガイドの「VPC エンドポイント (クォータ)」を参照してください。

着信接続

VPC エンドポイントにアタッチされたセキュリティグループでは、マネージドインスタンスのプライベートサブネットから、ポート 443 で着信接続を許可する必要があります。着信接続が許可されていない場合、マネージドインスタンスは SSM および EC2 エンドポイントに接続できません。

DNS 解決

カスタム DNS サーバーを使用する場合は、amazonaws.com ドメインへのすべてのクエリの条件付きフォワーダーを VPC の Amazon DNS サーバーに追加する必要があります。

S3 バケット

VPC エンドポイントのポリシーでは、少なくとも次の Amazon S3 バケットへのアクセスを許可する必要があります。

  • SSM Agent と AWS マネージド S3 バケットとの通信 に一覧表示されている S3 バケット。

  • Patch Manager が AWS リージョン のパッチベースラインのオペレーションで使用する S3 バケット。これらのバケットには、パッチベースラインサービスによって取得され、インスタンスで実行されるコードが含まれます。各 AWS リージョン には、パッチベースラインドキュメントの実行時にコードを取得する独自のパッチベースラインオペレーションバケットがあります。コードをダウンロードできない場合は、パッチベースラインコマンドは失敗します。

    注記

    オンプレミスのファイアウォールを使用していて Patch Manager を使用する場合は、そのファイアウォールでパッチベースラインのエンドポイントへの適切なアクセスを許可する必要もあります。

    のバケットへのアクセスを提供するには AWS リージョン、エンドポイントポリシーに次のアクセス許可を含めます。

    arn:aws:s3:::patch-baseline-snapshot-region/*
arn:aws:s3:::aws-ssm-region/*

    region は、米国東部 (オハイオ) リージョンの AWS リージョン など AWS Systems Manager、 でサポートされている us-east-2の識別子を表します。サポートされている region 値の一覧については、「Amazon Web Services 全般のリファレンス」の「Systems Manager サービスエンドポイント」にある Region 列を参照してください。

    次の例を参照してください。

    arn:aws:s3:::patch-baseline-snapshot-us-east-2/*
arn:aws:s3:::aws-ssm-us-east-2/*
    注記

    中東 (バーレーン) リージョン (me-South-1) でのみ、これらのバケットで異なる命名規則を使用します。この AWS リージョン のみには、代わりに次の 2 つのバケットを使用します。

    • patch-baseline-snapshot-me-south-1-uduvl7q8

    • aws-patch-manager-me-south-1-a53fc9dce

Amazon CloudWatch Logs

インスタンスにインターネットへのアクセスを許可しない場合は、 CloudWatch ログにログを送信する機能を使用するように Logs の VPC CloudWatch エンドポイントを作成します。 CloudWatch ログのエンドポイントの作成の詳細については、「Amazon Logs ユーザーガイド」の CloudWatch 「ログ用の VPC エンドポイントの作成」を参照してください。 CloudWatch

ハイブリッドおよびマルチクラウド環境の DNS

ハイブリッドおよびマルチクラウド環境の AWS PrivateLink エンドポイントと連携するように DNS を設定する方法については、「Amazon VPC ユーザーガイド」の「インターフェイスエンドポイントのプライベート DNS」を参照してください。独自の DNS を使用する場合には、Route 53 リゾルバーを使用できます。詳細については、Amazon Route 53 デベロッパーガイドVPC とネットワークの間における DNS クエリの解決を参照してください。

Systems Manager 用の VPC エンドポイントを作成する

以下の情報を使用して、 の VPC インターフェイスとゲートウェイエンドポイントを作成します AWS Systems Manager このトピックは、Amazon VPC ユーザーガイドの手順にリンクしています。

Systems Manager 用の VPC エンドポイントを作成するには

この手順の最初のステップでは、Systems Manager に必要なインターフェイスエンドポイントを 3 つ作成し、オプションのインターフェイスエンドポイントを 1 つ作成します。最初の 3 つのエンドポイントは、Systems Manager が VPC で機能するために必要です。4 つ目 (com.amazonaws.region.ssmmessages) は、Session Manager 機能を使用している場合にのみ必要です。

2 番目のステップでは、Systems Manager が Amazon S3 にアクセスするために必要なゲートウェイエンドポイントを作成します。

注記

region は、米国東部 (オハイオ) リージョンの AWS リージョン など AWS Systems Manager、 でサポートされている us-east-2の識別子を表します。サポートされている region 値の一覧については、「Amazon Web Services 全般のリファレンス」の「Systems Manager サービスエンドポイント」にある Region 列を参照してください。

  1. インターフェイスエンドポイントの作成」の手順に従って、以下のインターフェイスエンドポイントを作成します。

    • com.amazonaws.region.ssm — Systems Manager サービスのエンドポイント。

    • com.amazonaws.region.ec2messages — Systems Manager は、このエンドポイントを使用して SSM Agent から Systems Manager サービスへの呼び出しを行います。

    • com.amazonaws.region.ec2 — Systems Manager を使用して VSS 対応のスナップショットを作成する場合は、EC2 サービスへのエンドポイントがあることを確認します。EC2 エンドポイントが定義されていない場合、アタッチした Amazon EBS ボリュームを列挙する呼び出しは失敗し、Systems Manager コマンドが失敗します。

    • com.amazonaws.region.ssmmessages — このエンドポイントは、Session Manager を使用して安全なデータチャネルを経由しインスタンスに接続する場合にのみ必要です。詳細については、AWS Systems Manager Session Managerおよびリファレンス: ec2messages、ssmmessages およびその他の API オペレーションを参照してください。

    • com.amazonaws.region.kms — このエンドポイントはオプションです。ただし、 Session Managerまたは Parameter Storeパラメータに AWS Key Management Service (AWS KMS) 暗号化を使用する場合は作成できます。

    • com.amazonaws.region.logs — このエンドポイントはオプションです。ただし、、Session Manager、Run Commandまたは SSM Agentログに Amazon CloudWatch Logs (CloudWatch Logs) を使用する場合は作成できます。

  2. ゲートウェイエンドポイントの作成」の手順に従って、Amazon S3 に以下のゲートウェイエンドポイントを作成します。

    • com.amazonaws.region.s3 – Systems Manager は、このエンドポイントを使用して SSM Agent を更新し、パッチ適用オペレーションを実行します。また、S3 バケットに格納する出力ログのアップロード、バケットに格納するスクリプトまたはその他のファイルの取得などのタスクを行います。インスタンスに関連付けられたセキュリティグループでアウトバウンドトラフィックが制限されている場合は、Amazon S3 のプレフィックス一覧へのトラフィックを可能にするルールを追加する必要があります。詳細については、AWS PrivateLink ガイドの「セキュリティグループの変更」を参照してください。

    がアクセスできるSSM Agent必要がある AWS マネージド S3 バケットの詳細については、「」を参照してくださいSSM Agent と AWS マネージド S3 バケットとの通信。Systems Manager のオペレーションで仮想プライベートクラウド (VPC) エンドポイントを使用している場合は、Systems Manager の EC2 インスタンスプロファイル、またはハイブリッドおよびマルチクラウド環境の非 EC2 ノードのサービスロールで、明示的な許可を付与する必要があります。

インターフェイス VPC エンドポイントポリシーの作成

VPC インターフェイスエンドポイントのポリシーを作成できます。このポリシー AWS Systems Manager では、以下を指定できます。

  • アクションを実行できるプリンシパル

  • 実行可能なアクション

  • 自身に対してアクションを実行できたリソース

詳細については、Amazon VPC ユーザーガイドの「VPC エンドポイントによるサービスへのアクセスのコントロール」を参照してください。