Etapa 2: criar endpoints da VPC - AWS Systems Manager
Restrições e limitações do VPC endpointCriar endpoints da VPC para o Systems ManagerCriar uma política de VPC endpoint de interface

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Etapa 2: criar endpoints da VPC

Você pode melhorar a postura de segurança de seus nós gerenciados (incluindo máquinas não EC2 em um ambiente híbrido e multicloud) configurando para AWS Systems Manager usar uma interface VPC endpoint na Amazon Virtual Private Cloud (Amazon VPC). Ao usar uma interface VPC endpoint (endpoint de interface), você pode se conectar a serviços fornecidos por. AWS PrivateLink AWS PrivateLink é uma tecnologia que permite acessar de forma privada as APIs do Amazon Elastic Compute Cloud (Amazon EC2) e do Systems Manager usando endereços IP privados.

AWS PrivateLink restringe todo o tráfego de rede entre suas instâncias gerenciadas, o Systems Manager e o Amazon EC2 à rede Amazon. Isso significa que suas instâncias gerenciadas não precisam ter acesso à Internet. Se você usa AWS PrivateLink, não precisa de um gateway de internet, um dispositivo NAT ou um gateway privado virtual.

Você não precisa configurar AWS PrivateLink, mas é recomendado. Para obter mais informações sobre AWS PrivateLink e VPC endpoints, consulte e AWS PrivateLink VPC endpoints.

nota

A alternativa ao uso de um endpoint da VPC é permitir o acesso à Internet de saída em suas instâncias gerenciadas. Nesse caso, as instâncias gerenciadas também devem permitir tráfego de saída HTTPS (porta 443) para os seguintes endpoints:

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

  • ec2messages.region.amazonaws.com

O SSM Agent inicia todas as conexões com o serviço Systems Manager na nuvem. Por essa razão, você não precisa configurar o firewall para permitir o tráfego de entrada nas instâncias para o Systems Manager.

Para obter mais informações sobre chamadas para esses endpoints, consulte Referência: ec2messages, ssmmessages e outras operações da API.

Sobre a Amazon VPC

Você pode usar a Amazon Virtual Private Cloud (Amazon VPC) para definir uma rede virtual em sua própria área logicamente isolada dentro da Nuvem AWS, conhecida como nuvem privada virtual (VPC). Você pode iniciar os recursos da AWS , como as instâncias, na VPC. Sua VPC assemelha-se a uma rede tradicional que você poderia operar no seu próprio datacenter, com os benefícios de usar a infraestrutura escalável da AWS. É possível configurar seu VPC, selecionar o intervalo de endereços IP dele, criar sub-redes e definir tabelas de rotas, gateways de rede e configurações de segurança. Você pode se conectar às suas instâncias na VPC. Você pode conectar sua VPC ao seu próprio data center corporativo, tornando-a Nuvem AWS uma extensão do seu data center. Para proteger os recursos em cada sub-rede, você pode usar várias camadas de segurança, incluindo grupos de segurança e listas de controle de acesso de rede. Para obter mais informações, consulte o Manual do usuário da Amazon VPC.

Restrições e limitações do VPC endpoint

Antes de configurar endpoints da VPC para o Systems Manager, fique atento às restrições e limitações a seguir.

Solicitações entre regiões

Os VPC endpoints não oferecem suporte a solicitações entre regiões. Certifique-se de criar seu endpoint da mesma forma que seu bucket. Região da AWS Você pode encontrar a localização do seu bucket usando o console do Amazon S3 ou usando o get-bucket-locationcomando. Use um endpoint do Amazon S3 específico da região para acessar seu bucket; por exemplo, DOC-EXAMPLE-BUCKET.s3-us-west-2.amazonaws.com. Para obter mais informações sobre endpoints específicos da região para o Amazon S3, consulte Amazon S3 endpoints no Referência geral da Amazon Web Services. Se você usar o AWS CLI para fazer solicitações ao Amazon S3, defina sua região padrão para a mesma região do seu bucket ou use o --region parâmetro em suas solicitações.

Conexões de emparelhamento da VPC

Os endpoints da interface da VPC podem ser acessados por meio de conexões de emparelhamento de VPC dentro da região e entre regiões. Para obter mais informações sobre solicitações de conexão de emparelhamento de VPC para endpoints de interface da VPC, consulte Conexões de emparelhamento da VPC (Cotas) no Guia do usuário da Amazon Virtual Private Cloud.

Não é possível estender conexões de endpoint de gateway de VPC para fora de uma VPC. Os recursos do outro lado de uma conexão de emparelhamento de VPC em sua VPC não podem usar o endpoint de gateway para se comunicar com recursos no serviço de endpoint de gateway. Para obter mais informações sobre solicitações de conexão de emparelhamento de VPC para endpoints do gateway da VPC, consulte Endpoints da VPC (Cotas) no Guia do usuário da Amazon Virtual Private Cloud.

Conexões de entrada

O grupo de segurança anexado ao VPC endpoint deve permitir conexões de entrada na porta 443 na sub-rede privada da instância gerenciada. Se conexões de entrada não são permitidas, a instância gerenciada não pode se conectar ao SSM e endpoints do EC2.

Resolução do DNS

Para usar um servidor DNS personalizado, você deve adicionar um encaminhador condicional para qualquer consulta ao domínio amazonaws.com para o servidor Amazon DNS de sua VPC.

Buckets do S3

Sua política de endpoint da VPC deve permitir acesso ao menos aos seguintes buckets do Amazon S3:

  • Os buckets do S3 listados em Comunicações do SSM Agent com os buckets do S3 gerenciados pela AWS.

  • Os buckets do S3 usados pelo Patch Manager para operações de linha de base de patch em sua Região da AWS. Esses buckets contêm o código que é recuperado e executado em instâncias pelo serviço de linha de base de patch. Cada um Região da AWS tem seus próprios buckets de operações de linha de base de patches, dos quais o código é recuperado quando um documento de linha de base de patch é executado. Se o código não puder ser obtido por download, o comando de linha de base de patches falhará.

    nota

    Se você usar um firewall on-premises e planeja usar o Patch Manager, esse firewall também deverá permitir o acesso ao endpoint da lista de referência de patches apropriado.

    Para fornecer acesso aos buckets em seu Região da AWS, inclua a seguinte permissão em sua política de endpoint.

    arn:aws:s3:::patch-baseline-snapshot-region/*
arn:aws:s3:::aws-ssm-region/*

    region representa o identificador de uma região Região da AWS suportada por AWS Systems Manager, como us-east-2 para a região Leste dos EUA (Ohio). Para ver uma lista dos valores de região com suporte, consulte a coluna Region em Systems Manager service endpoints no Referência geral da Amazon Web Services.

    Veja o exemplo a seguir.

    arn:aws:s3:::patch-baseline-snapshot-us-east-2/*
arn:aws:s3:::aws-ssm-us-east-2/*
    nota

    Somente na região Oriente Médio (Bahrein) (me-south-1), esses buckets usam diferentes convenções de nomenclatura. Região da AWS Somente para isso, use os dois buckets a seguir em vez disso:

    • patch-baseline-snapshot-me-south-1-uduvl7q8

    • aws-patch-manager-me-south-1-a53fc9dce

CloudWatch Registros da Amazon

Se você não permitir que suas instâncias acessem a Internet, crie um VPC endpoint para o Logs usar recursos que enviam CloudWatch registros para o Logs. CloudWatch Para obter mais informações sobre a criação de um endpoint para CloudWatch registros, consulte Criação de um endpoint VPC CloudWatch para registros no Guia do usuário do CloudWatch Amazon Logs.

DNS em ambiente híbrido e multinuvem

Para obter informações sobre como configurar o DNS para funcionar com AWS PrivateLink endpoints em ambientes híbridos e multicloud, consulte DNS privado para endpoints de interface no Guia do usuário da Amazon VPC. Se quiser usar seu próprio DNS, poderá usar o resolvedor do Route 53. Para obter mais informações, consulte Resolver consultas de DNS entre VPCs e sua rede no Guia do desenvolvedor do Amazon Route 53.

Criar endpoints da VPC para o Systems Manager

Use as informações a seguir para criar endpoints de interface da VPC e de gateway para o AWS Systems Manager. Este tópico contém links para procedimentos noManual do usuário da Amazon VPC.

Para criar VPC endpoints para o Systems Manager

Na primeira etapa deste procedimento, crie três endpoints de interface obrigatórios e um opcional para o Systems Manager. Os três endpoints são obrigatórios para o Systems Manager funcionar em uma VPC. O quarto, com.amazonaws.region.ssmmessages, será obrigatório somente se você estiver usando recursos do Session Manager.

Na segunda etapa, crie o endpoint de gateway obrigatório para o Systems Manager acessar o Amazon S3.

nota

region representa o identificador de uma região Região da AWS suportada por AWS Systems Manager, como us-east-2 para a região Leste dos EUA (Ohio). Para ver uma lista dos valores de região com suporte, consulte a coluna Region em Systems Manager service endpoints no Referência geral da Amazon Web Services.

  1. Siga as etapas em Create an interface endpoint (Criar um endpoint de interface) para criar os seguintes endpoints de interface:

    • com.amazonaws.region.ssm: o endpoint para o serviço Systems Manager.

    • com.amazonaws.region.ec2messages: o Systems Manager usa esse endpoint para fazer chamadas do SSM Agent para o serviço do Systems Manager.

    • com.amazonaws.region.ec2: se você estiver usando o Systems Manager para criar snapshots habilitados para VSS, será necessário ter um endpoint para o serviço EC2. Sem o endpoint do EC2 definido, a chamada para enumerar os volumes anexados do Amazon EBS falha, o que faz com que o comando do Systems Manager falhe.

    • com.amazonaws.region.ssmmessages: este endpoint será necessário somente se você estiver se conectando às suas instâncias por meio de um canal de dados seguro usando o Session Manager. Para obter mais informações, consulte Referência: ec2messages, ssmmessages e outras operações da API e AWS Systems Manager Session Manager.

    • com.amazonaws.region.kms: este endpoint é opcional. No entanto, ele pode ser criado se você quiser usar a criptografia AWS Key Management Service (AWS KMS) para Session Manager ou Parameter Store parâmetros.

    • com.amazonaws.region.logs: este endpoint é opcional. No entanto, ele pode ser criado se você quiser usar o Amazon CloudWatch Logs (CloudWatch Logs) para Session ManagerRun Command, ou SSM Agent logs.

  2. Siga as etapas em Create a gateway endpoint (Criar um endpoint de gateway) para criar o seguinte endpoint de gateway para o Amazon S3:

    • com.amazonaws.region.s3: o Systems Manager usa esse endpoint para atualizar SSM Agent e realizar operações de patch. O Systems Manager também usa esse endpoint para tarefas como transferir os logs de saída que você optar por armazenar em buckets do S3, recuperar de scripts ou outros arquivos armazenados em buckets, etc. Se o grupo de segurança associado a suas instâncias restringir o tráfego de saída, será preciso adicionar uma regra para permitir o tráfego para a lista de prefixos do Amazon S3. Para obter mais informações, consulte Modificar seu grupo de segurança no Guia do AWS PrivateLink .

    Para obter informações sobre os buckets AWS gerenciados do S3 que SSM Agent devem ser acessados, consulte. Comunicações do SSM Agent com os buckets do S3 gerenciados pela AWS Se você estiver usando um endpoint da nuvem privada virtual (VPC) nas operações do Systems Manager, deverá fornecer permissão explícita em um perfil de instância do EC2 para o Systems Manager ou em um perfil de serviço para nós gerenciados que não são do EC2 em um ambiente híbrido e multinuvem.

Criar uma política de VPC endpoint de interface

Você pode criar políticas para endpoints da interface VPC, AWS Systems Manager nas quais você pode especificar:

  • A entidade principal que pode executar ações

  • As ações que podem ser executadas

  • Os recursos que podem ter ações executadas neles

Para obter mais informações, consulte Controlar o acesso a serviços com endpoints da VPCs no Guia do usuário da Amazon VPC.