Etapa 2: criar endpoints da VPC - AWS Systems Manager
Restrições e limitações do VPC endpointCriar endpoints da VPC para o Systems ManagerCriar uma política de VPC endpoint de interface

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Etapa 2: criar endpoints da VPC

Você pode melhorar a postura de segurança de seus endpoint de segurança de seus nós gerenciados (incluindo máquinas que não EC2 em um ambiente híbrido e deAWS Systems Manager várias nuvem) usando um endpoint da VPC de interface na Amazon VPC (Amazon VPC). Por meio de um endpoint da VPC de interface (endpoint de interface), você pode se conecter a serviços com a tecnologia AWS PrivateLink. AWS PrivateLink é uma tecnologia que permite acessar de forma privada APIs da Amazon Elastic Compute Cloud (Amazon EC2) e do Systems Manager usando endereços IP privados.

O AWS PrivateLink limita todo o tráfego de rede entre as instâncias gerenciadas, o Systems Manager, o Amazon EC2 e a rede da Amazon. Isso significa que suas instâncias gerenciadas não precisam ter acesso à Internet. Se você usa o AWS PrivateLink, não precisa de um gateway da Internet, de um dispositivo NAT ou de um gateway privado virtual.

Não é necessário configurar o AWS PrivateLink, mas é recomendável. Para obter mais informações sobre o AWS PrivateLink e os endpoints da VPC, consulte AWS PrivateLink e endpoints da VPC.

nota

A alternativa ao uso de um endpoint da VPC é permitir o acesso à Internet de saída em suas instâncias gerenciadas. Nesse caso, as instâncias gerenciadas também devem permitir tráfego de saída HTTPS (porta 443) para os seguintes endpoints:

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

  • ec2messages.region.amazonaws.com

O SSM Agent inicia todas as conexões com o serviço Systems Manager na nuvem. Por essa razão, você não precisa configurar o firewall para permitir o tráfego de entrada nas instâncias para o Systems Manager.

Para obter mais informações sobre chamadas para esses endpoints, consulte Referência: ec2messages, ssmmessages e outras operações da API.

Sobre a Amazon VPC

O Amazon Virtual Private Cloud (Amazon VPC) permite definir uma rede virtual em sua própria área isolada logicamente na Nuvem AWS, conhecida como uma nuvem privada virtual (VPC). Você pode iniciar os recursos da AWS, como as instâncias, na VPC. Sua VPC assemelha-se a uma rede tradicional que você poderia operar no seu próprio datacenter, com os benefícios de usar a infraestrutura escalável da AWS. É possível configurar seu VPC, selecionar o intervalo de endereços IP dele, criar sub-redes e definir tabelas de rotas, gateways de rede e configurações de segurança. Você pode se conectar às suas instâncias na VPC. É possível conectar a VPC a seu próprio datacenter corporativo, tornando a Nuvem AWS uma extensão do seu datacenter. Para proteger os recursos em cada sub-rede, você pode usar várias camadas de segurança, incluindo grupos de segurança e listas de controle de acesso de rede. Para obter mais informações, consulte o Manual do usuário da Amazon VPC.

Restrições e limitações do VPC endpoint

Antes de configurar endpoints da VPC para o Systems Manager, fique atento às restrições e limitações a seguir.

Plugin do aws:domainJoin

Se você optar por criar endpoints da VPC, lembre-se de que as solicitações para ingressar em uma instância do Windows Server em um domínio de documentos do SSM que usam o plugin do aws:domainJoin falharão a menos que você permita o tráfego de sua instância para os endpoints públicos do AWS Directory Service. Esse plugin requer oAWS Directory Service, e oAWS Directory Service não tem suporte para o endpoint do endpoint doPrivateLink endpoint do endpoint do endpoint do O suporte para o ingresso em uma instância do Windows Server em um domínio de outros métodos para unir instâncias a um domínio depende apenas dos requisitos do Active Directory (por exemplo, garantir que os controladores de domínio estejam acessíveis e detectáveis usando o DNS e outros requisitos relacionados). Você pode usar os scripts de dados do usuário do Amazon EC2 para unir uma instância a um domínio.

Solicitações entre regiões

Os endpoints da VPC não são compatíveis com solicitações entre regiões. Certifique-se de criar seu endpoint na mesma Região da AWS que seu bucket. Você pode encontrar o local de seu usando o S3 ou usando o S3 ou usando o S3 ou usando o Amazon S3 ou usando o S3 ou usando o S3 ou get-bucket-locationusando o o Use um endpoint do Amazon S3 específico da região para acessar seu bucket; por exemplo, DOC-EXAMPLE-BUCKET.s3-us-west-2.amazonaws.com. Para obter mais informações sobre endpoint da região para o Amazon S3, consulte Referência geral da Amazon Web ServicesAmazon S3 endpoints‭ Se você usar a AWS CLI para fazer solicitações ao Amazon S3, defina a região padrão como a mesma região do seu bucket ou use o parâmetro --region nas suas solicitações.

Conexões de emparelhamento de VPC

Os endpoints da interface da VPC podem ser acessados por meio de conexões de emparelhamento de VPC dentro da região e entre regiões. Para obter mais informações sobre solicitações de conexão de emparelhamento de VPC para endpoints de interface da VPC, consulte Conexões de emparelhamento da VPC (Cotas) no Guia do usuário da Amazon Virtual Private Cloud.

Não é possível estender conexões de endpoint de gateway de VPC para fora de uma VPC. Os recursos do outro lado de uma conexão de emparelhamento de VPC em sua VPC não podem usar o endpoint de gateway para se comunicar com recursos no serviço de endpoint de gateway. Para obter mais informações sobre solicitações de conexão de emparelhamento de VPC para endpoints do gateway da VPC, consulte Endpoints da VPC (Cotas) no Guia do usuário da Amazon Virtual Private Cloud.

Conexões de entrada

O grupo de segurança anexado ao VPC endpoint deve permitir conexões de entrada na porta 443 na sub-rede privada da instância gerenciada. Se conexões de entrada não são permitidas, a instância gerenciada não pode se conectar ao SSM e endpoints do EC2.

Buckets do S3

Sua política de endpoint da VPC deve permitir acesso ao menos aos seguintes buckets do Amazon S3:

  • Os buckets do S3 listados em Comunicações do SSM Agent com os buckets do S3 gerenciados pela AWS.

  • Os buckets do S3 usados pelo Patch Manager para operações de linha de base de patch em sua Região da AWS. Esses buckets contêm o código que é recuperado e executado em instâncias pelo serviço de linha de base de patch. Cada Região da AWS tem seus próprios buckets de operações de lista de referência de patches para o código a ser recuperado quando um documento da lista de referência de patches for executado. Se o código não puder ser obtido por download, o comando de linha de base de patches falhará.

    nota

    Se você usar um firewall on-premises e planeja usar o Patch Manager, esse firewall também deverá permitir o acesso ao endpoint da lista de referência de patches apropriado.

    Para fornecer acesso aos buckets em sua Região da AWS, inclua a permissão a seguir em sua política de endpoint.

    arn:aws:s3:::patch-baseline-snapshot-region/*
arn:aws:s3:::aws-ssm-region/*

    A região representa o identificador da região para uma região da Região da AWS compatível com o AWS Systems Manager, como us-east-2 para a região Leste dos EUA (Ohio). Para obter uma lista dos valores das regiões suportadas, consulte a coluna Região nos endpoints de serviço do Systems Manager no Referência geral da Amazon Web Services.

    Veja o exemplo a seguir.

    arn:aws:s3:::patch-baseline-snapshot-us-east-2/*
arn:aws:s3:::aws-ssm-us-east-2/*
    nota

    Somente na região Oriente Médio (Bahrein) (me-south-1), esses buckets usam diferentes convenções de nomenclatura. Somente para esta Região da AWS, use os dois buckets a seguir como alternativa:

    • patch-baseline-snapshot-me-south-1-uduvl7q8

    • aws-patch-manager-me-south-1-a53fc9dce

CloudWatchRegistros da Amazon

Se você não permitir que suas instâncias acessem a Internet, crie um endpoint da VPC paraCloudWatch que o WPC use recursos que enviemCloudWatch logs. Para obter mais informações sobre endpoint da VPC para o VPC paraCloudWatch que você use um endpoint da VPC para que você possa criar um endpoint da VPC para o WPCCloudWatch no Guia do usuário do Amazon S3CloudWatch no Guia do usuário da Amazon.

DNS em ambiente híbrido e multicloud

Para obter informações sobre como configurar o DNS para trabalhar comAWS PrivateLink endpoint em ambientes híbridos e de várias nuvem, consulte DNS privado para endpoint da interface no Guia do usuário da Amazon VPC. Se quiser usar seu próprio DNS, poderá usar o resolvedor do Route 53. Para obter mais informações, consulte Resolver consultas de DNS entre VPCs e sua rede no Guia do desenvolvedor do Amazon Route 53.

Criar endpoints da VPC para o Systems Manager

Use as informações a seguir para criar endpoints de interface da VPC e de gateway para o AWS Systems Manager. Este tópico contém links para procedimentos noManual do usuário da Amazon VPC.

Para criar VPC endpoints para o Systems Manager

Na primeira etapa deste procedimento, crie três endpoints de interface obrigatórios e um opcional para o Systems Manager. Os três endpoints são obrigatórios para o Systems Manager funcionar em uma VPC. O quarto, com.amazonaws.region.ssmmessages, será obrigatório somente se você estiver usando recursos do Session Manager.

Na segunda etapa, crie o endpoint de gateway obrigatório para o Systems Manager acessar o Amazon S3.

nota

A região representa o identificador da região para uma região da Região da AWS compatível com o AWS Systems Manager, como us-east-2 para a região Leste dos EUA (Ohio). Para obter uma lista dos valores das regiões suportadas, consulte a coluna Região nos endpoints de serviço do Systems Manager no Referência geral da Amazon Web Services.

  1. Siga as etapas em Create an interface endpoint (Criar um endpoint de interface) para criar os seguintes endpoints de interface:

    • com.amazonaws.region.ssm: o endpoint para o serviço Systems Manager.

    • com.amazonaws.region.ec2messages: o Systems Manager usa esse endpoint para fazer chamadas do SSM Agent para o serviço do Systems Manager.

    • com.amazonaws.region.ec2: se você estiver usando o Systems Manager para criar snapshots habilitados para VSS, será necessário ter um endpoint para o serviço EC2. Sem o endpoint do EC2 definido, a chamada para enumerar os volumes anexados do Amazon EBS falha, o que faz com que o comando do Systems Manager falhe.

    • com.amazonaws.region.ssmmessages: este endpoint será necessário somente se você estiver se conectando às suas instâncias por meio de um canal de dados seguro usando o Session Manager. Para ter mais informações, consulte AWS Systems Manager Session Manager e Referência: ec2messages, ssmmessages e outras operações da API.

    • com.amazonaws.region.kms: este endpoint é opcional. No entanto, ele pode ser criado se você quiser usar criptografia do AWS Key Management Service (AWS KMS) para os parâmetros Session Manager ou Parameter Store.

    • com.amazonaws.region.logs: este endpoint é opcional. No entanto, ele pode ser criado se você quiser usar AmazonCloudWatch Logs (CloudWatchLogs) paraSession ManagerRun Command, ouSSM Agent logs.

  2. Siga as etapas em Create a gateway endpoint (Criar um endpoint de gateway) para criar o seguinte endpoint de gateway para o Amazon S3:

    • com.amazonaws.region.s3: o Systems Manager usa esse endpoint para atualizar SSM Agent e realizar operações de patch. O Systems Manager também usa esse endpoint para tarefas como transferir os logs de saída que você optar por armazenar em buckets do S3, recuperar de scripts ou outros arquivos armazenados em buckets, etc. Se o grupo de segurança associado a suas instâncias restringir o tráfego de saída, será preciso adicionar uma regra para permitir o tráfego para a lista de prefixos do Amazon S3. Para obter mais informações, consulte Modificar seu grupo de segurança no Guia do AWS PrivateLink.

    Para obter informações sobre os buckets do S3 gerenciados pela AWS que o SSM Agent deve ser capaz de acessar, consulte Comunicações do SSM Agent com os buckets do S3 gerenciados pela AWS. Se você estiver usando um endpoint da nuvem privada virtual (VPC) nas operações do Systems Manager, deverá fornecer permissão explícita em um perfil de instância do EC2 para o Systems Manager ou em um perfil de serviço para nós não EC2 em um ambiente híbrido e de várias nuvem.

Criar uma política de VPC endpoint de interface

Você pode criar políticas de endpoints de interface da VPC para o AWS Systems Manager nas quais é possível especificar:

  • A entidade principal que pode executar ações

  • As ações que podem ser executadas

  • Os recursos que podem ter ações executadas neles

Para obter mais informações, consulte Controlar o acesso a serviços com endpoints da VPCs no Guia do usuário da Amazon VPC.