Etapa 6: (Opcional) Criar um Virtual Private Cloud (VPC) endpoint - AWS Systems Manager

Etapa 6: (Opcional) Criar um Virtual Private Cloud (VPC) endpoint

Você pode melhorar o procedimento de segurança de suas instâncias gerenciadas (incluindo instâncias gerenciadas em seu ambiente híbrido) configurando o AWS Systems Manager para usar um endpoint da VPC de interface na Amazon Virtual Private Cloud (Amazon VPC). Um endpoint de VPC de interface (endpoint de interface) permite que você se conecte a serviços desenvolvidos pelo AWS PrivateLink. A tecnologia permite que você acesse APIs do Amazon Elastic Compute Cloud (Amazon EC2) e do Systems Manager de froma provada, usando endereços IP privados. O AWS PrivateLink restringe todo o tráfego de rede entre as instâncias gerenciadas, o Systems Manager e o Amazon EC2 para a rede da Amazon. Isso significa que suas instâncias gerenciadas não precisam ter acesso à Internet. Se você usa o AWS PrivateLink, não precisa de um gateway da internet, de um dispositivo NAT ou de um gateway privado virtual.

Não é necessário configurar o AWS PrivateLink, mas é recomendável. Para obter mais informações sobre o AWS PrivateLink e os endpoints da VPC, consulte AWS PrivateLink e endpoints da VPC.

nota

A alternativa ao uso de um endpoint da VPC é permitir o acesso à Internet de saída em suas instâncias gerenciadas. Nesse caso, as instâncias gerenciadas também devem permitir tráfego de saída HTTPS (porta 443) para os seguintes endpoints:

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

  • ec2messages.region.amazonaws.com

O SSM Agent inicia todas as conexões com o serviço Systems Manager na nuvem. Por essa razão, você não precisa configurar o firewall para permitir o tráfego de entrada nas instâncias para o Systems Manager.

Para obter mais informações sobre chamadas para esses endpoints, consulte Referência: ec2messages, ssmmessages e outras operações da API.

Sobre a Amazon VPC

O Amazon Virtual Private Cloud (Amazon VPC) permite definir uma rede virtual em sua própria área isolada logicamente na Nuvem AWS, conhecida como uma nuvem privada virtual (VPC). Você pode iniciar os recursos da AWS, como as instâncias, na VPC. Sua VPC assemelha-se a uma rede tradicional que você poderia operar no seu próprio datacenter, com os benefícios de usar a infraestrutura escalável da AWS. É possível configurar seu VPC, selecionar o intervalo de endereços IP dele, criar sub-redes e definir tabelas de rotas, gateways de rede e configurações de segurança. Você pode se conectar às suas instâncias na VPC. Você pode conectar a VPC a seu próprio datacenter corporativo, tornando a Nuvem AWS uma extensão do seu datacenter. Para proteger os recursos em cada sub-rede, você pode usar várias camadas de segurança, incluindo grupos de segurança e listas de controle de acesso de rede. Para obter mais informações, consulte o Manual do usuário da Amazon VPC.

Restrições e limitações do VPC endpoint

Antes de configurar endpoints da VPC para o Systems Manager, fique atento às restrições e limitações a seguir.

Plugin do aws:domainJoin

Se você optar por criar endpoints da VPC, lembre-se de que as solicitações para ingressar em uma instância do Windows Server em um domínio de documentos do SSM que usam o plugin do aws:domainJoin falharão a menos que você permita o tráfego de sua instância para os endpoints públicos do AWS Directory Service. Esse plugin requer o AWS Directory Service, e o AWS Directory Service não tem suporte para o endpoint do PrivateLink. O suporte para o ingresso em uma instância do Windows Server em um domínio de outros métodos para unir instâncias a um domínio depende apenas dos requisitos do Active Directory (por exemplo, garantir que os controladores de domínio estejam acessíveis e detectáveis usando o DNS e outros requisitos relacionados). Você pode usar os scripts de dados do usuário do Amazon EC2 para unir uma instância a um domínio.

Solicitações entre regiões

Os endpoints da VPC não são compatíveis com solicitações entre regiões. Certifique-se de criar seu endpoint na mesma região que seu bucket. Você pode encontrar o local de seu bucket usando o console do Amazon S3 ou usando o comando get-bucket-location. Use um endpoint do Amazon S3 específico da região para acessar seu bucket; por exemplo, DOC-EXAMPLE-BUCKET.s3-us-west-2.amazonaws.com. Para obter mais informações sobre endpoints específicos da região para o Amazon S3, consulte Endpoints do Amazon S3 na Referência geral da Amazon Web Services. Se você usar a AWS CLI para fazer solicitações ao Amazon S3, defina a região padrão como a mesma região do seu bucket ou use o parâmetro --region nas suas solicitações.

Conexões de emparelhamento de VPC

Os endpoints da interface da VPC podem ser acessados por meio de conexões de emparelhamento de VPC dentro da região e entre regiões. Para obter mais informações sobre solicitações de conexão de emparelhamento de VPC para endpoints de interface da VPC, consulte Conexões de emparelhamento da VPC (Cotas) no Guia do usuário da Amazon Virtual Private Cloud.

Não é possível estender conexões de endpoint de gateway de VPC para fora de uma VPC. Os recursos do outro lado de uma conexão de emparelhamento de VPC em sua VPC não podem usar o endpoint de gateway para se comunicar com recursos no serviço de endpoint de gateway. Para obter mais informações sobre solicitações de conexão de emparelhamento de VPC para endpoints do gateway da VPC, consulte Endpoints da VPC (Cotas) no Guia do usuário da Amazon Virtual Private Cloud.

Conexões de entrada

O grupo de segurança anexado ao VPC endpoint deve permitir conexões de entrada na porta 443 na sub-rede privada da instância gerenciada. Se conexões de entrada não são permitidas, a instância gerenciada não pode se conectar ao SSM e endpoints do EC2.

Buckets do Amazon S3

A política de endpoint da VPC deve permitir acesso aos seguintes buckets do Amazon S3:

  • Os buckets do S3 usados pelo Patch Manager para operações de linha de base de patch em sua Região da AWS. Esses buckets contêm o código que é recuperado e executado em instâncias pelo serviço de linha de base de patch. Cada Região da AWS tem seus próprios buckets de operações de lista de referência de patches para o código a ser recuperado quando um documento da lista de referência de patches for executado. Se o código não puder ser obtido por download, o comando de linha de base de patches falhará.

    nota

    Se você usar um firewall on-premises e planeja usar o Patch Manager, esse firewall também deverá permitir o acesso ao endpoint da lista de referência de patches apropriado.

    Para fornecer acesso aos buckets em sua Região da AWS, inclua a seguinte permissão em sua política de endpoint:

    nota

    Somente na região Oriente Médio (Bahrein) (me-south-1), esses buckets usam diferentes convenções de nomenclatura. Somente para esta Região da AWS, use os dois buckets a seguir como alternativa.

    • patch-baseline-snapshot-me-south-1-uduvl7q8

    • aws-patch-manager-me-south-1-a53fc9dce

    arn:aws:s3:::patch-baseline-snapshot-region/* arn:aws:s3:::aws-ssm-region/*

    A região representa o identificador da região para uma região da Região da AWS compatível com o AWS Systems Manager, como us-east-2 para a região Leste dos EUA (Ohio). Para ver uma lista dos valores de regiões compatíveis, consulte a coluna Region (Região) em Systems Manager service endpoints (Endpoints dos serviços do Systems Manager) na Referência geral do Amazon Web Services.

    Por exemplo:

    arn:aws:s3:::patch-baseline-snapshot-us-east-2/* arn:aws:s3:::aws-ssm-us-east-2/*
  • Os buckets do S3 listados em Comunicações do SSM Agent com os buckets do S3 gerenciados pela AWS.

Amazon CloudWatch Logs

Se você não permitir que suas instâncias acessem a Internet, crie um endpoint da VPC para que o CloudWatch Logs use recursos que enviem logs para o CloudWatch Logs. Para obter mais informações sobre como criar um endpoint para o CloudWatch Logs, consulte Criar um endpoint da VPC para o CloudWatch Logs no Manual do usuário do Amazon CloudWatch Logs.

DNS em ambiente híbrido

Para obter informações sobre como configurar o DNS para trabalhar com endpoints do AWS PrivateLink em ambientes híbridos, consulte DNS privado para endpoints da interface no Guia do usuário da Amazon VPC. Se quiser usar seu próprio DNS, poderá usar o resolvedor do Route 53. Para obter mais informações, consulte Resolver consultas de DNS entre VPCs e sua rede no Guia do desenvolvedor do Amazon Route 53.

Criar endpoints da VPC para o Systems Manager

Use as informações a seguir para criar endpoints de interface da VPC e de gateway para o AWS Systems Manager. Este tópico contém links para procedimentos noManual do usuário da Amazon VPC.

Para criar VPC endpoints para o Systems Manager

Na primeira etapa deste procedimento, crie três endpoints de interface obrigatórios e um opcional para o Systems Manager. Os três endpoints são obrigatórios para o Systems Manager funcionar em uma VPC. O quarto, com.amazonaws.region.ssmmessages, será obrigatório somente se você estiver usando recursos do Session Manager.

Na segunda etapa, crie o endpoint de gateway obrigatório para o Systems Manager acessar o Amazon S3.

nota

A região representa o identificador da região para uma região da Região da AWS compatível com o AWS Systems Manager, como us-east-2 para a região Leste dos EUA (Ohio). Para ver uma lista dos valores de regiões compatíveis, consulte a coluna Region (Região) em Systems Manager service endpoints (Endpoints dos serviços do Systems Manager) na Referência geral do Amazon Web Services.

  1. Siga as etapas em Create an interface endpoint (Criar um endpoint de interface) para criar os seguintes endpoints de interface:

    • com.amazonaws.region.ssm: o endpoint para o serviço Systems Manager.

    • com.amazonaws.region.ec2messages: o Systems Manager usa esse endpoint para fazer chamadas do SSM Agent para o serviço do Systems Manager.

    • com.amazonaws.region.ec2: se você estiver usando o Systems Manager para criar snapshots habilitados para VSS, será necessário ter um endpoint para o serviço EC2. Sem o endpoint do EC2 definido, a chamada para enumerar os volumes anexados do EBS falha, o que faz com que o comando do Systems Manager falhe.

    • com.amazonaws.region.ssmmessages: este endpoint será necessário somente se você estiver se conectando às suas instâncias por meio de um canal de dados seguro usando o Session Manager. Para obter mais informações, consulte AWS Systems Manager Session Manager e Referência: ec2messages, ssmmessages e outras operações da API.

    • com.amazonaws.region.kms: este endpoint é opcional, mas pode ser criado se você quiser usar a criptografia AWS Key Management Service (AWS KMS) para os parâmetros do Session Manager ou do Parameter Store.

    • com.amazonaws.region.logs: este endpoint é opcional, mas pode ser criado se você quiser usar o Amazon CloudWatch Logs (CloudWatch Logs) para o Session Manager, o Run Command ou os logs do SSM Agent.

  2. Siga as etapas em Create a gateway endpoint (Criar um endpoint de gateway) para criar o seguinte endpoint de gateway para o Amazon S3:

    • com.amazonaws.region.s3 o Systems Manager usa esse endpoint para atualizar o SSM Agent e para executar operações de correções, como o upload de logs de saída que você armazena em buckets do S3, a recuperação de scripts ou de outros arquivos armazenados em buckets, etc. Se o grupo de segurança associado a suas instâncias restringir o tráfego de saída, será preciso adicionar uma regra para permitir o tráfego para a lista de prefixos do Amazon S3. Para obter mais informações, consulte Modificar seu grupo de segurança no Guia do AWS PrivateLink.

Criar uma política de VPC endpoint de interface

Você pode criar políticas de endpoints de interface da VPC para o AWS Systems Manager nas quais é possível especificar:

  • A entidade principal que pode executar ações

  • As ações que podem ser executadas

  • Os recursos que podem ter ações executadas neles

Para obter mais informações, consulte Controlar o acesso a serviços com endpoints da VPCs no Guia do usuário da Amazon VPC.

Exemplo 1: permita que os usuários somente obtenham e listem as chamadas de comando

{ "Statement":[ { "Sid":"SSMCommandsReadOnly", "Principal":"*", "Action":[ "ssm:ListCommands", "ssm:ListCommandInvocations", "ssm:GetCommandInvocation" ], "Effect":"Allow", "Resource":"*" } ] }

Avance para Etapa 7: (Opcional) Criar funções de serviço do Systems Manager.