Passo 6: (Opcional) Criar uma nuvem privada virtual endpoint - AWS Systems Manager

Se fornecermos uma tradução da versão em inglês do guia, a versão em inglês prevalecerá caso haja qualquer conflito entre as versões. A tradução é fornecida com o uso de tradução por máquina.

Passo 6: (Opcional) Criar uma nuvem privada virtual endpoint

Pode melhorar a postura de segurança das suas instâncias geridas (incluindo a gestão no seu ambiente híbrido) configurando AWS Systems Manager para utilizar uma interface VPC endpoint em Amazon Virtual Private Cloud (Amazon VPC). Um endpoint VPC da interface (parâmetro de avaliação da interface) permite para estabelecer ligação a serviços prestados pela AWS privatelink, uma tecnologia que lhe permite acesso privado Amazon EC2 e Systems Manager API utilizando endereços IP privados. ligação privativa restringe todo o tráfego de rede entre as suas instâncias geridas, Systems Manager, e Amazon EC2 para o Rede Amazon. (As instâncias geridas não têm acesso à Internet.) Além disso, não necessita de um portal de Internet, um dispositivo NAT ou um gateway privado virtual.

Não é necessário configurar a ligação privada, mas é recomendado. Para mais informações sobre os parâmetros de avaliação de privacidade e VPC, consulte Aceder AWS Serviços através de ligação privada.

nota

A alternativa à utilização de um terminal VPC é permitir o acesso à Internet de saída em as suas instâncias geridas. Neste caso, as instâncias geridas também devem permitir HTTPS (porta 443) saída de tráfego para os seguintes parâmetros de avaliação:

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

  • ec2messages.region.amazonaws.com

Para mais informações sobre chamadas para estes parâmetros de avaliação, consulte Referência: ec2messages, ssmmessages e outras chamadas de API.

Sobre Amazon VPC

Amazon Virtual Private Cloud (Amazon VPC) permite que definir uma rede virtual em sua própria área isolada logicamente dentro da nuvem da AWS, conhecida como uma virtual private cloud (VPC). Você pode executar seus recursos da AWS, como instâncias, em seu VPC. Seu VPC assemelha-se a uma rede tradicional que você poderia operar no seu próprio datacenter, com os benefícios de usar a infraestrutura escalável da AWS. Você pode configurar seu VPC, selecionar o intervalo de endereços IP dele, criar sub-redes e definir tabelas de rotas, gateways de rede e configurações de segurança. Você pode conectar instâncias em seu VPC à internet. Você pode conectar seu VPC ao próprio data center da sua empresa, tornando a nuvem da AWS uma extensão do seu data center. Para proteger os recursos em cada sub-rede, você pode usar várias camadas de segurança, incluindo grupos de segurança e listas de controle de acesso de rede. Para obter mais informações, consulte o Guia do usuário da Amazon VPC.

Restrições do endpoint de VPC e limitações

Antes de configurar os endpoints VPC para Systems Manager, esteja ciente dos seguintes restrições e limitações.

aws:domainjoin plug-in

Se optar por criar os parâmetros de avaliação de VPC, tenha em atenção que os pedidos de adesão a um Windows Server de um domínio a partir de SSM documentos que utilizam o aws:domainJoin o plugin irá falhar. Este plug-in requer o AWS Directory Service, e AWS Directory Service não tem suporte de parâmetro de avaliação privatelink. Apoio para aderir a um Windows Server instância a um domínio de outros métodos de adesão de domínio dependem apenas nos requisitos do Active Directory (por exemplo, garantir esse domínio os controladores são alcançáveis e detetáveis utilizando DNS e outros relacionados requisitos). Pode usar Amazon EC2 Dados do utilizador scripts para se juntar a um exemplo para um domínio.

Pedidos de regiões cruzadas

Os parâmetros de avaliação de VPC não suportam atualmente pedidos de geo-região—garantir que cria o seu ponto final na mesma região que o seu registo. Pode encontrar a localização do seu balde utilizando o Amazon S3 consola ou utilizando o localização-obter-balde comando. Utilizar uma região específica Amazon S3 de aceder ao seu balde; por exemplo, mybucket.s3-us-west-2.amazonaws.com. Para mais informações sobre Parâmetros de avaliação específicos para a região para Amazon S3, consulte Amazon S3 Parâmetros de serviço no Referência geral do Amazon Web Services. Se utilizar o AWS CLI para fazer pedidos para Amazon S3, defina a sua região predefinida para a mesma região que o seu balde ou utilize o --region parâmetro nos seus pedidos.

Ligações de martelamento VPC

Os parâmetros de avaliação da interface VPC podem ser acedidos através de ambos intra-região e inter-região Ligações de martelamento de VPC. Para mais informações sobre a ligação de martelamento VPC pedidos para terminais de interface VPC, consulte Interface Propriedades e limitações dos parâmetros de avaliação no Amazon Virtual Private Cloud Utilizador Guia.

As ligações do VPC Gateway Endpoint não podem ser prolongadas de um VPC. Recursos no outro lado de uma ligação de martelamento VPC no seu VPC não pode utilizar o parâmetro de avaliação do gateway para comunicar com recursos no serviço de ponto final gateway. Para mais informações acerca de pedidos de ligação de martelamento VPC para os parâmetros de gateway de VPC, consulte Parâmetro Gateway Limitações no Amazon Virtual Private Cloud Guia do utilizador

Ligações recebidas

O grupo de segurança ligado ao terminal VPC tem de permitir a entrada na porta 443 da subrede privada da instância gerida. Se as ligações recebidas não são permitidas, então a instância gerida não pode ser ligada para o SSM e parâmetros de avaliação CE2.

Amazon S3 baldes

A política de avaliação de um VPC tem de permitir pelo menos acesso ao seguinte Amazon S3 pães:

  • Os S3 baldes utilizados pelo Patch Manager para operações de linha de base do patch no seu AWS Região. Estes baldes contêm o código que é recuperado e executado pelo serviço de linha de base do patch.Cada AWS A região tem o seu próprio patch baldes de operações de base a partir dos quais o código é recuperado quando um patch o documento da linha de base é executado. Se o código não puder ser transferido, o patch o comando da situação basal irá falhar.

    nota

    Se utilizar uma firewall no local e planear utilizar o Patch Manager, isso a firewall também deve permitir o acesso ao parâmetro de avaliação do patch indicado abaixo.

    Para fornecer acesso aos baldes no seu AWS Região, incluir após a permissão na sua política de avaliação final:

    nota

    No Região do Oriente Médio (Bahrein) (eu-sul-1) apenas, estes baldes usam diferentes convenções de nomenclatura. Para esta região AWS apenas, utilize os seguintes dois em vez disso.

    • patch-baseline-snapshot-me-south-1-uduvl7q8

    • aws-patch-manager-me-south-1-a53fc9dce

    arn:aws:s3:::patch-baseline-snapshot-region/* arn:aws:s3:::aws-ssm-region/*

    region representa o identificador de uma região da AWS compatível com o AWS Systems Manager, como us-east-2 para o Região do Leste dos EUA (Ohio). Para obter uma lista de valores de região com suporte, consulte a coluna Região em Endpoints de serviço do Systems Manager no Referência geral do Amazon Web Services.

    Por exemplo:

    arn:aws:s3:::patch-baseline-snapshot-us-east-2/* arn:aws:s3:::aws-ssm-us-east-2/*
  • Os S3 baldes listados em Sobre as permissões mínimas do Conjunto S3 para Agente do SSM.

Amazon CloudWatch Logs

Se não permitir que as suas instâncias acedam à Internet, tem de criar uma Parâmetro VPC para CloudWatch Logs para utilizar funcionalidades que enviam registos para CloudWatch Logs. Para mais informações sobre a criação de um parâmetro de avaliação para CloudWatch Logs, consulte Criar um parâmetro de avaliação VPC para CloudWatch Logs no Amazon CloudWatch Logs User Guide.

DNS em ambiente híbrido

Para obter informações sobre a configuração do DNS para trabalhar com os parâmetros de avaliação de privacidade em ambientes híbridos, ver Privado DNS. Se quiser utilizar o seu próprio DNS, pode utilizar Route 53 Resolver. Para mais informações, consulte Resolver DNS Perguntas entre os vpcs e a sua rede no Guia do desenvolvedor do Amazon Route 53.

Criar parâmetros de avaliação de VPC para Systems Manager

Utilize as seguintes informações para criar a interface VPC e os parâmetros de avaliação de gateway para Systems Manager. Este tópico liga-se a procedimentos no Guia do usuário da Amazon VPC.

Para criar parâmetros de avaliação de VPC para Systems Manager

No primeiro passo abaixo, cria três necessários e um opcional interface parâmetros de avaliação para Systems Manager. Os primeiros três são necessários endpoints para Systems Manager para trabalhar num VPC. O quarto, com.amazonaws.region.ssmmessages, apenas é necessário se estiver a utilizar Session Manager capacidades.

No segundo passo, cria o necessário gateway para o Systems Manager para aceder Amazon S3.

nota

region representa o identificador de uma região da AWS compatível com o AWS Systems Manager, como us-east-2 para o Região do Leste dos EUA (Ohio). Para obter uma lista de valores de região com suporte, consulte a coluna Região em Endpoints de serviço do Systems Manager no Referência geral do Amazon Web Services.

  1. Siga os passos em Criar um parâmetro de avaliação da interface para criar o seguinte parâmetros de avaliação da interface:

    • com.amazonaws.region.ssm: O ponto final para o Systems Manager serviço.

    • com.amazonaws.region.ec2mensagens: Systems Manager utiliza este parâmetro de avaliação para efectuar chamadas de Agente do SSM para o Systems Manager serviço.

    • com.amazonaws.region.ec2: Se estiver a utilizar Systems Manager para criar instantâneos compatíveis com a VSS, precisa de certifique-se de que tem um ponto final para o serviço EC2. Sem o EC2 parâmetro definido, uma chamada para enumerar os volumes de EBS anexados falha, que causa o Systems Manager falha de comando.

    • com.amazonaws.regionMensagens.ssmmensagens: Este parâmetro de avaliação só é necessário se estiver a ligar-se ao seu através de um canal de dados seguro, utilizando Session Manager. Para mais informações, consulte AWS Systems Manager Session Manager e Referência: ec2messages, ssmmessages e outras chamadas de API.

  2. Siga os passos em Criar uma Parâmetro Gateway para criar o seguinte endpoint de gateway para Amazon S3.

    • com.amazonaws.regionS3: Systems Manager utiliza este parâmetro de avaliação para atualizar Agente do SSM e para tarefas como carregar registos de saída que escolher guardar em baldes S3, recuperar scripts ou outros ficheiros guardados em baldes, e assim em.

Continuar para Passo 7: (Opcional) Criar Systems Manager serviço funções.