AWS Systems Manager
Guia do usuário

Etapa 6: (opcional) criar um Virtual Private Cloud (VPC) endpoint

Você pode melhorar a postura de segurança de suas instâncias gerenciadas (incluindo instâncias gerenciadas em seu ambiente híbrido) configurando o AWS Systems Manager para usar um VPC endpoint de interface no Amazon Virtual Private Cloud (Amazon VPC). Uma VPC endpoint de interface (endpoint de interface) permite que você se conecte a serviços com tecnologia AWS PrivateLink, uma tecnologia que permite acessar de forma privada APIs do Amazon EC2 e do Systems Manager usando endereços IP privados. O PrivateLink restringe todo o tráfego de rede entre suas instâncias gerenciadas, o Systems Manager e o Amazon EC2 à rede da Amazon. (As instâncias gerenciadas não têm acesso à Internet.) Além disso, você não precisa de um Internet gateway, de um dispositivo NAT ou de um gateway privado virtual.

Não é necessário configurar o PrivateLink, mas é recomendável. Para obter mais informações sobre PrivateLink e VPC endpoints, consulte Acesso aos serviços da AWS por meio do PrivateLink.

nota

A alternativa ao uso de um VPC endpoint é permitir o acesso à Internet de saída em suas instâncias gerenciadas.

Sobre a Amazon VPC

Amazon Virtual Private Cloud (Amazon VPC) enables you to define a virtual network in your own logically isolated area within the AWS cloud, known as a virtual private cloud (VPC). You can launch your AWS resources, such as instances, into your VPC. Your VPC closely resembles a traditional network that you might operate in your own data center, with the benefits of using AWS's scalable infrastructure. You can configure your VPC; you can select its IP address range, create subnets, and configure route tables, network gateways, and security settings. You can connect instances in your VPC to the internet. You can connect your VPC to your own corporate data center, making the AWS cloud an extension of your data center. To protect the resources in each subnet, you can use multiple layers of security, including security groups and network access control lists. For more information, see the Amazon VPC User Guide.

Restrições e limitações do endpoint da VPC

Antes de configurar VPC endpoints para o Systems Manager, fique atento às restrições e limitações a seguir.

Plug-in aws:domainJoin

Se você optar por criar endpoints de VPC, lembre-se de que as solicitações para participar de uma instância do Windows em um domínio de documentos do SSM que usam o plug-in aws:domainJoin falharão. Esse plug-in requer o AWS Directory Service, e o AWS Directory Service não tem suporte para o endpoint do PrivateLink. O suporte para participar de uma instância do Windows em um domínio de outros métodos de junção de domínio depende apenas dos requisitos do Active Directory (por exemplo, garantindo que os controladores de domínio sejam alcançáveis e detectáveis usando o DNS e outros requisitos relacionados). Você pode usar os scripts de dados do usuário do Amazon EC2 para participar de uma instância em um domínio.

Solicitações entre regiões

No momento, os VPC endpoints não comportam solicitações entre regiões — procure criar o endpoint na mesma região do bucket. Você pode encontrar o local de seu bucket usando o console do Amazon S3 ou usando o comando get-bucket-location. Use um endpoint do Amazon S3 específico à região para acessar seu bucket; por exemplo, mybucket.s3-us-west-2.amazonaws.com. Para obter mais informações sobre endpoints específicos à região para o Amazon S3, consulte Amazon Simple Storage Service (S3) no Amazon Web Services General Reference. Se usar a AWS CLI para fazer solicitações ao Amazon S3, defina a região padrão como a mesma região do seu bucket ou use o parâmetro --region em suas solicitações.

Conexões de entrada

O grupo de segurança anexado ao VPC endpoint deve permitir conexões de entrada na porta 443 na sub-rede privada da instância gerenciada. Se conexões de entrada não são permitidas, a instância gerenciada não pode se conectar ao SSM e endpoints do EC2.

Buckets do Amazon S3

Sua política de VPC endpoint deve permitir acesso aos seguintes buckets do Amazon S3:

  • Os buckets do S3 usados pelo gerenciador de patches para operações de linha de base de patch em sua região da AWS. Esses buckets contêm o código que é recuperado e executado em instâncias pelo serviço de linha de base de patch. Cada região da AWS tem seus próprios buckets de operações de linha de base de patches para o código a ser recuperado quando um documento de linha de base de patches for executado. Se o código não puder ser obtido por download, o comando de linha de base de patches falhará.

    Para fornecer acesso aos buckets em sua região da AWS, inclua a seguinte permissão em sua política de endpoint:

    arn:aws:s3:::patch-baseline-snapshot-region/* arn:aws:s3:::aws-ssm-region/*

    region representa o identificador de uma região da AWS suportado pelo AWS Systems Manager, como us-east-2 para o US East (Ohio) Region. Para obter uma lista de valores de regiões compatíveis, consulte a coluna Region (Região) na Tabela de regiões e endpoints do AWS Systems Manager na AWS General Reference.

    Por exemplo:

    arn:aws:s3:::patch-baseline-snapshot-us-east-2/* arn:aws:s3:::aws-ssm-us-east-2/*
  • Os buckets do S3 listados em Sobre as permissões mínimas de buckets do S3 para o Agente do SSM.

DNS em ambiente híbrido

Para obter informações sobre como configurar o DNS para trabalhar com endpoints do PrivateLink em ambientes híbridos, consulte DNS privado. Se quiser usar seu próprio DNS, poderá usar o resolvedor do Route 53. Para obter mais informações, consulte Resolver consultas de DNS entre VPCs e sua rede no Amazon Route 53 Developer Guide.

Criar VPC endpoints para o Systems Manager

Use o procedimento a seguir para criar três VPC endpoints necessários e um opcional separado para Systems Manager. Todos os três endpoints são obrigatórios para o Systems Manager funcionar em uma VPC. O quarto será necessário somente se você estiver usando recursos do Session Manager. Esse procedimento está vinculado a procedimentos relacionados no Amazon VPC User Guide.

Para criar uma VPC endpoints para o Systems Manager

  1. Siga as etapas em Criação de um endpoint de interface para criar os seguintes endpoints:

    • com.amazonaws.region.ssm: o endpoint do serviço Systems Manager.

    • com.amazonaws.region.ec2messages: o Systems Manager usa esse endpoint para fazer chamadas do Agente do SSM para o serviço Systems Manager.

    • com.amazonaws.region.ec2: se você estiver usando o Systems Manager para criar instantâneos habilitados para VSS, é necessário garantir que você tenha um endpoint para o serviço EC2. Sem o endpoint do EC2 definido, uma chamada para enumerar os volumes anexados do EBS falha, o que faz com que o comando do Systems Manager falhe.

    • com.amazonaws.region.ssmmessages: esse endpoint será necessário somente se você estiver se conectando às suas instâncias por meio de um canal de dados seguro usando Session Manager. Para obter mais informações, consulte AWS Systems Manager Session Manager.

    region representa o identificador de uma região da AWS suportado pelo AWS Systems Manager, como us-east-2 para o US East (Ohio) Region. Para obter uma lista de valores de regiões compatíveis, consulte a coluna Region (Região) na Tabela de regiões e endpoints do AWS Systems Manager na AWS General Reference.

  2. Siga as etapas em Criar um endpoint de gateway para criar um endpoint para Amazon S3. O Systems Manager usa esse endpoint para fazer upload de logs de saída do Amazon S3 e para atualizar Agente do SSM.

Avance para Etapa 7: (opcional) criar funções de serviço do Systems Manager.