本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
步驟 6:(選用) 使用 AWS PrivateLink 設定 Session Manager 的 VPC 端點
您可以將 AWS Systems Manager 設定成使用界面 virtual private cloud (VPC) 端點,以提升您受管節點的安全狀態。界面端點採用 AWS PrivateLink 技術,此技術可讓您使用私有 IP 地址,以私密的方式存取 Amazon Elastic Compute Cloud (Amazon EC2) 和 Systems Manager API。
AWS PrivateLink 會限制受管節點、Systems Manager 和 Amazon EC2 與 Amazon 網路之間的所有網路流量。(受管階段無法存取網際網路。) 此外,您不需要網際網路閘道、NAT 裝置或虛擬私有閘道。
如需有關建立 VPC 端點的資訊,請參閱建立 VPC 端點。
使用 VPC 端點的替代方案是在您的受管節點上啟用對外網際網路存取。在此情況下,受管節點也必須允許 HTTPS (連接埠 443) 傳出流量至下列端點:
-
ec2messages.region.amazonaws.com -
ssm.region.amazonaws.com -
ssmmessages.region.amazonaws.com
Systems Manager 使用這些端點的最後一個 (ssmmessages.),從 SSM Agent 中呼叫雲端中的 Session Manager 服務。region.amazonaws.com
若要使用可選功能,例如 AWS Key Management Service (AWS KMS) 加密、串流日誌到 Amazon CloudWatch Logs (CloudWatch Logs),以及將日誌傳送到 Amazon Simple Storage Service (Amazon S3),您必須允許 HTTPS (連接埠 443) 傳出流量至下列端節:
-
kms.region.amazonaws.com -
logs.region.amazonaws.com -
s3.region.amazonaws.com
如需 Systems Manager 所需端點的詳細資訊,請參閱參考:ec2messages、ssmmessages 和其他 API 操作。
