針對 Systems Manager 使用 VPC 端點來提高 EC2 執行個體的安全性 - AWS Systems Manager
VPC 端點的限制與局限若要建立 Systems Manager 的 VPC 端點建立介面 VPC 端點政策

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

針對 Systems Manager 使用 VPC 端點來提高 EC2 執行個體的安全性

您可以透過設 AWS Systems Manager 定為在 Amazon 虛擬私有雲端 (Amazon VPC) 中使用介面 VPC 端點,改善受管節點 (包括混合式和多雲端環境中的非 EC2 機器) 的安全狀態。透過使用介面 VPC 端點 (介面端點),您可以連線到提供支援的 AWS PrivateLink服務。 AWS PrivateLink 是一項技術,可讓您使用私有 IP 地址私有存取亞馬遜彈性運算雲 (Amazon EC2) 和 Systems Manager API。

AWS PrivateLink 將受管執行個體、系統管理員和 Amazon EC2 之間的所有網路流量限制在 Amazon 網路。這意味著受管執行個體無法存取網際網路。如果您使用 AWS PrivateLink,則不需要網際網路閘道、NAT 裝置或虛擬私有閘道。

您不需要進行設定 AWS PrivateLink,但建議您這麼做。如需有關 AWS PrivateLink 和 VPC 端點的詳細資訊,請參閱AWS PrivateLink 和 VPC 端點。

注意

使用 VPC 端點的替代方案是在您的受管執行個體上啟用對外網際網路存取。在此情況下,受管執行個體也必須允許 HTTPS (連接埠 443) 傳出流量至下列端點:

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

  • ec2messages.region.amazonaws.com

SSM Agent 會啟動到雲端中 Systems Manager 服務的所有連線。因此,您不需要將防火牆設定為允許 Systems Manager 將流量傳入到您的執行個體。

如需呼叫這些端點的詳細資訊,請參閱參考:ec2messages、ssmmessages 和其他 API 操作

Amazon VPC 簡介

您可以使用 Amazon Virtual Private Cloud (Amazon VPC) 在您自己的邏輯隔離區域中定義虛擬網路 AWS 雲端,稱為虛擬私有雲 (VPC)。您可以在您的 VPC 中啟動 AWS 資源 (例如執行個體)。VPC 近似於您在自有資料中心內運作的傳統網路,卻能提供 AWS可擴展性基礎設施的效益。您可以設定您的 VPC;您可以選取其 IP 地址範圍、建立子網,以及設定路由表、網路閘道與安全設定。您可以將 VPC 中的執行個體連線至網際網路。您可以將 VPC 連接到自己的公司數據中心,從而成 AWS 雲端 為數據中心的擴展。為了保護各個子網路的資源,您可使用多個安全性層級,包括安全群組及網路存取控制清單。如需詳細資訊,請參閱 Amazon VPC 使用者指南

VPC 端點的限制與局限

在您設定 Systems Manager 的 VPC 端點之前,請注意以下的約束與限制。

跨區域請求

VPC 端點不支援跨區域要求,請務必在與儲存貯體相同 AWS 區域 的位置建立端點。您可以使用 Amazon Simple Storage Service (Amazon S3) 主控台或使用 get-bucket-location 命令來找到儲存貯體的位置。使用區域特定 Amazon Simple Storage Service (Amazon S3) 端點來存取儲存貯體,例如 DOC-EXAMPLE-BUCKET.s3-us-west-2.amazonaws.com。如需有關 Amazon S3 特定區域端點的詳細資訊,請參閱《Amazon Web Services 一般參考》中的 Amazon S3 端點一節。如果您使用 AWS CLI 向 Amazon S3 發出請求,請將預設區域設定為與儲存貯體相同的區域,或在請求中使用--region參數。

VPC 對等連線

您可以透過區域內區域間 VPC 對等連線來存取 VPC 界面端點。如需 VPC 介面端點 VPC 對等互連連線請求的詳細資訊,請參閱《Amazon Virtual Private Cloud 使用者指南》中的 VPC 對等互連連線 (配額)

VPC 閘道端點連線不能延伸出 VPC。VPC 中 VPC 對等互連另一側的資源無法使用閘道端點與閘道端點服務中的資源通訊。如需 VPC 閘道端點 VPC 對等互連連線請求的詳細資訊,請參閱《Amazon Virtual Private Cloud 使用者指南》中的 VPC 端點 (配額)

傳入連線

連接到 VPC 端點的安全群組必須允許從受管執行個體的私有子網路透過 443 通訊埠傳入的連線。如果不允許傳入的連線,則受管執行個體無法連線到 SSM 和 EC2 端點。

DNS 解析

如果您使用自訂 DNS 伺服器,則必須為 VPC 的 Amazon DNS 伺服器的 amazonaws.com 網域查詢新增條件式轉寄站。

S3 儲存貯體

您的 VPC 端點政策,必須允許對至少下列 Amazon Simple Storage Service (Amazon S3) 儲存貯體的存取權:

  • SSM Agent 與 AWS 受管 S3 儲存貯體通訊 中所列出的 S3 儲存貯體。

  • Patch Manager 所使用的 S3 儲存貯體,適用於您 AWS 區域中的修補基準操作。這些儲存貯體包含修補基準服務所擷取並在執行個體上執行的程式碼。每個都 AWS 區域 有自己的修補程式基準作業值區,執行修補程式基準文件時,會從中擷取程式碼。如果無法下載程式碼,修補基準指令將會失敗。

    注意

    如果您使用內部部署防火牆並計劃使用 Patch Manager,則該防火牆也必須允許存取適當的修補基準端點。

    若要提供對您儲存貯體的存取權 AWS 區域,請在端點策略中包含下列權限。

    arn:aws:s3:::patch-baseline-snapshot-region/*
arn:aws:s3:::aws-ssm-region/*

    地區代表 AWS 區域 支援的識別碼 AWS Systems Manager,us-east-2例如美國東部 (俄亥俄) 區域。如需支援的 region 值的清單,請參閱《Amazon Web Services 一般參考》Systems Manager 服務端點一節的區域資料欄。

    請參閱以下範例。

    arn:aws:s3:::patch-baseline-snapshot-us-east-2/*
arn:aws:s3:::aws-ssm-us-east-2/*
    注意

    只有在中東 (巴林) 區域 (me-south-1) 中,這些儲存貯體會使用不同的命名慣例。 AWS 區域 針對此,請改用下列兩個值區:

    • patch-baseline-snapshot-me-south-1-uduvl7q8

    • aws-patch-manager-me-south-1-a53fc9dce

Amazon CloudWatch 日誌

如果您不允許執行個體存取網際網路,請為 Logs 建立 VPC 端點,以使用將 CloudWatch 記錄檔傳送至 CloudWatch 記錄檔的功能。如需為 CloudWatch 日誌建立端點的詳細資訊,請參閱 Amazon CloudWatch 日誌使用指南中的為 CloudWatch 日誌建立 VPC 端點

混合多雲端環境中的 DNS

如需設定 DNS 以在混合雲和多雲 AWS PrivateLink端環境中使用端點的詳細資訊,請參閱 Amazon VPC 使用者指南中的介面端點專用 DNS。如果您想要使用自己的 DNS,可以使用 Route 53 Resolver。如需詳細資訊,請參閱《Amazon Route 53 開發人員指南》中的在 VPC 和網路之間解析 DNS 查詢

若要建立 Systems Manager 的 VPC 端點

使用以下資訊建立 VPC 界面和 AWS Systems Manager閘道端點。本主題連結至《Amazon VPC 使用者指南》中的程序。

若要建立 Systems Manager 的 VPC 端點

在此程序的第一個步驟中,您可以為 Systems Manager 建立三個必要的和一個選用的介面端點。Systems Manager 需要前三個端點才能在 VPC 中運作。如果您使用 Session Manager 功能,才需要第四個端點 (com.amazonaws.region.ssmmessages)。

在第二個步驟中,建立 Systems Manager 所需的閘道端點,以存取 Amazon Simple Storage Service (Amazon S3)。

注意

地區代表 AWS 區域 支援的識別碼 AWS Systems Manager,us-east-2例如美國東部 (俄亥俄) 區域。如需支援的 region 值的清單,請參閱《Amazon Web Services 一般參考》Systems Manager 服務端點一節的區域資料欄。

  1. 請遵循建立介面端點中的步驟來建立下列介面端點:

    • com.amazonaws.region.ssm – Systems Manager 服務的端點。

    • com.amazonaws.region.ec2messages – Systems Manager 使用此端點,從 SSM Agent 到 Systems Manager 服務進行呼叫。

    • com.amazonaws.region.ec2 – 如果您使用 Systems Manager 來建立具備 VSS 功能的快照,則必須確定您擁有至 EC2 服務的端點。如果沒有定義 EC2 端點,則用來列舉所連接 Amazon EBS 磁碟區的呼叫會失敗,進而導致 Amazon Systems Manager 命令失敗。

    • com.amazonaws.region.ssmmessages – 只有在使用 Session Manager 透過安全資料通道來連線到您的執行個體時,才需要使用此端點。如需詳細資訊,請參閱 AWS Systems Manager Session Manager參考:ec2messages、ssmmessages 和其他 API 操作

    • com.amazonaws.region.kms – 此端點為選用。不過,如果您想要使用 AWS Key Management Service (AWS KMS) Session Manager 或Parameter Store參數加密,則可以建立它。

    • com.amazonaws.region.logs – 此端點為選用。但是,如果您想要將 Amazon CloudWatch 日誌 (日誌) 用於Session Manager、或CloudWatch SSM Agent日誌Run Command,則可以建立它。

  2. 遵循建立閘道端點中的步驟,為 Amazon Simple Storage Service (Amazon S3) 建立以下閘道端點。

    • com.amazonaws.region.s3 – Systems Manager 會使用此端點來更新 SSM Agent 並執行修補操作。Systems Manager 還會使用此端點來執行任務,例如,上傳您選擇存放在 S3 儲存貯體中的輸出日誌、擷取您存放在儲存貯體中的指令碼或其他檔案等。如果與執行個體關聯的安全群組限制傳出流量,您必須新增規則,以允許 Amazon Simple Storage Service (Amazon S3) 的字首清單的流量。如需詳細資訊,請參閱 AWS PrivateLink 指南中的修改安全群組

    如需SSM Agent必須能夠存取之 AWS 受管 S3 儲存貯體的相關資訊,請參閱SSM Agent 與 AWS 受管 S3 儲存貯體通訊。如果您在 Systems Manager 操作中使用虛擬私有雲端 (VPC) 端點,則必須在適用於 Systems Manager 的 EC2 執行個體設定檔中提供明確許可,或在混合多雲端環境中的非 EC2 受管節點服務角色中提供明確許可。

建立介面 VPC 端點政策

您可以為 VPC 介面端點建立原則,您可以 AWS Systems Manager 在其中指定:

  • 可執行動作的委託人

  • 可執行的動作

  • 可對其執行動作的資源

如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的使用 VPC 端點控制對服務的存取