步驟 6:(選用) 建立 Virtual Private Cloud 端點 - AWS Systems Manager

步驟 6:(選用) 建立 Virtual Private Cloud 端點

在 Virtual Private Cloud (Amazon VPC) 中設定 AWS Systems Manager 以使用介面 VPC 端點,從而改善受管執行個體 (包括混合環境中的受管執行個體) 的安全狀態。介面 VPC 端點 (界面端點) 可讓您連線至採用 AWS PrivateLink 技術的服務,此技術可讓您使用私有 IP 地址,以私密的方式存取 Amazon Elastic Compute Cloud (Amazon EC2) 和 Systems Manager API。AWS PrivateLink 會將受管執行個體、Systems Manager 和 Amazon EC2 之間的所有網路流量限制到 Amazon 網路。這意味著受管執行個體無法存取網際網路。如果您使用 AWS PrivateLink,則不需要網際網路閘道、NAT 裝置或虛擬私有閘道。

您不需要設定 AWS PrivateLink,但是建議進行設定。如需有關 AWS PrivateLink 和 VPC 端點的詳細資訊,請參閱 AWS PrivateLink 和 VPC 端點

注意

使用 VPC 端點的替代方案是在您的受管執行個體上啟用對外網際網路存取。在此情況下,受管執行個體也必須允許 HTTPS (連接埠 443) 傳出流量至下列端點:

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

  • ec2messages.region.amazonaws.com

SSM Agent 會啟動到雲端中 Systems Manager 服務的所有連線。因此,您不需要將防火牆設定為允許 Systems Manager 將流量傳入到您的執行個體。

如需呼叫這些端點的詳細資訊,請參閱參考:ec2messages、ssmmessages 和其他 API 操作

Amazon VPC 簡介

您可使用 Amazon Virtual Private Cloud (Amazon VPC) 在 AWS Cloud 內的邏輯隔離區域中定義虛擬網路,也就是 virtual private cloud (VPC)。您可以在您的 VPC 中啟動 AWS 資源 (例如執行個體)。VPC 近似於您在自有資料中心內運作的傳統網路,卻能提供 AWS 可擴展性基礎設施的效益。您可以設定您的 VPC;您可以選擇其 IP 地址範圍、建立子網路,以及設定路由表、網路閘道與安全設定。您可以將 VPC 中的執行個體連線至網際網路。您可以將 VPC 連線至自己的公司資料中心,讓 AWS Cloud 成為您資料中心的延伸。為了保護各個子網路的資源,您可使用多個安全性層級,包括安全群組及網路存取控制清單。如需詳細資訊,請參閱 Amazon VPC 使用者指南

VPC 端點的限制與局限

在您設定 Systems Manager 的 VPC 端點之前,請注意以下的約束與限制。

aws:domainJoin 外掛程式

如果您選擇建立 VPC 端點,請注意,從使用 aws:domainJoin 外掛程式的 SSM 文件中請求將 Windows Server 執行個體加入網域會失敗,除非允許從您的執行個體到公有 AWS Directory Service 端點的流量。此外掛程式需要 AWS Directory Service,而 AWS Directory Service 不具備 PrivateLink 端點支援。是否支援使用其他將執行個體加入網域的方法將 Windows Server 執行個體加入網域,完全取決於 Active Directory 需求 (例如,確保可使用 DNS 來到達和探索網域控制器,以及其他相關需求)。您可以利用 Amazon EC2 使用者資料指令碼,將執行個體加入網域。

跨區域的要求

VPC 端點目前不支援跨區域請求,請確定您在與儲存貯體相同的區域中建立端點。您可以使用 Amazon Simple Storage Service (Amazon S3) 主控台或使用 get-bucket-location 命令來找到儲存貯體的位置。使用區域特定 Amazon Simple Storage Service (Amazon S3) 端點來存取儲存貯體,例如 DOC-EXAMPLE-BUCKET.s3-us-west-2.amazonaws.com。如需有關 Amazon Simple Storage Service (Amazon S3) 特定區域端點的詳細資訊,請參閱《Amazon Web Services 一般參考》中的 Amazon Simple Storage Service (Amazon S3) 端點。如果您使用 AWS CLI 向 Amazon Simple Storage Service (Amazon S3) 提出請求,請將預設區域設定為與您儲存貯體相同的區域,或在請求中使用 --region 參數。

VPC 對等連線

您可以透過區域內區域間 VPC 對等連線來存取 VPC 界面端點。如需 VPC 介面端點 VPC 對等互連連線請求的詳細資訊,請參閱《Amazon Virtual Private Cloud 使用者指南》中的 VPC 對等互連連線 (配額)

VPC 閘道端點連線不能延伸出 VPC。VPC 中 VPC 對等互連另一側的資源無法使用閘道端點與閘道端點服務中的資源通訊。如需 VPC 閘道端點 VPC 對等互連連線請求的詳細資訊,請參閱《Amazon Virtual Private Cloud 使用者指南》中的 VPC 端點 (配額)

傳入連線

連接到 VPC 端點的安全群組必須允許從受管執行個體的私有子網路透過 443 通訊埠傳入的連線。如果不允許傳入的連線,則受管執行個體無法連線到 SSM 和 EC2 端點。

Amazon S3 儲存貯體

您的 VPC 端點政策,必須至少允許對下列 Amazon S3 儲存貯體的存取:

  • Patch Manager 所使用的 S3 儲存貯體,適用於您 AWS 區域 中的修補基準操作。這些儲存貯體包含修補基準服務所擷取並在執行個體上執行的程式碼。每個 AWS 區域 都擁有自己的修補基準操作儲存貯體,在修補基準文件執行時可從中擷取程式碼。如果無法下載程式碼,修補基準指令將會失敗。

    注意

    如果您使用內部部署防火牆並計劃使用 Patch Manager,則該防火牆也必須允許存取適當的修補基準端點。

    若要針對您 AWS 區域 中的儲存貯體提供存取,請在您的端點政策中加入下列許可:

    注意

    只有在中東 (巴林) 區域 (me-south-1) 中,這些儲存貯體會使用不同的命名慣例。只有在此 AWS 區域 中,請改用下列兩種儲存貯體。

    • patch-baseline-snapshot-me-south-1-uduvl7q8

    • aws-patch-manager-me-south-1-a53fc9dce

    arn:aws:s3:::patch-baseline-snapshot-region/* arn:aws:s3:::aws-ssm-region/*

    region 代表 AWS Systems Manager 支援之 AWS 區域 的識別符,例如 us-east-2 代表美國東部 (俄亥俄) 區域。如需 region 值的清單,請參閱《Amazon Web Services 一般參考》中 Systems Manager 服務端點中的 Region (區域) 資料欄。

    例如:

    arn:aws:s3:::patch-baseline-snapshot-us-east-2/* arn:aws:s3:::aws-ssm-us-east-2/*
  • SSM Agent 與 AWS 受管 S3 儲存貯體通訊 中所列出的 S3 儲存貯體。

Amazon CloudWatch Logs

如果您不允許執行個體存取網際網路,請為 CloudWatch Logs 建立 VPC 端點,以使用將日誌傳送至 CloudWatch Logs 的功能。如需有關建立 CloudWatch Logs 端點的詳細資訊,請參閱《Amazon CloudWatch Logs 使用者指南》中的建立 CloudWatch Logs 的 VPC 端點

混合環境中的 DNS

如需有關設定 DNS 以在混合式環境中使用 AWS PrivateLink 端點的資訊,請參閱《Amazon VPC 使用者指南》中的適用於介面端點的私有 DNS。如果您想要使用自己的 DNS,可以使用 Route 53 Resolver。如需詳細資訊,請參閱《Amazon Route 53 開發人員指南》中的在 VPC 和網路之間解析 DNS 查詢

若要建立 Systems Manager 的 VPC 端點

使用以下資訊建立 VPC 界面和 AWS Systems Manager 閘道端點。本主題連結至《Amazon VPC 使用者指南》中的程序。

若要建立 Systems Manager 的 VPC 端點

在此程序的第一個步驟中,您可以為 Systems Manager 建立三個必要的和一個選用的介面端點。Systems Manager 需要前三個端點才能在 VPC 中運作。如果您使用 Session Manager 功能,才需要第四個端點 (com.amazonaws.region.ssmmessages)。

在第二個步驟中,建立 Systems Manager 所需的閘道端點,以存取 Amazon Simple Storage Service (Amazon S3)。

注意

region 代表 AWS Systems Manager 支援之 AWS 區域 的識別符,例如 us-east-2 代表美國東部 (俄亥俄) 區域。如需 region 值的清單,請參閱《Amazon Web Services 一般參考》中 Systems Manager 服務端點中的 Region (區域) 資料欄。

  1. 請遵循建立介面端點中的步驟來建立下列介面端點:

    • com.amazonaws.region.ssm:Systems Manager 服務的端點。

    • com.amazonaws.region.ec2messages:Systems Manager 使用此端點,從 SSM Agent 到 Systems Manager 服務進行呼叫。

    • com.amazonaws.region.ec2:如果您使用 Systems Manager 來建立具備 VSS 功能的快照,則必須確定您擁有至 EC2 服務的端點。如果沒有定義 EC2 端點,則用來列舉所連接 EBS 磁碟區的呼叫會失敗,進而導致 Systems Manager 命令失敗。

    • com.amazonaws.region.ssmmessages:只有在使用 Session Manager 透過安全資料通道來連線到您的執行個體時,才需要使用此端點。如需詳細資訊,請參閱 AWS Systems Manager Session Manager參考:ec2messages、ssmmessages 和其他 API 操作

    • com.amazonaws.region.kms:此端點是可選的,但如果您對 Session Manager 或 Parameter Store 參數使用 AWS Key Management Service (AWS KMS) 加密,則可建立此端點。

    • com.amazonaws.region.logs:此端點是可選的,但如果您想使用適用於 Session Manager、Run Command 或 SSM Agent 日誌的 Amazon CloudWatch Logs (CloudWatch Logs),則可以建立。

  2. 遵循建立閘道端點中的步驟,為 Amazon S3 建立以下閘道端點。

    • com.amazonaws.region.s3:Systems Manager 會使用此端點來更新 SSM Agent、執行修補操作以及執行任務,例如,上傳您選擇存放在 S3 儲存貯體中的輸出日誌、擷取您存放在儲存貯體中的指令碼或其他檔案等。如果與執行個體關聯的安全群組限制傳出流量,您必須新增規則,以允許 Amazon S3 的字首清單的流量。如需詳細資訊,請參閱 AWS PrivateLink 指南中的修改安全群組

建立介面 VPC 端點政策

您可以為 AWS Systems Manager 的 VPC 介面端點建立政策,可在其中指定以下項目:

  • 可執行動作的委託人

  • 可執行的動作

  • 可對其執行動作的資源

如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的使用 VPC 端點控制對服務的存取

範例 1:允許使用者只取得並列出命令叫用

{ "Statement":[ { "Sid":"SSMCommandsReadOnly", "Principal":"*", "Action":[ "ssm:ListCommands", "ssm:ListCommandInvocations", "ssm:GetCommandInvocation" ], "Effect":"Allow", "Resource":"*" } ] }

繼續進行步驟 7:(選用) 建立 Systems Manager 服務角色