步驟 2：建立 VPC 端點

在 Amazon Virtual Private Cloud (Amazon VPC) 中設定AWS Systems Manager以使用介面 VPC 端點，從而改善受管節點 (包括混合雲端和多雲端) 的安全狀態。使用介面 VPC 端點 (介面端點)，您可以連線至採用 AWS PrivateLink 技術的服務。AWS PrivateLink 技術可讓您使用私有 IP 地址，以私密方式存取 Amazon Elastic Compute Cloud (Amazon EC2) 和 Systems Manager API。

AWS PrivateLink 會限制受管執行個體、Systems Manager 和 Amazon EC2 與 Amazon 網路之間的所有網路流量。這意味著受管執行個體無法存取網際網路。如果您使用 AWS PrivateLink，則不需要網際網路閘道、NAT 裝置或虛擬私有閘道。

您不需要設定 AWS PrivateLink，但是建議進行設定。如需有關 AWS PrivateLink 和 VPC 端點的詳細資訊，請參閱 AWS PrivateLink 和 VPC 端點。

注意

使用 VPC 端點的替代方案是在您的受管執行個體上啟用對外網際網路存取。在此情況下，受管執行個體也必須允許 HTTPS (連接埠 443) 傳出流量至下列端點：

• ssm.region.amazonaws.com

• ssmmessages.region.amazonaws.com

• ec2messages.region.amazonaws.com

SSM Agent 會啟動到雲端中 Systems Manager 服務的所有連線。因此，您不需要將防火牆設定為允許 Systems Manager 將流量傳入到您的執行個體。

如需呼叫這些端點的詳細資訊，請參閱參考：ec2messages、ssmmessages 和其他 API 操作。

Amazon VPC 簡介

您可使用 Amazon Virtual Private Cloud (Amazon VPC) 在 AWS 雲端 內的邏輯隔離區域中定義虛擬網路，也就是虛擬私有雲端 (VPC)。您可以在您的 VPC 中啟動 AWS 資源 (例如執行個體)。VPC 近似於您在自有資料中心內運作的傳統網路，卻能提供 AWS 可擴展性基礎設施的效益。您可以設定您的 VPC；您可以選取其 IP 地址範圍、建立子網，以及設定路由表、網路閘道與安全設定。您可以將 VPC 中的執行個體連線至網際網路。您可以將 VPC 連線至自己的公司資料中心，讓 AWS 雲端 成為您資料中心的延伸。為了保護各個子網路的資源，您可使用多個安全性層級，包括安全群組及網路存取控制清單。如需詳細資訊，請參閱 Amazon VPC 使用者指南。

VPC 端點的限制與局限

在您設定 Systems Manager 的 VPC 端點之前，請注意以下的約束與限制。

aws:domainJoin 外掛程式

如果您選擇建立 VPC 端點，請注意，從使用 aws:domainJoin 外掛程式的 SSM 文件中請求將 Windows Server 執行個體加入網域會失敗，除非允許從您的執行個體到公有 AWS Directory Service 端點的流量。此外掛程式需要AWS Directory Service，而AWS Directory Service不具備 PrivPrivateLink ate 支援。是否支援使用其他將執行個體加入網域的方法將 Windows Server 執行個體加入網域，完全取決於 Active Directory 需求 (例如，確保可使用 DNS 來到達和探索網域控制器，以及其他相關需求)。您可以利用 Amazon EC2 使用者資料指令碼，將執行個體加入網域。

跨區域請求

VPC 端點目前不支援跨區域請求，請確定您在與儲存貯體相同的 AWS 區域 中建立端點。您可以使用 Amazon S3 主控台來找到儲存貯體的位置。get-bucket-location使用區域特定 Amazon Simple Storage Service (Amazon S3) 端點來存取儲存貯體，例如 DOC-EXAMPLE-BUCKET.s3-us-west-2.amazonaws.com。如需 Amazon S3 特定區域端點的詳細詳細，請參閱《Amazon Web Services 一般參考. 如果您使用 AWS CLI 向 Amazon Simple Storage Service (Amazon S3) 提出請求，請將預設區域設定為與您儲存貯體相同的區域，或在請求中使用 --region 參數。

VPC 對等連線

您可以透過區域內和區域間 VPC 對等連線來存取 VPC 界面端點。如需 VPC 介面端點 VPC 對等互連連線請求的詳細資訊，請參閱《Amazon Virtual Private Cloud 使用者指南》中的 VPC 對等互連連線 (配額)。

VPC 閘道端點連線不能延伸出 VPC。VPC 中 VPC 對等互連另一側的資源無法使用閘道端點與閘道端點服務中的資源通訊。如需 VPC 閘道端點 VPC 對等互連連線請求的詳細資訊，請參閱《Amazon Virtual Private Cloud 使用者指南》中的 VPC 端點 (配額)。

傳入連線

連接到 VPC 端點的安全群組必須允許從受管執行個體的私有子網路透過 443 通訊埠傳入的連線。如果不允許傳入的連線，則受管執行個體無法連線到 SSM 和 EC2 端點。

S3 儲存貯體

您的 VPC 端點政策，必須允許對至少下列 Amazon Simple Storage Service (Amazon S3) 儲存貯體的存取權：

• SSM Agent 與 AWS 受管 S3 儲存貯體通訊 中所列出的 S3 儲存貯體。

• Patch Manager 所使用的 S3 儲存貯體，適用於您 AWS 區域 中的修補基準操作。這些儲存貯體包含修補基準服務所擷取並在執行個體上執行的程式碼。每個 AWS 區域 都擁有自己的修補基準操作儲存貯體，在修補基準文件執行時可從中擷取程式碼。如果無法下載程式碼，修補基準指令將會失敗。

  注意

  如果您使用內部部署防火牆並計劃使用 Patch Manager，則該防火牆也必須允許存取適當的修補基準端點。

  若要針對您 AWS 區域 中的儲存貯體提供存取，請在您的端點政策中加入下列許可。

  arn:aws:s3:::patch-baseline-snapshot-region/*
  arn:aws:s3:::aws-ssm-region/*

  region 代表 AWS Systems Manager 支援之 AWS 區域 的識別符，例如 us-east-2 代表美國東部 (俄亥俄) 區域。如需支援的區域值清單，請參閱中 Systems Manager 服務端點中的「區域」欄Amazon Web Services 一般參考。

  請參閱以下範例。

  arn:aws:s3:::patch-baseline-snapshot-us-east-2/*
  arn:aws:s3:::aws-ssm-us-east-2/*

  注意

  只有在中東 (巴林) 區域 (me-south-1) 中，這些儲存貯體會使用不同的命名慣例。只有在此 AWS 區域 中，請改用下列兩種儲存貯體：

  • patch-baseline-snapshot-me-south-1-uduvl7q8

  • aws-patch-manager-me-south-1-a53fc9dce

亞馬遜CloudWatch日誌

如果您不允許執行個體存取網際網路，請為 Logs 建立 VPC 端點，以使用將CloudWatch日誌傳送至CloudWatch Logs 的功能。如需有關建立CloudWatch Logs 的詳細資 VPC，請參閱《Amazon LoCloudWatch gs 使用者指南》中的建立CloudWatch Logs 使用者指南。

混合式和多雲端環境中的 DNS

如需有關設定 DNS 以在混合式雲AWS PrivateLink端點的詳細說明，請參閱《Amazon VPC 使用者指南》中的適用於介面端點的詳細。如果您想要使用自己的 DNS，可以使用 Route 53 Resolver。如需詳細資訊，請參閱《Amazon Route 53 開發人員指南》中的在 VPC 和網路之間解析 DNS 查詢。

若要建立 Systems Manager 的 VPC 端點

使用以下資訊建立 VPC 界面和 AWS Systems Manager 閘道端點。本主題連結至《Amazon VPC 使用者指南》中的程序。

若要建立 Systems Manager 的 VPC 端點

在此程序的第一個步驟中，您可以為 Systems Manager 建立三個必要的和一個選用的介面端點。Systems Manager 需要前三個端點才能在 VPC 中運作。如果您使用 Session Manager 功能，才需要第四個端點 (com.amazonaws.region.ssmmessages)。

在第二個步驟中，建立 Systems Manager 所需的閘道端點，以存取 Amazon Simple Storage Service (Amazon S3)。

注意

region 代表 AWS Systems Manager 支援之 AWS 區域 的識別符，例如 us-east-2 代表美國東部 (俄亥俄) 區域。如需支援的區域值清單，請參閱中 Systems Manager 服務端點中的「區域」欄Amazon Web Services 一般參考。

1. 請遵循建立介面端點中的步驟來建立下列介面端點：

   • com.amazonaws.region.ssm – Systems Manager 服務的端點。

   • com.amazonaws.region.ec2messages – Systems Manager 使用此端點，從 SSM Agent 到 Systems Manager 服務進行呼叫。

   • com.amazonaws.region.ec2 – 如果您使用 Systems Manager 來建立具備 VSS 功能的快照，則必須確定您擁有至 EC2 服務的端點。如果沒有定義 EC2 端點，則用來列舉所連接 Amazon EBS 磁碟區的呼叫會失敗，進而導致 Amazon Systems Manager 命令失敗。

   • com.amazonaws.region.ssmmessages – 只有在使用 Session Manager 透過安全資料通道來連線到您的執行個體時，才需要使用此端點。如需詳細資訊，請參閱 AWS Systems Manager Session Manager 及 參考：ec2messages、ssmmessages 和其他 API 操作。

   • com.amazonaws.region.kms – 此端點為選用。然而，如果您想要針對 Session Manager 或 Parameter Store 參數使用 AWS Key Management Service (AWS KMS) 加密，則可建立。

   • com.amazonaws.region.logs – 此端點為選用。但是，如果您想要將 AmazonCloudWatch 日誌 (日誌) 用於Session Manager、或CloudWatchSSM Agent日誌Run Command，則可以建立它。

2. 遵循建立閘道端點中的步驟，為 Amazon Simple Storage Service (Amazon S3) 建立以下閘道端點。

   • com.amazonaws.region.s3 – Systems Manager 會使用此端點來更新 SSM Agent 並執行修補操作。Systems Manager 還會使用此端點來執行任務，例如，上傳您選擇存放在 S3 儲存貯體中的輸出日誌、擷取您存放在儲存貯體中的指令碼或其他檔案等。如果與執行個體關聯的安全群組限制傳出流量，您必須新增規則，以允許 Amazon Simple Storage Service (Amazon S3) 的字首清單的流量。如需詳細資訊，請參閱 AWS PrivateLink 指南中的修改安全群組。

   如需有關 SSM Agent 必須能夠存取之 AWS 受管 S3 儲存貯體的資訊，請參閱 SSM Agent 與 AWS 受管 S3 儲存貯體通訊。如果您在 Systems Manager 操作中使用虛擬私有雲端 (VPC) 端點，則必須在適用於 Systems Manager 的 EC2 執行個體設定檔中提供明確許可，或在混合和多雲端環境中的非 EC2 受管節點服務角色中提供明確許可。

建立介面 VPC 端點政策

您可以為 AWS Systems Manager 的 VPC 介面端點建立政策，可在其中指定以下項目：

• 可執行動作的委託人

• 可執行的動作

• 可對其執行動作的資源

如需詳細資訊，請參閱《Amazon VPC 使用者指南》中的使用 VPC 端點控制對服務的存取。