步骤 2:创建 VPC 端点 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

步骤 2:创建 VPC 端点

通过配置 Amazon Systems Manager 为使用亚马逊虚拟私有云 (Amazon VPC) 中的接口 VPC 终端节点,您可以改善托管节点(包括混合云和多云环境中的非 EC2 计算机)的安全状况。通过使用接口 VPC 终端节点(接口终端节点),您可以连接到由提供支持的服务 Amazon PrivateLink。 Amazon PrivateLink 是一种允许您使用私有 IP 地址私有访问亚马逊弹性计算云 (Amazon EC2) 和 Systems Manager API 的技术。

Amazon PrivateLink 将您的托管实例、Systems Manager 和 Amazon EC2 之间的所有网络流量限制到亚马逊网络。这意味着您的托管实例无法访问 Internet。如果您使用 Amazon PrivateLink,则不需要互联网网关、NAT 设备或虚拟专用网关。

您无需进行配置 Amazon PrivateLink,但建议您这样做。有关 Amazon PrivateLink 和 VPC 终端节点的更多信息,请参阅Amazon PrivateLink 和 VPC 终端节点

注意

使用 VPC 端点的替代方法是,在托管实例上允许出站 Internet 访问。在这种情况下,托管实例还必须允许以下终端节点的 HTTPS(端口 443)出站流量:

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

  • ec2messages.region.amazonaws.com

SSM Agent 将在云中启动所有与 Systems Manager 服务的连接。因此,您无需为 Systems Manager 配置防火墙以允许入站流量到达您的实例。

有关对这些终端节点的调用的更多信息,请参阅 参考:ec2messages、ssmmessages 和其他 API 操作

关于 Amazon VPC

您可以使用 Amazon Virtual Private Cloud (Amazon VPC) 在您自己的逻辑隔离区域中定义一个虚拟网络 Amazon Web Services 云,称为虚拟私有云 (VPC)。可在 VPC 中启动实例等 Amazon 资源。您的 VPC 与您可能在自己的数据中心中运行的传统网络极为相似,同时享有使用来自 Amazon 的可扩展基础设施的优势。您可以配置您的 VPC;您可以选择它的 IP 地址范围、创建子网并配置路由表、网关和安全设置。您可以将您的 VPC 中的实例连接到网络。您可以将 VPC 连接到您自己的企业数据中心 Amazon Web Services 云 ,从而扩展您的数据中心。要保护各个子网中的资源,您可以利用多种安全层,包括安全组和网络访问控制列表。有关更多信息,请参阅 Amazon VPC 用户指南

VPC 终端节点限制

在配置 Systems Manager 的 VPC 终端节点之前,请注意以下限制。

跨区域请求

VPC 终端节点不支持跨区域请求,请确保在与存储桶 Amazon Web Services 区域 相同的终端节点中创建终端节点。您可以使用 Amazon S3 控制台或使用get-bucket-location命令来找到存储桶的位置。使用区域特定的 Amazon S3 终端节点访问存储桶;例如,DOC-EXAMPLE-BUCKET.s3-us-west-2.amazonaws.com。有关 Amazon S3 特定于区域的端点的更多信息,请参阅《Amazon Web Services 一般参考》中的 Amazon S3 endpoints。如果您使用向 Amazon S3 发出请求,请将默认区域设置为与存储桶相同的区域,或者在请求中使用--region参数。 Amazon CLI

VPC 对等连接

VPC 接口终端节点可以通过区域内区域间 VPC 对等连接访问。有关 VPC 接口端点的 VPC 对等连接请求的更多信息,请参阅 Amazon Virtual Private Cloud 用户指南中的 VPC 对等连接 (Quotas)

无法将 VPC 网关端点连接扩展到 VPC 之外。VPC 中的 VPC 对等连接另一端的资源不能使用网关终端节点与网关终端节点服务中的资源进行通信。有关 VPC 网关端点的 VPC 对等连接请求的更多信息,请参阅 Amazon Virtual Private Cloud 用户指南中的 VPC 端点 (Quotas)

传入连接

附加到 VPC 终端节点的安全组必须允许从托管实例的私有子网通过端口 443 进行传入连接。如果不允许传入连接,则托管实例无法连接到 SSM 和 EC2 终端节点。

DNS 解析

如果您使用自定义 DNS 服务器,则必须将针对 amazonaws.com 域的任何查询的条件转发器添加到 VPC 的 Amazon DNS 服务器。

S3 存储桶

VPC 终端节点策略必须允许访问至少以下 Simple Storage Service (Amazon S3) 存储桶:

  • SSM Agent 与 Amazon 托管 S3 存储桶进行通信中列出的 S3 存储桶。

  • Patch Manager 用于 Amazon Web Services 区域 中的补丁基准操作的 S3 存储桶。这些存储桶包含由补丁基准服务检索并在实例上运行的代码。每个 Amazon Web Services 区域 都有自己的补丁基准操作存储桶,运行补丁基准文档时会从中检索代码。如果无法下载该代码,则补丁基准命令将失败。

    注意

    如果您使用本地防火墙并计划使用 Patch Manager,还必须允许该防火墙访问适当的补丁基准终端节点。

    要提供对您的存储桶的访问权限 Amazon Web Services 区域,请在您的终端节点策略中包含以下权限。

    arn:aws:s3:::patch-baseline-snapshot-region/* arn:aws:s3:::aws-ssm-region/*

    re gion 表示 Amazon Web Services 区域 支持的标识符 Amazon Systems Manager,例如us-east-2美国东部(俄亥俄州)地区的标识符。有关支持的 region 值的列表,请参阅《Amazon Web Services 一般参考》中的 Systems Manager service endpointsRegion 列。

    请参阅以下示例。

    arn:aws:s3:::patch-baseline-snapshot-us-east-2/* arn:aws:s3:::aws-ssm-us-east-2/*
    注意

    这些存储桶在中东(巴林)区域 (me-south-1) 中使用其他命名约定。 Amazon Web Services 区域 为此,请改用以下两个存储桶:

    • patch-baseline-snapshot-me-south-1-uduvl7q8

    • aws-patch-manager-me-south-1-a53fc9dce

Amazon CloudWatch 日志

如果您不允许您的实例访问 Internet,请为 CloudWatch 日志创建 VPC 终端节点,以使用向日志发送 CloudWatch 日志的功能。有关为 CloudWatch 日志创建终端节点的更多信息,请参阅 Amazon CloudWatch Logs 用户指南中的为 CloudWatch 日志创建 VPC 终端节点

混合和多云环境中的 DNS

有关配置 DNS 以在混合云和多云环境中使用 Amazon PrivateLink 终端节点的信息,请参阅 Amazon VPC 用户指南中的接口终端节点私有 DNS。如果需要使用自己的 DNS,可以使用 Route 53 解析程序。有关更多信息,请参阅 Amazon Route 53 开发人员指南中的解析 VPC 与网络之间的 DNS 查询

为 Systems Manager 创建 VPC 终端节点

使用以下信息可为 Amazon Systems Manager 创建 VPC 接口和网关终端节点。本主题链接到 Amazon VPC 用户指南中的过程。

为 Systems Manager 创建 VPC 终端节点

在此过程的第一步中,您可以为 Systems Manager 创建三个必需的和一个可选的界面终端节点。Systems Manager 需要前三个终端节点才能在 VPC 中运行。仅在使用 Session Manager 功能时需要第四个 com.amazonaws.region.ssmmessages 终端节点。

在第二个步骤中,创建所需的网关终端节点,以便让 Systems Manager 访问 Amazon S3。

注意

re gion 表示 Amazon Web Services 区域 支持的标识符 Amazon Systems Manager,例如us-east-2美国东部(俄亥俄州)地区的标识符。有关支持的 region 值的列表,请参阅《Amazon Web Services 一般参考》中的 Systems Manager service endpointsRegion 列。

  1. 按照创建接口端点中的步骤操作,创建以下接口端点:

    • com.amazonaws.region.ssm – Systems Manager 服务的端点。

    • com.amazonaws.region.ec2messages – Systems Manager 使用此端点从 SSM Agent 调用到 Systems Manager 服务。

    • com.amazonaws.region.ec2 – 如果您使用 Systems Manager 创建启用 VSS 的快照,则需要确保您具有连接到 EC2 服务的端点。如果未定义 EC2 端点,枚举附加的 Amazon EBS 卷的调用将失败,这会导致 Systems Manager 命令失败。

    • com.amazonaws.region.ssmmessages – 仅当您使用 Session Manager 通过安全数据通道连接到实例时,才需要此端点。有关更多信息,请参阅 Amazon Systems Manager Session Manager参考:ec2messages、ssmmessages 和其他 API 操作

    • com.amazonaws.region.kms – 此端点是可选的。但是,如果要对Session Manager或Parameter Store参数使用 Amazon Key Management Service (Amazon KMS) 加密,则可以创建它。

    • com.amazonaws.region.logs – 此端点是可选的。但是,如果您想将 Amazon CloudWatch 日志(日志)用于Session Manager、或CloudWatch 日志Run Command,则可以创建该SSM Agent日志。

  2. 按照创建网关端点中的步骤操作,为 Amazon S3 创建以下网关端点。

    • com.amazonaws.region.s3:Systems Manager 使用此端点更新 SSM Agent 和执行修补操作。Systems Manager 还使用此端点执行其它任务,例如,上载要存储在 S3 存储桶中所选择的输出日志,检索存储在存储桶中的脚本或其他文件等。如果与您的实例关联的安全组限制出站流量,则您必须添加一条规则,以允许流量到达 Amazon S3 的前缀列表。有关更多信息,请参阅Amazon PrivateLink 指南修改安全组

    有关SSM Agent必须能够访问的 Amazon 托管 S3 存储桶的信息,请参阅SSM Agent 与 Amazon 托管 S3 存储桶进行通信。如果您正在 Systems Manager 操作中使用虚拟私有云(VPC)端点,则必须在 Systems Manager 的 EC2 实例配置文件中或在混合和多云环境中的非 EC2 托管式节点的服务角色中提供显式权限。

创建接口 VPC 终端节点策略

您可以为 VPC 接口终端节点创建策略 Amazon Systems Manager ,您可以在其中指定:

  • 可执行操作的主体

  • 可执行的操作

  • 可被执行操作的资源

有关更多信息,请参阅 Amazon VPC 用户指南中的使用 VPC 终端节点控制对服务的访问权限