步骤 6：（可选）使用 Amazon PrivateLink 为 Session Manager 设置 VPC 端点

您可以通过将 Amazon Systems Manager 配置为使用接口 Virtual Private Cloud (VPC) 终端节点来进一步提高托管式节点的安保状况。接口端点由 Amazon PrivateLink 提供支持，该技术使您能够通过使用私有 IP 地址私下访问 Amazon Elastic Compute Cloud (Amazon EC2) 和 Systems Manager API。

Amazon PrivateLink 将托管式节点、Systems Manager 和 Amazon EC2 之间的所有网络流量限制在 Amazon 网络以内。（托管式节点无法访问互联网。） 而且，您无需 Internet 网关、NAT 设备或虚拟专用网关。

有关创建 VPC 端点的信息，请参阅使用适用于 Systems Manager 的 VPC 终端节点提高 EC2 实例的安全性。

使用 VPC 终端节点的替代方法是，在托管式节点上允许出站互联网访问。在这种情况下，托管式节点还必须允许到以下端点的 HTTPS（端口 443）出站流量：

Systems Manager 使用上述最后一个端点（即 ssmmessages.region.amazonaws.com）从 SSM Agent 对云中的 Session Manager 服务进行调用。

要使用可选功能，例如 Amazon Key Management Service (Amazon KMS) 加密、将日志流式传输至 Amazon CloudWatch Logs (CloudWatch Logs) 以及将日志发送到 Amazon Simple Storage Service (Amazon S3)，您必须允许到以下端点的 HTTPS（端口 443）出站流量：

有关 Systems Manager 所需的端点的更多信息，请参阅参考：ec2messages、ssmmessages 和其他 API 操作。