第 6 步:(可选)创建 Virtual Private Cloud 终端节点 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

第 6 步:(可选)创建 Virtual Private Cloud 终端节点

您可以通过在混合环境中配置托管实例(包括混合环境中的托管实例)来提高托管实例的安全性。Amazon Systems Manager在 Amazon Virtual Private Cloud (Amazon VPC) 中使用接口 VPC 终端节点。利用接口 VPC 终端节点(接口终端节点),您可连接到由 Amazon PrivateLink ,该技术允许您通过使用私有 IP 地址私下访问 Elastic Compute Cloud (Amazon EC2) 和 Systems Manager API。 Amazon PrivateLink 将托管实例、Systems Manager 和 Amazon EC2 之间的所有网络流量限制在 Amazon 网络以内。这意味着您的托管实例无法访问 Internet。如果您使用 Amazon PrivateLink ,您无需 Internet 网关、NAT 设备或虚拟专用网关。

您无需配置 Amazon PrivateLink ,但建议使用。有关 的更多信息 Amazon PrivateLink 和 VPC 终端节点,请参阅访问AmazonPrivateLink 提供服务.

注意

VPC 终端节点的替代方法是,允许托管实例上的出站 Internet 访问。在这种情况下,托管实例还必须允许以下终端节点的 HTTPS(端口 443)出站流量:

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

  • ec2messages.region.amazonaws.com

SSM Agent启动到云中的 Systems Manager 服务的所有连接。因此,您无需为 Systems Manager 配置防火墙以允许入站流量到达您的实例。

有关对这些终端节点的调用的更多信息,请参阅 参考:ec2messages、ssmmessages 和其他 API 调用

关于 Amazon VPC

您可以使用 Amazon Virtual Private Cloud (Amazon VPC) 在您自己的逻辑隔离区域中定义虚拟网络。Amazon云,称作Virtual Private Cloud (VPC). 您可以启动Amazon资源(如实例)添加到您的 VPC 中。您的 VPC 与您在自己的数据中心中运行的传统网络极其相似,同时享有使用Amazon. 您可以配置您的 VPC;您可以选择它的 IP 地址范围、创建子网并配置路由表、网关和安全设置。您可以将 VPC 中的实例连接到 Internet。您可以将您的 VPC 连接到自己的企业数据中心,从而使Amazon云是您的数据中心的扩展。要保护各个子网中的资源,您可以利用多种安全层,包括安全组和网络访问控制列表。有关更多信息,请参阅 Amazon VPC 用户指南

VPC 终端节点限制

在配置 Systems Manager 的 VPC 终端节点之前,请注意以下限制。

aws:domainJoin 插件

如果选择创建 VPC 终端节点,请注意,要加入Windows Server实例从 SSM 文档中添加到域中,这些文档使用aws:domainJoin插件将失败,除非您允许从您的实例流向公共Amazon Directory Service终端节点。此插件需要Amazon Directory Service, 和Amazon Directory Service没有私有链接终端节点支持。Support 加入Windows Server实例到域仅取决于 Active Directory 要求(例如,通过使用 DNS 确保能够访问和发现域控制器,以及其他相关要求)。您可以使用Amazon EC2 用户数据脚本将实例加入域。

跨区域请求

VPC 终端节点不支持跨区域请求 — 确保在您的存储桶所在的区域内创建终端节点。您可以使用 Amazon S3 控制台或 get-bucket-location 命令来查找存储桶的位置。使用区域特定的 Amazon S3 终端节点访问存储桶;例如,DOC-EXAMPLE-BUCKET.s3-us-west-2.amazonaws.com。有关 Amazon S3 的地区特定终端节点的更多信息,请参阅Amazon S3 服务终端节点中的Amazon Web Services 一般参考. 如果您将Amazon CLI向 Amazon S3 发起请求、将默认区域设置为您的存储桶所在的区域,或使用--region参数。

VPC 对等连接

VPC 接口终端节点可以通过区域内区域间 VPC 对等连接访问。有关 VPC 接口终端节点的 VPC 对等连接请求的更多信息,请参阅接口终端节点属性和限制中的Amazon Virtual Private Cloud 用户指南.

无法将 VPC 网关终端节点连接扩展到 VPC 之外。VPC 中的 VPC 对等连接另一端的资源不能使用网关终端节点来与网关终端节点服务中的资源通信。有关 VPC 网关终端节点的 VPC 对等连接请求的更多信息,请参阅网关终端节点限制中的Amazon Virtual Private Cloud 用户指南

传入连接

附加到 VPC 终端节点的安全组必须允许从托管实例的私有子网通过端口 443 进行传入连接。如果不允许传入连接,则托管实例无法连接到 SSM 和 EC2 终端节点。

Amazon S3 存储桶

您的 VPC 终端节点策略必须至少允许对以下 Amazon S3 存储桶的访问:

  • 使用的 S3 存储桶Patch Manager中的修补程序基准操作 Amazon Web Services 区域 . 这些存储桶包含由补丁基准服务检索并在实例上运行的代码。EACE Amazon Web Services 区域 具有自己的补丁基准操作存储桶,在运行补丁基准文档时从中检索代码。如果无法下载该代码,则补丁基准命令将失败。

    注意

    如果使用本地防火墙并打算使用Patch Manager,则该防火墙还必须允许访问相应的修补程序基准终端节点。

    要提供对您的 Amazon Web Services 区域 中,在您的终端节点策略中包含以下权限:

    注意

    仅在中东(巴林)区域(me-南1)中,这些存储桶将使用其他命名约定。对于这个 Amazon Web Services 区域 ,请改为使用以下两个存储桶。

    • patch-baseline-snapshot-me-south-1-uduvl7q8

    • aws-patch-manager-me-south-1-a53fc9dce

    arn:aws:s3:::patch-baseline-snapshot-region/* arn:aws:s3:::aws-ssm-region/*

    区域表示 Amazon Web Services 区域 支持Amazon Systems Manager之外的压缩算法(例如us-east-2,请指定美国东部(俄亥俄)区域。有关受支持的区域值,请参阅区域中的 ColumnSystems Manager 服务终端节点中的Amazon Web Services 一般参考.

    例如:

    arn:aws:s3:::patch-baseline-snapshot-us-east-2/* arn:aws:s3:::aws-ssm-us-east-2/*
  • SSM Agent与通信Amazon托管 S3 存储桶中列出的 S3 存储桶。

Amazon CloudWatch Logs

如果您不允许您的实例访问互联网,请为 CloudWatch Logs 创建 VPC 终端节点,以使用向 CloudWatch 日志发送日志的功能。有关为 CloudWatch Logs 创建终端节点的更多信息,请参阅为 CloudWatch Logs 创建 VPC 终端节点中的Amazon CloudWatch Logs 用户指南.

混合环境中的 DNS

有关配置 DNS 以使用的信息 Amazon PrivateLink 终端节点,请参阅私有 DNS. 如果需要使用自己的 DNS,可以使用 Route 53 解析程序。有关更多信息,请参阅 。解析 VPC 与您的网络之间的 DNS 查询中的Amazon Route 53 开发人员指南.

为 Systems Manager 创建 VPC 终端节点

使用以下信息可为 Amazon Systems Manager 创建 VPC 接口和网关终端节点。此主题链接到Amazon VPC User Guide.

为 Systems Manager 创建 VPC 终端节点

在此过程的第一步中,您创建三个必需的和一个可选的界面终端节点。需要前三个终端节点才 Systems Manager 在 VPC 中运行。第四,com.amazonaws.region.ssmmessages,仅当您使用的是Session Manager功能。

在第二个步骤中,您创建需要的网关终端节点访问 Amazon S3。

注意

区域表示 Amazon Web Services 区域 支持Amazon Systems Manager之外的压缩算法(例如us-east-2,请指定美国东部(俄亥俄)区域。有关受支持的区域值,请参阅区域中的 ColumnSystems Manager 服务终端节点中的Amazon Web Services 一般参考.

  1. 按照创建接口终端节点中的步骤操作,创建以下接口终端节点:

    • com.amazonaws.region.ssm:Systems Manager 服务的端点。

    • com.amazonaws.region.ec2messages:Systems Manager 使用此终端节点从调用SSM Agent添加到 Systems Manager 服务。

    • com.amazonaws.region.ec2:如果您使用 Systems Manager 创建启用 VSS 的快照,则需要确保您具有连接到 EC2 服务的终端节点。未定义 EC2 终端节点时,枚举所附加 EBS 卷的调用将失败,这会导致 Systems Manager 命令失败。

    • com.amazonaws.region.ssmmessages:仅当您使用通过安全数据通道连接到实例时,才需要此终端节点。Session Manager. 有关更多信息,请参阅 Amazon Systems Manager Session Manager参考:ec2messages、ssmmessages 和其他 API 调用

    • com.amazonaws.region.kms:此端点是可选的,但可以创建,如果你想使用Amazon Key Management Service(Amazon KMS) 的加密Session Manager或者Parameter Store参数。

  2. 按中的步骤操作。创建网关终端节点为 Amazon S3 创建以下网关终端节点。

    • com.amazonaws.region.s3:Systems Manager 使用此端点来更新SSM Agent,执行修补操作以及任务,例如上传要存储在 S3 存储桶中的所选输出日志,检索存储在存储桶中的脚本或其他文件等。如果与您的实例关联的安全组限制出站流量,则您必须在 Amazon S3 的前缀列表中添加一条允许流量的规则。有关更多信息,请参阅 。修改安全组中的 Amazon PrivateLink 指南.

创建接口 VPC 终端节点策略

您 VPC 以为Amazon Systems Manager,您可以在其中指定:

  • 可执行操作的委托人

  • 可执行的操作

  • 可以对其执行操作的资源

有关更多信息,请参阅 。使用 VPC 终端节点控制对服务的访问中的Amazon VPC User Guide.

示例 1:允许用户仅获取和列出命令调用

{ "Statement":[ { "Sid":"SSMCommandsReadOnly", "Principal":"*", "Action":[ "ssm:ListCommands", "ssm:ListCommandInvocations", "ssm:GetCommandInvocation" ], "Effect":"Allow", "Resource":"*" } ] }

继续浏览步骤 7:(可选)创建 Systems Manager 服务角色