第 6 步:(可选)创建 Virtual Private Cloud 终端节点 - Amazon Web Services Systems Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

第 6 步:(可选)创建 Virtual Private Cloud 终端节点

您可以通过将配置为改善托管实例(包括混合环境中的托管实例)的安全状况。Amazon Web Services Systems Manager在 Amazon Virtual Private Cloud (Amazon VPC) 中使用接口 VPC 终端节点。利用接口 VPC 终端节点(接口终端节点),您可连接到由AmazonPrivateLink,该技术使您能够通过使用私有 IP 地址私下访问 Elastic Compute Cloud (Amazon EC2) 和 Systems Manager API。AmazonPrivateLink 将托管实例、Systems Manager 和 Amazon EC2 之间的所有网络流量限制在 Amazon 网络以内。这意味着您的托管实例无法访问 Internet。如果您使用AmazonPrivateLink,您无需 Internet 网关、NAT 设备或虚拟专用网关。

不要求您配置AmazonPrivateLink,但推荐进行配置。有关 的更多信息AmazonPrivateLink 和 VPC 终端节点,请参阅访问Amazon通过 PrivateLink 提供服务

注意

使用 VPC 终端节点的替代方法是,在托管实例上启用出站 Internet 访问。在这种情况下,托管实例还必须允许以下终端节点的 HTTPS(端口 443)出站流量:

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

  • ec2messages.region.amazonaws.com

SSM 代理将在云中启动到 Systems Manager 服务的所有连接。因此,您无需为 Systems Manager 配置防火墙以允许入站流量到达您的实例。

有关对这些终端节点的调用的更多信息,请参阅 参考:ec2messages、ssmmessages 和其他 API 调用

关于 Amazon VPC

您可以使用 Amazon Virtual Private Cloud (Amazon VPC) 在您自己的逻辑隔离区域中定义虚拟网络。Amazon云,称作Virtual Private Cloud (VPC)。您可以启动Amazon资源(如实例)添加到您的 VPC。您的 VPC 与您可能在自己的数据中心运行的传统网络极其相似,同时可为您提供使用Amazon。您可以配置您的 VPC;您可以选择它的 IP 地址范围、创建子网并配置路由表、网关和安全设置。您可以将 VPC 中的实例连接到互联网。您可以将您的 VPC 连接到自己的企业数据中心,并将Amazon云是您的数据中心的扩展。要保护各个子网中的资源,您可以利用多种安全层,包括安全组和网络访问控制列表。有关更多信息,请参阅 Amazon VPC 用户指南

VPC 终端节点限制

在配置 Systems Manager 的 VPC 端点之前,请注意以下限制。

aws:domainJoin 插件

如果选择创建 VPC 终端节点,请注意加入Windows Server实例从 SSM 文档中添加到域中,这些文档使用aws:domainJoin插件将失败,除非您允许从您的实例流向公共Amazon Directory Service终端节点。此插件需要 Amazon Directory Service,而 Amazon Directory Service 不支持 PrivateLink 终端节点。是否支持使用其他加入域的方法将 Windows Server 实例加入到域仅取决于 Active Directory 要求(例如,通过使用 DNS 确保能够访问和发现域控制器,以及其他相关要求)。您可以使用Amazon EC2 用户数据脚本将实例加入域。

跨区域请求

VPC 终端节点当前不支持跨区域请求 — 确保在您的存储桶所在区域内创建终端节点。您可以使用 Amazon S3 控制台或 get-bucket-location 命令来查找存储桶的位置。使用区域特定的 Amazon S3 终端节点访问存储桶;例如,DOC-EXAMPLE-BUCKET.s3-us-west-2.amazonaws.com。有关 Amazon S3 的区域特定终端节点的更多信息,请参阅Amazon S3 服务终端节点中的Amazon Web Services 一般参考。如果您使用AmazonCLI 向 Amazon S3 发起请求、将默认区域设置为您的存储桶所在的区域,或使用--region参数。

VPC 对等连接

VPC 接口终端节点可以通过区域内区域间 VPC 对等连接访问。有关 VPC 接口终端节点的 VPC 对等连接请求的更多信息,请参阅接口终端节点属性和限制中的Amazon Virtual Private Cloud 用户指南

无法将 VPC 网关终端节点连接扩展到 VPC 之外。VPC 中 VPC 对等连接的另一端的资源不能使用网关终端节点来与网关终端节点服务中的资源通信。有关 VPC 网关终端节点的 VPC 对等连接请求的更多信息,请参阅网关终端节点限制中的Amazon Virtual Private Cloud 用户指南

传入连接

附加到 VPC 终端节点的安全组必须允许从托管实例的私有子网通过端口 443 进行传入连接。如果不允许传入连接,则托管实例无法连接到 SSM 和 EC2 终端节点。

Amazon S3 存储桶

您的 VPC 终端节点策略必须至少允许对以下 Amazon S3 存储桶的访问:

  • Patch Manager 用于Amazon Web Services 区域n. 这些存储桶包含由补丁基准服务检索并在实例上运行的代码。EACHERAmazon Web Services 区域具有自己的补丁基准操作存储桶,可在运行补丁基准文档时从中检索代码。如果无法下载该代码,则补丁基准命令将失败。

    注意

    如果您使用本地防火墙并计划使用 Patch Manager,则该防火墙还必须允许访问下面所示的补丁基准终端节点。

    要提供对Amazon Web Services 区域,请在您的终端节点策略中包含以下权限:

    注意

    仅在中东(巴林)区域(me-south-1)中,这些存储桶将使用其他命名约定。对于这个Amazon Web Services 区域,请改为使用以下两个存储桶。

    • patch-baseline-snapshot-me-south-1-uduvl7q8

    • aws-patch-manager-me-south-1-a53fc9dce

    arn:aws:s3:::patch-baseline-snapshot-region/* arn:aws:s3:::aws-ssm-region/*

    区域表示Amazon Web Services 区域支持Amazon Web Services Systems Manager之外的压缩算法(例如us-east-2(针对美国东部(俄亥俄)区域)。有关受支持的列表区域值,请参阅区域中的列Systems Manager 服务终端节点中的Amazon Web Services 一般参考

    例如:

    arn:aws:s3:::patch-baseline-snapshot-us-east-2/* arn:aws:s3:::aws-ssm-us-east-2/*
  • 关于 SSM 代理的最低 S3 存储桶权限中列出的 S3 存储桶。

Amazon CloudWatch Logs

如果您不允许实例访问互联网,则必须为 CloudWatch Logs 创建 VPC 终端节点,以使用向 CloudWatch 日志发送日志的功能。有关为 CloudWatch Logs 创建终端节点的更多信息,请参阅为 CloudWatch Logs 创建 VPC 终端节点中的Amazon CloudWatch Logs 用户指南

混合环境中的 DNS

有关配置 DNS 以使用的信息Amazon混合环境中的 PrivateLink 终端节点,请参阅私有 DNS。如果需要使用自己的 DNS,可以使用 Route 53 解析程序。有关更多信息,请参阅 。解析 VPC 与您的网络之间的 DNS 查询中的Amazon Route 53 开发者指南

为 Systems Manager 创建 VPC 终端节点

使用以下信息可为 Amazon Web Services Systems Manager 创建 VPC 接口和网关终端节点。此主题链接到Amazon VPC 用户指南

为 Systems Manager 创建 VPC 终端节点

在下面的第一步中,您将创建三个必需的和一个可选的界面终端节点。需要前三个终端节点才 Systems Manager 在 VPC 中运行。第四,com.amazonaws.region.ssmmessages,只有在使用会话管理器功能时才需要。

在第二个步骤中,您将创建必需的网关终端节点,以便 Systems Manager 访问 Amazon S3。

注意

区域表示Amazon Web Services 区域支持Amazon Web Services Systems Manager之外的压缩算法(例如us-east-2(针对美国东部(俄亥俄)区域)。有关受支持的列表区域值,请参阅区域中的列Systems Manager 服务终端节点中的Amazon Web Services 一般参考

  1. 按照创建接口终端节点中的步骤操作,创建以下接口终端节点:

    • com.amazonaws.region.ssm:Systems Manager 服务的端点。

    • com.amazonaws.region.ec2messages:Systems Manager 使用此终端节点从 SSM 代理调用 Systems Manager 服务。

    • com.amazonaws.region.ec2:如果您使用 Systems Manager 创建启用 VSS 的快照,则需要确保您具有连接到 EC2 服务的终端节点。未定义 EC2 终端节点时,枚举所附加 EBS 卷的调用将失败,这会导致 Systems Manager 命令失败。

    • com.amazonaws.region.ssmmessages:仅当您使用 Session Management 通过安全数据通道连接到实例时,才需要使用此终端节点。有关更多信息,请参阅 Amazon Web Services Systems Manager会话管理器参考:ec2messages、ssmmessages 和其他 API 调用

    • com.amazonaws.region.kms:此端点是可选的,但可以创建,如果你想使用Amazon Key Management Service(Amazon KMS) 会话管理器或参数存储参数的加密。

  2. 按中的步骤操作。创建网关终端节点为 Amazon S3 创建以下网关终端节点。

    • com.amazonaws.region.s3:Systems Manager 使用此终端节点更新 SSM 代理,执行修补操作,并执行任务,例如上传要存储在 S3 存储桶中的所选输出日志,检索存储在存储桶中的脚本或其他文件等。

创建接口 VPC 终端节点策略

您可以创建 VPC 接口终端节点的策略Amazon Web Services Systems Manager,在其中可以指定:

  • 可执行操作的委托人

  • 可执行的操作

  • 可以对其执行操作的资源

有关更多信息,请参阅 。使用 VPC 终端节点控制对服务的访问中的Amazon VPC 用户指南

示例 1:允许用户仅获取和列出命令调用

{ "Statement":[ { "Sid":"SSMCommandsReadOnly", "Principal":"*", "Action":[ "ssm:ListCommands", "ssm:ListCommandInvocations", "ssm:GetCommandInvocation" ], "Effect":"Allow", "Resource":"*" } ] }

继续浏览步骤 7:(可选)创建 Systems Manager 服务角色