AWS Systems Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

第 6 步:(可选)创建 Virtual Private Cloud 终端节点

您可以配置 AWS Systems Manager 以在 Amazon Virtual Private Cloud (Amazon VPC) 中使用接口 VPC 终端节点,以提高托管实例(包括混合环境中的托管实例)的安全性。通过使用接口 VPC 终端节点(接口终端节点),您可以连接到 AWS PrivateLink 支持的服务,您可以通过该技术使用私有 IP 地址私下访问 Amazon EC2 和 Systems Manager API。PrivateLink 将托管实例、Systems Manager 和 Amazon EC2 之间的所有网络流量限制在 Amazon 网络以内。(托管实例无法访问 Internet。) 而且,您无需 Internet 网关、NAT 设备或虚拟专用网关。

不要求您配置 PrivateLink,但推荐进行配置。有关 PrivateLink 和 VPC 终端节点的更多信息,请参阅通过 PrivateLink 访问 AWS 服务

注意

VPC 的替代方法是在托管实例上启用出站 Internet 访问。

关于 Amazon VPC

Amazon Virtual Private Cloud (Amazon VPC) enables you to define a virtual network in your own logically isolated area within the AWS cloud, known as a virtual private cloud (VPC). You can launch your AWS resources, such as instances, into your VPC. Your VPC closely resembles a traditional network that you might operate in your own data center, with the benefits of using AWS's scalable infrastructure. You can configure your VPC; you can select its IP address range, create subnets, and configure route tables, network gateways, and security settings. You can connect instances in your VPC to the internet. You can connect your VPC to your own corporate data center, making the AWS cloud an extension of your data center. To protect the resources in each subnet, you can use multiple layers of security, including security groups and network access control lists. For more information, see the Amazon VPC User Guide.

VPC 终端节点限制

在配置 Systems Manager 的 VPC 终端节点之前,请注意以下限制。

aws:domainJoin 插件

如果选择创建 VPC 终端节点,请注意从使用 aws:domainJoin 插件的 SSM 文档将 Windows 实例加入到域的请求将失败。此插件需要 AWS Directory Service,而 AWS Directory Service 不支持 PrivateLink 终端节点。是否支持使用其他加入域的方法将 Windows 实例加入到域仅取决于 Active Directory 要求(例如,通过使用 DNS 确保能够访问和发现域控制器,以及其他相关要求)。您可以使用 Amazon EC2 用户数据脚本将实例加入域。

跨区域请求

VPC 终端节点当前不支持跨区域请求 — 确保在您的存储桶所在区域内创建终端节点。您可以使用 Amazon S3 控制台或 get-bucket-location 命令来查找存储桶的位置。使用区域特定的 Amazon S3 终端节点访问存储桶;例如,mybucket.s3-us-west-2.amazonaws.com。有关 Amazon S3 的区域特定的终端节点的更多信息,请参阅 Amazon Web Services General Reference 中的 Amazon Simple Storage Service (S3)。如果您使用 AWS CLI 向 Amazon S3 发起请求,请将默认区域设置为您的存储桶所在的区域,或在请求中使用 --region 参数。

传入连接

附加到 VPC 终端节点的安全组必须允许从托管实例的私有子网通过端口 443 进行传入连接。如果不允许传入连接,则托管实例无法连接到 SSM 和 EC2 终端节点。

Amazon S3 存储段

VPC 终端节点策略必须至少允许对以下 Amazon S3 存储桶的访问:

  • Patch Manager 用于 AWS 区域中的补丁基准操作的 S3 存储桶。这些存储桶包含由补丁基准服务检索并在实例上运行的代码。每个 AWS 区域都有自己的补丁基准操作存储桶用于在运行补丁基准文档时要检索的代码。如果无法下载该代码,则补丁基准命令将失败。

    要提供对您的 AWS 区域中存储桶的访问权限,请在您的终端节点策略中包含以下权限:

    arn:aws:s3:::patch-baseline-snapshot-region/* arn:aws:s3:::aws-ssm-region/*

    区域 表示 AWS Systems Manager 支持的 AWS 区域的区域标识符,如US East (Ohio) Region的 us-east-2。有关受支持区域 值的列表,请参阅 AWS General ReferenceAWS Systems Manager 区域和终端节点表主题的区域列。

    例如:

    arn:aws:s3:::patch-baseline-snapshot-us-east-2/* arn:aws:s3:::aws-ssm-us-east-2/*
  • 关于 SSM 代理 的最低 S3 存储桶权限中列出的 S3 存储桶。

混合环境中的 DNS

有关配置 DNS 以在混合环境中使用 PrivateLink 终端节点的信息,请参阅私有 DNS。如果需要使用自己的 DNS,可以使用 Route 53 解析程序。有关更多信息,请参阅 Amazon Route 53 Developer Guide 中的解析 VPC 和您的网络之间的 DNS 查询

创建 Systems Manager 的 VPC 终端节点

使用以下过程为 Systems Manager 创建三个必需的和一个可选的单独的 VPC 终端节点。Systems Manager 需要这三个终端节点都能在 VPC 中运行。只有在使用 Session Manager 功能时,才需要第四个终端节点。此步骤可链接到 Amazon VPC User Guide 中的相关步骤。

创建 Systems Manager 的 VPC 终端节点

  1. 按照创建接口终端节点中的步骤创建以下终端节点:

    • com.amazonaws.region.ssm:Systems Manager 服务的终端节点。

    • com.amazonaws.region.ec2messages:Systems Manager 使用此终端节点从 SSM 代理调用 Systems Manager 服务。

    • com.amazonaws.region.ec2:如果使用 Systems Manager 创建启用 VSS 的快照,则需要确保您具有连接到 EC2 服务的终端节点。未定义 EC2 终端节点时,枚举所附加 EBS 卷的调用将失败,这会导致 Systems Manager 命令失败。

    • com.amazonaws.region.ssmmessages:仅当您使用 Session Manager 通过安全数据通道连接到实例时,才需要此终端节点。有关更多信息,请参阅AWS Systems Manager Session Manager

    区域 表示 AWS Systems Manager 支持的 AWS 区域的区域标识符,如US East (Ohio) Region的 us-east-2。有关受支持区域 值的列表,请参阅 AWS General ReferenceAWS Systems Manager 区域和终端节点表主题的区域列。

  2. 按照创建网关终端节点中的步骤创建 Amazon S3 的终端节点。Systems Manager 使用此终端节点上传 Amazon S3 输出日志并更新 SSM 代理。

继续浏览步骤 7:(可选)创建 Systems Manager 服务角色