Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verbessern Sie die Sicherheit von EC2 Instanzen mithilfe von VPC-Endpunkten für Systems Manager
Sie können die Sicherheitslage Ihrer verwalteten Knoten (einschließlich EC2 Nicht-Maschinen in einer Hybrid- und Multi-Cloud-Umgebung) verbessern, indem Sie die Verwendung eines VPC-Schnittstellen-Endpunkts in Amazon Virtual Private Cloud (Amazon VPC) konfigurieren AWS Systems Manager . Mithilfe eines Schnittstellen-VPC-Endpunkts (Schnittstellenendpunkt) können Sie eine Verbindung zu Diensten herstellen, die von bereitgestellt werden AWS PrivateLink. AWS PrivateLink ist eine Technologie, mit der Sie privat auf Amazon Elastic Compute Cloud (Amazon EC2) und Systems Manager zugreifen können, APIs indem Sie private IP-Adressen verwenden.
AWS PrivateLink schränkt den gesamten Netzwerkverkehr zwischen Ihren verwalteten Instances, Systems Manager und Amazon EC2 auf das Amazon-Netzwerk ein. Dies bedeutet, dass Ihre verwalteten Instances keinen Zugriff auf das Internet haben. Wenn Sie verwenden AWS PrivateLink, benötigen Sie kein Internet-Gateway, kein NAT-Gerät oder ein virtuelles privates Gateway.
Eine Konfiguration ist nicht erforderlich AWS PrivateLink, wird aber empfohlen. Weitere Informationen zu AWS PrivateLink VPC-Endpunkten finden Sie unter AWS PrivateLink und VPC-Endpoints.
Anmerkung
Die Alternative zur Verwendung eines VPC-Endpunkts ist das Aktivieren von ausgehendem Internetzugriff auf Ihren verwalteten Instances. In diesem Fall müssen die verwalteten Instances auch ausgehenden HTTPS-Datenverkehr (Port 443) zu den folgenden Endpunkten zulassen:
-
ssm.region.amazonaws.com -
ssmmessages.region.amazonaws.com -
ec2messages.region.amazonaws.com
SSM Agent initiiert alle Verbindungen zum Systems Manager Manager-Dienst in der Cloud. Aus diesem Grund müssen Sie Ihre Firewall nicht so konfigurieren, dass eingehender Datenverkehr zu Ihren Instances für Systems Manager zugelassen wird.
Weitere Informationen über Anrufe an diese Endpunkte finden Sie unter Referenz: ec2messages, ssmmessages und andere API-Operationen.
Über Amazon VPC
Sie können Amazon Virtual Private Cloud (Amazon VPC) verwenden, um ein virtuelles Netzwerk in Ihrem eigenen logisch isolierten Bereich innerhalb der AWS Cloud sogenannten Virtual Private Cloud (VPC) zu definieren. Sie können Ihre AWS -Ressourcen, z. B. Instances, in Ihrer VPC launchen. Eine VPC ist einem herkömmlichen Netzwerk in einem eigenen Rechenzentrum sehr ähnlich, bietet jedoch die Vorteile durch die Nutzung der skalierbaren Infrastruktur von AWS. Sie können Ihre VPC konfigurieren. Hierzu können Sie den IP-Adressbereich auswählen, Subnetze erstellen sowie Routing-Tabellen, Netzwerk-Gateways und Sicherheitseinstellungen konfigurieren. Sie können jetzt Instances in der VPC mit dem Internet verbinden. Sie können Ihre VPC mit Ihrem eigenen Unternehmensrechenzentrum verbinden und sie so zu AWS Cloud einer Erweiterung Ihres Rechenzentrums machen. Um die Ressourcen in den einzelnen Subnetzen zu schützen, können Sie mehrere Sicherheitsebenen verwenden, darunter Sicherheitsgruppen und Netzwerk-Zugriffskontrolllisten. Weitere Informationen finden Sie im Amazon-VPC-Benutzerhandbuch.
Themen
Beschränkungen und Einschränkungen bei VPC-Endpunkten
Seien Sie sich der folgenden Einschränkungen bewusst, bevor Sie VPC-Endpunkte für Systems Manager konfigurieren.
VPC-Peering-Verbindungen
Der Zugriff auf VPC-Schnittstellenendpunkte erfolgt sowohl über intraregionale als auch interregionale VPC-Peering-Verbindungen. Weitere Informationen zu VPC-Peering-Verbindungsanforderungen für VPC-Schnittstellenendpunkte finden Sie unter VPC-Peering-Verbindungen (Kontingente) im Benutzerhandbuch zu Amazon Virtual Private Cloud.
VPC-Gateway-Endpunktverbindungen können nicht auf einen Bereich außerhalb einer VPC erweitert werden. Ressourcen am anderen Ende einer VPC-Peering-Verbindung in Ihrer VPC können nicht über den Gateway-Endpunkt mit Ressourcen im Gateway-Endpunktservice kommunizieren. Weitere Informationen zu VPC-Peering-Verbindungsanforderungen für VPC-Gateway-Endpunkte finden Sie unter VPC-Endpunkte (Kontingente) im Benutzerhandbuch zu Amazon Virtual Private Cloud
Eingehende Verbindungen
Die Sicherheitsgruppe für den VPC-Endpunkt müssen eingehende Verbindungen auf Port 443 aus dem privaten Subnetz der verwalteten Instance zulassen. Wenn eingehende Verbindungen nicht zulässig sind, kann die verwaltete Instanz keine Verbindung zum SSM und EC2 zu den Endpunkten herstellen.
DNS-Auflösung
Wenn Sie einen benutzerdefinierten DNS-Server verwenden, müssen Sie dem Amazon-DNS-Server für Ihre VPC einen bedingten Weiterleiter für alle Abfragen an die amazonaws.com-Domain hinzufügen.
S3-Buckets
Ihre VPC-Endpunktrichtlinie muss mindestens Zugriff auf die folgenden Amazon-S3-Buckets in SSM Agent Kommunikation mit AWS verwalteten S3-Buckets gewähren.
Anmerkung
Wenn Sie eine lokale Firewall verwenden und beabsichtigen, diese zu verwenden Patch Manager, diese Firewall muss auch den Zugriff auf den entsprechenden Patch-Baseline-Endpunkt ermöglichen.
CloudWatch Amazon-Protokolle
Wenn Sie Ihren Instances nicht erlauben, auf das Internet zuzugreifen, erstellen Sie einen VPC-Endpunkt für CloudWatch Logs, um Funktionen zu verwenden, die Logs an CloudWatch Logs senden. Weitere Informationen zum Erstellen eines Endpunkts für CloudWatch Logs finden Sie unter Creating a VPC Endpoint for CloudWatch Logs im Amazon CloudWatch Logs-Benutzerhandbuch.
DNS in einer Hybrid- und Multi-Cloud-Umgebung
Informationen zur Konfiguration von DNS für die Verwendung mit AWS PrivateLink Endpunkten in Hybrid- und Multicloud-Umgebungen finden Sie unter Private DNS für Schnittstellenendpunkte im Amazon VPC-Benutzerhandbuch. Wenn Sie Ihre eigene DNS verwenden möchten, können Sie Route 53-Resolver nutzen. Weitere Informationen finden Sie unter Auflösen von DNS-Abfragen zwischen VPCs und Ihrem Netzwerk im Amazon Route 53-Entwicklerhandbuch.
Erstellen von VPC-Endpunkten für Systems Manager
Verwenden Sie die folgenden Informationen, um VPC-Schnittstellenendpunkte für zu erstellen. AWS Systems Manager Dieses Thema verweist auf Verfahren im Amazon VPC User Guide.
Anmerkung
regionstellt den Bezeichner für eine Region dar AWS Systems Manager, die von AWS-Region
unterstützt wird, z. B. us-east-2 für die Region USA Ost (Ohio). Eine Liste der unterstützten region Werte finden Sie in der Spalte Region der Systems Manager Manager-Dienstendpunkte in der Allgemeine Amazon Web Services-Referenz.
Befolgen Sie die Schritte unter Erstellen eines Schnittstellen-Endpunkts zum Erstellen der folgenden Schnittstellen-Endpunkte:
-
com.amazonaws.– Der Endpunkt für den Systems-Manager-Service.region.ssm -
com.amazonaws.— Systems Manager verwendet diesen Endpunkt, um Anrufe von SSM Agent zum Systems Manager Manager-Dienst. Beginnend mit Version 3.3.40.0 von SSM Agent, Systems Manager begann, denregion.ec2messagesssmmessages:*Endpunkt zu verwenden (Amazon Message Gateway Service), wann immer verfügbar, anstelle desec2messages:*Endpunkts (Amazon Message Delivery Service). -
com.amazonaws.— Wenn Sie Systems Manager verwenden, um VSS-fähige Snapshots zu erstellen, müssen Sie sicherstellen, dass Sie über einen Endpunkt für den Service verfügen. EC2 Wenn der EC2 Endpunkt nicht definiert ist, schlägt ein Aufruf zur Aufzählung angehängter Amazon EBS-Volumes fehl, was dazu führt, dass der Systems Manager Manager-Befehl fehlschlägt.region.ec2 -
com.amazonaws.— Systems Manager verwendet diesen Endpunkt zum Aktualisieren SSM Agent. Systems Manager verwendet diesen Endpunkt auch, wenn Sie optional Skripts oder andere in Buckets gespeicherte Dateien abrufen oder Ausgabeprotokolle in einen Bucket hochladen möchten. Wenn die mit Ihren Instances verknüpfte Sicherheitsgruppe den ausgehenden Datenverkehr einschränkt, müssen Sie eine Regel hinzufügen, um Datenverkehr zur Präfixliste für Amazon S3 zuzulassen. Weitere Informationen finden Sie unter Modify your security group im AWS PrivateLink -Guide.region.s3 -
com.amazonaws.— Dieser Endpunkt ist erforderlich für SSM Agent um mit dem Systems Manager Manager-Dienst zu kommunizieren, für Run Command, und wenn Sie über einen sicheren Datenkanal eine Verbindung zu Ihren Instances herstellen Session Manager. Weitere Informationen finden Sie unter AWS Systems Manager Session Manager undReferenz: ec2messages, ssmmessages und andere API-Operationen.region.ssmmessages -
(Optional)
com.amazonaws.— Erstellen Sie diesen Endpunkt, wenn Sie die Verschlüsselung AWS Key Management Service (AWS KMS) verwenden möchten für Session Manager or Parameter Store Parameter.region.kms -
(Optional)
com.amazonaws.— Erstellen Sie diesen Endpunkt, wenn Sie Amazon CloudWatch Logs (CloudWatch Logs) verwenden möchten für Session Manager, Run Command, oder SSM Agent Logs.region.logs
Für Informationen zu den AWS verwalteten S3-Buckets, die SSM Agent muss darauf zugreifen können, sieheSSM Agent Kommunikation mit AWS verwalteten S3-Buckets. Wenn Sie in Ihren Systems Manager-Vorgängen einen VPC-Endpunkt (Virtual Private Cloud) verwenden, müssen Sie in einem EC2 Instanzprofil für Systems Manager oder in einer Servicerolle für nicht EC2 verwaltete Knoten in einer Hybrid- und Multi-Cloud-Umgebung ausdrückliche Berechtigungen erteilen.
Erstellen einer Schnittstellen-VPC-Endpunkt-Richtlinie
Sie können Richtlinien für VPC-Schnittstellen-Endpoints erstellen, für AWS Systems Manager die Sie Folgendes angeben können:
-
Der Prinzipal, der die Aktionen ausführen kann
-
Aktionen, die ausgeführt werden können
-
Ressourcen, für die Aktionen ausgeführt werden können
Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Benutzerhandbuch zu Amazon VPC.
