Étape 6 (facultative) : Utiliser AWS PrivateLink pour configurer un point de terminaison de VPC pour Session Manager

Vous pouvez renforcer la sécurité de vos nœuds gérés en configurant AWS Systems Manager pour qu'il utilise un point de terminaison Virtual Private Cloud (VPC) d'interface. Les points de terminaison d'interface sont alimentés par AWS PrivateLink, une technologie qui vous permet d'accéder de façon privée aux API Amazon Elastic Compute Cloud (Amazon EC2) et Systems Manager en utilisant des adresses IP privées.

AWS PrivateLink limite l'ensemble du trafic réseau entre vos nœuds gérés, Systems Manager et Amazon EC2 sur le réseau Amazon. (Les nœuds gérés n'ont pas accès à Internet). De même, vous n'avez pas besoin d'une passerelle Internet, d'un périphérique NAT ni d'une passerelle réseau privé virtuel.

Pour plus d’informations sur la création d’un point de terminaison d’un VPC, voir Renforcement de la sécurité des instances EC2 à l’aide des points de terminaison de VPC pour Systems Manager.

L'alternative à l'utilisation d'un point de terminaison de VPC est l'activation de l'accès Internet sortant sur vos nœuds gérés. Dans ce cas, les nœuds gérés doivent également autoriser le trafic sortant HTTPS (port 443) vers les points de terminaison suivants :

Systems Manager utilise le dernier de ces points de terminaison, ssmmessages.region.amazonaws.com, pour appeler le service Session Manager dans le cloud à partir de SSM Agent.

Pour utiliser des fonctionnalités facultatives telles que le chiffrement AWS Key Management Service (AWS KMS), la diffusion des journaux vers Amazon CloudWatch Logs (CloudWatch Logs) et l'envoi des journaux vers Amazon Simple Storage Service (Amazon S3), vous devez autoriser le trafic sortant HTTPS (port 443) vers les points de terminaison suivants :

Pour de plus amples informations sur les points de terminaison requis pour Systems Manager, veuillez consulter Référence : ec2messages, ssmmessages et autres opérations d'API.