Améliorez la sécurité des EC2 instances en utilisant des VPC points de terminaison pour Systems Manager - AWS Systems Manager
VPCrestrictions et limitations des terminauxCréation de VPC points de terminaison pour Systems ManagerCréation d'une politique de point de VPC terminaison d'interface

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Améliorez la sécurité des EC2 instances en utilisant des VPC points de terminaison pour Systems Manager

Vous pouvez améliorer le niveau de sécurité de vos nœuds gérés (y compris ceux qui ne sont pas des EC2 machines dans un environnement hybride et multicloud) en les configurant de manière AWS Systems Manager à utiliser un point de VPC terminaison d'interface dans Amazon Virtual Private Cloud (AmazonVPC). En utilisant un point de VPC terminaison d'interface (point de terminaison d'interface), vous pouvez vous connecter à des services alimentés par AWS PrivateLink. AWS PrivateLink est une technologie qui vous permet d'accéder en privé à Amazon Elastic Compute Cloud (AmazonEC2) et à Systems Manager en APIs utilisant des adresses IP privées.

AWS PrivateLink restreint tout le trafic réseau entre vos instances gérées, Systems Manager et Amazon EC2 vers le réseau Amazon. Cela signifie que vos instances gérées n'ont pas accès à Internet. Si vous l'utilisez AWS PrivateLink, vous n'avez pas besoin d'une passerelle Internet, d'un NAT appareil ou d'une passerelle privée virtuelle.

Vous n'êtes pas obligé de le configurer AWS PrivateLink, mais c'est recommandé. Pour plus d'informations sur AWS PrivateLink les points de VPC terminaison, consultez la section AWS PrivateLink et les points de VPC terminaison.

Note

L'alternative à l'utilisation d'un VPC point de terminaison consiste à autoriser l'accès Internet sortant sur vos instances gérées. Dans ce cas, les instances gérées doivent également autoriser le trafic sortant HTTPS (port 443) vers les points de terminaison suivants :

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

  • ec2messages.region.amazonaws.com

L'SSM Agent initie toutes les connexions au service Systems Manager dans le cloud. Vous n'avez donc pas besoin de configurer votre pare-feu pour autoriser le trafic entrant vers vos instances pour Systems Manager.

Pour de plus amples informations sur ces points de terminaison, consultez Référence : ec2messages, ssmmessages et autres opérations API.

À propos d'Amazon VPC

Vous pouvez utiliser Amazon Virtual Private Cloud (AmazonVPC) pour définir un réseau virtuel dans votre propre zone logiquement isolée au sein de ce que l' AWS Cloud on appelle un cloud privé virtuel (VPC). Vous pouvez lancer vos AWS ressources, telles que des instances, dans votreVPC. Votre réseau VPC ressemble beaucoup à un réseau traditionnel que vous pourriez exploiter dans votre propre centre de données, avec les avantages de l'utilisation de l'infrastructure évolutive de AWS. Vous pouvez configurer votre VPC ; vous pouvez sélectionner sa plage d'adresses IP, créer des sous-réseaux et configurer des tables de routage, des passerelles réseau et des paramètres de sécurité. Vous pouvez connecter des instances de votre VPC ordinateur à Internet. Vous pouvez vous connecter VPC à votre propre centre de données d'entreprise, ce qui en fait AWS Cloud une extension de votre centre de données. Pour protéger les ressources dans chaque sous-réseau, vous pouvez utiliser plusieurs couches de sécurité, y compris des groupes de sécurité et des listes de contrôle d'accès réseau. Pour plus d'informations, consultez le guide de VPC l'utilisateur Amazon.

VPCrestrictions et limitations des terminaux

Avant de configurer les VPC points de terminaison pour Systems Manager, tenez compte des restrictions et limitations suivantes.

Demandes croisées entre Régions

VPCles points de terminaison ne prennent pas en charge les demandes interrégionales. Assurez-vous de créer votre point de terminaison au même endroit que votre compartiment. Région AWS Vous pouvez trouver l'emplacement de votre compartiment à l'aide de la console Amazon S3 ou à l'aide de la get-bucket-locationcommande. Utilisez un point de terminaison Amazon S3 spécifique à une région pour accéder à votre compartiment, par exemple, amzn-s3-demo-bucket.s3-us-west-2.amazonaws.com. Pour plus d'informations sur les points de terminaison spécifiques à une région pour Amazon S3, veuillez consulter la rubrique Points de terminaison Amazon S3 dans le Référence générale d'Amazon Web Services. Si vous utilisez le AWS CLI pour envoyer des demandes à Amazon S3, définissez votre région par défaut sur la même région que votre compartiment, ou utilisez le --region paramètre dans vos demandes.

VPCconnexions de peering

VPCles points de terminaison de l'interface sont accessibles via des connexions d'appairage intra-régionales et interrégionales. VPC Pour plus d'informations sur les demandes de VPC connexion d'appairage pour les points de terminaison d'VPCinterface, consultez la section VPCConnexions d'appairage (quotas) dans le guide de l'utilisateur d'Amazon Virtual Private Cloud.

VPCles connexions aux points de terminaison de passerelle ne peuvent pas être étendues à partir d'unVPC. Les ressources situées de l'autre côté d'une connexion d'VPCappairage ne VPC peuvent pas utiliser le point de terminaison de passerelle pour communiquer avec les ressources du service de point de terminaison de passerelle. Pour plus d'informations sur les demandes de connexion VPC peering pour les points de terminaison de VPC passerelle, consultez la section VPCendpoints (quotas) dans le guide de l'utilisateur d'Amazon Virtual Private Cloud

Connexions entrantes

Le groupe de sécurité attaché au VPC point de terminaison doit autoriser les connexions entrantes sur le port 443 depuis le sous-réseau privé de l'instance gérée. Si les connexions entrantes ne sont pas autorisées, l'instance gérée ne peut pas se connecter aux EC2 points de terminaison SSM et.

DNSrésolution

Si vous utilisez un DNS serveur personnalisé, vous devez ajouter un redirecteur conditionnel pour toutes les requêtes adressées au amazonaws.com domaine vers le DNS serveur Amazon correspondant à votreVPC.

Compartiments S3

Votre politique de VPC point de terminaison doit autoriser l'accès au moins aux compartiments Amazon S3 répertoriés dansCommunications de l'SSM Agent avec des compartiments S3 gérés par AWS.

Note

Si vous utilisez un pare-feu local et que vous prévoyez d'utiliser Patch Manager, ce pare-feu doit également autoriser l'accès au point de terminaison du référentiel de correctifs approprié.

Amazon CloudWatch Logs

Si vous n'autorisez pas vos instances à accéder à Internet, créez un VPC point de terminaison pour que CloudWatch Logs utilise les fonctionnalités qui envoient des CloudWatch journaux à Logs. Pour plus d'informations sur la création d'un point de terminaison pour les CloudWatch journaux, consultez la section Création d'un VPC point de terminaison pour les CloudWatch journaux dans le guide de l'utilisateur Amazon CloudWatch Logs.

DNSdans un environnement hybride et multicloud

Pour plus d'informations sur la configuration DNS pour fonctionner avec des AWS PrivateLink points de terminaison dans des environnements hybrides et multicloud, consultez la section Private DNS pour les points de terminaison d'interface dans le guide de l'utilisateur Amazon VPC. Si vous souhaitez utiliser le vôtreDNS, vous pouvez utiliser Route 53 Resolver. Pour plus d'informations, consultez la section Résolution DNS des requêtes entre VPCs et votre réseau dans le manuel Amazon Route 53 Developer Guide.

Création de VPC points de terminaison pour Systems Manager

Utilisez les informations suivantes pour créer des points de terminaison VPC d'interface et de passerelle pour AWS Systems Manager. Cette rubrique renvoie aux procédures du guide de VPC l'utilisateur Amazon.

Pour créer des VPC points de terminaison pour Systems Manager

Dans la première étape de cette procédure, vous créez trois points de terminaison d’interface obligatoires et un optionnel pour Systems Manager. Les trois premiers points de terminaison sont nécessaires pour que Systems Manager fonctionne dans unVPC. Le quatrième, com.amazonaws.region.ssmmessages, est uniquement obligatoire si vous utilisez des capacités Session Manager.

Dans la deuxième étape, vous créez le point de terminaison de passerelle requis pour que Systems Manager accède à Amazon S3.

Note

region représente l'identifiant d'une région Région AWS prise en charge par AWS Systems Manager, par exemple us-east-2 pour la région USA Est (Ohio). Pour une liste des produits pris en charge region valeurs, voir la colonne Region dans les points de terminaison du service Systems Manager dans le Référence générale d'Amazon Web Services.

  1. Suivez les étapes dans Création d'un point de terminaison d'interface pour créer les points de terminaison d'interface suivants :

    • com.amazonaws.region.ssm : point de terminaison pour le service Systems Manager.

    • com.amazonaws.region.ec2messages : Systems Manager utilise ce point de terminaison pour effectuer des appels de SSM Agent au service Systems Manager. À partir de la version 3.3.40.0 de, Systems SSM Agent Manager a commencé à utiliser le ssmmessages:* point de terminaison (Amazon Message Gateway Service) chaque fois qu'il était disponible au lieu du ec2messages:* point de terminaison (). Amazon Message Delivery Service

    • com.amazonaws.region.ec2— Si vous utilisez Systems Manager pour créer des instantanés VSS compatibles, vous devez vous assurer que vous disposez d'un point de terminaison pour le EC2 service. Si le EC2 point de terminaison n'est pas défini, un appel pour énumérer les EBS volumes Amazon attachés échoue, ce qui entraîne l'échec de la commande Systems Manager.

    • com.amazonaws.region.ssmmessages— Ce point de terminaison est nécessaire SSM Agent pour communiquer avec le service Systems ManagerRun Command, pour et si vous vous connectez à vos instances via un canal de données sécurisé en utilisantSession Manager. Pour plus d'informations, consultez AWS Systems Manager Session Manager et Référence : ec2messages, ssmmessages et autres opérations API.

    • com.amazonaws.region.kms : ce point de terminaison est facultatif. Cependant, il peut être créé si vous souhaitez utiliser le chiffrement AWS Key Management Service (AWS KMS) pour les Parameter Store paramètres Session Manager ou.

    • com.amazonaws.region.logs : ce point de terminaison est facultatif. Cependant, il peut être créé si vous souhaitez utiliser Amazon CloudWatch Logs (CloudWatch Logs) pour Session ManagerRun Command, ou SSM Agent les journaux.

  2. Suivez les étapes dans Création d'un point de terminaison de passerelle pour créer le point de terminaison de passerelle suivant pour Amazon S3.

    • com.amazonaws.region.s3 : Systems Manager utilise ce point de terminaison pour mettre à jour SSM Agent et pour effectuer des opérations d'application de correctifs. Systems Manager utilise également ce point de terminaison pour des tâches telles que charger les journaux de sortie que vous choisissez de stocker dans des compartiments S3, récupérer des scripts ou d'autres fichiers que vous stockez dans des compartiments, etc. Si le groupe de sécurité associé à votre instance restreint le trafic sortant, vous devez ajouter une règle pour autoriser le trafic vers la liste de préfixes pour Amazon S3. Pour plus d'informations, consultez Modifier votre groupe de sécurité dans le Guide AWS PrivateLink .

    Pour plus d'informations sur les compartiments S3 AWS gérés auxquels SSM Agent il est nécessaire d'accéder, consultezCommunications de l'SSM Agent avec des compartiments S3 gérés par AWS. Si vous utilisez un point de terminaison de cloud privé virtuel (VPC) dans le cadre de vos opérations Systems Manager, vous devez fournir une autorisation explicite dans un profil d'EC2instance pour Systems Manager, ou dans un rôle de service pour les nœuds non EC2 gérés dans un environnement hybride et multicloud.

Création d'une politique de point de VPC terminaison d'interface

Vous pouvez créer des politiques pour les points de terminaison d'VPCinterface AWS Systems Manager dans lesquelles vous pouvez spécifier :

  • Le principal qui peut exécuter des actions.

  • Les actions qui peuvent être effectuées.

  • Les ressources qui peuvent avoir des actions exécutées sur elles.

Pour plus d'informations, consultez la section Contrôler l'accès aux services à l'aide de VPC points de terminaison dans le guide de VPC l'utilisateur Amazon.