Améliorez la sécurité des EC2 instances en utilisant des points de terminaison VPC pour Systems Manager - AWS Systems Manager
Limites et restrictions applicables aux points de terminaison de VPCCréation de points de terminaison de VPC pour Systems ManagerCréation d'une politique de point de terminaison de VPC d'interface

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Améliorez la sécurité des EC2 instances en utilisant des points de terminaison VPC pour Systems Manager

Vous pouvez améliorer le niveau de sécurité de vos nœuds gérés (y compris ceux qui ne sont pas des EC2 machines dans un environnement hybride et multicloud) en configurant l'utilisation AWS Systems Manager d'un point de terminaison VPC d'interface dans Amazon Virtual Private Cloud (Amazon VPC). En utilisant un point de terminaison VPC d'interface (point de terminaison d'interface), vous pouvez vous connecter à des services alimentés par. AWS PrivateLink AWS PrivateLink est une technologie qui vous permet d'accéder en privé à Amazon Elastic Compute Cloud (Amazon EC2) et à Systems Manager en APIs utilisant des adresses IP privées.

AWS PrivateLink restreint tout le trafic réseau entre vos instances gérées, Systems Manager et Amazon EC2 vers le réseau Amazon. Cela signifie que vos instances gérées n'ont pas accès à Internet. Si vous l'utilisez AWS PrivateLink, vous n'avez pas besoin d'une passerelle Internet, d'un périphérique NAT ou d'une passerelle privée virtuelle.

Vous n'êtes pas obligé de le configurer AWS PrivateLink, mais c'est recommandé. Pour plus d'informations sur AWS PrivateLink les points de terminaison VPC, consultez la section et les points de terminaison AWS PrivateLink VPC.

Note

L'alternative à l'utilisation d'un point de terminaison de VPC est l'activation de l'accès Internet sortant sur vos instances gérées. Dans ce cas, les instances gérées doivent également autoriser le trafic sortant HTTPS (port 443) vers les points de terminaison suivants :

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

  • ec2messages.region.amazonaws.com

SSM Agent initie toutes les connexions au service Systems Manager dans le cloud. Vous n'avez donc pas besoin de configurer votre pare-feu pour autoriser le trafic entrant vers vos instances pour Systems Manager.

Pour de plus amples informations sur ces points de terminaison, consultez Référence : ec2messages, ssmmessages et autres opérations d'API.

À propos d'Amazon VPC

Vous pouvez utiliser Amazon Virtual Private Cloud (Amazon VPC) pour définir un réseau virtuel dans votre propre zone logiquement isolée au sein de ce que l' AWS Cloud on appelle un cloud privé virtuel (VPC). Vous pouvez lancer vos ressources AWS , comme des instances, dans votre VPC. Votre VPC ressemble beaucoup à un réseau traditionnel que vous pourriez exécuter dans votre propre centre de données, et présente l'avantage d'utiliser l'infrastructure évolutive d' AWS. Vous pouvez configurer votre VPC en sélectionnant sa plage d'adresses IP, en créant des sous-réseaux et en configurant des tables de routage, des passerelles réseau et des paramètres de sécurité. Vous pouvez connecter les instances de votre VPC à internet. Vous pouvez connecter votre VPC à votre propre centre de données d'entreprise, pour en faire AWS Cloud une extension de votre centre de données. Pour protéger les ressources dans chaque sous-réseau, vous pouvez utiliser plusieurs couches de sécurité, y compris des groupes de sécurité et des listes de contrôle d'accès réseau. Pour de plus amples informations, consultez le Guide de l'utilisateur Amazon VPC.

Limites et restrictions applicables aux points de terminaison de VPC

Avant de configurer les points de terminaison d'un VPC pour Systems Manager, tenez compte des restrictions et limitations suivantes.

Connexions d'appairage de VPC

Les points de terminaison de l'interface VPC sont accessibles via des connexions d'appairage de VPC intra-région et inter-région . Pour plus d'informations sur les demandes de connexion d'appairage de VPC pour les points de terminaison de l'interface VPC, consultez Connexions d'appairage de VPC (Quotas) dans le Guide de l'utilisateur Amazon Virtual Private Cloud.

Les connexions de point de terminaison de passerelle VPC ne peuvent être étendues à l'extérieur d'un VPC. Les ressources de l'autre côté d'une connexion d'appairage de VPC dans votre VPC ne peuvent pas utiliser le point de terminaison de passerelle pour communiquer avec des ressources du service de point de terminaison de passerelle. Pour plus d'informations sur les demandes de connexion d'appairage de VPC pour les points de terminaison de passerelle VPC, consultez Points de terminaison VPC (Quotas) dans le Guide de l'utilisateur Amazon Virtual Private Cloud.

Connexions entrantes

Le groupe de sécurité attaché au point de terminaison d'un VPC doit autoriser les connexions entrantes sur le port 443 à partir du sous-réseau privé de l'instance gérée. Si les connexions entrantes ne sont pas autorisées, l'instance gérée ne peut pas se connecter au SSM et aux points de EC2 terminaison.

Résolution DNS

Si vous utilisez un serveur DNS personnalisé, vous devez ajouter un redirecteur conditionnel pour toutes les requêtes adressées au domaine amazonaws.com au serveur Amazon DNS de votre VPC.

Compartiments S3

Votre politique de point de terminaison de VPC doit, au minimum, autoriser l’accès aux compartiments Amazon S3 répertoriés dans la section SSM Agent communications avec des AWS compartiments S3 gérés.

Note

Si vous utilisez un pare-feu sur site et prévoyez d'utiliser Patch Manager, ce pare-feu doit également autoriser l'accès au point de terminaison de base de correctifs approprié.

Amazon CloudWatch Logs

Si vous n'autorisez pas vos instances à accéder à Internet, créez un point de terminaison VPC pour que les CloudWatch journaux utilisent les fonctionnalités qui envoient des journaux aux CloudWatch journaux. Pour plus d'informations sur la création d'un point de terminaison pour les CloudWatch journaux, consultez la section Création d'un point de terminaison VPC pour les CloudWatch journaux dans le guide de l'utilisateur Amazon CloudWatch Logs.

Serveur DNS dans un environnement hybride et multicloud

Pour plus d'informations sur la configuration du DNS pour qu'il fonctionne avec des AWS PrivateLink points de terminaison dans des environnements hybrides et multicloud, consultez la section DNS privé pour les points de terminaison d'interface dans le guide de l'utilisateur Amazon VPC. Si vous souhaitez utiliser votre propre DNS, vous pouvez utiliser Route 53 Resolver. Pour plus d'informations, consultez la section Résolution des requêtes DNS entre VPCs et votre réseau dans le manuel Amazon Route 53 Developer Guide.

Création de points de terminaison de VPC pour Systems Manager

Utilisez les informations suivantes pour créer des points de terminaison d'interface VPC pour. AWS Systems Manager Cette rubrique renvoie aux procédures du Guide de l’utilisateur Amazon VPC.

Note

regionreprésente l'identifiant d'une région Région AWS prise en charge par AWS Systems Manager, par exemple us-east-2 pour la région USA Est (Ohio). Pour obtenir la liste des region valeurs prises en charge, consultez la colonne Région dans les points de terminaison du service Systems Manager dans le Référence générale d'Amazon Web Services.

Suivez les étapes dans Création d'un point de terminaison d'interface pour créer les points de terminaison d'interface suivants :

  • com.amazonaws.region.ssm : point de terminaison pour le service Systems Manager.

  • com.amazonaws.region.ec2messages— Systems Manager utilise ce point de terminaison pour passer des appels depuis SSM Agent au service Systems Manager. À partir de la version 3.3.40.0 de SSM Agent, Systems Manager a commencé à utiliser le ssmmessages:* point de terminaison (Amazon Message Gateway Service) chaque fois qu'il est disponible au lieu du ec2messages:* point de terminaison (Amazon Message Delivery Service).

  • com.amazonaws.region.ec2— Si vous utilisez Systems Manager pour créer des instantanés compatibles VSS, vous devez vous assurer que vous disposez d'un point de terminaison pour le service. EC2 Si le EC2 point de terminaison n'est pas défini, un appel pour énumérer les volumes Amazon EBS attachés échoue, ce qui entraîne l'échec de la commande Systems Manager.

  • com.amazonaws.region.s3— Systems Manager utilise ce point de terminaison pour effectuer la mise à jour SSM Agent. Systems Manager utilise également ce point de terminaison si, éventuellement, vous choisissez de récupérer des scripts ou d'autres fichiers stockés dans des compartiments ou de télécharger les journaux de sortie dans un compartiment. Si le groupe de sécurité associé à votre instance restreint le trafic sortant, vous devez ajouter une règle pour autoriser le trafic vers la liste de préfixes pour Amazon S3. Pour plus d'informations, consultez Modifier votre groupe de sécurité dans le Guide AWS PrivateLink .

  • com.amazonaws.region.ssmmessages— Ce point de terminaison est requis pour SSM Agent pour communiquer avec le service Systems Manager, pour Run Command, et si vous vous connectez à vos instances via un canal de données sécurisé en utilisant Session Manager. Pour plus d'informations, reportez-vous AWS Systems Manager Session Manager aux sections etRéférence : ec2messages, ssmmessages et autres opérations d'API.

  • (Facultatif) com.amazonaws.region.kms— Créez ce point de terminaison si vous souhaitez utiliser le chiffrement AWS Key Management Service (AWS KMS) pour Session Manager or Parameter Store paramètres.

  • (Facultatif) com.amazonaws.region.logs— Créez ce point de terminaison si vous souhaitez utiliser Amazon CloudWatch Logs (CloudWatch Logs) pour Session Manager, Run Command, ou SSM Agent journaux.

Pour plus d'informations sur les compartiments S3 AWS gérés qui SSM Agent doit pouvoir y accéder, voirSSM Agent communications avec des AWS compartiments S3 gérés. Si vous utilisez un point de terminaison de cloud privé virtuel (VPC) dans le cadre de vos opérations Systems Manager, vous devez fournir une autorisation explicite dans un profil d' EC2 instance pour Systems Manager, ou dans un rôle de service pour les nœuds non EC2 gérés dans un environnement hybride et multicloud.

Création d'une politique de point de terminaison de VPC d'interface

Vous pouvez créer des politiques pour les points de terminaison de l'interface VPC AWS Systems Manager dans lesquelles vous pouvez spécifier :

  • Le principal qui peut exécuter des actions.

  • Les actions qui peuvent être effectuées.

  • Les ressources qui peuvent avoir des actions exécutées sur elles.

Pour plus d'informations, consultez Contrôle de l'accès aux services avec points de terminaison d'un VPC dans le Guide de l'utilisateur Amazon VPC.