Langkah 6: (Opsional) Gunakan AWS PrivateLink untuk mengatur titik akhir VPC untuk Session Manager - AWS Systems Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Langkah 6: (Opsional) Gunakan AWS PrivateLink untuk mengatur titik akhir VPC untuk Session Manager

Anda dapat lebih meningkatkan postur keamanan node terkelola Anda dengan mengonfigurasi AWS Systems Manager untuk menggunakan titik akhir antarmuka virtual private cloud (VPC). Endpoint antarmuka didukung oleh AWS PrivateLink, teknologi yang memungkinkan Anda mengakses Amazon Elastic Compute Cloud (Amazon EC2) dan API Systems Manager secara pribadi dengan menggunakan alamat IP pribadi.

AWS PrivateLink membatasi semua lalu lintas jaringan antara node terkelola, Systems Manager, dan Amazon EC2 ke jaringan Amazon. (Node terkelola tidak memiliki akses ke internet.) Selain itu, Anda tidak memerlukan gateway internet, perangkat NAT, atau gateway privat virtual.

Untuk informasi tentang membuat titik akhir VPC, lihat Meningkatkan keamanan instans EC2 dengan menggunakan titik akhir VPC untuk Systems Manager.

Alternatif untuk menggunakan titik akhir VPC adalah mengizinkan akses internet keluar pada node terkelola Anda. Dalam hal ini, node yang dikelola juga harus mengizinkan lalu lintas keluar HTTPS (port 443) ke titik akhir berikut:

  • ec2messages.region.amazonaws.com

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

Systems Manager menggunakan yang terakhir dari titik akhir inissmmessages.region.amazonaws.com,, untuk melakukan panggilan dari SSM Agent ke Session Manager layanan di cloud.

Untuk menggunakan fitur opsional seperti enkripsi AWS Key Management Service (AWS KMS), streaming log ke Amazon CloudWatch Logs (CloudWatch Log), dan mengirim log ke Amazon Simple Storage Service (Amazon S3), Anda harus mengizinkan lalu lintas keluar HTTPS (port 443) ke titik akhir berikut:

  • kms.region.amazonaws.com

  • logs.region.amazonaws.com

  • s3.region.amazonaws.com

Untuk informasi lebih lanjut tentang titik akhir yang diperlukan untuk Systems Manager, lihat Referensi: ec2messages, ssmmessages, dan operasi lainnya API.