Meningkatkan keamanan EC2 instans dengan menggunakan titik akhir VPC untuk Systems Manager - AWS Systems Manager
Pembatasan dan batasan VPC endpointMembuat VPC endpoint untuk Systems ManagerPenciptaan sebuah kebijakan VPC endpoint antarmuka

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Meningkatkan keamanan EC2 instans dengan menggunakan titik akhir VPC untuk Systems Manager

Anda dapat meningkatkan postur keamanan node terkelola Anda (termasuk EC2 non-mesin di lingkungan hybrid dan multicloud) dengan mengonfigurasi AWS Systems Manager untuk menggunakan titik akhir VPC antarmuka di Amazon Virtual Private Cloud (Amazon VPC). Dengan menggunakan antarmuka VPC endpoint (interface endpoint), Anda dapat terhubung ke layanan yang didukung oleh. AWS PrivateLink AWS PrivateLink adalah teknologi yang memungkinkan Anda mengakses Amazon Elastic Compute Cloud EC2 (Amazon) dan Systems Manager secara pribadi APIs dengan menggunakan alamat IP pribadi.

AWS PrivateLink membatasi semua lalu lintas jaringan antara instans terkelola, Systems Manager, dan Amazon EC2 ke jaringan Amazon. Ini berarti instans terkelola Anda tidak memiliki akses ke Internet. Jika Anda menggunakannya AWS PrivateLink, Anda tidak memerlukan gateway internet, perangkat NAT, atau gateway pribadi virtual.

Anda tidak diharuskan untuk mengkonfigurasi AWS PrivateLink, tetapi disarankan. Untuk informasi selengkapnya tentang AWS PrivateLink dan titik akhir VPC, lihat dan titik akhir AWS PrivateLink VPC.

catatan

Alternatif untuk menggunakan VPC endpoint adalah untuk memungkinkan akses internet luar pada instans terkelola Anda. Dalam kasus ini, instans terkelola juga harus mengizinkan lalu lintas keluar HTTPS (port 443) ke titik akhir berikut:

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

  • ec2messages.region.amazonaws.com

SSM Agent memulai semua koneksi ke layanan Systems Manager di cloud. Untuk alasan ini, Anda tidak perlu mengonfigurasi firewall Anda untuk mengizinkan lalu lintas masuk ke instans Anda untuk Systems Manager.

Untuk informasi lebih lanjut tentang panggilan ke titik akhir ini, lihat Referensi: ec2messages, ssmmessages, dan operasi API lainnya.

Tentang Amazon VPC

Anda dapat menggunakan Amazon Virtual Private Cloud (Amazon VPC) untuk menentukan jaringan virtual di area Anda sendiri yang terisolasi secara logis di dalam AWS Cloud, yang dikenal sebagai virtual private cloud (VPC). Anda dapat meluncurkan sumber daya AWS , seperti instans, ke dalam VPC Anda. VPC Anda sangat menyerupai jaringan tradisional yang mungkin Anda operasikan di pusat data Anda sendiri, dengan memanfaatkan infrastruktur terukur dari AWS. Anda dapat mengonfigurasi VPC Anda; Anda dapat memilih baris alamat IP, membuat subnet, dan mengonfigurasi tabel rute, gateway jaringan, dan pengaturan keamanan. Anda dapat menghubungkan instans dalam VPC Anda ke internet. Anda dapat menghubungkan VPC Anda ke pusat data perusahaan Anda sendiri, membuat AWS Cloud perpanjangan pusat data Anda. Untuk melindungi sumber daya di setiap subnet, Anda dapat menggunakan beberapa lapisan keamanan, termasuk grup keamanan dan daftar kontrol akses jaringan. Untuk informasi selengkapnya, silakan lihat ACL Jaringan di Panduan Pengguna Amazon VPC.

Pembatasan dan batasan VPC endpoint

Sebelum Anda mengkonfigurasi VPC endpoints untuk Systems Manager, perhatikan pembatasan dan batasan berikut.

Koneksi peering VPC

Titik akhir antarmuka VPC dapat diakses melalui kedua antar-wilayah dan antar-wilayah Koneksi peering VPC. Untuk informasi selengkapnya tentang permintaan koneksi peering VPC untuk titik akhir antarmuka VPC, lihat Koneksi peering VPC (Kuota) di Panduan Pengguna Amazon Virtual Private Cloud.

Koneksi titik akhir gateway VPC tidak dapat diperpanjang dari VPC. Sumber daya di sisi lain dari Koneksi peering VPC di VPC Anda tidak dapat menggunakan gateway endpoint untuk berkomunikasi dengan sumber daya dalam layanan gateway endpoint. Untuk informasi selengkapnya tentang permintaan koneksi peering VPC untuk titik akhir gateway VPC, lihat Titik akhir VPC (Kuota) di Panduan Pengguna Amazon Virtual Private Cloud

Koneksi masuk

Grup keamanan yang terkait dengan VPC endpoint harus mengizinkan koneksi masuk pada port 443 dari subnet privat pada instans terkelola. Jika koneksi masuk tidak diizinkan, maka instance terkelola tidak dapat terhubung ke SSM dan EC2 titik akhir.

Resolusi DNS

Jika Anda menggunakan server DNS khusus, Anda harus menambahkan forwarder bersyarat untuk kueri apa pun ke domain ke server DNS Amazon amazonaws.com untuk VPC Anda.

Bucket S3

Kebijakan titik akhir VPC Anda harus mengizinkan akses ke setidaknya bucket Amazon S3 yang tercantum di dalamnya. SSM Agent komunikasi dengan bucket S3 AWS terkelola

catatan

Jika Anda menggunakan firewall lokal dan berencana untuk menggunakan Patch Manager, firewall itu juga harus memungkinkan akses ke titik akhir baseline patch yang sesuai.

CloudWatch Log Amazon

Jika Anda tidak mengizinkan instans Anda mengakses internet, buat titik akhir VPC CloudWatch untuk Log untuk menggunakan fitur yang mengirim log ke Log. CloudWatch Untuk informasi selengkapnya tentang membuat titik akhir untuk CloudWatch Log, lihat Membuat titik akhir VPC CloudWatch untuk Log di Panduan Pengguna Log CloudWatch Amazon.

DNS di lingkungan hybrid dan multicloud

Untuk informasi tentang mengonfigurasi DNS agar berfungsi dengan AWS PrivateLink titik akhir di lingkungan hybrid dan multicloud, lihat DNS pribadi untuk titik akhir antarmuka di Panduan Pengguna Amazon VPC. Jika Anda ingin menggunakan DNS Anda sendiri, Anda dapat menggunakan Route 53 Resolver. Untuk informasi selengkapnya, lihat Menyelesaikan kueri DNS antara VPCs dan jaringan Anda di Panduan Pengembang Amazon Route 53.

Membuat VPC endpoint untuk Systems Manager

Gunakan informasi berikut untuk membuat titik akhir antarmuka VPC untuk. AWS Systems Manager Topik link ini untuk prosedur di Panduan Pengguna Amazon VPC.

catatan

regionmewakili pengenal untuk yang Wilayah AWS didukung oleh AWS Systems Manager, seperti us-east-2 untuk Wilayah AS Timur (Ohio). Untuk daftar region nilai yang didukung, lihat kolom Region di titik akhir layanan Systems Manager di Referensi Umum Amazon Web Services.

Ikuti langkah-langkah di Buat titik akhir antarmuka untuk membuat titik akhir antarmuka berikut:

  • com.amazonaws.region.ssm— Titik akhir untuk layanan Systems Manager.

  • com.amazonaws.region.ec2messages— Systems Manager menggunakan endpoint ini untuk melakukan panggilan dari SSM Agent ke layanan Systems Manager. Dimulai dengan versi 3.3.40.0 dari SSM Agent, Systems Manager mulai menggunakan ssmmessages:* endpoint (Amazon Message Gateway Service) kapan pun tersedia alih-alih ec2messages:* titik akhir (Amazon Message Delivery Service).

  • com.amazonaws.region.ec2— Jika Anda menggunakan Systems Manager untuk membuat snapshot berkemampuan VSS, Anda perlu memastikan bahwa Anda memiliki titik akhir ke layanan. EC2 Tanpa EC2 titik akhir yang ditentukan, panggilan untuk menghitung volume Amazon EBS terlampir gagal, yang menyebabkan perintah Systems Manager gagal.

  • com.amazonaws.region.s3— Systems Manager menggunakan endpoint ini untuk memperbarui SSM Agent. Systems Manager juga menggunakan endpoint ini jika, secara opsional, Anda memilih untuk mengambil skrip atau file lain yang disimpan dalam bucket atau mengunggah log keluaran ke bucket. Jika grup keamanan yang terkait dengan instans membatasi lalu lintas keluar, Anda harus menambahkan aturan untuk mengizinkan lalu lintas ke daftar awalan untuk Amazon S3. Untuk informasi selengkapnya, lihat Memodifikasi grup keamanan Anda di AWS PrivateLink Panduan.

  • com.amazonaws.region.ssmmessagesEndpoint ini diperlukan untuk SSM Agent untuk berkomunikasi dengan layanan Systems Manager, untuk Run Command, dan jika Anda terhubung ke instans Anda melalui saluran data aman menggunakan Session Manager. Untuk informasi lebih lanjut, lihat AWS Systems Manager Session Manager danReferensi: ec2messages, ssmmessages, dan operasi API lainnya.

  • (Opsional) com.amazonaws.region.kms- Buat titik akhir ini jika Anda ingin menggunakan enkripsi AWS Key Management Service (AWS KMS) untuk Session Manager atau Parameter Store parameter.

  • (Opsional) com.amazonaws.region.logs- Buat titik akhir ini jika Anda ingin menggunakan Amazon CloudWatch Logs (CloudWatch Log) untuk Session Manager, Run Command, atau SSM Agent log.

Untuk informasi tentang bucket S3 AWS terkelola yang SSM Agent harus dapat mengakses, lihatSSM Agent komunikasi dengan bucket S3 AWS terkelola. Jika Anda menggunakan titik akhir virtual private cloud (VPC) dalam operasi Systems Manager, Anda harus memberikan izin eksplisit dalam profil EC2 instans untuk Systems Manager, atau dalam peran layanan untuk node yang tidak EC2 dikelola di lingkungan hybrid dan multicloud.

Penciptaan sebuah kebijakan VPC endpoint antarmuka

Anda dapat membuat kebijakan untuk titik akhir antarmuka VPC yang dapat Anda tentukan: AWS Systems Manager

  • Prinsip-prinsip yang dapat melakukan tindakan.

  • Tindakan yang dapat dilakukan

  • Sumber daya yang dapat memiliki tindakan yang dilakukan pada mereka

Untuk informasi selengkapnya, lihat Mengontrol akses ke layanan dengan titik akhir VPC di Panduan Pengguna Amazon VPC.