Migliora la sicurezza delle EC2 istanze utilizzando gli endpoint VPC per Systems Manager - AWS Systems Manager
Restrizioni e limitazioni degli endpoint VPCCreazione degli endpoint VPC per Systems ManagerCreazione di una policy degli endpoint VPC d'interfaccia

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Migliora la sicurezza delle EC2 istanze utilizzando gli endpoint VPC per Systems Manager

Puoi migliorare il livello di sicurezza dei tuoi nodi gestiti (incluse le EC2 macchine non automatiche in un ambiente ibrido e multicloud) AWS Systems Manager configurando l'uso di un endpoint VPC di interfaccia in Amazon Virtual Private Cloud (Amazon VPC). Utilizzando un endpoint VPC di interfaccia (endpoint di interfaccia), è possibile connettersi ai servizi forniti da. AWS PrivateLink AWS PrivateLink è una tecnologia che consente di accedere in modo privato ad Amazon Elastic Compute Cloud EC2 (Amazon) e Systems Manager APIs utilizzando indirizzi IP privati.

AWS PrivateLink limita tutto il traffico di rete tra le istanze gestite, Systems Manager e Amazon EC2 alla rete Amazon. Ciò vuol dire che le istanze gestite non hanno accesso a Internet. Se lo utilizzi AWS PrivateLink, non hai bisogno di un gateway Internet, di un dispositivo NAT o di un gateway privato virtuale.

La configurazione non è obbligatoria AWS PrivateLink, ma è consigliata. Per ulteriori informazioni sugli AWS PrivateLink endpoint VPC, consulta e gli endpoint AWS PrivateLink VPC.

Nota

L'alternativa all'utilizzo di un endpoint VPC è l'abilitazione dell'accesso a Internet in uscita sulle istanze gestite. In questo caso, le istanze gestite devono consentire anche il traffico in uscita HTTPS (porta 443) verso i seguenti endpoint:

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

  • ec2messages.region.amazonaws.com

SSM Agent avvia tutte le connessioni al servizio Systems Manager nel cloud. Per questo motivo, non è necessario configurare il firewall per consentire il traffico in ingresso verso le istanze di Systems Manager.

Per ulteriori informazioni sulle chiamate a questi endpoint, consulta Referenza: ec2messages, ssmmessages e altre operazioni API.

Informazioni su Amazon VPC

Puoi usare Amazon Virtual Private Cloud (Amazon VPC) per definire una rete virtuale nella tua area logicamente isolata all'interno del Cloud AWS, noto come cloud privato virtuale (VPC). È possibile avviare le risorse AWS , ad esempio le istanze, nel VPC. Il VPC è molto simile a una rete tradizionale gestibile nel data center locale, ma con i vantaggi legati all'utilizzo dell'infrastruttura scalabile di AWS. È·possibile configurare il VPC, selezionare l'intervallo di indirizzi IP, creare sottoreti e configurare tabelle di routing, gateway di rete e impostazioni di sicurezza. È possibile connettere le istanze nel VPC a Internet. Puoi connettere il tuo VPC al tuo data center aziendale, rendendolo Cloud AWS un'estensione del tuo data center. Per proteggere le risorse in ciascuna sottorete, è possibile usare diversi livelli di sicurezza, compresi gruppi di sicurezza e liste di controllo accessi alla rete. Per ulteriori informazioni, consulta la Guida utente Amazon VPC.

Restrizioni e limitazioni degli endpoint VPC

Prima di configurare gli endpoint VPC di Systems Manager, occorre considerare le seguenti limitazioni e restrizioni.

Connessioni in peering di VPC

Gli endpoint di interfaccia del VPC sono accessibili tramite connessioni peering VPC all'interno di una regione e tra regioni. Per ulteriori informazioni sulle richieste di connessione con peering VPC per gli endpoint dell'interfaccia VPC, consulta Connessioni peering VPC (quote) nella Guida per l'utente di Amazon Virtual Private Cloud.

Le connessioni endpoint del gateway VPC non possono essere estese all'esterno di un VPC. Le risorse sul lato opposto di una connessione di peering VPC nel VPC non possono utilizzare l'endpoint del gateway per comunicare con le risorse del servizio endpoint gateway. Per ulteriori informazioni sulle richieste di connessione con peering VPC per gli endpoint del gateway VPC, consulta Connessioni peering VPC (quote) nella Guida per l'utente di Amazon Virtual Private Cloud.

Connessioni in entrata

Il gruppo di sicurezza collegato all'endpoint VPC deve consentire le connessioni in entrata sulla porta 443 dalla sottorete privata dell'istanza gestita. Se le connessioni in entrata non sono consentite, l'istanza gestita non può connettersi all'SSM e agli endpoint. EC2

Risoluzione DNS

Se utilizzi un server DNS personalizzato, devi aggiungere un server d'inoltro condizionale per eventuali query al dominio amazonaws.com al server Amazon DNS per il tuo VPC.

Bucket S3

È necessario che la policy dell'endpoint VPC consenta l'accesso almeno ai bucket Amazon S3 elencati su SSM Agent comunicazioni con AWS bucket S3 gestiti.

Nota

Se utilizzi un firewall locale e prevedi di utilizzarlo Patch Manager, tale firewall deve inoltre consentire l'accesso all'endpoint di base della patch appropriato.

CloudWatch Registri Amazon

Se non consenti alle tue istanze di accedere a Internet, crea un endpoint VPC per i registri CloudWatch per utilizzare le funzionalità che inviano i log ai registri. CloudWatch Per ulteriori informazioni sulla creazione di un endpoint per CloudWatch Logs, consulta Creating a VPC endpoint for Logs CloudWatch nella Amazon Logs User Guide. CloudWatch

DNS in ambiente ibrido e multicloud

Per informazioni sulla configurazione del DNS per funzionare con gli AWS PrivateLink endpoint in ambienti ibridi e multicloud, consulta DNS privato per endpoint di interfaccia nella Amazon VPC User Guide. Se si desidera utilizzare il proprio DNS, è possibile utilizzare il Resolver Route 53. Per ulteriori informazioni, consulta Risolvere le query DNS tra VPCs e la tua rete nella Amazon Route 53 Developer Guide.

Creazione degli endpoint VPC per Systems Manager

Utilizza le seguenti informazioni per creare endpoint di interfaccia VPC per. AWS Systems Manager Questo argomento si collega alle procedure descritte nella Guida utente Amazon VPC.

Nota

regionrappresenta l'identificatore di una regione Regione AWS supportata da AWS Systems Manager, ad esempio us-east-2 per la regione Stati Uniti orientali (Ohio). Per un elenco dei region valori supportati, vedere la colonna Regione negli endpoint del servizio Systems Manager in. Riferimenti generali di Amazon Web Services

Seguire la procedura in Creazione di un endpoint di interfaccia per creare i seguenti endpoint di interfaccia:

  • com.amazonaws.region.ssm: L'endpoint per il servizio Systems Manager.

  • com.amazonaws.region.ec2messages— Systems Manager utilizza questo endpoint per effettuare chiamate da SSM Agent al servizio Systems Manager. A partire dalla versione 3.3.40.0 di SSM Agent, Systems Manager ha iniziato a utilizzare l'ssmmessages:*endpoint (Amazon Message Gateway Service) ogni volta che è disponibile anziché l'ec2messages:*endpoint (Amazon Message Delivery Service).

  • com.amazonaws.region.ec2— Se si utilizza Systems Manager per creare istantanee compatibili con VSS, è necessario assicurarsi di disporre di un endpoint per il servizio. EC2 Senza l' EC2endpoint definito, una chiamata per enumerare i volumi Amazon EBS collegati ha esito negativo, causando il fallimento del comando Systems Manager.

  • com.amazonaws.region.s3— Systems Manager utilizza questo endpoint per l'aggiornamento SSM Agent. Systems Manager utilizza questo endpoint anche se, facoltativamente, si sceglie di recuperare script o altri file archiviati in bucket o caricare i log di output in un bucket. Se il gruppo di sicurezza associato alle istanze in uso limita il traffico in uscita, occorre aggiungere una regola per consentire al traffico di utilizzare l'elenco di prefissi per Amazon S3. Per ulteriori informazioni, consulta Modifica del gruppo di sicurezza nella Guida di AWS PrivateLink .

  • com.amazonaws.region.ssmmessages— Questo endpoint è necessario per SSM Agent per comunicare con il servizio Systems Manager, per Run Command, e se ti connetti alle tue istanze tramite un canale dati sicuro utilizzando Session Manager. Per ulteriori informazioni, vedere AWS Systems Manager Session Manager eReferenza: ec2messages, ssmmessages e altre operazioni API.

  • (Facoltativo) com.amazonaws.region.kms: crea questo endpoint se desideri utilizzare la crittografia AWS Key Management Service (AWS KMS) per Session Manager oppure Parameter Store parametri.

  • (Facoltativo) com.amazonaws.region.logs: crea questo endpoint se desideri utilizzare Amazon CloudWatch Logs (CloudWatch Logs) per Session Manager, Run Command, oppure SSM Agent registri.

Per informazioni sui bucket S3 AWS gestiti che SSM Agent deve essere in grado di accedere, vedi. SSM Agent comunicazioni con AWS bucket S3 gestiti Se utilizzi un endpoint di cloud privato virtuale (VPC) nelle operazioni di Systems Manager, devi fornire un'autorizzazione esplicita in un profilo di EC2 istanza per Systems Manager o in un ruolo di servizio per i nodi non EC2 gestiti in un ambiente ibrido e multicloud.

Creazione di una policy degli endpoint VPC d'interfaccia

È possibile creare policy per gli endpoint dell'interfaccia VPC per le AWS Systems Manager quali è possibile specificare:

  • Il principale che può eseguire operazioni.

  • Le operazioni che possono essere eseguite

  • Le risorse su cui è possibile eseguire le operazioni

Per ulteriori informazioni, consulta Controllo degli accessi ai servizi con endpoint VPC nella Guida utente Amazon VPC.