• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la [documentazione di Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Migliora la sicurezza delle istanze EC2 utilizzando gli endpoint VPC per Systems Manager
<a name="setup-create-vpc"></a>

Puoi migliorare il livello di sicurezza dei tuoi nodi gestiti (incluse le macchine non EC2 in un ambiente [ibrido e multicloud](operating-systems-and-machine-types.md#supported-machine-types)) configurando l' AWS Systems Manager uso di un endpoint VPC di interfaccia in Amazon Virtual Private Cloud (Amazon VPC). Utilizzando un endpoint VPC di interfaccia (endpoint di interfaccia), è possibile connettersi ai servizi forniti da. AWS PrivateLink AWS PrivateLink è una tecnologia che consente di accedere in modo privato ad Amazon Elastic Compute Cloud (Amazon EC2) e Systems APIs Manager utilizzando indirizzi IP privati. 

AWS PrivateLink limita tutto il traffico di rete tra le istanze gestite, Systems Manager e Amazon EC2 alla rete Amazon. Ciò vuol dire che le istanze gestite non hanno accesso a Internet. Se lo utilizzi AWS PrivateLink, non hai bisogno di un gateway Internet, un dispositivo NAT o un gateway privato virtuale. 

La configurazione non è obbligatoria AWS PrivateLink, ma è consigliata. Per ulteriori informazioni sugli AWS PrivateLink endpoint VPC, consulta e gli endpoint [AWS PrivateLink VPC](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html).

**Nota**  
L'alternativa all'utilizzo di un endpoint VPC è l'abilitazione dell'accesso a Internet in uscita sulle istanze gestite. In questo caso, le istanze gestite devono consentire anche il traffico in uscita HTTPS (porta 443) verso i seguenti endpoint:  
`ssm.region.amazonaws.com`
`ssmmessages.region.amazonaws.com`
`ec2messages.region.amazonaws.com`
SSM Agent avvia tutte le connessioni al servizio Systems Manager nel cloud. Per questo motivo, non è necessario configurare il firewall per consentire il traffico in ingresso verso le istanze di Systems Manager.  
Per ulteriori informazioni sulle chiamate a questi endpoint, consulta [Referenza: ec2messages, ssmmessages e altre operazioni API](systems-manager-setting-up-messageAPIs.md).  
Se si utilizza Systems Manager in un ambiente che supporta *solo* IPv6, è necessario consentire anche il traffico in uscita verso i seguenti endpoint:  
`ssm.region.api.aws`
`ssmmessages.region.api.aws`
`ec2messages.region.api.aws`
*Per ulteriori informazioni sugli endpoint dei servizi dual-stack, consulta Endpoints [dual stack](https://docs.aws.amazon.com/general/latest/gr/rande.html#dual-stack-endpoints) nella Guida di riferimento generale.AWS *  
È inoltre necessario assicurarsi che i bucket operativi delle patch siano raggiungibili dai nodi, come descritto in [Riferimento: bucket Amazon S3](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-operations-s3-buckets.html) per le operazioni di patching.

**Informazioni su Amazon VPC**  
Puoi usare Amazon Virtual Private Cloud (Amazon VPC) per definire una rete virtuale nella tua area logicamente isolata all'interno del Cloud AWS, noto come cloud *privato virtuale (VPC*). È possibile avviare le risorse AWS , ad esempio le istanze, nel VPC. Il VPC è molto simile a una rete tradizionale gestibile nel data center locale, ma con i vantaggi legati all'utilizzo dell'infrastruttura scalabile di AWS. È·possibile configurare il VPC, selezionare l'intervallo di indirizzi IP, creare sottoreti e configurare tabelle di routing, gateway di rete e impostazioni di sicurezza. È possibile connettere le istanze nel VPC a Internet. Puoi connettere il tuo VPC al tuo data center aziendale, rendendolo Cloud AWS un'estensione del tuo data center. Per proteggere le risorse in ciascuna sottorete, è possibile usare diversi livelli di sicurezza, compresi gruppi di sicurezza e liste di controllo accessi alla rete. Per ulteriori informazioni, consulta la [Guida utente Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/).

**Topics**
+ [Restrizioni e limitazioni degli endpoint VPC](#vpc-requirements-and-limitations)
+ [Creazione degli endpoint VPC per Systems Manager](#create-vpc-endpoints)
+ [Creazione di una policy degli endpoint VPC d'interfaccia](#create-vpc-interface-endpoint-policies)

## Restrizioni e limitazioni degli endpoint VPC
<a name="vpc-requirements-and-limitations"></a>

Prima di configurare gli endpoint VPC di Systems Manager, occorre considerare le seguenti limitazioni e restrizioni.

**Connessioni peering di VPC**  
Gli endpoint di interfaccia del VPC sono accessibili tramite connessioni peering VPC *all'interno di una regione* e *tra regioni*. Per ulteriori informazioni sulle richieste di connessione con peering VPC per gli endpoint dell'interfaccia VPC, consulta [Connessioni peering VPC (quote)](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-peering) nella *Guida per l'utente di Amazon Virtual Private Cloud*. 

Le connessioni endpoint del gateway VPC non possono essere estese all'esterno di un VPC. Le risorse sul lato opposto di una connessione peering VPC nel VPC non possono utilizzare l'endpoint del gateway per comunicare con le risorse del servizio endpoint gateway. Per ulteriori informazioni sulle richieste di connessione peering VPC per gli endpoint del gateway VPC, consulta [Connessioni peering VPC (quote)](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-endpoints) nella *Guida per l'utente di Amazon Virtual Private Cloud*.

**Connessioni in entrata**  
Il gruppo di sicurezza collegato all'endpoint VPC deve consentire le connessioni in entrata sulla porta 443 dalla sottorete privata dell'istanza gestita. Se le connessioni in entrata non sono consentite, l'istanza gestita non è in grado di connettersi agli endpoint SSM ed EC2.

**Risoluzione DNS**  
Se utilizzi un server DNS personalizzato, devi aggiungere un server d'inoltro condizionale per eventuali query al dominio `amazonaws.com` al server Amazon DNS per il tuo VPC.

**Bucket S3**  
È necessario che la policy dell'endpoint VPC consenta l'accesso almeno ai bucket Amazon S3 elencati su [SSM Agentcomunicazioni con AWS bucket S3 gestiti](ssm-agent-technical-details.md#ssm-agent-minimum-s3-permissions).

**Nota**  
Se si usa un firewall on-premises e si intende utilizzare Patch Manager, il firewall deve consentire anche l'accesso all'endpoint della baseline delle patch appropriato.

**CloudWatch Registri Amazon**  
Se non consenti alle tue istanze di accedere a Internet, crea un endpoint VPC per i registri CloudWatch per utilizzare le funzionalità che inviano i log ai registri. CloudWatch *Per ulteriori informazioni sulla creazione di un endpoint per CloudWatch Logs, consulta [Creating a VPC endpoint for Logs CloudWatch nella Amazon Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html#create-VPC-endpoint-for-CloudWatchLogs) User Guide. CloudWatch *

**DNS in ambiente ibrido e multicloud**  
*Per informazioni sulla configurazione del DNS per funzionare con gli AWS PrivateLink endpoint in ambienti [ibridi e multicloud](operating-systems-and-machine-types.md#supported-machine-types), consulta [DNS privato per endpoint di interfaccia nella](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-private-dns) Amazon VPC User Guide.* Se si desidera utilizzare il proprio DNS, è possibile utilizzare il Resolver Route 53. Per ulteriori informazioni, consulta [Risolvere le query DNS tra VPCs e la tua rete](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html) nella *Amazon Route 53* Developer Guide. 

## Creazione degli endpoint VPC per Systems Manager
<a name="create-vpc-endpoints"></a>

Utilizza le seguenti informazioni per creare endpoint di interfaccia VPC per. AWS Systems Manager Questo argomento si collega alle procedure descritte nella *Guida utente Amazon VPC*. 

**Nota**  
*region*rappresenta l'identificatore di una regione Regione AWS supportata da AWS Systems Manager, ad esempio `us-east-2` per la regione Stati Uniti orientali (Ohio). Per un elenco dei *region* valori supportati, vedere la colonna **Regione** negli [endpoint del servizio Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) in. *Riferimenti generali di Amazon Web Services*

Seguire la procedura in [Creazione di un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) per creare i seguenti endpoint di interfaccia:
+ **`com.amazonaws.region.ssm`**: l'endpoint per il servizio Systems Manager.
+ **`com.amazonaws.region.ec2messages`**: Systems Manager utilizza questo endpoint per effettuare chiamate da SSM Agent al servizio Systems Manager. A partire dalla versione 3.3.40.0 dell'SSM Agent, Systems Manager ha iniziato a utilizzare endpoint `ssmmessages:*` (Amazon Message Gateway Service) ogni volta che era disponibile, al posto dell'endpoint `ec2messages:*` (Amazon Message Delivery Service).
+ **`com.amazonaws.region.ec2`**: se si utilizza Systems Manager per creare snapshot con tecnologia VSS, verificare di disporre di un endpoint per il servizio EC2. Se non è definito l'endpoint EC2, la chiamata per enumerare i volumi Amazon EBS collegati ha esito negativo e causa un errore del comando di Systems Manager.
+ **`com.amazonaws.region.s3`**: Systems Manager utilizza questo endpoint per l'aggiornamento dell'SSM Agent. Systems Manager utilizza questo endpoint anche quando, facoltativamente, si sceglie di recuperare script o altri file archiviati in bucket o caricare log di output nel bucket. Se il gruppo di sicurezza associato alle istanze in uso limita il traffico in uscita, occorre aggiungere una regola per consentire al traffico di utilizzare l'elenco di prefissi per Amazon S3. Per ulteriori informazioni, consulta [Modifica del gruppo di sicurezza](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-gateway.html#vpc-endpoints-security) nella *Guida di AWS PrivateLink *.
+ **`com.amazonaws.region.ssmmessages`**: questo endpoint è necessario per far sì che l'SSM Agent comunichi con il servizio Systems Manager, per Run Command, e se ci si connette alle istanze tramite un canale dati sicuro utilizzando Session Manager. Per ulteriori informazioni, consultare [AWS Systems Manager Session Manager](session-manager.md) e [Referenza: ec2messages, ssmmessages e altre operazioni API](systems-manager-setting-up-messageAPIs.md).
+ (Facoltativo) **`com.amazonaws.region.kms`**: create questo endpoint se desiderate utilizzare la crittografia AWS Key Management Service (AWS KMS) per i parametriSession Manager. Parameter Store
+ (Facoltativo) **`com.amazonaws.region.logs`**: crea questo endpoint se desideri utilizzare Amazon CloudWatch Logs (CloudWatch Logs) per Session ManagerRun Command, o logs. SSM Agent

Per informazioni sui bucket S3 AWS gestiti a cui SSM Agent deve essere possibile accedere, consulta. [SSM Agentcomunicazioni con AWS bucket S3 gestiti](ssm-agent-technical-details.md#ssm-agent-minimum-s3-permissions) Se utilizzi un endpoint cloud privato virtuale (VPC) nelle operazioni di Systems Manager, devi fornire un'autorizzazione esplicita in un profilo dell'istanza EC2 per Systems Manager o in un ruolo di servizio per i nodi gestiti non EC2 in un ambiente [ibrido e multicloud](operating-systems-and-machine-types.md#supported-machine-types).

## Creazione di una policy degli endpoint VPC d'interfaccia
<a name="create-vpc-interface-endpoint-policies"></a>

È possibile creare policy per gli endpoint dell'interfaccia VPC per le AWS Systems Manager quali è possibile specificare:
+ Il principale che può eseguire operazioni.
+ Le operazioni che possono essere eseguite
+ Le risorse su cui è possibile eseguire le operazioni

Per ulteriori informazioni, consulta [Controllo degli accessi ai servizi con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) nella *Guida utente Amazon VPC*.