ステップ 6: (オプション) AWS PrivateLink を使用して Session Manager の VPC エンドポイントを設定する
インターフェイス Virtual Private Cloud (VPC) エンドポイントを使用するように AWS Systems Manager を設定することにより、マネージドノードのセキュリティ体制をさら改善することができます。インターフェースエンドポイントは、プライベート IP アドレスを使用して Amazon Elastic Compute Cloud (Amazon EC2) および Systems Manager API にプライベートにアクセスできるテクノロジーである AWS PrivateLink を使用しています。
AWS PrivateLink はマネージドノード、Systems Manager、Amazon EC2 とAmazon ネットワーク間のすべてのネットワークトラフィックに制限します。(マネージドノードはインターネットへアクセスできません) また、インターネットゲートウェイ、NAT デバイスあるいは仮想プライベートゲートウェイの必要はありません。
VPC エンドポイントの作成については、詳細については、「Systems Manager のために VPC エンドポイントを使用して EC2 インスタンスのセキュリティを強化する」を参照してください。
VPC エンドポイントを使用する代わりに、マネージドノードにアウトバウンド・インターネット アクセスを許可することができます。この場合、マネージドノードは、以下のエンドポイントに HTTPS (ポート 443) アウトバウンドトラフィックも許可する必要があります:
-
ec2messages.
region
.amazonaws.com -
ssm.
region
.amazonaws.com -
ssmmessages.
region
.amazonaws.com
Systems Manager は、これらのエンドポイント ssmmessages.
の最後を使用して、SSM Agent からクラウド上の Session Manager サービスを呼び出します。region
.amazonaws.com
AWS Key Management Service (AWS KMS) 暗号化のようなオプション機能を使用、Amazon CloudWatch Logs (CloudWatch Logs) へログをストリーミング、 Amazon Simple Storage Service (Amazon S3) へログを送信する場合、以下のエンドポイントに HTTPS (ポート 443) アウトバウンドトラフィックも許可する必要があります:
-
kms.
region
.amazonaws.com -
logs.
region
.amazonaws.com -
s3.
region
.amazonaws.com
Systems Manager に必要なエンドポイントの詳細については、「リファレンス: ec2messages、ssmmessages およびその他の API オペレーション」を参照してください。