Melhorar a segurança das instâncias do EC2 usando endpoints da VPC para o Systems Manager - AWS Systems Manager
Restrições e limitações do VPC endpointCriar endpoints da VPC para o Systems ManagerCriar uma política de VPC endpoint de interface

Melhorar a segurança das instâncias do EC2 usando endpoints da VPC para o Systems Manager

Você pode melhorar o procedimento de segurança de seus nós gerenciados (inclusive máquinas que não são do EC2 em um ambiente híbrido e multinuvem) configurando o AWS Systems Manager para usar um endpoint da VPC de interface na Amazon Virtual Private Cloud (Amazon VPC). Por meio de um endpoint da VPC de interface (endpoint de interface), você pode se conecter a serviços com a tecnologia AWS PrivateLink. AWS PrivateLink é uma tecnologia que permite acessar de forma privada APIs da Amazon Elastic Compute Cloud (Amazon EC2) e do Systems Manager usando endereços IP privados.

O AWS PrivateLink limita todo o tráfego de rede entre as instâncias gerenciadas, o Systems Manager, o Amazon EC2 e a rede da Amazon. Isso significa que suas instâncias gerenciadas não precisam ter acesso à Internet. Se você usa o AWS PrivateLink, não precisa de um gateway da Internet, de um dispositivo NAT ou de um gateway privado virtual.

Não é necessário configurar o AWS PrivateLink, mas é recomendável. Para obter mais informações sobre o AWS PrivateLink e os endpoints da VPC, consulte AWS PrivateLink e endpoints da VPC.

nota

A alternativa ao uso de um endpoint da VPC é permitir o acesso à Internet de saída em suas instâncias gerenciadas. Nesse caso, as instâncias gerenciadas também devem permitir tráfego de saída HTTPS (porta 443) para os seguintes endpoints:

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

  • ec2messages.region.amazonaws.com

O SSM Agent inicia todas as conexões com o serviço Systems Manager na nuvem. Por essa razão, você não precisa configurar o firewall para permitir o tráfego de entrada nas instâncias para o Systems Manager.

Para obter mais informações sobre chamadas para esses endpoints, consulte Referência: ec2messages, ssmmessages e outras operações da API.

Sobre a Amazon VPC

O Amazon Virtual Private Cloud (Amazon VPC) permite definir uma rede virtual em sua própria área isolada logicamente na Nuvem AWS, conhecida como uma nuvem privada virtual (VPC). Você pode iniciar os recursos da AWS, como as instâncias, na VPC. Sua VPC assemelha-se a uma rede tradicional que você poderia operar no seu próprio data center, com os benefícios de usar a infraestrutura escalável da AWS. É possível configurar seu VPC, selecionar o intervalo de endereços IP dele, criar sub-redes e definir tabelas de rotas, gateways de rede e configurações de segurança. Você pode se conectar às suas instâncias na VPC. É possível conectar a VPC a seu próprio datacenter corporativo, tornando a Nuvem AWS uma extensão do seu data center. Para proteger os recursos em cada sub-rede, você pode usar várias camadas de segurança, incluindo grupos de segurança e listas de controle de acesso de rede. Para obter mais informações, consulte o Manual do usuário da Amazon VPC.

Restrições e limitações do VPC endpoint

Antes de configurar endpoints da VPC para o Systems Manager, fique atento às restrições e limitações a seguir.

Solicitações entre regiões

Os endpoints da VPC não são compatíveis com solicitações entre regiões. Certifique-se de criar seu endpoint na mesma Região da AWS que seu bucket. Você pode encontrar o local de seu bucket usando o console do Amazon S3 ou usando o comando get-bucket-location. Use um endpoint do Amazon S3 específico da região para acessar seu bucket; por exemplo, DOC-EXAMPLE-BUCKET.s3-us-west-2.amazonaws.com. Para obter mais informações sobre endpoints específicos da região para o Amazon S3, consulte Amazon S3 endpoints no Referência geral da Amazon Web Services. Se você usar a AWS CLI para fazer solicitações ao Amazon S3, defina a região padrão como a mesma região do seu bucket ou use o parâmetro --region nas suas solicitações.

Conexões de emparelhamento da VPC

Os endpoints da interface da VPC podem ser acessados por meio de conexões de emparelhamento de VPC dentro da região e entre regiões. Para obter mais informações sobre solicitações de conexão de emparelhamento de VPC para endpoints de interface da VPC, consulte Conexões de emparelhamento da VPC (Cotas) no Guia do usuário da Amazon Virtual Private Cloud.

Não é possível estender conexões de endpoint de gateway de VPC para fora de uma VPC. Os recursos do outro lado de uma conexão de emparelhamento de VPC em sua VPC não podem usar o endpoint de gateway para se comunicar com recursos no serviço de endpoint de gateway. Para obter mais informações sobre solicitações de conexão de emparelhamento de VPC para endpoints do gateway da VPC, consulte Endpoints da VPC (Cotas) no Guia do usuário da Amazon Virtual Private Cloud.

Conexões de entrada

O grupo de segurança anexado ao VPC endpoint deve permitir conexões de entrada na porta 443 na sub-rede privada da instância gerenciada. Se conexões de entrada não são permitidas, a instância gerenciada não pode se conectar ao SSM e endpoints do EC2.

Resolução do DNS

Para usar um servidor DNS personalizado, você deve adicionar um encaminhador condicional para qualquer consulta ao domínio amazonaws.com para o servidor Amazon DNS de sua VPC.

Buckets do S3

Sua política de endpoint da VPC deve permitir acesso ao menos aos seguintes buckets do Amazon S3:

  • Os buckets do S3 listados em Comunicações do SSM Agent com os buckets do S3 gerenciados pela AWS.

  • Os buckets do S3 usados pelo Patch Manager para operações de linha de base de patch em sua Região da AWS. Esses buckets contêm o código que é recuperado e executado em instâncias pelo serviço de linha de base de patch. Cada Região da AWS tem seus próprios buckets de operações de lista de referência de patches para o código a ser recuperado quando um documento da lista de referência de patches for executado. Se o código não puder ser obtido por download, o comando de linha de base de patches falhará.

    nota

    Se você usar um firewall on-premises e planeja usar o Patch Manager, esse firewall também deverá permitir o acesso ao endpoint da lista de referência de patches apropriado.

    Para fornecer acesso aos buckets em sua Região da AWS, inclua a permissão a seguir em sua política de endpoint.

    arn:aws:s3:::patch-baseline-snapshot-region/*
arn:aws:s3:::aws-ssm-region/*

    A região representa o identificador da região para uma região da Região da AWS compatível com o AWS Systems Manager, como us-east-2 para a região Leste dos EUA (Ohio). Para ver uma lista dos valores de região com suporte, consulte a coluna Region em Systems Manager service endpoints no Referência geral da Amazon Web Services.

    Veja o exemplo a seguir.

    arn:aws:s3:::patch-baseline-snapshot-us-east-2/*
arn:aws:s3:::aws-ssm-us-east-2/*
    nota

    Somente na região Oriente Médio (Bahrein) (me-south-1), esses buckets usam diferentes convenções de nomenclatura. Somente para esta Região da AWS, use os dois buckets a seguir como alternativa:

    • patch-baseline-snapshot-me-south-1-uduvl7q8

    • aws-patch-manager-me-south-1-a53fc9dce

Amazon CloudWatch Logs

Se você não permitir que suas instâncias acessem a Internet, crie um endpoint da VPC para que o CloudWatch Logs use recursos que enviem logs para o CloudWatch Logs. Para obter mais informações sobre como criar um endpoint para o CloudWatch Logs, consulte Criar um endpoint da VPC para o CloudWatch Logs no Manual do usuário do Amazon CloudWatch Logs.

DNS em ambiente híbrido e multinuvem

Para obter informações sobre como configurar o DNS para trabalhar com endpoints do AWS PrivateLink em ambientes híbridos e multinuvem, consulte Private DNS for interface endpoints no Guia do usuário da Amazon VPC. Se quiser usar seu próprio DNS, poderá usar o resolvedor do Route 53. Para obter mais informações, consulte Resolver consultas de DNS entre VPCs e sua rede no Guia do desenvolvedor do Amazon Route 53.

Criar endpoints da VPC para o Systems Manager

Use as informações a seguir para criar endpoints de interface da VPC e de gateway para o AWS Systems Manager. Este tópico contém links para procedimentos noManual do usuário da Amazon VPC.

Para criar VPC endpoints para o Systems Manager

Na primeira etapa deste procedimento, crie três endpoints de interface obrigatórios e um opcional para o Systems Manager. Os três endpoints são obrigatórios para o Systems Manager funcionar em uma VPC. O quarto, com.amazonaws.region.ssmmessages, será obrigatório somente se você estiver usando recursos do Session Manager.

Na segunda etapa, crie o endpoint de gateway obrigatório para o Systems Manager acessar o Amazon S3.

nota

A região representa o identificador da região para uma região da Região da AWS compatível com o AWS Systems Manager, como us-east-2 para a região Leste dos EUA (Ohio). Para ver uma lista dos valores de região com suporte, consulte a coluna Region em Systems Manager service endpoints no Referência geral da Amazon Web Services.

  1. Siga as etapas em Create an interface endpoint (Criar um endpoint de interface) para criar os seguintes endpoints de interface:

    • com.amazonaws.region.ssm: o endpoint para o serviço Systems Manager.

    • com.amazonaws.region.ec2messages: o Systems Manager usa esse endpoint para fazer chamadas do SSM Agent para o serviço do Systems Manager.

    • com.amazonaws.region.ec2: se você estiver usando o Systems Manager para criar snapshots habilitados para VSS, será necessário ter um endpoint para o serviço EC2. Sem o endpoint do EC2 definido, a chamada para enumerar os volumes anexados do Amazon EBS falha, o que faz com que o comando do Systems Manager falhe.

    • com.amazonaws.region.ssmmessages: este endpoint será necessário somente se você estiver se conectando às suas instâncias por meio de um canal de dados seguro usando o Session Manager. Para obter mais informações, consulte AWS Systems Manager Session Manager e Referência: ec2messages, ssmmessages e outras operações da API.

    • com.amazonaws.region.kms: este endpoint é opcional. No entanto, ele pode ser criado se você quiser usar criptografia do AWS Key Management Service (AWS KMS) para os parâmetros Session Manager ou Parameter Store.

    • com.amazonaws.region.logs: este endpoint é opcional. Contudo, ele pode ser criado se você quiser usar o Amazon CloudWatch Logs (CloudWatch Logs) para logs do Session Manager, Run Command ou SSM Agent.

  2. Siga as etapas em Create a gateway endpoint (Criar um endpoint de gateway) para criar o seguinte endpoint de gateway para o Amazon S3:

    • com.amazonaws.region.s3: o Systems Manager usa esse endpoint para atualizar SSM Agent e realizar operações de patch. O Systems Manager também usa esse endpoint para tarefas como transferir os logs de saída que você optar por armazenar em buckets do S3, recuperar de scripts ou outros arquivos armazenados em buckets, etc. Se o grupo de segurança associado a suas instâncias restringir o tráfego de saída, será preciso adicionar uma regra para permitir o tráfego para a lista de prefixos do Amazon S3. Para obter mais informações, consulte Modificar seu grupo de segurança no Guia do AWS PrivateLink.

    Para obter informações sobre os buckets do S3 gerenciados pela AWS que o SSM Agent deve ser capaz de acessar, consulte Comunicações do SSM Agent com os buckets do S3 gerenciados pela AWS. Se você estiver usando um endpoint da nuvem privada virtual (VPC) nas operações do Systems Manager, deverá fornecer permissão explícita em um perfil de instância do EC2 para o Systems Manager ou em um perfil de serviço para nós gerenciados que não são do EC2 em um ambiente híbrido e multinuvem.

Criar uma política de VPC endpoint de interface

Você pode criar políticas de endpoints de interface da VPC para o AWS Systems Manager nas quais é possível especificar:

  • A entidade principal que pode executar ações

  • As ações que podem ser executadas

  • Os recursos que podem ter ações executadas neles

Para obter mais informações, consulte Controlar o acesso a serviços com endpoints da VPCs no Guia do usuário da Amazon VPC.