使用適用於 Systems Manager 的 VPC 端點來改善 EC2 執行個體的安全性 - AWS Systems Manager
VPC 端點的限制與局限若要建立 Systems Manager 的 VPC 端點建立介面 VPC 端點政策

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用適用於 Systems Manager 的 VPC 端點來改善 EC2 執行個體的安全性

您可以設定 AWS Systems Manager 以使用 Amazon Virtual Private Cloud (Amazon VPC) 中的介面 VPC 端點,藉此改善受管節點 (包括混合多雲端環境中non-EC2 機器) 的安全性狀態。透過使用介面 VPC 端點 (介面端點),您可以連線至由 提供支援的服務 AWS PrivateLink。 AWS PrivateLink 是一種技術,可讓您使用私有 IP 地址私下存取 Amazon Elastic Compute Cloud (Amazon EC2) 和 Systems Manager APIs。

AWS PrivateLink 會將受管執行個體、Systems Manager 和 Amazon EC2 之間的所有網路流量限制在 Amazon 網路。這意味著受管執行個體無法存取網際網路。如果您使用 AWS PrivateLink,則不需要網際網路閘道、NAT 裝置或虛擬私有閘道。

您不需要設定 AWS PrivateLink,但建議使用。如需 AWS PrivateLink 和 VPC 端點的詳細資訊,請參閱 AWS PrivateLink 和 VPC 端點

注意

使用 VPC 端點的替代方案是在您的受管執行個體上啟用對外網際網路存取。在此情況下,受管執行個體也必須允許 HTTPS (連接埠 443) 傳出流量至下列端點:

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

  • ec2messages.region.amazonaws.com

SSM Agent 會啟動到雲端中 Systems Manager 服務的所有連線。因此,您不需要將防火牆設定為允許 Systems Manager 將流量傳入到您的執行個體。

如需呼叫這些端點的詳細資訊,請參閱參考:ec2messages、ssmmessages 和其他 API 操作

Amazon VPC 簡介

您可以使用 Amazon Virtual Private Cloud (Amazon VPC),在 內您自己的邏輯隔離區域中定義虛擬網路 AWS 雲端,稱為虛擬私有雲端 (VPC)。您可以在您的 VPC 中啟動 AWS 資源 (例如執行個體)。VPC 近似於您在自有資料中心內運作的傳統網路,卻能提供 AWS可擴展性基礎設施的效益。您可以設定您的 VPC;您可以選取其 IP 地址範圍、建立子網,以及設定路由表、網路閘道與安全設定。您可以將 VPC 中的執行個體連線至網際網路。您可以將 VPC 連接到自己的公司資料中心,讓資料中心 AWS 雲端 成為延伸。為了保護各個子網路的資源,您可使用多個安全性層級,包括安全群組及網路存取控制清單。如需詳細資訊,請參閱 Amazon VPC 使用者指南

VPC 端點的限制與局限

在您設定 Systems Manager 的 VPC 端點之前,請注意以下的約束與限制。

VPC 對等連線

您可以透過區域內區域間 VPC 對等連線來存取 VPC 界面端點。如需 VPC 介面端點 VPC 對等互連連線請求的詳細資訊,請參閱《Amazon Virtual Private Cloud 使用者指南》中的 VPC 對等互連連線 (配額)

VPC 閘道端點連線不能延伸出 VPC。VPC 中 VPC 對等互連另一側的資源無法使用閘道端點與閘道端點服務中的資源通訊。如需 VPC 閘道端點 VPC 對等互連連線請求的詳細資訊,請參閱《Amazon Virtual Private Cloud 使用者指南》中的 VPC 端點 (配額)

傳入連線

連接到 VPC 端點的安全群組必須允許從受管執行個體的私有子網路透過 443 通訊埠傳入的連線。如果不允許傳入的連線,則受管執行個體無法連線到 SSM 和 EC2 端點。

DNS 解析

如果您使用自訂 DNS 伺服器,則必須為 VPC 的 Amazon DNS 伺服器的 amazonaws.com 網域查詢新增條件式轉寄站。

S3 儲存貯體

VPC 端點政策必須允許對至少 SSM Agent 與 AWS 受管 S3 儲存貯體通訊 中所列 Amazon S3 儲存貯體的存取權。

注意

如果您使用內部部署防火牆並計劃使用 Patch Manager,則該防火牆也必須允許存取適當的修補基準端點。

Amazon CloudWatch Logs

如果您不允許執行個體存取網際網路,請為 CloudWatch Logs 建立 VPC 端點,以使用將日誌傳送至 CloudWatch Logs 的功能。如需有關建立 CloudWatch Logs 端點的詳細資訊,請參閱《Amazon CloudWatch Logs 使用者指南》中的建立 CloudWatch Logs 的 VPC 端點

混合多雲端環境中的 DNS

如需有關設定 DNS 以在混合和多雲端環境中使用 AWS PrivateLink 端點的資訊,請參閱《Amazon VPC 使用者指南》中的介面端點的私有 DNS。如果您想要使用自己的 DNS,可以使用 Route 53 Resolver。如需詳細資訊,請參閱《Amazon Route 53 開發人員指南》中的在 VPC 和網路之間解析 DNS 查詢

若要建立 Systems Manager 的 VPC 端點

使用下列資訊建立 VPC 介面端點 AWS Systems Manager。本主題連結至《Amazon VPC 使用者指南》中的程序。

注意

region 代表 支援的 AWS 區域 識別符 AWS Systems Manager,例如us-east-2美國東部 (俄亥俄) 區域。如需支援的 region 值的清單,請參閱《Amazon Web Services 一般參考》Systems Manager 服務端點一節的區域資料欄。

請遵循建立介面端點中的步驟來建立下列介面端點:

  • com.amazonaws.region.ssm – Systems Manager 服務的端點。

  • com.amazonaws.region.ec2messages – Systems Manager 使用此端點,從 SSM Agent 到 Systems Manager 服務進行呼叫。從 SSM Agent 3.3.40.0 版開始,Systems Manager 會在可用時開始使用 ssmmessages:* 端點 (Amazon Message Gateway Service),而不是 ec2messages:* 端點 (Amazon Message Delivery Service)。

  • com.amazonaws.region.ec2 – 如果您使用 Systems Manager 來建立具備 VSS 功能的快照,則必須確定您擁有至 EC2 服務的端點。如果沒有定義 EC2 端點,則用來列舉所連接 Amazon EBS 磁碟區的呼叫會失敗,進而導致 Amazon Systems Manager 命令失敗。

  • com.amazonaws.region.s3:Systems Manager 會使用此端點更新 SSM Agent。如果您可以選擇擷取在儲存貯體中存放的指令碼或其他檔案,或將輸出日誌上傳到儲存貯體,則 Systems Manager 也會使用此端點。如果與執行個體關聯的安全群組限制傳出流量,您必須新增規則,以允許 Amazon Simple Storage Service (Amazon S3) 的字首清單的流量。如需詳細資訊,請參閱 AWS PrivateLink 指南中的修改安全群組

  • com.amazonaws.region.ssmmessages:SSM Agent 要與 Systems Manager 服務通訊、進行Run Command,以及使用 Session Manager 透過安全資料管道連線至執行個體時,都需要此端點。如需詳細資訊,請參閱 AWS Systems Manager Session Manager參考:ec2messages、ssmmessages 和其他 API 操作

  • (選用) com.amazonaws.region.kms – 如果您想要對 Session Manager或 Parameter Store 參數使用 AWS Key Management Service (AWS KMS) 加密,請建立此端點。

  • (選用) com.amazonaws.region.logs:如果想使用適用於 Session Manager、Run Command 或 SSM Agent 日誌的 Amazon CloudWatch Logs (CloudWatch Logs),則請建立此端點。

如需SSM Agent必須能夠存取的 AWS 受管 S3 儲存貯體相關資訊,請參閱 SSM Agent 與 AWS 受管 S3 儲存貯體通訊。如果您在 Systems Manager 操作中使用虛擬私有雲端 (VPC) 端點,則必須在適用於 Systems Manager 的 EC2 執行個體設定檔中提供明確許可,或在混合多雲端環境中的非 EC2 受管節點服務角色中提供明確許可。

建立介面 VPC 端點政策

您可以為 VPC 介面端點建立政策,您可以在 AWS Systems Manager 其中指定:

  • 可執行動作的委託人

  • 可執行的動作

  • 可對其執行動作的資源

如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的使用 VPC 端點控制對服務的存取