Wie erstelle ich Amazon VPC-Endpunkte, sodass ich Systems Manager verwenden kann, um private Amazon EC2-Instances ohne Internetzugang zu verwalten?

Lösung

Um EC2-Instances ohne Internetzugang zu verwalten, konfiguriere Systems Manager so, dass ein Amazon Virtual Private Cloud (Amazon VPC)-Schnittstellenendpunkt auf AWS PrivateLink verwendet wird.

Ein IAM-Instance-Profil für den Systems Manager erstellen

Führe die folgenden Schritte aus:

1. Stelle sicher, dass der AWS Systems Manager Agent (SSM Agent) auf der Instance installiert ist.
2. Erstelle ein Instance-Profil für AWS Identity and Access Management (IAM, Identitäts- und Zugriffsmanagement). Du kannst eine neue Rolle erstellen oder einer vorhandenen Rolle die erforderlichen Berechtigungen hinzufügen.
3. Füge an deine Instance die IAM-Rolle an.
4. Öffne die Amazon EC2-Konsole und wähle dann deine Instance aus.
5. Wähle die Registerkarte Beschreibung und notiere dir dann die VPC-ID und die Subnetz-ID.

Hinweis: Wenn du die Standard-Host-Verwaltungskonfiguration zur Verwaltung der Instances verwendest, musst du kein IAM-Instance-Profil erstellen, um Instances zu verwalten.

Eine Sicherheitsgruppe erstellen oder ändern

Erstelle eine Sicherheitsgruppe, oder ändere eine vorhandene Sicherheitsgruppe. Füge die Sicherheitsgruppe an die Instance an. Die Sicherheitsgruppe muss ausgehenden Datenverkehr auf Port 443 zu den VPC-Endpunkten zulassen. Füge außerdem eine Sicherheitsgruppe an den VPC-Endpunkt an. Die Sicherheitsgruppe muss eingehenden HTTPS-Datenverkehr (Port 443) von den Ressourcen, die mit dem Service kommunizieren, in der VPC zulassen. Weitere Informationen findest du unter Sicherheitsgruppenregeln für verschiedene Anwendungsfälle.

Hinweis: Du kannst eine Sicherheitsgruppe für die Regeln für eingehenden und ausgehenden Datenverkehr erstellen und sie an die Instance und den VPC-Endpunkt anfügen.

Gehe wie folgt vor, um die Sicherheitsgruppe für den VPC-Endpunkt zu konfigurieren:

1. Öffne die Amazon-VPC-Konsole.
2. Wähle Sicherheitsgruppen und dann die neue Sicherheitsgruppe aus.
3. Wähle auf der Registerkarte Regeln für eingehenden Datenverkehr die Option Regeln für eingehenden Verkehr bearbeiten aus.
4. Füge eine Regel mit den folgenden Details hinzu:
   Wähle für Typ die Option HTTPS aus.
   Wähle als Quelle das VPC-CIDR aus.
   Für eine erweiterte Konfiguration kannst du das CIDR für bestimmte Subnetze in der VPC oder einer Sicherheitsgruppe, die deine Instances verwenden, zulassen.
5. Notiere dir die Sicherheitsgruppen-ID, die mit den anderen Endpunkten verwendet werden soll.
6. Wähle Regeln speichern aus.

Einen VPC-Endpunkt für den Systems Manager erstellen und konfigurieren

Hinweis: VPC-Endpunkte sind einem bestimmten Subnetz zugeordnet. Wenn du beim Erstellen der VPC-Endpunkte mehrere Subnetze auswählst, wird für jedes ausgewählte Subnetz ein Endpunkt erstellt. Dies erhöht die Abrechnungskosten, da für jeden Endpunkt Gebühren anfallen.

Führe die folgenden Schritte aus:

1. Erstelle einen VPC-Endpunkt.
2. Wähle als Servicenamen com.amazonaws.[region].ssm aus. Eine Liste der AWS-Regionscodes findest du unter Verfügbare Regionen.
3. Wähle für VPC die VPC-ID für deine Instance aus.
4. Wähle für Subnetze eine Subnetz-ID in deiner VPC aus.
   Wähle für Hohe Verfügbarkeit mindestens zwei Subnetze aus verschiedenen Availability Zones innerhalb der gleichen Region aus.
   Anmerkung: Wenn du mehr als ein Subnetz in derselben Availability Zone hast, musst du keine VPC-Endpunkte für die zusätzlichen Subnetze erstellen. Andere Subnetze innerhalb derselben Availability Zone können auf die Schnittstelle zugreifen und sie verwenden.
5. Wähle als Sicherheitsgruppe deine Sicherheitsgruppe aus.
6. (Optional) Erstelle für eine erweiterte Einrichtung eine Schnittstellen-VPC-Endpunktrichtlinie für den Systems Manager.
   Anmerkung: VPC-Endpunkte benötigen ein von AWS bereitgestelltes DNS (VPC CIDR+2). Wenn du ein benutzerdefiniertes DNS verwendest, verwende Amazon Route 53 Resolver für die richtige Namensauflösung.
7. Wiederhole die Schritte 2–6 mit der folgenden Änderung:
   Wähle für den Session Manager-Endpunkt com.amazonaws.[region].ssmmessages als Servicenamen.
   Wähle für den EC2 Messages-Endpunkt com.amazonaws.[region].ec2messages als den Servicenamen.
   Hinweis: Bei SSM Agent-Versionen 3.3.40.0 und höher verwendet Systems Manager den Endpunkt ssmmessages:*, sofern verfügbar, anstelle des Endpunkts ec2messages:*. Weitere Informationen findest du im Abschnitt Rangfolge der Endpunktverbindungen unter Agent-bezogene API-Operationen (Endpunkte ssmmessages und ec2messages).

Gehe wie folgt vor, um zu überprüfen, ob die Instance als verwaltete Instance registriert ist:

1. Öffne die Systems Manager-Konsole.
2. Wähle im Navigationsbereich Fleet Manager aus.
3. Stelle sicher, dass deine Instance-ID unter Knoten-ID aufgeführt ist und sich der Knoten im Status Wird ausgeführt befindet.

Hinweis: Nachdem du die Konfiguration abgeschlossen hast, kann es einige Minuten dauern, bis die Instance als verwaltete Instance registriert wird. Damit der SSM Agent sofort eine Verbindung herstellt, starte den SSM Agent in der Instance neu oder starte die Instance neu.

Wenn du nicht die Standard-Sitzungseinstellungen verwendest, erstelle die folgenden VPC-Endpunkte, um Session Manager, eine Funktion von AWS Systems Manager, zu verwenden:

• Wenn du die Amazon Simple Storage Service (Amazon S3)-Protokollierung für Run Command, eine Funktion von Systems Manager, verwendest, erstelle den Gateway-Endpunkt com.amazonaws.region.s3.
• Wenn du die AWS Key Management Service (AWS KMS)-Verschlüsselung für Session Manager verwendest, erstelle den Endpunkt com.amazonaws.region.kms.
• Wenn du Amazon CloudWatch Logs für Run Command verwendest, erstelle einen Service-Endpunkt für deine Region.

Der VPC-Endpunkt ist nicht erforderlich, um die Instance mit Session Manager zu verbinden. Der VPC-Endpunkt ist erforderlich, um auf dem Windows Volume Shadow Copy Service (VSS) basierende Snapshots der Instance zu erstellen.

Ähnliche Informationen

AWS Systems Manager-Endpunkte und Kontingente

AWS Systems Manager einrichten