Wie erstelle ich VPC-Endpunkte, sodass ich Systems Manager verwenden kann, um private EC2-Instancen ohne Internetzugang zu verwalten?

Lesedauer: 4 Minute
0

Meine Amazon Elastic Compute Cloud (Amazon EC2)-Instance hat keinen Internetzugang. Ich möchte AWS Systems Manager verwenden, um meine Instance zu verwalten.

Lösung

Um den Systems Manager zur Verwaltung von Amazon EC2-Instancen zu verwenden, müssen Sie Amazon EC2-Instancen als verwaltete Instancen registrieren.

Anmerkung: Virtual Private Cloud (VPC)-Endpunkte sind einem bestimmten Subnetz zugeordnet. Wenn Sie beim Erstellen der VPC-Endpunkte mehrere Subnetze auswählen, wird für jedes ausgewählte Subnetz ein Endpunkt erstellt. Dies erhöht die Abrechnungskosten, da für jeden Endpunkt Gebühren anfallen.

Erstellen Sie ein IAM-Instance-Profil für den Systems Manager

Führen Sie die folgenden Schritte aus:

  1. Stellen Sie sicher, dass der SSM-Agent auf der Instance installiert ist.
  2. Erstellen Sie ein Instance-Profil für AWS Identity and Access Management (IAM). Sie können eine neue Rolle erstellen oder einer vorhandenen Rolle die erforderlichen Berechtigungen hinzufügen.
  3. Ordnen Sie Ihrer Instance die IAM-Rolle zu.
  4. Öffnen Sie die Amazon EC2-Konsole und wählen Sie dann Ihre Instance aus.
  5. Wählen Sie die Registerkarte Beschreibung und notieren Sie sich dann die VPC-ID und die Subnetz-ID.

Eine Sicherheitsgruppe erstellen oder ändern

Erstellen Sie eine Sicherheitsgruppe, oder ändern Sie eine vorhandene Sicherheitsgruppe. Die Sicherheitsgruppe muss eingehenden HTTPS-Verkehr (Anschluss 443) von den Ressourcen in Ihrer VPC zulassen, die mit dem Dienst kommunizieren.

Wenn Sie eine neue Sicherheitsgruppe erstellen, führen Sie die folgenden Schritte aus, um die Sicherheitsgruppe zu konfigurieren:

  1. Öffnen Sie die Amazon-VPC-Konsole.
  2. Wählen Sie Sicherheitsgruppen und dann die aktuelle Sicherheitsgruppe aus.
  3. Wählen Sie auf der Registerkarte Eingehende Regeln die Option Regeln für eingehenden Verkehr bearbeiten aus.
  4. Fügen Sie eine Regel mit den folgenden Details hinzu:
    Wählen Sie für Typ die Option HTTPS aus.
    Wählen Sie für Quelle Ihre VPC-CIDR aus.
    Für die Erweiterte Konfiguration können Sie den CIDR für bestimmte Subnetze zulassen, die Ihre EC2-Instancen verwenden.
  5. Notieren Sie sich die Sicherheitsgruppen-ID, die mit den anderen Endpunkten verwendet werden soll.
  6. Wählen Sie Regeln speichern aus.

Erstellen und konfigurieren Sie einen VPC-Endpunkt für den Systems Manager

Führen Sie die folgenden Schritte aus:

  1. Erstellen Sie einen VPC-Endpunkt.
  2. Wählen Sie als Servicename com.amazonaws.[region].ssm aus. Zum Beispiel com.amazonaws.us-east-1.ssm. Eine Liste der AWS-Regionscodes finden Sie unter Verfügbare Regionen.
  3. Wählen Sie für VPC die VPC-ID für Ihre Instance aus.
  4. Wählen Sie für Subnetze eine Subnetz-ID in Ihrer VPC aus.
  5. Wählen Sie für Hohe Verfügbarkeit mindestens zwei Subnetze aus verschiedenen Availability Zones innerhalb der Region aus.
    Anmerkung: Wenn Sie mehr als ein Subnetz in derselben Availability Zone haben, müssen Sie keine VPC-Endpunkte für die zusätzlichen Subnetze erstellen. Alle anderen Subnetze innerhalb derselben Availability Zone können auf die Schnittstelle zugreifen und sie verwenden.
  6. Wählen Sie für DNS-Namen aktivieren die Option Für diesen Endpunkt aktivieren aus. Weitere Informationen finden Sie unter Zugreifen auf einen AWS-Service über einen Schnittstellen-VPC-Endpunkt.
  7. Wählen Sie für Sicherheitsgruppe eine vorhandene Sicherheitsgruppe aus, oder erstellen Sie eine neue. Die Sicherheitsgruppe muss eingehenden HTTPS-Verkehr (Anschluss 443) von den Ressourcen in Ihrer VPC zulassen, die mit dem Dienst kommunizieren.
  8. (Optional) Für eine erweiterte Einrichtung erstellen Sie eine Schnittstellen-VPC-Endpunktrichtlinie für den Systems Manager.
    **Anmerkung:**VPC-Endpunkte benötigen ein von AWS bereitgestelltes DNS (VPC CIDR+2). Wenn Sie ein benutzerdefiniertes DNS verwenden, verwenden Sie Amazon Route 53 Resolver für die richtige Namensauflösung. Weitere Informationen finden Sie in der folgenden Dokumentation:
    Zugreifen auf einen AWS-Service über einen Schnittstellen-VPC-Endpunkt
    Lösen von DNS-Abfragen zwischen VPCs und Ihrem Netzwerk
  9. Wiederholen Sie Schritt 2 mit der folgenden Änderung:
    Wählen Sie als Servicename com.amazonaws.[region].ec2messages aus.

Wenn Sie eine Sicherheitsgruppe erstellen, führen Sie die Schritte im vorherigen Abschnitt Sicherheitsgruppe erstellen oder ändern aus, um die Sicherheitsgruppe zu konfigurieren.

Nachdem Sie die drei Endpunkte erstellt haben, wird Ihre Instance in Managed Instances angezeigt.

Anmerkung: Um den Session Manager zu verwenden, erstellen Sie die folgenden VPC-Endpunkte:

  • AWS Systems Manager: com.amazonaws.region.ssm
  • Session Manager: com.amazonaws.region.ssmmessages
  • (Optional) AWS Key Management Service (AWS KMS): com.amazonaws.region.kms
    Anmerkung: Dieser Endpunkt ist nur erforderlich, wenn Sie die AWS KMS-Verschlüsselung für den Session Manager verwenden.
  • (Optional) Amazon CloudWatch Logs
    Anmerkung: Dieser Endpunkt ist nur erforderlich, wenn Sie Amazon CloudWatch Logs for Session Manager, Run Command verwenden.

Der EC2-VPC-Endpunkt ist nicht erforderlich, um die Instance mit dem Session Manager zu verbinden. Der EC2-VPC-Endpunkt ist erforderlich, um VSS-aktivierte Snapshots der Instance zu erstellen.

Weitere Informationen finden Sie unter Erstellen von VPC-Endpunkten für den Systems Manager.

Weitere Informationen

AWS Systems Manager-Endpunkte und Kontingente

AWS Systems Manager einrichten

AWS PrivateLink verwenden, um einen VPC-Endpunkt für den Session Manager einzurichten