¿Cómo puedo crear puntos de enlace de Amazon VPC que me permitan utilizar Systems Manager para administrar instancias de Amazon EC2 privadas sin acceso a Internet?

6 minutos de lectura
0

Mi instancia de Amazon Elastic Compute Cloud (Amazon EC2) no tiene acceso a Internet. Quiero usar AWS Systems Manager para administrar mi instancia.

Resolución

Para administrar instancias de EC2 sin acceso a Internet, configure Systems Manager para que utilice un punto de enlace de interfaz de Amazon Virtual Private Cloud (Amazon VPC) en AWS PrivateLink.

Creación de un perfil de instancia de IAM para Systems Manager

Siga estos pasos:

  1. Compruebe que AWS Systems Manager Agent (SSM Agent) esté instalado en la instancia.
  2. Cree un perfil de instancia de AWS Identity and Access Management (IAM). Puede crear un rol nuevo o agregar los permisos necesarios a un rol actual.
  3. Asocie el rol de IAM a su instancia.
  4. Abra la consola de Amazon EC2 y, a continuación, seleccione la instancia.
  5. Seleccione la pestaña Descripción y, a continuación, anote el ID de VPC y el ID de subred.

Nota: Si utiliza la configuración de administración de hosts predeterminada para administrar sus instancias, no necesita crear un perfil de instancia de IAM para administrar las instancias.

Creación o modificación de un grupo de seguridad

Cree un grupo de seguridad o modifique un grupo de seguridad existente. Adjunte el grupo de seguridad a la instancia. El grupo de seguridad debe permitir el tráfico saliente en el puerto 443 a los puntos de enlace de VPC. Además, adjunte un grupo de seguridad al punto de enlace de VPC. El grupo de seguridad debe permitir el tráfico HTTPS entrante (puerto 443) desde los recursos de su VPC que se comunican con el servicio. Para obtener más información, consulte Reglas de grupos de seguridad para diferentes casos de uso.

Nota: Puede crear un grupo de seguridad para las reglas de entrada y salida y adjuntarlo a la instancia y al punto de enlace de VPC.

Para configurar el grupo de seguridad para el punto de enlace de VPC, siga estos pasos:

  1. Abra la consola de Amazon VPC.
  2. Elija Grupos de seguridad y, a continuación, seleccione el nuevo grupo de seguridad.
  3. En la pestaña Reglas de entrada, seleccione Editar reglas de entrada.
  4. Agregue una regla con los siguientes detalles:
    En Tipo, elija HTTPS.
    En Origen, seleccione el CIDR de VPC.
    Para una configuración avanzada, puede permitir el CIDR para subredes específicas de la VPC o de un grupo de seguridad que usen sus instancias.
  5. Anote el ID del grupo de seguridad que se va a usar con los demás puntos de enlace.
  6. Seleccione Guardar reglas.

Creación y configuración de un punto de enlace de VPC para Systems Manager

Nota: Los puntos de enlace de VPC se asignan a una subred específica. Si selecciona varias subredes al crear los puntos de enlace de la VPC, se crea un punto de enlace para cada subred seleccionada. Los costes de facturación aumentan porque se incurre en cargos por cada punto de enlace.

Siga estos pasos:

  1. Cree un punto de enlace de VPC.
  2. En Nombre del servicio, seleccione com.amazonaws.[region].ssm. Para obtener una lista de los códigos de región de AWS, consulte Regiones disponibles.
  3. En VPC, seleccione el ID de VPC de su instancia.
  4. En Subredes, seleccione un ID de subred de su VPC.
    En Alta disponibilidad, elija al menos dos subredes de diferentes zonas de disponibilidad dentro de la misma región.
    Nota: Si tiene más de una subred en la misma zona de disponibilidad, no tiene que crear puntos de enlace de VPC para las subredes adicionales. Cualquier otra subred de la misma zona de disponibilidad puede acceder a la interfaz y utilizarla.
  5. En Grupo de seguridad, seleccione su grupo de seguridad.
  6. (Opcional) Para una configuración avanzada, cree una política de punto de enlace de VPC de interfaz para Systems Manager.
    Nota: Los puntos de enlace de VPC requieren un DNS proporcionado por AWS (VPC CIDR+2). Si utiliza un DNS personalizado, use Amazon Route 53 Resolver para obtener la resolución de nombres correcta.
  7. Repita los pasos 2 a 6 con los siguientes cambios:
    Para el punto de enlace del administrador de sesiones, seleccione com.amazonaws.[region].ssmmessages para el nombre del servicio.
    Para el punto de enlace de EC2 Messages, seleccione com.amazonaws.[region].ec2messages para el nombre del servicio.
    Nota: Para las versiones 3.3.40.0 y posteriores de SSM Agent, Systems Manager usa el punto de enlace ssmmessages:* cuando está disponible en lugar del punto de enlace ec2messages:*. Para obtener más información, consulte la sección Prioridad de las conexiones de punto de enlaceen Operaciones de API relacionadas con el agente (puntos de enlace ssmmessages y ec2messages).

Para comprobar que su instancia se ha registrado como una instancia administrada, siga estos pasos:

  1. Abra la consola de Systems Manager.
  2. En el panel de navegación, seleccione Administrador de flotas.
  3. Compruebe que el ID de instancia aparezca en ID del nodo y que el nodo esté en estado de ejecución.

Nota: Tras completar la configuración, es posible que la instancia tarde unos minutos en registrarse como instancia administrada. Para que SSM Agent se conecte inmediatamente, reinicie SSM Agent en la instancia o reinicie la instancia.

Si no usa las preferencias de sesión predeterminadas, cree los siguientes puntos de enlace de VPC para usar el administrador de sesiones, una funcionalidad de AWS Systems Manager:

  • Si utiliza el registro de Amazon Simple Storage Service (Amazon S3) para Ejecutar comando, una funcionalidad de Systems Manager, cree el punto de enlace de puerta de enlace com.amazonaws.region.s3.
  • Si usa el cifrado de AWS Key Management Service (AWS KMS) para el administrador de sesiones, cree el punto de enlace com.amazonaws.region.kms.
  • Si usa Registros de Amazon CloudWatch para Ejecutar comando, cree un punto de enlace de servicio para su región.

El punto de enlace de VPC no es necesario para conectar la instancia al administrador de sesiones. El punto de enlace de VPC es necesario para crear instantáneas de la instancia basadas en el Servicio de instantáneas de volumen (VSS) de Windows.

Información relacionada

AWS Systems Manager endpoints and quotas

Configuración de AWS Systems Manager

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace un mes