Comment puis-je créer des points de terminaison de VPC pour utiliser Systems Manager afin de gérer des instances Amazon EC2 privées sans accès à Internet ?

Résolution

Pour gérer les instances EC2 sans accès à Internet, configurez Systems Manager pour utiliser un point de terminaison d'interface de VPC sur AWS PrivateLink.

Créer un profil d’instance IAM pour Systems Manager

Remarque : Si vous utilisez la configuration de gestion des hôtes par défaut pour gérer vos instances, il n’est pas nécessaire de créer un profil d'instance IAM pour gérer les instances.

Procédez comme suit :

1. Vérifiez que vous avez installé AWS Systems Manager Agent (SSM Agent) sur l'instance.
2. Créez un profil d'instance Gestion des identités et des accès AWS (AWS IAM) et ajoutez les autorisations requises.
   Remarque : Vous pouvez créer un nouveau rôle ou ajouter les autorisations à un rôle existant.
3. Attachez le rôle IAM à votre instance.
4. Ouvrez la console Amazon EC2.
5. Dans le volet de navigation, sélectionnez Instances, puis votre instance.
6. Choisissez l'onglet Description, puis notez l'ID de VPC et l'ID de sous-réseau à utiliser ultérieurement.

Créer ou modifier un groupe de sécurité

Créez un groupe de sécurité ou modifiez un groupe de sécurité existant pour les règles entrantes et sortantes. Le groupe de sécurité doit autoriser le trafic sortant sur le port 443 vers les points de terminaison de VPC.Ce dernier doit également autoriser le trafic HTTPS entrant (port 443) provenant des ressources de votre VPC qui communiquent avec le service. Pour Règles de trafic entrant, choisissez HTTPS comme type. Pour Source, sélectionnez le bloc CIDR de votre VPC. Pour une configuration avancée, autorisez le bloc CIDR pour des sous-réseaux spécifiques du VPC ou un groupe de sécurité utilisé par vos instances.

Ajoutez le groupe de sécurité à votre instance. Puis, associez le groupe de sécurité au point de terminaison de VPC.Pour plus d'informations, consultez la section Règles des groupes de sécurité pour différents cas d'utilisation.

Créer et configurer un point de terminaison de VPC pour Systems Manager

Remarque : Les points de terminaison de VPC sont mappés à un sous-réseau spécifique. Si vous sélectionnez plusieurs sous-réseaux lors de la création de points de terminaison de VPC, Amazon VPC crée un point de terminaison pour chaque sous-réseau sélectionné. Des frais vous sont facturés pour chaque point de terminaison.

Procédez comme suit :

1. Créez un point de terminaison de VPC.
2. Pour Nom du service, sélectionnez com.amazonaws.[region].ssm.Remarque : Pour obtenir la liste des codes de région AWS, consultez la section Régions AWS disponibles.
3. Pour VPC, sélectionnez le VPC pour votre instance.
   Remarque : Pour Paramètres supplémentaires, conservez l'option par défaut, Activer le nom DNS.
4. Pour Sous-réseaux, sélectionnez au moins deux sous-réseaux de votre VPC provenant de différentes zones de disponibilité au sein de la même région.
   Remarque : Si vous avez plusieurs sous-réseaux dans la même zone de disponibilité, il n’est pas nécessaire de créer des points de terminaison de VPC pour les sous-réseaux supplémentaires. Tous les autres sous-réseaux appartenant à la même zone de disponibilité peuvent accéder à l’interface et utiliser le point de terminaison d’interface.
5. Pour Groupe de sécurité, sélectionnez votre groupe de sécurité.
6. (Facultatif) Dans le cadre d’une configuration avancée, créez une politique de point de terminaison de VPC d’interface pour Systems Manager.
   Remarque : Les points de terminaison de VPC nécessitent un DNS fourni par AWS (CIDR+2 du VPC). Si vous utilisez un DNS personnalisé, utilisez Amazon Route 53 Resolver pour obtenir une résolution de nom correcte.
7. Sélectionnez Créer un point de terminaison.

Répétez les étapes pour créer des points de terminaison pour com.amazonaws.[region].ssmmessages et com.amazonaws.[region].ec2messages.

Pour les versions 3.3.40.0 et ultérieures de SSM Agent, Systems Manager utilise le point de terminaison ssmmessages:* lorsqu'il est disponible au lieu du point de terminaison ec2messages:*. Pour plus d'informations, consultez la section Priorité de connexion de point de terminaison de la rubrique Opérations d'API liées à l'agent (points de terminaison ssmmessages et ec2messages).

Remarque : Une fois la configuration terminée, l'enregistrement de l'instance en tant qu'instance gérée peut prendre quelques minutes. Pour connecter SSM Agent immédiatement, redémarrez-le dans l'instance ou redémarrez l'instance.

Pour vérifier que votre instance est une instance gérée, procédez comme suit :

1. Ouvrez la console Systems Manager.
2. Dans le volet de navigation, sélectionnez Fleet Manager.
3. Vérifiez que l'ID de votre instance est répertorié sous ID de nœud et que le nœud est à l’état En cours d’exécution.

Si vous rencontrez un problème, consultez la section Pourquoi Systems Manager n'affiche-t-il pas mon instance Amazon EC2 en tant qu'instance gérée ?

Si vous n'utilisez pas les préférences de session par défaut, créez les points de terminaison de VPC suivants pour utiliser Session Manager, une fonctionnalité d'AWS Systems Manager :

• Si vous utilisez la journalisation Amazon Simple Storage Service (Amazon S3) pour Exécuter la commande, une fonctionnalité de Systems Manager, créez le point de terminaison de passerelle com.amazonaws.region.s3.
• Si vous utilisez le chiffrement AWS Key Management Service (AWS KMS) pour Session Manager, créez le point de terminaison com.amazonaws.region.kms.
• Si vous utilisez Amazon CloudWatch Logs pour exécuter la commande, créez un point de terminaison de service pour votre région.

Le point de terminaison de VPC EC2 n’est pas nécessaire pour connecter l’instance à Session Manager. Cependant, le point de terminaison de VPC est nécessaire pour créer des instantanés de l'instance basés sur le service Windows Volume Shadow Copy Service (VSS).

Informations connexes

Points de terminaison et quotas AWS Systems Manager

Configuration d’AWS Systems Manager