Comment puis-je créer des points de terminaison de VPC pour utiliser Systems Manager afin de gérer des instances Amazon EC2 privées sans accès à Internet ?

Lecture de 6 minute(s)
0

Mon instance Amazon Elastic Compute Cloud (Amazon EC2) n’a pas accès à Internet. Je souhaite utiliser AWS Systems Manager pour gérer mon instance.

Résolution

Pour gérer les instances EC2 sans accès à Internet, configurez Systems Manager pour utiliser un point de terminaison d'interface Amazon Virtual Private Cloud (Amazon VPC) sur AWS PrivateLink.

Créer un profil d’instance IAM pour Systems Manager

Procédez comme suit :

  1. Vérifiez qu’AWS Systems Manager Agent (SSM Agent) est installé sur l'instance.
  2. Créez un profil d’instance AWS Identity and Access Management (IAM). Vous pouvez créer un nouveau rôle ou ajouter les autorisations nécessaires à un rôle existant.
  3. Attachez le rôle IAM à votre instance.
  4. Ouvrez la console Amazon EC2, puis sélectionnez votre instance.
  5. Choisissez l’onglet Description, puis notez l’ID du VPC et l’ID du sous-réseau.

Remarque : Si vous utilisez la configuration de gestion des hôtes par défaut pour gérer vos instances, il n’est pas nécessaire de créer un profil d'instance IAM pour gérer les instances.

Créer ou modifier un groupe de sécurité

Créez un groupe de sécurité ou modifiez un groupe de sécurité existant. Associez le groupe de sécurité à votre instance. Le groupe de sécurité doit autoriser le trafic sortant sur le port 443 vers les points de terminaison de VPC. Associez également un groupe de sécurité au point de terminaison du VPC. Ce dernier doit autoriser le trafic HTTPS entrant (port 443) provenant des ressources de votre VPC qui communiquent avec le service. Pour plus d'informations, consultez la section Règles des groupes de sécurité pour différents cas d'utilisation.

Remarque : Vous pouvez créer un groupe de sécurité pour les règles entrantes et sortantes et l'associer à l'instance et au point de terminaison du VPC.

Pour configurer le groupe de sécurité pour le point de terminaison du VPC, procédez comme suit :

  1. Ouvrez la console Amazon VPC.
  2. Choisissez Groupes de sécurité, puis sélectionnez le nouveau groupe de sécurité.
  3. Dans l’onglet Règles entrantes, sélectionnez Modifier les règles entrantes.
  4. Ajoutez une règle contenant les informations suivantes :
    Dans Type, choisissez HTTPS.
    Dans Source, sélectionnez votre CIDR VPC.
    Pour une configuration avancée, vous pouvez autoriser le CIDR pour des sous-réseaux spécifiques du VPC ou un groupe de sécurité utilisé par vos instances.
  5. Notez l’ID du groupe de sécurité à utiliser avec les autres points de terminaison.
  6. Choisissez Enregistrer les règles.

Créer et configurer un point de terminaison de VPC pour Systems Manager

Remarque : Les points de terminaison du VPC sont mappés à un sous-réseau spécifique. Un point de terminaison sera créé pour chaque sous-réseau choisi si vous sélectionnez plusieurs sous-réseaux lors de la création de points de terminaison de VPC. Vos coûts de facturation augmentent, car vous devrez payer des frais pour chaque point de terminaison.

Procédez comme suit :

  1. Créez un point de terminaison de VPC.
  2. Dans Nom du service, sélectionnez com.amazonaws.[region].ssm. Pour obtenir la liste des codes de région AWS, consultez la section Régions disponibles.
  3. Dans VPC, choisissez l’ID de VPC de votre instance.
  4. Dans Sous-réseaux, choisissez un ID de sous-réseau de votre VPC.
    Dans Haute disponibilité, choisissez au moins deux sous-réseaux provenant de différentes zones de disponibilité au sein de la même région.
    Remarque : Si vous avez plusieurs sous-réseaux dans la même zone de disponibilité, il n’est pas nécessaire de créer des points de terminaison de VPC pour les sous-réseaux supplémentaires. Tous les autres sous-réseaux appartenant à la même zone de disponibilité peuvent accéder à l’interface et l’utiliser.
  5. Dans Groupe de sécurité, sélectionnez votre groupe de sécurité.
  6. (Facultatif) Dans le cadre d’une configuration avancée, créez une politique de point de terminaison de VPC d’interface pour Systems Manager.
    Remarque : Les points de terminaison de VPC requièrent un DNS fourni par AWS (CIDR+2 du VPC). Si vous utilisez un DNS personnalisé, utilisez Amazon Route 53 Resolver pour obtenir une résolution de nom correcte.
  7. Répétez les étapes 2-6 avec les modifications suivantes :
    Pour le point de terminaison Session Manager, sélectionnez com.amazonaws.[region].ssmmessages pour le nom du service.
    Pour le point de terminaison EC2 Messages, sélectionnez com.amazonaws.[region].ec2messages pour le nom du service.
    Remarque : Pour les versions 3.3.40.0 et ultérieures de SSM Agent, Systems Manager utilise le point de terminaison ssmmessages:* lorsqu'il est disponible au lieu du point de terminaison ec2messages:*. Pour plus d'informations, consultez la section Priorité de connexion de point de terminaison dans Opérations d'API liées à l'agent (points de terminaison ssmmessages et ec2messages).

Pour vérifier que votre instance est enregistrée en tant qu’instance gérée, procédez comme suit :

  1. Ouvrez la console Systems Manager.
  2. Dans le volet de navigation, sélectionnez Fleet Manager.
  3. Vérifiez que l'ID de votre instance est répertorié sous ID de nœud et que le nœud est à l’état En cours d’exécution.

Remarque : Une fois la configuration terminée, l'enregistrement de l'instance en tant qu'instance gérée peut prendre quelques minutes. Pour que SSM Agent se connecte immédiatement, redémarrez-le dans l'instance ou redémarrez l'instance.

Si vous n'utilisez pas les préférences de session par défaut, créez les points de terminaison de VPC suivants pour utiliser Session Manager, une fonctionnalité d'AWS Systems Manager :

  • Si vous utilisez la journalisation Amazon Simple Storage Service (Amazon S3) pour Exécuter la commande, une fonctionnalité de Systems Manager, créez le point de terminaison de passerelle com.amazonaws.region.s3.
  • Si vous utilisez le chiffrement AWS Key Management Service (AWS KMS) pour Session Manager, créez le point de terminaison com.amazonaws.region.kms.
  • Si vous utilisez Amazon CloudWatch Logs pour exécuter la commande, créez un point de terminaison de service pour votre région.

Le point de terminaison de VPC EC2 n’est pas nécessaire pour connecter l’instance à Session Manager. Le point de terminaison de VPC est nécessaire pour créer des instantanés de l'instance basés sur le service Windows Volume Shadow Copy Service (VSS).

Informations connexes

Points de terminaison et quotas AWS Systems Manager

Configuration d’AWS Systems Manager

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 2 mois