Come posso creare endpoint Amazon VPC in modo da poter utilizzare Systems Manager per gestire istanze private Amazon EC2 senza accesso a Internet?

Risoluzione

Per gestire istanze EC2 senza accesso a Internet, configura Systems Manager per utilizzare un endpoint di interfaccia Amazon Virtual Private Cloud (Amazon VPC) su AWS PrivateLink.

Crea un profilo dell'istanza IAM per Systems Manager

Completa i seguenti passaggi:

1. Verifica che l'agente AWS Systems Manager (agente SSM) sia installato sull'istanza.
2. Crea un profilo dell'istanza AWS Identity and Access Management (IAM). Puoi creare un nuovo ruolo o aggiungere le autorizzazioni necessarie a un ruolo esistente.
3. Associa il ruolo IAM alla tua istanza.
4. Apri la console Amazon EC2, quindi seleziona la tua istanza.
5. Scegli la scheda Descrizione, quindi annota l'ID del VPC e l'ID della sottorete.

Nota: se utilizzi la configurazione predefinita di gestione degli host per gestire le istanze, non è necessario creare un profilo dell'istanza IAM per gestire le istanze.

Crea o modifica un gruppo di sicurezza

Crea un gruppo di sicurezza o modifica un gruppo di sicurezza esistente. Collega il gruppo di sicurezza alla tua istanza. Il gruppo di sicurezza deve consentire il traffico in uscita sulla porta 443 verso gli endpoint VPC. Inoltre, collega un gruppo di sicurezza all'endpoint VPC. Il gruppo di sicurezza deve consentire il traffico HTTPS (porta 443) in entrata dalle risorse del VPC che comunicano con il servizio. Per ulteriori informazioni, consulta Regole del gruppo di sicurezza per diversi casi d'uso.

Nota: puoi creare un gruppo di sicurezza per le regole in entrata e in uscita e collegarlo all'istanza e all'endpoint VPC.

Per configurare il gruppo di sicurezza per l'endpoint VPC, completa i seguenti passaggi:

1. Apri la console Amazon VPC.
2. Scegli Gruppi di sicurezza, quindi seleziona il nuovo gruppo di sicurezza.
3. Nella scheda Regole in entrata, scegli Modifica regole in entrata.
4. Aggiungi una regola con i dettagli seguenti:
   Per Tipo, scegli HTTPS.
   Per Origine, seleziona il CIDR del tuo VPC.
   Per una configurazione avanzata, puoi consentire il CIDR per sottoreti specifiche nel VPC o per un gruppo di sicurezza utilizzato dalle tue istanze.
5. Annota l'ID del gruppo di sicurezza da utilizzare con gli altri endpoint.
6. Scegli Salva regole.

Crea e configura un endpoint VPC per Systems Manager

**Nota:**Gli endpoint VPC vengono mappati su una sottorete specifica. Se selezioni più sottoreti quando crei gli endpoint VPC, viene creato un endpoint per ogni sottorete selezionata. Ciò comporta un aumento dei costi di fatturazione, in quanto vengono addebitati costi per ogni endpoint.

Completa i seguenti passaggi:

1. Crea un endpoint VPC.
2. Per Nome del servizio, seleziona com.amazonaws.[region].ssm. Per un elenco dei codici delle regioni AWS, consulta Regioni disponibili.
3. In VPC, scegli l'ID VPC per la tua istanza.
4. In Sottoreti, scegli un ID sottorete nel tuo VPC.
   In Disponibilità elevata, scegli almeno due sottoreti da diverse zone di disponibilità all'interno della stessa regione.
   Nota: se hai più di una sottorete nella stessa zona di disponibilità, non è necessario creare endpoint VPC per le sottoreti aggiuntive. Altre sottoreti all'interno della stessa zona di disponibilità possono accedere e utilizzare l'interfaccia.
5. Per Gruppo di sicurezza, seleziona il tuo gruppo di sicurezza.
6. (Facoltativo) Per una configurazione avanzata, crea una policy degli endpoint VPC di interfaccia per Systems Manager.
   Nota: gli endpoint VPC richiedono un DNS fornito da AWS (CIDR VPC+2). Se utilizzi un DNS personalizzato, usa il risolutore Amazon Route 53 per la risoluzione corretta dei nomi.
7. Ripeti i passaggi 2-6 con le seguenti modifiche:
   Per l'endpoint Session Manager, seleziona com.amazonaws.[region].ssmmessages per il nome del servizio.
   Per l'endpoint EC2 Messages, seleziona com.amazonaws.[region].ec2messages per il nome del servizio.
   Nota: per le versioni dell'agente SSM 3.3.40.0 e successive, Systems Manager utilizza l'endpoint ssmmessages:* quando disponibile invece dell'endpoint ec2messages:*. Per ulteriori informazioni, consulta la sezione Priorità delle connessioni all'endpoint in Operazioni API (endpoint ssmmessages e ec2messages) relative agli agenti.

Per verificare che la tua istanza sia registrata come istanza gestita, completa i seguenti passaggi:

1. Apri la console di Systems Manager.
2. Nel pannello di navigazione, scegli Fleet Manager.
3. Verifica che l'ID dell'istanza sia elencato in ID nodo e che il nodo sia nello stato In esecuzione.

Nota: dopo aver completato la configurazione, potrebbero essere necessari alcuni minuti prima che l'istanza sia registrata come istanza gestita. Per fare in modo che l'agente SSM si connetta immediatamente, riavvia l'agente SSM nell'istanza o riavvia l'istanza.

Se non utilizzi le preferenze di sessione predefinite, crea i seguenti endpoint VPC per utilizzare Session Manager, una funzionalità di AWS Systems Manager:

• Se utilizzi la registrazione di Amazon Simple Storage Service (Amazon S3) per Run Command, una funzionalità di Systems Manager, crea l'endpoint gateway com.amazonaws.region.s3.
• Se utilizzi la crittografia del Servizio AWS di gestione delle chiavi (AWS KMS) per Session Manager, crea l'endpoint com.amazonaws.region.kms.
• Se utilizzi Amazon CloudWatch Logs per Run Command, crea un endpoint di servizio per la tua regione.

L'endpoint VPC di EC2 non è necessario per connettere l'istanza a Session Manager. L'endpoint VPC è necessario per creare snapshot dell'istanza basate su Windows Volume Shadow Copy Service (VSS).

Informazioni correlate

Endpoint e quote di AWS Systems Manager

Configurazione di AWS Systems Manager