Come faccio a creare gli endpoint VPC in modo da poter utilizzare Systems Manager per gestire le istanze EC2 private senza accesso a Internet?

4 minuti di lettura
0

La mia istanza Amazon Elastic Compute Cloud (Amazon EC2) non dispone di accesso a Internet. Voglio usare AWS Systems Manager per gestire la mia istanza.

Risoluzione

Per gestire le istanze Amazon EC2 utilizzando Systems Manager devi registrare le istanze Amazon EC2 come istanze gestite.

Nota: gli endpoint del cloud privato virtuale (VPC) vengono mappati a una sottorete specifica. Se quando si creano gli endpoint VPC si selezionano più sottoreti, verrà creato un endpoint per ogni sottorete selezionata. Ciò comporterà un aumento dei costi di fatturazione, in quanto verranno addebitati costi per ciascun endpoint.

Crea un profilo dell'istanza IAM per Systems Manager

Completa i passaggi seguenti:

  1. Verifica che l'Agente SSM sia installato sull'istanza.
  2. Crea un profilo dell'istanza AWS Identity and Access Management (IAM). Puoi creare un nuovo ruolo o aggiungere le autorizzazioni necessarie a un ruolo esistente.
  3. Associa il ruolo IAM alla tua istanza.
  4. Apri la console Amazon EC2, quindi seleziona la tua istanza.
  5. Scegli la scheda Descrizione, quindi annota l'ID del VPC e l'ID della sottorete.

Crea o modifica un gruppo di sicurezza

Crea un gruppo di sicurezza o modifica un gruppo di sicurezza esistente. Il gruppo di sicurezza deve consentire il traffico HTTPS (porta 443) in entrata dalle risorse del VPC che comunicano con il servizio.

Se crei un nuovo gruppo di sicurezza, completa i seguenti passaggi per configurarlo:

  1. Apri la console Amazon VPC.
  2. Scegli Gruppi di sicurezza, quindi seleziona il nuovo gruppo di sicurezza.
  3. Nella scheda Regole in entrata, scegli Modifica le regole in entrata.
  4. Aggiungi una regola con i dettagli seguenti:
    Per Tipo, scegli HTTPS.
    Per Origine, scegli il CIDR del tuo VPC.
    In Configurazione avanzata puoi consentire il CIDR per sottoreti specifiche utilizzate dalle tue istanze EC2.
  5. Annota l'ID del gruppo di sicurezza da utilizzare con gli altri endpoint.
  6. Scegli Salva regole.

Crea e configura un endpoint VPC per Systems Manager

Completa i passaggi seguenti:

  1. Crea un endpoint VPC.
  2. Per Nome del servizio, seleziona com.amazonaws.[region].ssm. Ad esempio, com.amazonaws.us-east-1.ssm. Per un elenco dei codici delle regioni AWS, consulta la sezione Available Regions.
  3. In VPC, scegli l'ID del VPC per la tua istanza.
  4. In Sottoreti, scegli un ID della sottorete nel tuo VPC.
  5. In Disponibilità elevata, scegli almeno due sottoreti da diverse zone di disponibilità all'interno della regione.
    Nota: se hai più di una sottorete nella stessa zona di disponibilità, non è necessario creare endpoint VPC per le sottoreti aggiuntive. Qualsiasi altra sottorete all'interno della stessa zona di disponibilità può accedere e utilizzare l'interfaccia.
  6. In Abilita nome DNS, seleziona Abilita per questo endpoint. Per ulteriori informazioni, consulta la sezione Access an AWS service using an interface VPC endpoint.
  7. In Gruppo di sicurezza, seleziona un gruppo di sicurezza esistente oppure creane uno nuovo. Il gruppo di sicurezza deve consentire il traffico HTTPS (porta 443) in entrata dalle risorse del VPC che comunicano con il servizio.
  8. (Facoltativo) Per una configurazione avanzata, crea una policy degli endpoint VPC d'interfaccia per Systems Manager.
    Nota: gli endpoint VPC richiedono un DNS fornito da AWS (CIDR VPC+2). Se utilizzi un DNS personalizzato, usa il risolutore Amazon Route 53 per la risoluzione corretta dei nomi. Per ulteriori informazioni, consulta la seguente documentazione:
    Access an AWS service using an interfaced VPC endpoint
    Resolving DNS queries between VPCs and your network
  9. Ripeti il passaggio 5 con la seguente modifica:
    In Nome del servizio, seleziona com.amazonaws.[region].ec2messages.

Se crei un gruppo di sicurezza, configuralo completando i passaggi illustrati nella sezione precedente Crea o modifica un gruppo di sicurezza.

Dopo aver creato i tre endpoint, l'istanza verrà visualizzata in Istanze gestite. 

Nota: per utilizzare Gestione sessione, crea i seguenti endpoint VPC:

  • AWS Systems Manager: com.amazonaws.region.ssm
  • Gestione sessione: com.amazonaws.region.ssmmessages
  • (Facoltativo) Servizio AWS di gestione delle chiavi (AWS KMS): com.amazonaws.region.kms
    Nota: questo endpoint è richiesto solo se si utilizza la crittografia AWS KMS per Gestione sessione.
  • (Facoltativo) Amazon CloudWatch Logs
    Nota: questo endpoint è richiesto solo se si utilizza Amazon CloudWatch Logs per la funzionalità Run Command di Gestione sessione.

L'endpoint VPC di EC2 non è necessario per connettere l'istanza a Gestione sessione. L'endpoint VPC di EC2 è necessario per creare snapshot dell'istanza attivati da VSS.

Per ulteriori informazioni, consulta la sezione Creazione degli endpoint VPC per Systems Manager.

Informazioni correlate

Endpoint e quote di AWS Systems Manager

Configurazione di AWS Systems Manager

Utilizzo di AWS PrivateLink per configurare un endpoint VPC per Session Manager

AWS UFFICIALE
AWS UFFICIALEAggiornata 6 mesi fa