Ir para o conteúdo
Ao usar o AWS re:Post, você concorda com os AWS re:Post Termos de uso
AWS re:Postre:Post
sobre o re:Post

Como criar endpoints da Amazon VPC para poder usar o Systems Manager para gerenciar instâncias privadas do Amazon EC2 sem acesso à Internet?

5 minuto de leitura
0

Minha instância do Amazon Elastic Compute Cloud (Amazon EC2) não tem acesso à Internet. Quero criar endpoints do Amazon Virtual Private Cloud (Amazon VPC) para poder usar o AWS Systems Manager para gerenciar minha instância.

Resolução

Para gerenciar instâncias do EC2 sem acesso à Internet, configure o Systems Manager para usar um endpoint de interface VPC no AWS PrivateLink.

Criar um perfil de instância do IAM para o Systems Manager

Observação: se você estiver usando a Configuração padrão de gerenciamento de host para gerenciar suas instâncias, não será preciso criar um perfil de instância do IAM para gerenciar instâncias.

Conclua as etapas a seguir:

  1. Verifique se o AWS Systems Manager Agent (SSM Agent) está instalado na instância.
  2. Crie um perfil de instância do AWS Identity and Access Management (AWS IAM) e adicione as permissões necessárias.
    Observação: é possível criar um novo perfil ou adicionar as permissões necessárias a um perfil existente.
  3. Anexe o perfil do IAM à instância.
  4. Abra o console do Amazon EC2.
  5. No painel de navegação, escolha Instâncias e, em seguida, selecione sua instância.
  6. Escolha a guia Descrição e anote o ID da VPC e o ID da sub-rede a serem usados em uma etapa posterior.

Criar ou modificar um grupo de segurança

Crie um grupo de segurança ou modifique um grupo de segurança existente para as regras de entrada e saída. O grupo de segurança deve permitir o tráfego de saída na porta 443 para os endpoints da VPC.O grupo de segurança deve permitir o tráfego de entrada HTTPS (porta 443) dos recursos em sua VPC que se comunicam com o serviço. Para as Regras de entrada, escolha HTTPS para o tipo. Em Source, selecione o bloco CIDR da sua VPC. Em configuração avançada, é possível permitir o bloco CIDR para sub-redes específicas na VPC ou em um grupo de segurança que suas instâncias usam.

Anexe o grupo de segurança à instância. Em seguida, associe o grupo de segurança ao endpoint da VPC.  Para obter mais informações, consulte Regras do grupo de segurança para diferentes casos de uso.

Criar e configurar um endpoint da VPC para o Systems Manager

Observação: os endpoints da VPC são mapeados para uma sub-rede específica. Se você selecionar várias sub-redes ao criar os endpoints da VPC, a Amazon VPC criará um endpoint para cada sub-rede selecionada. Você incorre em cobranças por cada endpoint.

Conclua as etapas a seguir:

  1. Crie um endpoint da VPC.
  2. Em Nome do serviço, selecione com.amazonaws.[region].ssm.Observação: para obter uma lista dos códigos de região da AWS, consulte Regiões da AWS disponíveis.
  3. Para VPC, selecione a VPC da sua instância.
    Observação: para Configurações adicionais, mantenha a opção padrão, Habilitar nome DNS.
  4. Para Sub-redes, selecione pelo menos duas sub-redes em sua VPC de diferentes zonas de disponibilidade na mesma região.
    Observação: se você tiver mais de uma sub-rede na mesma zona de disponibilidade, não será preciso criar endpoints da VPC para as sub-redes adicionais. Outras sub-redes dentro da mesma zona de disponibilidade podem acessar e usar o endpoint da interface.
  5. Em Grupo de segurança, selecione seu grupo de segurança.
  6. (Opcional) Como parte de uma configuração avançada, crie uma política de endpoint da VPC de interface para o Systems Manager.
    Observação: os endpoints da VPC exigem um DNS fornecido pela AWS (CIDR+2 da VPC). Se estiver usando um DNS personalizado, use o Amazon Route 53 Resolver para obter a resolução correta de nomes.
  7. Selecione Criar endpoint.

Repita as etapas para criar endpoints para com.amazonaws.[region].ssmmessages e com.amazonaws.[region].ec2messages

Para as versões 3.3.40.0 e posteriores do SSM Agent, o Systems Manager usa o endpoint ssmmessages:*, quando disponível, em vez do endpoint ec2messages:*. Para mais informações, consulte a seção Precedência de conexão de endpoint em Operações de API relacionadas a agentes (endpoints ssmmessages e ec2messages).

Observação: depois de concluir a configuração, pode levar alguns minutos para que a instância seja registrada como gerenciada. Para que o SSM Agent se conecte imediatamente, reinicie-o na instância ou reinicie a instância.

Para verificar se sua instância é gerenciada, conclua as seguintes etapas:

  1. Abra o console do Systems Manager.
  2. No painel de navegação, escolha Fleet Manager.
  3. Verifique se o ID da instância está listado em ID de nó e se o nó está no estado Em execução.

Se você tiver algum problema, consulte Por que o Systems Manager não está mostrando minha instância do Amazon EC2 como uma instância gerenciada?

Se você não usa as preferências de sessão padrão, crie os seguintes endpoints da VPC para usar o Gerenciador de Sessões, um recurso do AWS Systems Manager:

  • Se você usa o registro em log do Amazon Simple Storage Service (Amazon S3) para Run Command, um recurso do Systems Manager, crie o endpoint de gateway com.amazonaws.region.s3.
  • Se você usa a criptografia do AWS Key Management Service (AWS KMS) no Gerenciador de Sessões, crie o endpoint com.amazonaws.region.kms.
  • Se você usa o Amazon CloudWatch Logs para Run Command, crie um endpoint de serviço na sua região.

O endpoint da VPC não é necessário para conectar a instância ao Gerenciador de Sessões. No entanto, o endpoint da VPC é necessário para criar snapshots da instância baseados no Windows Volume Shadow Copy Service (VSS).

Informações relacionadas

Endpoints e cotas do AWS Systems Manager

Configuração do AWS Systems Manager

Tópicos
Management & Governance
Tags
AWS Systems Manager
Idioma
Português

Vídeos relacionados

Assista ao vídeo de Daniel para saber mais (2:47)
Assista ao vídeo de Daniel para saber mais (2:47)
AWS OFICIALAtualizada há 7 meses
Sem comentários

Conteúdo relevante