Como criar endpoints da VPC para poder usar o Systems Manager para gerenciar instâncias privadas do EC2 sem acesso à Internet?
Minha instância do Amazon Elastic Compute Cloud (Amazon EC2) não tem acesso à Internet. Quero usar o AWS Systems Manager para gerenciar minha instância.
Resolução
Para usar o Systems Manager para gerenciar instâncias do Amazon EC2, é preciso registrar as instâncias do Amazon EC2 como instâncias gerenciadas.
Observação: os endpoints de nuvem privada virtual (VPC) são mapeados para uma sub-rede específica. Se você selecionar várias sub-redes ao criar os endpoints da VPC, será criado um endpoint para cada sub-rede selecionada. Isso aumenta os custos de cobrança porque você incorre em cobranças por cada endpoint.
Crie um perfil de instância do IAM para o Systems Manager
Realize as etapas a seguir:
- Verifique se o SSM Agent está instalado na instância.
- Crie um perfil de instância do AWS Identity and Access Management (IAM). Você pode criar um novo perfil ou adicionar as permissões necessárias a um perfil existente.
- Anexe o perfil do IAM à sua instância.
- Abra o console do Amazon EC2 e, em seguida, selecione sua instância.
- Selecione a guia Descrição e, em seguida, anote o ID da VPC e o ID da sub-rede.
Criar ou modificar um grupo de segurança
Crie um grupo de segurança ou modifique um grupo de segurança existente. O grupo de segurança deve permitir o tráfego de entrada HTTPS (porta 443) dos recursos em sua VPC que se comunicam com o serviço.
Se você criar um novo grupo de segurança, realize as etapas a seguir para configurar o grupo de segurança:
- Abra o console da Amazon VPC.
- Selecione Grupos de segurança e, em seguida, selecione o novo grupo de segurança.
- Na guia Regras de entrada, selecione Editar regras de entrada.
- Adicione uma regra com os seguintes detalhes:
Em Tipo, selecione HTTPS.
Em Origem, escolha o CIDR da sua VPC.
Em Configuração avançada, você pode permitir o CIDR para sub-redes específicas usadas pelas suas instâncias do EC2. - Anote o ID do grupo de segurança para usar com os outros endpoints.
- Selecione Salvar regras.
Criar e configurar um endpoint da VPC para o Systems Manager
Realize as etapas a seguir:
- Crie um endpoint da VPC.
- Em Nome do serviço, selecione com.amazonaws.[região].ssm. Por exemplo, com.amazonaws.us-east-1.ssm. Para obter uma lista dos códigos de região da AWS, consulte Regiões disponíveis.
- Em VPC, selecione o ID da VPC da sua instância.
- Em Sub-redes, selecione um ID da sub-rede na sua VPC.
- Em Alta disponibilidade, selecione ao menos duas sub-redes de diferentes zonas de disponibilidade dentro da região.
Observação: se você tiver mais de uma sub-rede na mesma zona de disponibilidade, não será preciso criar endpoints da VPC para as sub-redes adicionais. Qualquer outra sub-rede dentro da mesma zona de disponibilidade pode acessar e usar a interface. - Em Habilitar nome DNS, selecione Habilitar para este endpoint. Para obter mais informações, consulte Acessar um serviço da AWS usando um endpoint da VPC de interface.
- Em Grupo de segurança, selecione um grupo de segurança existente ou crie um novo. O grupo de segurança deve permitir o tráfego de entrada HTTPS (porta 443) dos recursos em sua VPC que se comunicam com o serviço.
- (Opcional) Como parte de uma configuração avançada, crie uma política de endpoint da VPC de interface para o Systems Manager.
Observação: os endpoints da VPC exigem um DNS fornecido pela AWS (CIDR+2 da VPC). Se estiver usando um DNS personalizado, use o Amazon Route 53 Resolver para obter a resolução correta de nomes. Para mais informações, consulte a documentação a seguir:
Acessar um Serviço da AWS usando um endpoint da VPC de interface
Resolver consultas de DNS entre VPCs e sua rede - Repita a etapa 2 com a seguinte alteração:
Em Nome do serviço, selecione com.amazonaws.[region].ec2messages.
Se você criar um grupo de segurança, realize as etapas da seção anterior Crie ou modifique um grupo de segurança para configurar o grupo de segurança.
Depois de criados os três endpoints, sua instância aparecerá em Instâncias gerenciadas.
Observação: para usar o Gerenciador de Sessões, crie os seguintes endpoints da VPC:
- AWS Systems Manager: com.amazonaws.region.ssm
- Gerenciador de Sessões: com.amazonaws.region.ssmmessages
- (Opcional) AWS Key Management Service (AWS KMS): com.amazonaws.region.kms
Observação: esse endpoint é necessário somente se você usar a criptografia do AWS KMS para o Gerenciador de Sessões. - (Opcional) Amazon CloudWatch Logs
Observação: esse endpoint é necessário somente se você usar o Amazon CloudWatch Logs para Gerenciador de Sessões, Run Command.
O endpoint da VPC do EC2 não é necessário para conectar a instância ao Gerenciador de Sessões. O endpoint da VPC do EC2 é necessário para criar snapshots da instância ativados por VSS.
Para obter mais informações, consulte Creating VPC endpoints for Systems Manager.
Informações relacionadas
Endpoints e cotas do AWS Systems Manager
Configuração do AWS Systems Manager
Usar o AWS PrivateLink para configurar um endpoint VPC para o Session Manager
Vídeos relacionados
Conteúdo relevante
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há 2 anos