Como criar endpoints da VPC para poder usar o Systems Manager para gerenciar instâncias privadas do EC2 sem acesso à Internet?

5 minuto de leitura

Minha instância do Amazon Elastic Compute Cloud (Amazon EC2) não tem acesso à Internet. Quero usar o AWS Systems Manager para gerenciar minha instância.

Resolução

Para usar o Systems Manager para gerenciar instâncias do Amazon EC2, é preciso registrar as instâncias do Amazon EC2 como instâncias gerenciadas.

Observação: os endpoints de nuvem privada virtual (VPC) são mapeados para uma sub-rede específica. Se você selecionar várias sub-redes ao criar os endpoints da VPC, será criado um endpoint para cada sub-rede selecionada. Isso aumenta os custos de cobrança porque você incorre em cobranças por cada endpoint.

Crie um perfil de instância do IAM para o Systems Manager

Realize as etapas a seguir:

Verifique se o SSM Agent está instalado na instância.
Crie um perfil de instância do AWS Identity and Access Management (IAM). Você pode criar um novo perfil ou adicionar as permissões necessárias a um perfil existente.
Anexe o perfil do IAM à sua instância.
Abra o console do Amazon EC2 e, em seguida, selecione sua instância.
Selecione a guia Descrição e, em seguida, anote o ID da VPC e o ID da sub-rede.

Criar ou modificar um grupo de segurança

Crie um grupo de segurança ou modifique um grupo de segurança existente. O grupo de segurança deve permitir o tráfego de entrada HTTPS (porta 443) dos recursos em sua VPC que se comunicam com o serviço.

Se você criar um novo grupo de segurança, realize as etapas a seguir para configurar o grupo de segurança:

Abra o console da Amazon VPC.
Selecione Grupos de segurança e, em seguida, selecione o novo grupo de segurança.
Na guia Regras de entrada, selecione Editar regras de entrada.
Adicione uma regra com os seguintes detalhes:
Em Tipo, selecione HTTPS.
Em Origem, escolha o CIDR da sua VPC.
Em Configuração avançada, você pode permitir o CIDR para sub-redes específicas usadas pelas suas instâncias do EC2.
Anote o ID do grupo de segurança para usar com os outros endpoints.
Selecione Salvar regras.

Criar e configurar um endpoint da VPC para o Systems Manager

Realize as etapas a seguir:

Crie um endpoint da VPC.
Em Nome do serviço, selecione com.amazonaws.[região].ssm. Por exemplo, com.amazonaws.us-east-1.ssm. Para obter uma lista dos códigos de região da AWS, consulte Regiões disponíveis.
Em VPC, selecione o ID da VPC da sua instância.
Em Sub-redes, selecione um ID da sub-rede na sua VPC.
Em Alta disponibilidade, selecione ao menos duas sub-redes de diferentes zonas de disponibilidade dentro da região.
Observação: se você tiver mais de uma sub-rede na mesma zona de disponibilidade, não será preciso criar endpoints da VPC para as sub-redes adicionais. Qualquer outra sub-rede dentro da mesma zona de disponibilidade pode acessar e usar a interface.
Em Habilitar nome DNS, selecione Habilitar para este endpoint. Para obter mais informações, consulte Acessar um serviço da AWS usando um endpoint da VPC de interface.
Em Grupo de segurança, selecione um grupo de segurança existente ou crie um novo. O grupo de segurança deve permitir o tráfego de entrada HTTPS (porta 443) dos recursos em sua VPC que se comunicam com o serviço.
(Opcional) Como parte de uma configuração avançada, crie uma política de endpoint da VPC de interface para o Systems Manager.
Observação: os endpoints da VPC exigem um DNS fornecido pela AWS (CIDR+2 da VPC). Se estiver usando um DNS personalizado, use o Amazon Route 53 Resolver para obter a resolução correta de nomes. Para mais informações, consulte a documentação a seguir:
Acessar um Serviço da AWS usando um endpoint da VPC de interface
Resolver consultas de DNS entre VPCs e sua rede
Repita a etapa 5 com a seguinte alteração:
Em Nome do serviço, selecione com.amazonaws.[region].ec2messages.

Se você criar um grupo de segurança, realize as etapas da seção anterior Crie ou modifique um grupo de segurança para configurar o grupo de segurança.

Depois de criados os três endpoints, sua instância aparecerá em Instâncias gerenciadas.

Observação: para usar o Gerenciador de Sessões, crie os seguintes endpoints da VPC:

AWS Systems Manager: com.amazonaws.region.ssm
Gerenciador de Sessões: com.amazonaws.region.ssmmessages
(Opcional) AWS Key Management Service (AWS KMS): com.amazonaws.region.kms
Observação: esse endpoint é necessário somente se você usar a criptografia do AWS KMS para o Gerenciador de Sessões.
(Opcional) Amazon CloudWatch Logs
Observação: esse endpoint é necessário somente se você usar o Amazon CloudWatch Logs para Gerenciador de Sessões, Run Command.

O endpoint da VPC do EC2 não é necessário para conectar a instância ao Gerenciador de Sessões. O endpoint da VPC do EC2 é necessário para criar snapshots da instância ativados por VSS.

Para obter mais informações, consulte Creating VPC endpoints for Systems Manager.

Informações relacionadas

Endpoints e cotas do AWS Systems Manager

Configuração do AWS Systems Manager

Usar o AWS PrivateLink para configurar um endpoint VPC para o Session Manager

Tópicos

Gestão e governança

Vídeos relacionados

Assista ao vídeo de Daniel para saber mais (2:47)

AWS OFICIALAtualizada há 5 meses

Conteúdo relevante

Como fazer para uma função do Lambda em uma VPC acessar o Systems Manager Parameter Store?
AWS OFICIALAtualizada há 2 anos
Como soluciono problemas com o Gerenciador de Sessões do AWS Systems Manager?
AWS OFICIALAtualizada há um ano
Como solucionar problemas de acesso à Internet de uma função do AWS Lambda que está em um Amazon VPC usando o AWS Systems Manager?
AWS OFICIALAtualizada há 3 anos
Como posso usar um túnel SSH por meio do AWS Systems Manager para acessar meus recursos de VPC privados?
AWS OFICIALAtualizada há 2 anos