如何创建 VPC 端点，才能在不连接互联网的情况下使用 Systems Manager 管理私有 EC2 实例？

2 分钟阅读

我的 Amazon Elastic Compute Cloud（Amazon EC2）实例无法连接到互联网。我想使用 AWS Systems Manager 管理我的实例。

解决方法

要使用 Systems Manager 管理 Amazon EC2 实例，您必须将 Amazon EC2 实例注册为托管实例。

**注意：**虚拟私有云（VPC）端点映射到特定的子网。如果您在创建 VPC 端点时选择多个子网，则会为每个选定的子网创建一个端点。这会增加账单成本，因为您需要为每个端点付费。

完成下面的步骤：

创建安全组或修改现有安全组。安全组必须允许来自您的 VPC 中与服务通信的资源的入站 HTTPS（端口 443）流量。

如果您创建新的安全组，请完成以下步骤来配置安全组：

打开 Amazon VPC 控制台。
选择安全组，然后选择新的安全组。
在入站规则选项卡中，选择编辑入站规则。
添加规则，规则详细内容如下：
对于类型，选择 HTTPS。
对于来源，选择您的 VPC CIDR。
对于高级配置，您可以允许 EC2 实例使用特定子网的 CIDR。
记下要用于其他端点的安全组 ID。
选择保存规则。

完成下面的步骤：

创建 VPC 端点。
对于服务名称，选择 com.amazonaws.[region].ssm。例如，com.amazonaws.us-east-1.ssm。有关 AWS 区域代码的列表，请参阅可用区。
对于 VPC，为您的实例选择 VPC ID。
对于子网，选择您的 VPC 中的子网 ID。
要获得高可用性，请至少从该区域内的不同可用区中选择两个子网。
**注意：**如果您在同一个可用区中有多个子网，则无需为额外的子网创建 VPC 端点。同一可用区内的任何其他子网都可以访问和使用该接口。
对于启用 DNS 名称，选择为此端点启用。有关更多信息，请参阅 Access an AWS service using an interface VPC endpoint。
对于安全组，选择现有安全组或创建新安全组。安全组必须允许来自您的 VPC 中与服务通信的资源的入站 HTTPS（端口 443）流量。
（可选）要进行高级设置，请为 Systems Manager 创建接口 VPC 端点策略。
**注意：**VPC 端点需要 AWS 提供的 DNS（VPC CIDR+2）。如果使用的是自定义 DNS，请使用 Amazon Route 53 Resolver 进行正确的名称解析。有关更多信息，请参阅以下文档：
Access an AWS service using an interfaced VPC endpoint
Resolving DNS queries between VPCs and your network
重复步骤 5，并进行以下更改：
对于服务名称，选择 com.amazonaws.[region].ec2messages。

如果您创建安全组，请完成上一部分创建或修改安全组中的步骤配置安全组。

创建三个端点后，您的实例将显示在托管实例中。

**注意：**要使用会话管理器，请创建以下 VPC 端点：

AWS Systems Manager：com.amazonaws.region.ssm
会话管理器：com.amazonaws.region.ssmmessages
（可选）AWS Key Management Service（AWS KMS）：com.amazonaws.region.kms
**注意：**只有在对会话管理器使用 AWS KMS 加密时，才需要此端点。
（可选）Amazon CloudWatch Logs
**注意：**仅当您将 Amazon CloudWatch Logs 用于会话管理器、Run Command 时，才需要此端点。

将实例连接到会话管理器不需要 EC2 VPC 端点。必须使用 EC2 VPC 端点，才能创建 VSS 激活的实例快照。