如何建立 VPC 端點以便我可以使用 Systems Manager 在沒有網際網路存取時管理私有 EC2 執行個體?

2 分的閱讀內容
0

我的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體沒有網際網路存取。我想使用 AWS Systems Manager 管理我的執行個體。

解決方法

若要使用 Systems Manager 管理 Amazon EC2 執行個體,必須將 Amazon EC2 執行個體註冊為受管理執行個體。

**注意:**虛擬私有雲端 (VPC) 端點映射至特定子網路。如果在建立 VPC 端點時選取多個子網路,則會為每個選取的子網路建立一個端點。這會增加帳單成本,因為每個端點都會產生費用。

為 Systems Manager 建立 IAM 執行個體設定檔

請完成下列步驟:

  1. 確認執行個體上已安裝 SSM Agent
  2. 建立 AWS Identity and Access Management (IAM) 執行個體設定檔。您可以建立新角色,或將必要的許可新增至現有角色。
  3. 連接 IAM 角色至您的執行個體。
  4. 開啟 Amazon EC2 主控台,然後選取您的執行個體。
  5. 選擇描述標籤,然後記下 VPC ID子網路 ID

建立或修改安全群組

建立安全群組,或修改現有的安全群組。安全群組必須允許從 VPC 中與服務通訊的資源傳入的 HTTPS (連接埠 443) 流量。

如果您建立新的安全群組,請完成下列步驟以設定安全群組:

  1. 開啟 Amazon VPC 主控台
  2. 選擇安全群組,然後選取新的安全群組。
  3. 傳入規則標籤中,選擇編輯傳入規則
  4. 新增包含下列詳細資訊的規則:
    對於類型,選擇 HTTPS
    對於來源,選擇您的 VPC CIDR。
    對於進階組態,您可以針對 EC2 執行個體使用的特定子網路允許 CIDR。
  5. 記下要與其他端點一起使用的安全群組 ID。
  6. 選擇儲存規則

為 Systems Manager 建立並設定 VPC 端點

請完成下列步驟:

  1. 建立 VPC 端點
  2. 對於服務名稱,選取 com.amazonaws.[region].ssm。例如 com.amazonaws.us-east-1.ssm。如需 AWS 區域代碼清單,請參閱可用區域
  3. 對於 VPC,選擇執行個體的 VPC ID
  4. 對於子網路,選擇 VPC 中的子網路 ID
  5. 對於高可用性,從區域內的不同可用區域中選擇至少兩個子網路。
    **注意:**如果同一可用區域中有多個子網路,則無需為額外的子網路建立 VPC 端點。同一可用區域內的任何其他子網路都可以存取和使用該介面。
  6. 對於啟用 DNS 名稱,選擇為此端點啟用。如需詳細資訊,請參閱使用介面 VPC 端點存取 AWS 服務
  7. 對於安全群組,選取現有的安全群組,或建立新的安全群組。安全群組必須允許從 VPC 中與服務通訊的資源傳入的 HTTPS (連接埠 443) 流量。
  8. (選用) 對於進階設定,請為 Systems Manager 建立介面 VPC 端點政策
    **注意:**VPC 端點需要 AWS 提供的 DNS (VPC CIDR+2)。如果您使用自訂 DNS,請使用 Amazon Route 53 Resolver 進行正確的名稱解析。如需詳細資訊,請參閱下列文件:
    使用介面 VPC 端點存取 AWS 服務
    解析 VPC 與網路之間的 DNS 查詢
  9. 重複步驟 5,執行下列變更:
    對於服務名稱,選取 com.amazonaws.[region].ec2messages

如果建立安全群組,請完成上一節建立或修改安全群組中的步驟以設定安全群組。

建立三個端點後,執行個體會出現在受管理執行個體中。

**注意:**若要使用 Session Manager,請建立下列 VPC 端點:

  • AWS Systems Manager:com.amazonaws.region.ssm
  • Session Manager:com.amazonaws.region.ssmmessages
  • (選用) AWS Key Management Service (KMS):com.amazonaws.region.kms
    **注意:**僅在對 Session Manager 使用 AWS KMS 加密時才需要此端點。
  • (選用) Amazon CloudWatch Logs
    **注意:**僅在對 Session Manager、Run Command 使用 Amazon CloudWatch Logs 時才需要此端點。

將執行個體連線到 Session Manager 不需要 EC2 VPC 端點。建立執行個體的 VSS 啟動快照需要 EC2 VPC 端點。

如需詳細資訊,請參閱為 Systems Manager 建立 VPC 端點

相關資訊

AWS Systems Manager 端點和配額

設定 AWS Systems Manager

使用 AWS PrivateLink 為 Session Manager 設定 VPC 端點

AWS 官方
AWS 官方已更新 4 個月前