Schritt 6: (Optional) Verwenden von AWS PrivateLink zum Einrichten eines VPC-Endpunkts für Session Manager

Sie können den Sicherheitsstatus Ihrer verwalteten Knoten weiter verbessern, indem Sie AWS Systems Manager zum Verwenden eines Virtual Private Cloud (VPC)-Schnittstellenendpunkts konfigurieren. Schnittstellenendpunkte werden mittels AWS PrivateLink realisiert, einer Technologie, mit der Sie unter Verwendung privater IP-Adressen privat auf Amazon Elastic Compute Cloud (Amazon EC2)- und Systems Manager-APIs zugreifen können.

AWS PrivateLink schränkt den gesamten Netzwerkverkehr zwischen Ihren verwalteten Knoten, Systems Manager und Amazon EC2 auf das Amazon-Netzwerk ein. (Verwaltete Knoten haben keinen Zugriff auf das Internet.) Zudem benötigen Sie kein Internet-Gateway, kein NAT-Gerät und kein Virtual Private Gateway.

Informationen zum Erstellen eines VPC-Endpunkts finden Sie unter Die Sicherheit von EC2-Instances mithilfe von VPC-Endpunkten verbessern für Systems Manager.

Die Alternative zur Verwendung eines VPC-Endpunkts ist das Erlauben von ausgehendem Internetzugriff auf Ihre verwalteten Knoten. In diesem Fall müssen die verwalteten Knoten auch ausgehenden HTTPS-Datenverkehr (Port 443) zu den folgenden Endpunkten erlauben:

Systems Manager verwendet ssmmessages.region.amazonaws.com, den letzten dieser Endpunkte, über den Sie Anrufe von SSM Agent auf den Session Manager-Service in der Cloud tätigen können.

Um optionale Funktionen wie AWS Key Management Service (AWS KMS- Verschlüsselung, Streaming von Protokollen an Amazon CloudWatch Logs (CloudWatch Logs) und das Senden von Protokollen an Amazon Simple Storage Service (Amazon S3) zu verwenden, müssen Sie ausgehenden HTTPS-Datenverkehr (Port 443) an die folgenden Endpunkte erlauben:

Weitere Informationen zu erforderlichen Endpunkten für Systems Manager finden Sie unter Referenz: ec2messages, ssmmessages und andere API-Operationen.