Verbessern Sie die Sicherheit von EC2 Instanzen mithilfe von VPC-Endpunkten für Systems Manager - AWS Systems Manager
Beschränkungen und Einschränkungen bei VPC-EndpunktenErstellen von VPC-Endpunkten für Systems ManagerErstellen einer Schnittstellen-VPC-Endpunkt-Richtlinie

AWS Systems ManagerChange Managersteht neuen Kunden nicht mehr offen. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter Änderung der AWS Systems ManagerChange Manager Verfügbarkeit.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verbessern Sie die Sicherheit von EC2 Instanzen mithilfe von VPC-Endpunkten für Systems Manager

Sie können die Sicherheitslage Ihrer verwalteten Knoten (einschließlich EC2 Nicht-Maschinen in einer Hybrid- und Multi-Cloud-Umgebung) verbessern, indem Sie die Verwendung eines VPC-Schnittstellen-Endpunkts in Amazon Virtual Private Cloud (Amazon VPC) konfigurieren AWS Systems Manager . Mithilfe eines Schnittstellen-VPC-Endpunkts (Schnittstellenendpunkt) können Sie eine Verbindung zu Diensten herstellen, die von bereitgestellt werden AWS PrivateLink. AWS PrivateLink ist eine Technologie, mit der Sie privat auf Amazon Elastic Compute Cloud (Amazon EC2) und Systems Manager zugreifen können, APIs indem Sie private IP-Adressen verwenden.

AWS PrivateLink schränkt den gesamten Netzwerkverkehr zwischen Ihren verwalteten Instances, Systems Manager und Amazon EC2 auf das Amazon-Netzwerk ein. Dies bedeutet, dass Ihre verwalteten Instances keinen Zugriff auf das Internet haben. Wenn Sie verwenden AWS PrivateLink, benötigen Sie kein Internet-Gateway, kein NAT-Gerät oder ein virtuelles privates Gateway.

Eine Konfiguration ist nicht erforderlich AWS PrivateLink, wird aber empfohlen. Weitere Informationen zu AWS PrivateLink VPC-Endpunkten finden Sie unter AWS PrivateLink und VPC-Endpoints.

Anmerkung

Die Alternative zur Verwendung eines VPC-Endpunkts ist das Aktivieren von ausgehendem Internetzugriff auf Ihren verwalteten Instances. In diesem Fall müssen die verwalteten Instances auch ausgehenden HTTPS-Datenverkehr (Port 443) zu den folgenden Endpunkten zulassen:

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

  • ec2messages.region.amazonaws.com

SSM Agent initiiert alle Verbindungen zum Systems Manager-Service in der Cloud. Aus diesem Grund müssen Sie Ihre Firewall nicht so konfigurieren, dass eingehender Datenverkehr zu Ihren Instances für Systems Manager zugelassen wird.

Weitere Informationen über Anrufe an diese Endpunkte finden Sie unter Referenz: ec2messages, ssmmessages und andere API-Operationen.

Wenn Sie Systems Manager in einer Umgebung verwenden, die nur unterstützt IPv6, müssen Sie auch ausgehenden Datenverkehr zu den folgenden Endpunkten zulassen:

  • ssm.region.api.aws

  • ssmmessages.region.api.aws

  • ec2messages.region.api.aws

Weitere Informationen zu Dual-Stack-Dienstendpunkten finden Sie unter Dual-Stack-Endpunkte im Allgemeinen Referenzhandbuch.AWS

Sie müssen außerdem sicherstellen, dass die Patch-Operations-Buckets von Ihren Knoten aus erreichbar sind, wie unter Referenz: Amazon S3 S3-Buckets für Patch-Operationen beschrieben.

Über Amazon VPC

Sie können Amazon Virtual Private Cloud (Amazon VPC) verwenden, um ein virtuelles Netzwerk in Ihrem eigenen logisch isolierten Bereich innerhalb der AWS Cloud sogenannten Virtual Private Cloud (VPC) zu definieren. Sie können Ihre AWS -Ressourcen, z. B. Instances, in Ihrer VPC launchen. Eine VPC ist einem herkömmlichen Netzwerk in einem eigenen Rechenzentrum sehr ähnlich, bietet jedoch die Vorteile durch die Nutzung der skalierbaren Infrastruktur von AWS. Sie können Ihre VPC konfigurieren. Hierzu können Sie den IP-Adressbereich auswählen, Subnetze erstellen sowie Routing-Tabellen, Netzwerk-Gateways und Sicherheitseinstellungen konfigurieren. Sie können jetzt Instances in der VPC mit dem Internet verbinden. Sie können Ihre VPC mit Ihrem eigenen Unternehmensrechenzentrum verbinden und sie so zu AWS Cloud einer Erweiterung Ihres Rechenzentrums machen. Um die Ressourcen in den einzelnen Subnetzen zu schützen, können Sie mehrere Sicherheitsebenen verwenden, darunter Sicherheitsgruppen und Netzwerk-Zugriffskontrolllisten. Weitere Informationen finden Sie im Amazon-VPC-Benutzerhandbuch.

Beschränkungen und Einschränkungen bei VPC-Endpunkten

Seien Sie sich der folgenden Einschränkungen bewusst, bevor Sie VPC-Endpunkte für Systems Manager konfigurieren.

VPC-Peering-Verbindungen

Der Zugriff auf VPC-Schnittstellenendpunkte erfolgt sowohl über intraregionale als auch interregionale VPC-Peering-Verbindungen. Weitere Informationen zu VPC-Peering-Verbindungsanforderungen für VPC-Schnittstellenendpunkte finden Sie unter VPC-Peering-Verbindungen (Kontingente) im Benutzerhandbuch zu Amazon Virtual Private Cloud.

VPC-Gateway-Endpunktverbindungen können nicht auf einen Bereich außerhalb einer VPC erweitert werden. Ressourcen am anderen Ende einer VPC-Peering-Verbindung in Ihrer VPC können nicht über den Gateway-Endpunkt mit Ressourcen im Gateway-Endpunktservice kommunizieren. Weitere Informationen zu VPC-Peering-Verbindungsanforderungen für VPC-Gateway-Endpunkte finden Sie unter VPC-Endpunkte (Kontingente) im Benutzerhandbuch zu Amazon Virtual Private Cloud

Eingehende Verbindungen

Die Sicherheitsgruppe für den VPC-Endpunkt müssen eingehende Verbindungen auf Port 443 aus dem privaten Subnetz der verwalteten Instance zulassen. Wenn eingehende Verbindungen nicht zulässig sind, kann die verwaltete Instanz keine Verbindung zum SSM und EC2 zu den Endpunkten herstellen.

DNS-Auflösung

Wenn Sie einen benutzerdefinierten DNS-Server verwenden, müssen Sie dem Amazon-DNS-Server für Ihre VPC einen bedingten Weiterleiter für alle Abfragen an die amazonaws.com-Domain hinzufügen.

S3-Buckets

Ihre VPC-Endpunktrichtlinie muss mindestens Zugriff auf die folgenden Amazon-S3-Buckets in SSM Agent-Kommunikationen mit AWS -verwalteten S3-Buckets gewähren.

Anmerkung

Wenn Sie eine On-Premises-Firewall verwenden und Patch Manager nutzen möchten, muss diese Firewall auch den Zugriff auf den geeigneten Patch-Baseline-Endpunkt zulassen.

CloudWatch Amazon-Protokolle

Wenn Sie Ihren Instances nicht erlauben, auf das Internet zuzugreifen, erstellen Sie einen VPC-Endpunkt für CloudWatch Logs, um Funktionen zu verwenden, die Logs an CloudWatch Logs senden. Weitere Informationen zum Erstellen eines Endpunkts für CloudWatch Logs finden Sie unter Creating a VPC Endpoint for CloudWatch Logs im Amazon CloudWatch Logs-Benutzerhandbuch.

DNS in einer Hybrid- und Multi-Cloud-Umgebung

Informationen zur Konfiguration von DNS für die Verwendung mit AWS PrivateLink Endpunkten in Hybrid- und Multicloud-Umgebungen finden Sie unter Private DNS für Schnittstellenendpunkte im Amazon VPC-Benutzerhandbuch. Wenn Sie Ihre eigene DNS verwenden möchten, können Sie Route 53-Resolver nutzen. Weitere Informationen finden Sie unter Auflösen von DNS-Abfragen zwischen VPCs und Ihrem Netzwerk im Amazon Route 53-Entwicklerhandbuch.

Erstellen von VPC-Endpunkten für Systems Manager

Verwenden Sie die folgenden Informationen, um VPC-Schnittstellenendpunkte für zu erstellen. AWS Systems Manager Dieses Thema verweist auf Verfahren im Amazon VPC User Guide.

Anmerkung

regionstellt den Bezeichner für eine Region dar AWS Systems Manager, die von AWS-Region unterstützt wird, z. B. us-east-2 für die Region USA Ost (Ohio). Eine Liste der unterstützten region Werte finden Sie in der Spalte Region der Systems Manager Manager-Dienstendpunkte in der Allgemeine Amazon Web Services-Referenz.

Befolgen Sie die Schritte unter Erstellen eines Schnittstellen-Endpunkts zum Erstellen der folgenden Schnittstellen-Endpunkte:

  • com.amazonaws.region.ssm – Der Endpunkt für den Systems-Manager-Service.

  • com.amazonaws.region.ec2messages – Systems Manager verwendet diesen Endpunkt, um Anrufe vom SSM Agent an den Systems-Manager-Service zu tätigen. Ab Version 3.3.40.0 von SSM Agent begann Systems Manager, den ssmmessages:*-Endpunkt (Amazon Message Gateway Service), wann immer verfügbar, anstelle des ec2messages:*-Endpunkts (Amazon Message Delivery Service) zu verwenden.

  • com.amazonaws.region.ec2— Wenn Sie Systems Manager verwenden, um VSS-fähige Snapshots zu erstellen, müssen Sie sicherstellen, dass Sie über einen Endpunkt für den Service verfügen. EC2 Wenn der EC2 Endpunkt nicht definiert ist, schlägt ein Aufruf zur Aufzählung angehängter Amazon EBS-Volumes fehl, was dazu führt, dass der Systems Manager Manager-Befehl fehlschlägt.

  • com.amazonaws.region.s3 – Systems Manager verwendet diesen Endpunkt für die AktualisierungSSM Agent. Systems Manager verwendet diesen Endpunkt auch, wenn Sie optional Skripts oder andere in Buckets gespeicherte Dateien abrufen oder Ausgabeprotokolle in einen Bucket hochladen möchten. Wenn die mit Ihren Instances verknüpfte Sicherheitsgruppe den ausgehenden Datenverkehr einschränkt, müssen Sie eine Regel hinzufügen, um Datenverkehr zur Präfixliste für Amazon S3 zuzulassen. Weitere Informationen finden Sie unter Modify your security group im AWS PrivateLink -Guide.

  • com.amazonaws.region.ssmmessages – Dieser Endpunkt wird benötigt, damit SSM Agent mit dem Systems-Manager-Service kommunizieren kann, für Run Command und wenn Sie über einen sicheren Datenkanal eine Verbindung zu Ihren Instances mit Session Manager herstellen. Weitere Informationen erhalten Sie unter AWS Systems Manager Session Manager und Referenz: ec2messages, ssmmessages und andere API-Operationen.

  • (Optional) com.amazonaws.region.kms— Erstellen Sie diesen Endpunkt, wenn Sie die Verschlüsselung AWS Key Management Service (AWS KMS) für Session Manager oder Parameter verwenden möchten. Parameter Store

  • (Optional) com.amazonaws.region.logs— Erstellen Sie diesen Endpunkt, wenn Sie Amazon CloudWatch Logs (CloudWatch Logs) fürSession Manager,Run Command, oder SSM Agent Logs verwenden möchten.

Informationen zu den AWS verwalteten S3-Buckets, auf die zugegriffen werden SSM Agent muss, finden Sie unterSSM Agent-Kommunikationen mit AWS -verwalteten S3-Buckets. Wenn Sie in Ihren Systems Manager-Vorgängen einen VPC-Endpunkt (Virtual Private Cloud) verwenden, müssen Sie in einem EC2 Instanzprofil für Systems Manager oder in einer Servicerolle für nicht EC2 verwaltete Knoten in einer Hybrid- und Multi-Cloud-Umgebung ausdrückliche Berechtigungen erteilen.

Erstellen einer Schnittstellen-VPC-Endpunkt-Richtlinie

Sie können Richtlinien für VPC-Schnittstellen-Endpoints erstellen, für AWS Systems Manager die Sie Folgendes angeben können:

  • Der Prinzipal, der die Aktionen ausführen kann

  • Aktionen, die ausgeführt werden können

  • Ressourcen, für die Aktionen ausgeführt werden können

Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Benutzerhandbuch zu Amazon VPC.