• AWS Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息，请参阅 [Amazon CloudWatch 控制面板文档](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。

# 使用适用于 Systems Manager 的 VPC 端点提高 EC2 实例的安全性
<a name="setup-create-vpc"></a>

您可以配置 AWS Systems Manager 在 Amazon Virtual Private Cloud（Amazon VPC）中使用接口 VPC 端点，以提高托管式节点（包括[混合和多云](operating-systems-and-machine-types.md#supported-machine-types)环境中的非 EC2 实例）的安全状况。通过使用接口 VPC 端点（接口端点），您可以连接到 AWS PrivateLink 支持的服务。AWS PrivateLink 技术允许您使用私有 IP 地址私下访问 Amazon Elastic Compute Cloud (Amazon EC2) 和 Systems Manager API。

AWS PrivateLink 将托管实例、Systems Manager 和 Amazon EC2 之间的所有网络流量限制在 Amazon 网络以内。这意味着您的托管实例无法访问 Internet。如果您使用 AWS PrivateLink，则无需互联网网关、NAT 设备或虚拟私有网关。

不要求您配置 AWS PrivateLink，但推荐进行此配置。有关 AWS PrivateLink 和 VPC 端点的更多信息，请参阅[AWS PrivateLink 和 VPC 端点](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html)。

**注意**  
使用 VPC 端点的替代方法是，在托管实例上允许出站 Internet 访问。在这种情况下，托管实例还必须允许以下端点的 HTTPS（端口 443）出站流量：  
`ssm.region.amazonaws.com`
`ssmmessages.region.amazonaws.com`
`ec2messages.region.amazonaws.com`
SSM Agent 将在云中启动所有与 Systems Manager 服务的连接。因此，您无需为 Systems Manager 配置防火墙以允许入站流量到达您的实例。  
有关对这些端点的调用的更多信息，请参阅 [参考：ec2messages、ssmmessages 和其他 API 操作](systems-manager-setting-up-messageAPIs.md)。  
如果您在*仅*支持 IPv6 的环境中使用 Systems Manager，则还必须允许出站流量发往以下端点：  
`ssm.region.api.aws`
`ssmmessages.region.api.aws`
`ec2messages.region.api.aws`
有关双堆栈服务端点的更多信息，请参阅《AWS 通用参考指南》**中的 [Dual stack endpoints](https://docs.aws.amazon.com/general/latest/gr/rande.html#dual-stack-endpoints)。  
您还必须确保可从您的节点访问补丁操作存储桶，如[参考：用于修补操作的 Amazon S3 存储桶](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-operations-s3-buckets.html)中所述。

**关于 Amazon VPC**  
您可以使用 Amazon Virtual Private Cloud (Amazon VPC) 在 AWS 云 内您自己的逻辑隔离区域中定义虚拟化网络，我们称之为 *虚拟私有云 (VPC) *。可在 VPC 中启动实例等 AWS 资源。您的 VPC 与您可能在自己的数据中心中运行的传统网络极为相似，同时享有使用来自 AWS 的可扩展基础设施的优势。您可以配置您的 VPC；您可以选择它的 IP 地址范围、创建子网并配置路由表、网关和安全设置。您可以将您的 VPC 中的实例连接到网络。您可以将您的 VPC 连接到公司的数据中心，并将 AWS 云 作为数据中心的延伸。要保护各个子网中的资源，您可以利用多种安全层，包括安全组和网络访问控制列表。有关更多信息，请参阅[《Amazon VPC 用户指南》](https://docs.aws.amazon.com/vpc/latest/userguide/)。

**Topics**
+ [

## VPC 端点限制
](#vpc-requirements-and-limitations)
+ [

## 为 Systems Manager 创建 VPC 端点
](#create-vpc-endpoints)
+ [

## 创建接口 VPC 端点策略
](#create-vpc-interface-endpoint-policies)

## VPC 端点限制
<a name="vpc-requirements-and-limitations"></a>

在配置 Systems Manager 的 VPC 端点之前，请注意以下限制。

**VPC 对等连接**  
VPC 接口端点可以通过*区域内*和*区域间* VPC 对等连接访问。有关 VPC 接口端点的 VPC 对等连接请求的更多信息，请参阅*《Amazon Virtual Private Cloud 用户指南》*中的 [VPC 对等连接 (Quotas)](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-peering)。

无法将 VPC 网关端点连接扩展到 VPC 之外。VPC 中的 VPC 对等连接另一端的资源不能使用网关端点与网关端点服务中的资源进行通信。有关 VPC 网关端点的 VPC 对等连接请求的更多信息，请参阅[《Amazon Virtual Private Cloud 用户指南》](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-endpoints)中的 *VPC 端点 (Quotas)*

**传入连接**  
附加到 VPC 端点的安全组必须允许从托管实例的私有子网通过端口 443 进行传入连接。如果不允许传入连接，则托管实例无法连接到 SSM 和 EC2 端点。

**DNS 解析**  
如果您使用自定义 DNS 服务器，则必须将针对 `amazonaws.com` 域的任何查询的条件转发器添加到 VPC 的 Amazon DNS 服务器。

**S3 存储桶**  
VPC 端点策略必须允许访问至少 [SSM Agent 与 AWS 托管 S3 存储桶进行通信](ssm-agent-technical-details.md#ssm-agent-minimum-s3-permissions) 中列出的 Amazon S3 存储桶。

**注意**  
如果您使用本地防火墙并计划使用 Patch Manager，还必须允许该防火墙访问适当的补丁基准端点。

**Amazon CloudWatch Logs**  
如果您不允许您的实例访问互联网，请为 CloudWatch Logs 创建 VPC 端点，以使用向 CloudWatch 日志发送日志的功能。有关为 CloudWatch Logs 创建端点的更多信息，请参阅《Amazon CloudWatch Logs 用户指南》**中的[为 CloudWatch Logs 创建 VPC 端点](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html#create-VPC-endpoint-for-CloudWatchLogs)。

**混合和多云环境中的 DNS**  
有关配置 DNS 以在[混合和多云](operating-systems-and-machine-types.md#supported-machine-types)环境中与 AWS PrivateLink 端点一起使用的信息，请参阅*《Amazon VPC 用户指南》*中的[用于接口端点的私有 DNS](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-private-dns)。如果需要使用自己的 DNS，可以使用 Route 53 解析程序。有关更多信息，请参阅*《Amazon Route 53 开发人员指南》*中的[解析 VPC 与网络之间的 DNS 查询](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)。

## 为 Systems Manager 创建 VPC 端点
<a name="create-vpc-endpoints"></a>

使用以下信息为 AWS Systems Manager 创建 VPC 接口端点。本主题链接到*《Amazon VPC 用户指南》*中的过程。

**注意**  
*region* 表示 AWS Systems Manager 支持的 AWS 区域 的标识符，例如 `us-east-2` 对应美国东部（俄亥俄州）区域。有关支持的 *region* 值的列表，请参阅*《Amazon Web Services 一般参考》*中的 [Systems Manager service endpoints](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) 的 **Region** 列。

按照[创建接口端点](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint)中的步骤操作，创建以下接口端点：
+ **`com.amazonaws.region.ssm`** – Systems Manager 服务的端点。
+ **`com.amazonaws.region.ec2messages`** – Systems Manager 使用此端点从 SSM Agent 调用到 Systems Manager 服务。从 SSM Agent 的版本 3.3.40.0 开始，只要可用，Systems Manager 就会使用 `ssmmessages:*` 端点（Amazon Message Gateway Service）而非 `ec2messages:*` 端点（Amazon Message Delivery Service）。
+ **`com.amazonaws.region.ec2`** – 如果您使用 Systems Manager 创建启用 VSS 的快照，则需要确保您具有连接到 EC2 服务的端点。如果未定义 EC2 端点，枚举附加的 Amazon EBS 卷的调用将失败，这会导致 Systems Manager 命令失败。
+ **`com.amazonaws.region.s3`**：Systems Manager 使用此端点更新 SSM Agent。如果选择检索存储在存储桶中的脚本或其他文件，或将输出日志上传到存储桶，Systems Manager 也会使用此端点。如果与您的实例关联的安全组限制出站流量，则您必须添加一条规则，以允许流量到达 Amazon S3 的前缀列表。有关更多信息，请参阅*《AWS PrivateLink 指南》*中的[修改安全组](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-gateway.html#vpc-endpoints-security)。
+ **`com.amazonaws.region.ssmmessages`** – 对于 Run Command，SSM Agent 需要此端点才能与 Systems Manager 服务通信，并且在您使用 Session Manager 通过安全数据通道连接到您的实例时需要此端点。有关更多信息，请参阅[AWS Systems Manager Session Manager](session-manager.md)和[参考：ec2messages、ssmmessages 和其他 API 操作](systems-manager-setting-up-messageAPIs.md)。
+ （可选）**`com.amazonaws.region.kms`** – 如果要对 Session Manager 或 Parameter Store 参数使用 AWS Key Management Service (AWS KMS) 加密，请创建此端点。
+ （可选）**`com.amazonaws.region.logs`**：如果要将 Amazon CloudWatch Logs (CloudWatch Logs) 用于 Session Manager、Run Command 或 SSM Agent 日志，请创建此端点。

有关 SSM Agent 必须能够访问的 AWS 托管 S3 存储桶的信息，请参阅 [SSM Agent 与 AWS 托管 S3 存储桶进行通信](ssm-agent-technical-details.md#ssm-agent-minimum-s3-permissions)。如果您正在 Systems Manager 操作中使用虚拟私有云（VPC）端点，则必须在 Systems Manager 的 EC2 实例配置文件中或在[混合和多云](operating-systems-and-machine-types.md#supported-machine-types)环境中的非 EC2 托管式节点的服务角色中提供显式权限。

## 创建接口 VPC 端点策略
<a name="create-vpc-interface-endpoint-policies"></a>

您可以为 AWS Systems Manager 的 VPC 接口端点创建策略，在其中可以指定：
+ 可执行操作的主体
+ 可执行的操作
+ 可被执行操作的资源

有关更多信息，请参阅《Amazon VPC 用户指南》**中的[使用 VPC 端点控制对服务的访问权限](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。