本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
步驟 6:(選用) 使用 AWS PrivateLink 設定 Session Manager 的 VPC 端點
您可以將 AWS Systems Manager 設定成使用界面 virtual private cloud (VPC) 端點,以提升您受管節點的安全狀態。界面端點採用一種技術 AWS PrivateLink,可讓您使用私有 IP 地址私下存取 Amazon Elastic Compute Cloud (Amazon EC2) 和 Systems Manager APIs。
AWS PrivateLink 會將受管節點、Systems Manager 和 Amazon EC2 之間的所有網路流量限制在 Amazon 網路。(受管階段無法存取網際網路。) 此外,您不需要網際網路閘道、NAT 裝置或虛擬私有閘道。
如需有關建立 VPC 端點的資訊,請參閱使用適用於 Systems Manager 的 VPC 端點來改善 EC2 執行個體的安全性。
使用 VPC 端點的替代方案是在您的受管節點上啟用對外網際網路存取。在此情況下,受管節點也必須允許 HTTPS (連接埠 443) 傳出流量至下列端點:
-
ec2messages.region.amazonaws.com -
ssm.region.amazonaws.com -
ssmmessages.region.amazonaws.com
Systems Manager 使用這些端點的最後一個 (ssmmessages.),從 SSM Agent 中呼叫雲端中的 Session Manager 服務。region.amazonaws.com
若要使用選用的功能,例如 AWS Key Management Service (AWS KMS) 加密、將日誌串流至 Amazon CloudWatch Logs (CloudWatch Logs),以及將日誌傳送至 Amazon Simple Storage Service (Amazon S3),您必須允許 HTTPS (連接埠 443) 傳出流量至下列端點:
-
kms.region.amazonaws.com -
logs.region.amazonaws.com -
s3.region.amazonaws.com
如需 Systems Manager 所需端點的詳細資訊,請參閱參考:ec2messages、ssmmessages 和其他 API 操作。
