Wie erstelle ich Amazon-VPC-Endpunkte, sodass ich Systems Manager verwenden kann, um private Amazon-EC2-Instances ohne Internetzugang zu verwalten?

Lösung

Um EC2-Instances ohne Internetzugang zu verwalten, konfiguriere Systems Manager so, dass ein VPC-Schnittstellenendpunkt auf AWS PrivateLink verwendet wird.

Ein IAM-Instance-Profil für Systems Manager erstellen

Hinweis: Wenn du die Standard-Host-Verwaltungskonfiguration zur Verwaltung der Instances verwendest, musst du kein IAM-Instance-Profil erstellen, um Instances zu verwalten.

Führe die folgenden Schritte aus:

1. Stelle sicher, dass du AWS Systems Manager Agent (SSM Agent) auf der Instance installiert hast.
2. Erstelle ein AWS Identity and Access Management (IAM)-Instance-Profil und füge die erforderlichen Berechtigungen hinzu.
   Hinweis: Du kannst eine neue Rolle erstellen oder einer vorhandenen Rolle die Berechtigungen hinzufügen.
3. Füge an deine Instance die IAM-Rolle an.
4. Öffne die Amazon-EC2-Konsole.
5. Wähle im Navigationsbereich Instances und dann deine Instance aus.
6. Wähle die Registerkarte Beschreibung und notiere dir dann die VPC-ID und Subnetz-ID, die in einem späteren Schritt verwendet werden sollen.

Eine Sicherheitsgruppe erstellen oder ändern

Erstelle eine Sicherheitsgruppe oder ändere eine vorhandene Sicherheitsgruppe für die Regeln für eingehenden und ausgehenden Datenverkehr. Die Sicherheitsgruppe muss ausgehenden Datenverkehr auf Port 443 zu den VPC-Endpunkten zulassen. Die Sicherheitsgruppe muss außerdem eingehenden HTTPS-Datenverkehr (Port 443) von den Ressourcen, die mit dem Service kommunizieren, in der VPC zulassen. Wähle für die Regeln für eingehenden Datenverkehr HTTPS als Typ aus. Wähle als Quelle den CIDR-Block der VPC aus. Lasse für eine erweiterte Konfiguration den CIDR-Block bei bestimmten Subnetzen in der VPC oder einer Sicherheitsgruppe, die deine Instances verwenden, zu.

Füge die Sicherheitsgruppe zur Instance hinzu. Ordne dann die Sicherheitsgruppe dem VPC-Endpunkt zu.  Weitere Informationen findest du unter Sicherheitsgruppenregeln für verschiedene Anwendungsfälle.

Einen VPC-Endpunkt für Systems Manager erstellen und konfigurieren

Hinweis: VPC-Endpunkte sind einem bestimmten Subnetz zugeordnet. Wenn du beim Erstellen der VPC-Endpunkte mehrere Subnetze auswählst, erstellt Amazon VPC einen Endpunkt für jedes ausgewählte Subnetz. Für jeden Endpunkt fallen Gebühren an.

Führe die folgenden Schritte aus:

1. Erstelle einen VPC-Endpunkt.
2. Wähle für Servicename com.amazonaws.[region].ssm aus.Hinweis: Eine Liste der AWS-Regionscodes findest du unter Verfügbare AWS-Regionen. 
3. Wähle unter VPC die VPC für die Instance aus.
   Hinweis: Behalte für zusätzliche Einstellungen die Standardoption DNS-Namen aktivieren bei.
4. Wähle für Subnetze mindestens zwei Subnetze in deiner VPC aus verschiedenen Availability Zones innerhalb der gleichen Region aus.
   Hinweis: Wenn du mehr als ein Subnetz in derselben Availability Zone hast, musst du keine VPC-Endpunkte für die zusätzlichen Subnetze erstellen. Andere Subnetze innerhalb derselben Availability Zone können auf den Schnittstellenendpunkt zugreifen und ihn verwenden.
5. Wähle als Sicherheitsgruppe deine Sicherheitsgruppe aus.
6. (Optional) Erstelle für eine erweiterte Einrichtung eine Schnittstellen-VPC-Endpunktrichtlinie für Systems Manager.
   Hinweis: VPC-Endpunkte benötigen ein von AWS bereitgestelltes DNS (VPC CIDR+2). Wenn du ein benutzerdefiniertes DNS verwendest, verwende Amazon Route 53 Resolver für die richtige Namensauflösung.
7. Wähle Endpunkt erstellen aus.

Wiederhole die Schritte, um Endpunkte für com.amazonaws.[region].ssmmessages und com.amazonaws.[region].ec2messages zu erstellen. 

Bei SSM Agent Versionen 3.3.40.0 und höher verwendet Systems Manager den Endpunkt ssmmessages:*, sofern verfügbar, anstelle des Endpunkts ec2messages:*. Weitere Informationen findest du im Abschnitt Rangfolge der Endpunktverbindungen unter Agent-bezogene API-Operationen (Endpunkte ssmmessages und ec2messages).

Hinweis: Nachdem du die Konfiguration abgeschlossen hast, kann es einige Minuten dauern, bis die Instance als verwaltete Instance registriert wird. Um SSM Agent sofort zu verbinden, starte SSM Agent in der Instance neu oder starte die Instance neu.

Gehe wie folgt vor, um zu überprüfen, ob es sich bei der Instance um eine verwaltete Instance handelt:

1. Öffne die Systems-Manager-Konsole.
2. Wähle im Navigationsbereich Fleet Manager aus.
3. Stelle sicher, dass deine Instance-ID unter Knoten-ID aufgeführt ist und sich der Knoten im Status Wird ausgeführt befindet.

Wenn du ein Problem hast, findest du weitere Informationen unter Warum zeigt Systems Manager meine Amazon-EC2-Instance nicht als verwaltete Instance an?

Wenn du nicht die Standard-Sitzungseinstellungen verwendest, erstelle die folgenden VPC-Endpunkte, um Session Manager, eine Funktion von AWS Systems Manager, zu verwenden:

• Wenn du die Amazon Simple Storage Service (Amazon S3)-Protokollierung für Run Command, eine Funktion von Systems Manager, verwendest, erstelle den Gateway-Endpunkt com.amazonaws.region.s3.
• Wenn du die AWS Key Management Service (AWS KMS)-Verschlüsselung für Session Manager verwendest, erstelle den Endpunkt com.amazonaws.region.kms.
• Wenn du Amazon CloudWatch Logs für Run Command verwendest, erstelle einen Service-Endpunkt für deine Region.

Der VPC-Endpunkt ist nicht erforderlich, um die Instance mit Session Manager zu verbinden. Der VPC-Endpunkt ist jedoch erforderlich, um auf Windows Volume Shadow Copy Service (VSS) basierende Snapshots der Instance zu erstellen.

Ähnliche Informationen

AWS-Systems-Manager-Endpunkte und Kontingente

AWS Systems Manager einrichten