¿Cómo puedo crear puntos de enlace de Amazon VPC que me permitan utilizar Systems Manager para administrar instancias de Amazon EC2 privadas sin acceso a Internet?

Resolución

Para administrar instancias de EC2 sin acceso a Internet, configura Systems Manager para usar un punto de enlace de interfaz de VPC en AWS PrivateLink.

Creación de un perfil de instancia de IAM para Systems Manager

Nota: Si utilizas la configuración de administración de hosts predeterminada para administrar tus instancias, no necesitas crear un perfil de instancia de IAM para administrarlas.

Sigue estos pasos:

1. Comprueba que AWS Systems Manager Agent (SSM Agent) esté instalado en la instancia.
2. Crea un perfil de instancia de AWS Identity and Access Management (IAM) y añade los permisos necesarios.
   Nota: Puedes crear un rol nuevo o agregar los permisos a un rol actual.
3. Asocia el rol de IAM a tu instancia.
4. Abre la consola de Amazon EC2.
5. En el panel de navegación, elige Instancias y, a continuación, selecciona la instancia.
6. Selecciona la pestaña Descripción y, a continuación, anota los ID de VPC y de subred que vas a usar en un paso posterior.

Creación o modificación de un grupo de seguridad

Crea un grupo de seguridad o modifica un grupo de seguridad existente para las reglas de entrada y salida. El grupo de seguridad debe permitir el tráfico saliente en el puerto 443 a los puntos de enlace de VPC. El grupo de seguridad también debe permitir el tráfico HTTPS entrante (puerto 443) desde los recursos de tu VPC que se comunican con el servicio. En Reglas de entrada, elige HTTPS como tipo. En Origen, selecciona el bloque de CIDR de tu VPC. Si quieres establecer una configuración avanzada, permite el bloque de CIDR en subredes específicas de la VPC o de un grupo de seguridad que use tus instancias.

Agrega el grupo de seguridad a la instancia. A continuación, asocia el grupo de seguridad al punto de enlace de la VPC.  Para más información, consulta Reglas de grupos de seguridad para diferentes casos de uso.

Creación y configuración de un punto de enlace de VPC para Systems Manager

Nota: Los puntos de enlace de VPC se asignan a una subred específica. Si seleccionas varias subredes al crear los puntos de enlace de VPC, Amazon VPC crea un punto de enlace para cada subred seleccionada. Se crearán cargos por cada punto de enlace.

Sigue estos pasos:

1. Crea un punto de enlace de VPC.
2. En Nombre del servicio, selecciona com.amazonaws.[region].ssm.**Nota:](https://docs.aws.amazon.com/global-infrastructure/latest/regions/aws-regions.html#available-regions) Para obtener una lista de los códigos de región de AWS, consulta **Regiones de AWS disponibles[. 
3. En VPC, selecciona el ID de VPC de tu instancia.
   Nota: En Configuración adicional, mantén la opción predeterminada, Habilitar nombre DNS.
4. En Subredes, selecciona al menos dos subredes en t VPC de diferentes zonas de disponibilidad dentro de la misma región.
   Nota: Si tienes más de una subred en la misma zona de disponibilidad, no tienes que crear puntos de enlace de VPC para las subredes adicionales. Cualquier otra subred de la misma zona de disponibilidad puede acceder al punto de enlace de la interfaz.
5. En Grupo de seguridad, selecciona su grupo de seguridad.
6. (Opcional) Para establecer una configuración avanzada, crea una política de punto de enlace de VPC de interfaz para Systems Manager.
   Nota: Los puntos de enlace de VPC requieren un DNS proporcionado por AWS (VPC CIDR+2). Si usas un DNS personalizado, usa Amazon Route 53 Resolver para obtener la resolución de nombres correcta.
7. Elige Crear punto de enlace.

Repite los pasos para crear puntos de enlace para com.amazonaws.[region].ssmmessages y com.amazonaws.[region].ec2messages. 

Para las versiones 3.3.40.0 y posteriores de SSM Agent, Systems Manager usa el punto de enlace ssmmessages:* cuando está disponible en lugar del punto de enlace ec2messages:*. Para más información, consulta la sección Prioridad de las conexiones de punto de enlace en Operaciones de API relacionadas con el agente (puntos de enlace ssmmessages y ec2messages).

Nota: Tras completar la configuración, es posible que la instancia tarde unos minutos en registrarse como instancia administrada. Para que SSM Agent se conecte inmediatamente, reinicia SSM Agent en la instancia o reinicia la instancia.

Para comprobar que tu instancia es una instancia administrada, sigue estos pasos:

1. Abre la consola de Systems Manager.
2. En el panel de navegación, selecciona Administrador de flotas.
3. Comprueba que el ID de instancia aparezca en ID del nodo y que el nodo esté en estado de ejecución.

Si tienes algún problema, consulta ¿Por qué Systems Manager no muestra mi instancia de Amazon EC2 como una instancia administrada?

Si no usas las preferencias de sesión predeterminadas, crea los siguientes puntos de enlace de VPC para usar el administrador de sesiones, una funcionalidad de AWS Systems Manager:

• Si utilizas el registro de Amazon Simple Storage Service (Amazon S3) para Ejecutar comando, una funcionalidad de Systems Manager, crea el punto de enlace de puerta de enlace com.amazonaws.region.s3.
• Si usas el cifrado de AWS Key Management Service (AWS KMS) para el administrador de sesiones, crea el punto de enlace com.amazonaws.region.kms.
• Si usas Registros de Amazon CloudWatch para Ejecutar comando, crea un punto de enlace de servicio para tu región.

El punto de enlace de VPC no es necesario para conectar la instancia al administrador de sesiones. Sin embargo, el punto de enlace de VPC es necesario para crear instantáneas de la instancia basadas en el Servicio de instantáneas de volumen (VSS) de Windows.

Información relacionada

AWS Systems Manager endpoints and quotas (Puntos de enlace y cuotas de AWS Systems Manager)

Configuración de AWS Systems Manager