Salta al contenuto
Usando AWS re:Post, accetti AWS re:Post Termini di utilizzo
AWS re:Postre:Post
Informazioni su re:Post

Come posso creare endpoint Amazon VPC in modo da poter utilizzare Systems Manager per gestire istanze private Amazon EC2 senza accesso a Internet?

5 minuti di lettura
0

La mia istanza Amazon Elastic Compute Cloud (Amazon EC2) non ha accesso a Internet. Desidero creare endpoint Amazon Virtual Private Cloud (Amazon VPC) in modo da poter utilizzare AWS Systems Manager per gestire la mia istanza.

Risoluzione

Per gestire le istanze EC2 senza accesso a Internet, configura Systems Manager in modo che utilizzi un endpoint VPC di interfaccia in AWS PrivateLink.

Crea un profilo dell'istanza IAM per Systems Manager

Nota: se utilizzi la configurazione predefinita di gestione degli host per gestire le istanze, non è necessario creare un profilo dell'istanza IAM per gestirle.

Completa i seguenti passaggi:

  1. Verifica di aver installato l'Agente AWS Systems Manager (Agente SSM) nell'istanza.
  2. Crea un profilo dell'istanza AWS Identity and Access Management (AWS IAM) e aggiungi le autorizzazioni richieste.
    Nota: puoi creare un nuovo ruolo o aggiungere le autorizzazioni a un ruolo esistente.
  3. Associa il ruolo IAM all'istanza.
  4. Apri la console Amazon EC2.
  5. Scegli Istanze nel pannello di navigazione, quindi seleziona l'istanza.
  6. Scegli la scheda Descrizione, quindi annota l'ID del VPC e l'ID della sottorete da utilizzare in un passaggio successivo.

Crea o modifica un gruppo di sicurezza

Crea un gruppo di sicurezza o modifica un gruppo di sicurezza esistente per le regole in entrata e in uscita. Il gruppo di sicurezza deve consentire il traffico in uscita sulla porta 443 verso gli endpoint VPC.Il gruppo di sicurezza deve anche consentire il traffico HTTPS (porta 443) in entrata dalle risorse del VPC che comunicano con il servizio. Per Regole in entrata, scegli come tipo HTTPS. Per Origine, seleziona il blocco CIDR del VPC. Per una configurazione avanzata, consenti il blocco CIDR per sottoreti specifiche nel VPC o per un gruppo di sicurezza utilizzato dalle istanze.

Aggiungi il gruppo di sicurezza all'istanza. Quindi associa il gruppo di sicurezza all'endpoint VPC.Per ulteriori informazioni, consulta Regole del gruppo di sicurezza per diversi casi d'uso.

Crea e configura un endpoint VPC per Systems Manager

Nota: gli endpoint VPC vengono mappati su una sottorete specifica. Se selezioni più sottoreti quando crei gli endpoint VPC, Amazon VPC crea un endpoint per ogni sottorete selezionata. Sono previsti costi per ogni endpoint.

Completa i seguenti passaggi:

  1. Crea un endpoint VPC.
  2. Per Nome del servizio, seleziona com.amazonaws.[region].ssm. Nota: per un elenco dei codici delle Regioni AWS, consulta Available AWS Regions (Regioni AWS disponibili).
  3. Per VPC, seleziona il VPC dell'istanza.
    Nota: per Impostazioni aggiuntive, mantieni l'opzione predefinita, Abilita nome DNS.
  4. Per Sottoreti, seleziona almeno due sottoreti nel VPC da diverse zone di disponibilità all'interno della stessa Regione.
    Nota: se hai più di una sottorete nella stessa zona di disponibilità, non è necessario creare endpoint VPC per le sottoreti aggiuntive. Altre sottoreti all'interno della stessa zona di disponibilità possono accedere e utilizzare l'endpoint di interfaccia.
  5. Per Gruppo di sicurezza, seleziona il gruppo di sicurezza.
  6. (Facoltativo) Per una configurazione avanzata, crea una policy degli endpoint VPC di interfaccia per Systems Manager.
    Nota: gli endpoint VPC richiedono un DNS fornito da AWS (CIDR VPC+2). Se utilizzi un DNS personalizzato, utilizza il risolutore Amazon Route 53 per la risoluzione corretta dei nomi.
  7. Scegli Crea endpoint.

Ripeti i passaggi per creare endpoint per com.amazonaws.[region].ssmmessages e com.amazonaws.[region].ec2messages

Per le versioni dell'Agente SSM 3.3.40.0 e successive, Systems Manager utilizza l'endpoint ssmmessages:* quando disponibile invece dell'endpoint ec2messages:*. Per ulteriori informazioni, consulta la sezione Priorità delle connessioni all'endpoint in Operazioni API (endpoint ssmmessages e ec2messages) relative agli agenti.

Nota: dopo aver completato la configurazione, potrebbero essere necessari alcuni minuti prima che l'istanza sia registrata come istanza gestita. Per connettere immediatamente l'Agente SSM, riavvia l'Agente SSM nell'istanza o riavvia l'istanza.

Per verificare che l'istanza sia un'istanza gestita, completa i seguenti passaggi:

  1. Apri la console Systems Manager.
  2. Nel pannello di navigazione, scegli Fleet Manager.
  3. Verifica che l'ID dell'istanza sia presente in ID nodo e che il nodo sia nello stato In esecuzione.

Se riscontri un problema, consulta Perché Systems Manager non mostra la mia istanza Amazon EC2 come istanza gestita?

Se non utilizzi le preferenze di sessione predefinite, crea i seguenti endpoint VPC per utilizzare Gestione sessione, una funzionalità di AWS Systems Manager:

  • Se utilizzi la registrazione di Amazon Simple Storage Service (Amazon S3) per Run Command, una funzionalità di Systems Manager, crea l'endpoint gateway com.amazonaws.region.s3.
  • Se utilizzi la crittografia del Servizio AWS di gestione delle chiavi (AWS KMS) per Session Manager, crea l'endpoint com.amazonaws.region.kms.
  • Se utilizzi Amazon CloudWatch Logs per Run Command, crea un endpoint di servizio per la tua regione.

L'endpoint VPC di EC2 non è necessario per connettere l'istanza a Gestione sessione. L'endpoint VPC è necessario per creare snapshot dell'istanza basate su Windows Volume Shadow Copy Service (VSS).

Informazioni correlate

Endpoint e quote di AWS Systems Manager

Configurazione di AWS Systems Manager

Argomenti
Management & Governance
Tag
AWS Systems Manager
Lingua
Italiano

Video correlati

Guarda il video di Daniel per saperne di più (2:47)
Guarda il video di Daniel per saperne di più (2:47)
AWS UFFICIALEAggiornata 8 mesi fa

Contenuto pertinente