¿Cómo puedo crear puntos de enlace de VPC que me permitan utilizar Systems Manager para administrar instancias de EC2 privadas sin acceso a Internet?

5 minutos de lectura

Mi instancia de Amazon Elastic Compute Cloud (Amazon EC2) no tiene acceso a Internet. Quiero usar AWS Systems Manager para administrar mi instancia.

Resolución

Si quiere usar Systems Manager para administrar las instancias de Amazon EC2, debe registrar las instancias de Amazon EC2 como instancias administradas.

Nota: Los puntos de enlace de la nube virtual privada (VPC) se asignan a una subred específica. Si selecciona varias subredes al crear los puntos de enlace de la VPC, se crea un punto de enlace para cada subred seleccionada. Esto aumenta los costos de facturación porque se incurre en cargos por cada punto de enlace.

Creación de un perfil de instancia de IAM para Systems Manager

Siga estos pasos:

Compruebe que SSM Agent esté instalado en la instancia.
Cree un perfil de instancia de AWS Identity and Access Management (IAM). Puede crear un rol nuevo o agregar los permisos necesarios a un rol actual.
Asocie el rol de IAM a su instancia.
Abra la consola de Amazon EC2 y, a continuación, seleccione la instancia.
Seleccione la pestaña Descripción y, a continuación, anote el ID de VPC y el ID de subred.

Creación o modificación de un grupo de seguridad

Cree un grupo de seguridad o modifique un grupo de seguridad actual. El grupo de seguridad debe permitir el tráfico HTTPS entrante (puerto 443) desde los recursos de su VPC que se comunican con el servicio.

Si crea un grupo de seguridad nuevo, complete los pasos siguientes para configurar el grupo de seguridad:

Abra la consola de Amazon VPC.
Elija Grupos de seguridad y, a continuación, seleccione el nuevo grupo de seguridad.
En la pestaña Reglas de entrada, seleccione Editar reglas de entrada.
Agregue una regla con los siguientes detalles:
En Tipo, elija HTTPS.
En Origen, elija su CIDR de VPC.
En Configuración avanzada, puede permitir el CIDR para las subredes específicas que utilicen sus instancias EC2.
Anote el ID del grupo de seguridad que se va a usar con los demás puntos de enlace.
Seleccione Guardar reglas.

Creación y configuración de un punto de enlace de VPC para Systems Manager

Siga estos pasos:

Cree un punto de enlace de VPC.
En Nombre del servicio, seleccione com.amazonaws.[region].ssm. Por ejemplo, com.amazonaws.us-east-1.ssm. Para obtener una lista de los códigos de región de AWS, consulte Regiones disponibles.
En VPC, seleccione el ID de VPC de su instancia.
En Subredes, seleccione un ID de subred de su VPC.
En Alta disponibilidad, elija al menos dos subredes de diferentes zonas de disponibilidad dentro de la región.
Nota: Si tiene más de una subred en la misma zona de disponibilidad, no tiene que crear puntos de enlace de VPC para las subredes adicionales. Cualquier otra subred de la misma zona de disponibilidad puede acceder a la interfaz y utilizarla.
En Habilitar nombre de DNS, seleccione Habilitar para este punto de enlace. Para obtener más información, consulte Access an AWS service using an interface VPC endpoint.
En Grupo de seguridad, seleccione un grupo de seguridad actual o cree uno nuevo. El grupo de seguridad debe permitir el tráfico HTTPS entrante (puerto 443) desde los recursos de su VPC que se comunican con el servicio.
(Opcional) Para una configuración avanzada, cree una política de punto de enlace de VPC de interfaz para Systems Manager.
Nota: Los puntos de enlace de VPC requieren un DNS proporcionado por AWS (VPC CIDR+2). Si utiliza un DNS personalizado, use Amazon Route 53 Resolver para obtener la resolución de nombres correcta. Para obtener más información, consulte la siguiente documentación:
Access an AWS service using an interfaced VPC endpoint
Resolving DNS queries between VPCs and your network
Repita el paso 5 con el siguiente cambio:
En Nombre del servicio, seleccione com.amazonaws.[region].ec2messages.

Si crea un grupo de seguridad, complete los pasos de la sección anterior Creación o modificación de un grupo de seguridad para configurarlo.

Después de crear los tres puntos de enlace, la instancia aparece en Instancias administradas.

Nota: Para utilizar Session Manager, cree los siguientes puntos de enlace de VPC:

AWS Systems Manager: com.amazonaws.region.ssm
Session Manager: com.amazonaws.region.ssmmessages
(Opcional) AWS Key Management Service (AWS KMS): com.amazonaws.region.kms
Nota: Este punto de enlace solo es necesario si utiliza el cifrado de AWS KMS para Session Manager.
(Opcional) Registros de Amazon CloudWatch
Nota: Este punto de enlace solo es necesario si utiliza Registros de Amazon CloudWatch para Session Manager, Run Command.

El punto de enlace de VPC de EC2 no es necesario para conectar la instancia a Session Manager. El punto de enlace de VPC de EC2 es necesario para crear instantáneas de la instancia activadas por VSS.

Para obtener más información, consulte Creating VPC endpoints for Systems Manager.

Información relacionada

AWS Systems Manager endpoints and quotas

Setting up AWS Systems Manager

Use AWS PrivateLink to set up a VPC endpoint for Session Manager

Temas

Gestión y gobierno

Etiquetas

AWS Systems Manager

Idioma

Español

Vídeos relacionados

Vea el vídeo de Daniel para obtener más información (2:47)

OFICIAL DE AWSActualizada hace 5 meses

Contenido relevante

¿Cómo consigo que una función de Lambda en una VPC acceda al almacén de parámetros de Systems Manager?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo puedo utilizar un túnel SSH a través de AWS Systems Manager para acceder a mis recursos VPC privados?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo puedo solucionar los problemas de acceso a Internet para una función de AWS Lambda que se encuentra en Amazon VPC mediante AWS Systems Manager?
OFICIAL DE AWSActualizada hace 3 años
¿Por qué mi instancia de EC2 no aparece como un nodo administrado o muestra el estado de «Se perdió la conexión» en Systems Manager?
OFICIAL DE AWSActualizada hace un año