Comment créer des points de terminaison d’un VPC pour utiliser Systems Manager afin de gérer des instances EC2 privées sans accès à Internet ?
Mon instance Amazon Elastic Compute Cloud (Amazon EC2) n’a pas accès à Internet. Je souhaite utiliser AWS Systems Manager pour gérer mon instance.
Résolution
Pour utiliser Systems Manager afin de gérer des instances Amazon EC2, vous devez enregistrer celles-ci en tant qu’instances gérées.
Remarque : les points de terminaison du cloud privé virtuel (VPC) sont mappés vers un sous-réseau spécifique. Un point de terminaison sera créé pour chaque sous-réseau choisi si vous sélectionnez plusieurs sous-réseaux lors de la création des points de terminaison d’un VPC. Vos coûts de facturation seront alors plus importants, car vous devrez payer des frais pour chaque point de terminaison.
Création d’un profil d’instance IAM pour Systems Manager
Procédez comme suit :
- Vérifiez que l’agent SSM est bien installé sur l’instance.
- Créez un profil d’instance Gestion des identités et des accès AWS (AWS IAM). Vous pouvez créer un nouveau rôle ou ajouter les autorisations nécessaires à un rôle existant.
- Attachez le rôle IAM à votre instance.
- Ouvrez la console Amazon EC2, puis sélectionnez votre instance.
- Choisissez l’onglet Description, puis notez l’ID de VPC et l’ID de sous-réseau.
Création ou modification d’un groupe de sécurité
Créez un groupe de sécurité ou modifiez un groupe de sécurité existant. Ce dernier doit autoriser le trafic HTTPS entrant (port 443) provenant des ressources de votre VPC qui communiquent avec le service.
En cas de création d’un nouveau groupe de sécurité, suivez les étapes de configuration suivantes :
- Ouvrez la console Amazon VPC.
- Choisissez Groupes de sécurité, puis sélectionnez le nouveau groupe de sécurité.
- Dans l’onglet Règles entrantes, choisissez Modifier les règles entrantes.
- Ajoutez une règle contenant les informations suivantes :
Dans Type, choisissez HTTPS.
Dans Source, choisissez le CIDR de votre VPC.
Dans Configuration avancée, vous pouvez autoriser le CIDR dans le cadre de sous-réseaux spécifiques utilisés par vos instances EC2. - Notez l’ID du groupe de sécurité à utiliser avec les autres points de terminaison.
- Choisissez Enregistrer les règles.
Création et configuration d’un point de terminaison d’un VPC pour Systems Manager
Procédez comme suit :
- Créez un point de terminaison d’un VPC.
- Dans le champ Nom du service, sélectionnez com.amazonaws.[region].ssm. Par exemple : com.amazonaws.us-east-1.ssm. Pour obtenir la liste des codes de région AWS, consultez la page Régions disponibles.
- Dans VPC, choisissez l’ID de VPC de votre instance.
- Dans Sous-réseaux, choisissez un ID de sous-réseau de votre VPC.
- Dans Haute disponibilité, choisissez au moins deux sous-réseaux provenant de différentes zones de disponibilité au sein de la région.
Remarque : si vous avez plusieurs sous-réseaux dans la même zone de disponibilité, vous n’avez pas besoin de créer des points de terminaison d’un VPC pour les sous-réseaux supplémentaires. Tous les autres sous-réseaux appartenant à la même zone de disponibilité peuvent accéder à l’interface et l’utiliser. - Dans Activer le nom DNS, choisissez Activer pour ce point de terminaison. Consultez la page Accès à un service AWS à l’aide du point de terminaison d’un VPC d’interfacepour en savoir plus.
- Dans Groupe de sécurité, sélectionnez un groupe de sécurité existant ou créez-en un. Ce dernier doit autoriser le trafic HTTPS entrant (port 443) provenant des ressources de votre VPC qui communiquent avec le service.
- (Facultatif) Dans le cadre d’une configuration avancée, créez une politique relative aux points de terminaison d’un VPC d’interface pour Systems Manager.
Remarque : les points de terminaison d’un VPC nécessitent un DNS fourni par AWS (CIDR+2 du VPC). Si vous utilisez un DNS personnalisé, utilisez Amazon Route 53 Resolver pour obtenir une résolution de nom correcte. Consultez cette documentation pour en savoir plus :
Accès à un service AWS à l’aide du point de terminaison d’un VPC d’interface
Résolution des requêtes DNS entre les VPC et votre réseau - Répétez l’étape 5 avec la modification suivante :
Dans Nom du service, sélectionnez com.amazonaws.[region].ec2messages.
Si vous créez un groupe de sécurité, suivez les étapes de la section précédente, Création ou modification d’un groupe de sécurité, pour le configurer.
Une fois les trois points de terminaison créés, l’instance s’affiche dans les Instances gérées.
Remarque : pour utiliser le Gestionnaire de session, vous devez créer les points de terminaison de VPC suivants :
- AWS Systems Manager : com.amazonaws.region.ssm
- Gestionnaire de session : com.amazonaws.region.ssmmessages
- (Facultatif) AWS Key Management Service (AWS KMS) : com.amazonaws.region.kms
Remarque : ce point de terminaison n’est nécessaire que si vous utilisez le chiffrement AWS KMS pour le Gestionnaire de session. - (Facultatif) Amazon CloudWatch Logs
Remarque : ce point de terminaison n’est nécessaire que si vous utilisez Amazon CloudWatch Logs pour le Gestionnaire de session (Exécuter la commande).
Le point de terminaison d’un VPC EC2 n’est pas nécessaire pour connecter l’instance au Gestionnaire de session. Le point de terminaison d’un VPC EC2 est toutefois nécessaire pour créer des instantanés de l’instance activés par VSS.
Consultez la page Création de points de terminaison d’un VPC pour Systems Manager pour en savoir plus.
Informations connexes
Points de terminaison et quotas AWS Systems Manager
Contenus pertinents
- demandé il y a 7 mois
- demandé il y a 8 mois
- demandé il y a 9 mois
- demandé il y a 4 mois
- AWS OFFICIELA mis à jour il y a un an
- AWS OFFICIELA mis à jour il y a un an
- AWS OFFICIELA mis à jour il y a 10 mois