Comment créer des points de terminaison de VPC pour utiliser Systems Manager afin de gérer les instances EC2 privées sans accès à Internet ?

Date de la dernière mise à jour : 10/09/2020

Mon instance Amazon Elastic Compute Cloud (Amazon EC2) n'a pas accès à Internet. Comment gérer mon instance en utilisant AWS Systems Manager ? 

Résolution

Les instances Amazon EC2 doivent être enregistrées en tant qu'instances gérées pour être gérées avec AWS Systems Manager. Procédez comme suit :

  1. Vérifiez que l'agent SSM est installé sur l'instance.
  2. Créez un profil d'instance AWS Identity and Access Management (IAM) pour Systems Manager. Vous pouvez créer un nouveau rôle ou ajouter les autorisations nécessaires à un rôle existant.
  3. Attachez le rôle IAM à votre instance EC2 privée.
  4. Ouvrez la console Amazon EC2, puis sélectionnez votre instance. Sur l'onglet Description, notez l'ID de VPC et l'ID de sous-réseau.
  5. Créez un point de terminaison VPC pour Systems Manager.
    Pour Service Name (Nom du service), sélectionnez com.amazonaws.[region].ssm (par exemple, com.amazonaws.us-east-1.ssm). Pour obtenir la liste complète des codes de région, consultez Régions disponibles.
    Pour VPC, sélectionnez leVPC ID (ID de VPC) de votre instance.
    Pour Subnets (Sous-réseaux), choisissez l'ID de sous-réseau de votre instance. Veillez à choisir des sous-réseaux de différentes zones de disponibilité au sein de la région.
    Remarque: Si vous avez plusieurs sous-réseaux dans la même zone de disponibilité, vous n'avez pas besoin de créer des points de terminaison VPC pour les sous-réseaux supplémentaires. Tous les autres sous-réseaux de la même zone de disponibilité peuvent accéder à l'interface et l'utiliser.
    Pour Enable DNS Name (Activer le nom DNS), sélectionnez Enable for this endpoint (Activer pour ce point de terminaison).
    Pour Security Group (Groupe de sécurité), sélectionnez un groupe de sécurité existant ou en créez-en un. Le groupe de sécurité doit autoriser le trafic entrant vers votre instance sur le port 443. Si vous créez un groupe de sécurité, notez l'ID de groupe.
  6. Répétez l'étape 5 en apportant la modification suivante :
    Pour Service Name (Nom du service), sélectionnez com.amazonaws.[region].ec2messages.
  7. Répétez l'étape 5 en apportant la modification suivante :
    Pour Service Name (Nom du service), sélectionnez com.amazonaws.[region].ssmmessages. Cela est nécessaire si vous souhaitez utiliser Session Manager.
  8. Si vous avez créé un groupe de sécurité, ouvrez la console VPC, sélectionnez Security Groups (Groupes de sécurité), puis le nouveau groupe de sécurité. Sous l'onglet Inbound Rules (Règles de trafic entrant), choisissez Edit inbound rules (Modifier les règles de trafic entrant). Ajoutez une règle avec les informations suivantes, puis choisissez Save rules (Enregistrer les règles).
    Pour Type, choisissez HTTPS.
    Pour Source, sélectionnez votre VPC/CIDR de sous-réseau.

Une fois les trois points de terminaison créés, votre instance s'affiche dans les instances gérées et peut être gérée en utilisant Systems Manager.