Comment créer des points de terminaison de VPC pour utiliser Systems Manager afin de gérer les instances EC2 privées sans accès à Internet ?

Date de la dernière mise à jour : 02/06/2021

Mon instance Amazon Elastic Compute Cloud (Amazon EC2) n'a pas accès à Internet. Comment gérer mon instance en utilisant AWS Systems Manager ?

Résolution

Les instances Amazon EC2 doivent être enregistrées en tant qu'instances gérées pour être gérées avec AWS Systems Manager. Procédez comme suit :

  1. Vérifiez que l'agent SSM est installé sur l'instance.
  2. Créez un profil d'instance AWS Identity and Access Management (IAM) pour Systems Manager. Vous pouvez créer un nouveau rôle ou ajouter les autorisations nécessaires à un rôle existant.
  3. Attachez le rôle IAM à votre instance EC2 privée.
  4. Ouvrez la console Amazon EC2, puis sélectionnez votre instance. Sur l'onglet Description, notez VPC ID (ID de VPC) et Subnet ID (ID de sous-réseau).
  5. Créez un point de terminaison d'un VPC pour Systems Manager.
    Pour Service Name (Nom du service), sélectionnez com.amazonaws.[region].ssm (par exemple, com.amazonaws.us-east-1.ssm). Pour obtenir la liste complète des codes de région, consultez Régions disponibles.
    Pour VPC, sélectionnez leVPC ID (ID de VPC) de votre instance.
    Pour Subnets (Sous-réseaux), choisissez un Subnet ID (ID de sous-réseau) sur votre VPC. Pour une haute disponibilité, choisissez au moins deux sous-réseaux dans différentes zones de disponibilité dans la région.
    Remarque: si vous avez plusieurs sous-réseaux dans la même zone de disponibilité, vous n'avez pas besoin de créer des points de terminaison de VPC pour les sous-réseaux supplémentaires. Tous les autres sous-réseaux de la même zone de disponibilité peuvent accéder à l'interface et l'utiliser.
    Pour Enable DNS Name (Activer le nom DNS), sélectionnez Enable for this endpoint (Activer pour ce point de terminaison). Pour plus d'informations, consultez DNS privé pour les points de terminaison d'interface.
    Pour Security Group (Groupe de sécurité), sélectionnez un groupe de sécurité existant ou en créez-en un. Le groupe de sécurité doit autoriser le trafic HTTPS entrant (port 443) à partir des ressources de votre VPC qui communiquent avec le service.
    Si vous avez créé un groupe de sécurité, ouvrez la console VPC, sélectionnez Security Groups (Groupes de sécurité), puis le nouveau groupe de sécurité. Sous l'onglet Inbound Rules (Règles de trafic entrant), choisissez Edit inbound rules (Modifier les règles de trafic entrant). Ajoutez une règle avec les informations suivantes, puis choisissez Save rules (Enregistrer les règles) :
    Pour Type, choisissez HTTPS.
    Pour Source, choisissez votre CIDR de VPC. Pour une configuration avancée, vous pouvez autoriser le CIDR de sous-réseaux spécifiques utilisé par vos instances EC2.
    Notez l'ID du groupe de sécurité. Vous allez utiliser cet ID avec les autres points de terminaison.
    Facultatif : pour une configuration avancée, créez des stratégies pour les points de terminaison d'interface VPC pour AWS Systems Manager.
  6. Répétez l'étape 5 en apportant la modification suivante :
    Pour Service Name (Nom du service), sélectionnez com.amazonaws.[region].ec2messages.
  7. Répétez l'étape 5 en apportant la modification suivante :
    Pour Service Name (Nom du service), sélectionnez com.amazonaws.[region].ssmmessages. Cela est nécessaire si vous souhaitez utiliser Session Manager.

Une fois les trois points de terminaison créés, votre instance apparaît dans Managed Instances (Instances gérées) et peut être gérée en utilisant Systems Manager.