如何解决AWS SSM 会话管理器不适用于配置了 NACL 的私有实例
我无法使用 AWS SSM 会话管理器安全登录到应用了 NACL 规则的私有实例。而如果我更新 NACL 规则 open To public(0.0.0.0/0),AWS SSM 可以工作。我希望我的私有实例是安全的,并且在 NACL 中没有打开的连接。 请帮忙。
解决方法
我希望我的私有实例安全且没有开放连接
要在没有互联网入站或出站访问权限的完全私有子网中使用 AWS SSM,您需要使用 VPC 终端节点。请按照 the AWS docs 中描述的步骤执行此操作:
Amazon EC2 实例必须注册为托管实例才能 使用 AWS Systems Manager 进行管理。请按照以下步骤操作:
- 验证实例上是否安装了 SSM 代理。
- 为 Systems Manager 创建 AWS Identity and Access Management (IAM) 实例配置文件。您可以创建一个新角色,或添加所需的 现有角色的权限。
- 将 IAM 角色附加到您的私有 EC2 实例。
- 打开 Amazon EC2 控制台,然后选择您的实例。在描述选项卡上,记下 VPC ID 和子网 ID。
- 为 Systems Manager 创建 VPC 端点。对于服务名称,选择 com.amazonaws.[region].ssm(例如,com.amazonaws.us-east-1.ssm)。 有关区域代码的完整列表,请参阅可用区域。对于 VPC, 为您的实例选择 VPC ID。对于子网,选择子网 ID 在您的 VPC 中。为了获得高可用性,请至少选择两个子网 区域内的不同可用区。注意:如果你有更多 同一可用区中的多个子网,您不需要 为额外的子网创建 VPC 终端节点。内的任何其他子网 同一个可用区可以访问和使用该接口。为了 启用 DNS 名称,为此端点选择启用。更多 信息,请参阅接口端点的专用 DNS。为了安全 组,选择一个现有的安全组,或创建一个新的安全组。这 安全组必须允许来自网络的入站 HTTPS(端口 443)流量 VPC 中与服务通信的资源。如果你 创建了一个新的安全组,打开 VPC 控制台,选择 Security 组,然后选择新的安全组。关于入站规则 选项卡,选择编辑入站规则。添加具有以下详细信息的规则, 然后选择保存规则:对于类型,选择 HTTPS。对于来源,选择 您的 VPC CIDR。对于高级配置,您可以允许特定的 EC2 实例使用的子网 CIDR。记下安全组 ID。 您将将此 ID 与其他端点一起使用。可选:高级 为 AWS 系统的 VPC 接口端点设置、创建策略 经理。重复步骤 5 并进行以下更改:
- 对于服务名称,选择 com.amazonaws.[region].ec2messages。
- 重复步骤 5 并进行以下更改:对于服务名称,选择 com.amazonaws.[region].ssmmessages。如果你想这样做,你必须这样做 使用会话管理器。
三个端点创建后,你的实例出现在 托管实例,可以使用 Systems Manager 进行管理。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。