ssm-endpoint - K's Atelier

上記記事で「public subnetにあるEC2インスタンスは，private subnetにssm-endpointができるとそちら経由で動作するようになるのか?」という疑問を書いた。

結論:その通り。VPC endpointができると，

「管理コンソールのSession Manager→private subnetのVPC endpoint→public subnetのEC2インスタンス」

という接続経路になる。

 

Step 6: (Optional) Use AWS PrivateLink to set up a VPC endpoint for Session Manager - AWS Systems Manager

上記ドキュメントにしたがって，

• ec2messages.region.amazonaws.com

• ssm.region.amazonaws.com

• ssmmessages.region.amazonaws.com

• logs.region.amazonaws.com

の4つのVPC endpointを作成する(port 443 outboundを許可するSecurity Groupを忘れずに)。

 

Publish flow logs to CloudWatch Logs - Amazon Virtual Private Cloud

上記ドキュメントにしたがって，policyとRoleを作って，これをVPCやENIのVPC FlowLog作成時に設定する。

 

感想

今日，コースウェア内の構成図中にVPC endpointからpublic subnetのEC2インスタンスへ向かう矢印が何の説明もなく書かれていて「変だなー」と思っていたのだが，やっと解決した。

それにしてもモニタリング重要。