Менеджер сеансов AWS требует разрешения входящего трафика, но не должен

Question

У меня запущен экземпляр EC2 со следующими настройками сети:

• находится в общедоступной подсети с подключенным интернет-шлюзом
• к нему подключена группа безопасности с правилом исходящего трафика, разрешающая весь трафик (все порты на 0.0.0.0/0)

Согласно документации, должна быть возможность подключения к экземпляру с помощью AWS Session Manager:

Чтобы ваши управляемые экземпляры и служба диспетчера систем взаимодействовали друг с другом, вы должны выполнить одно из следующих действий:
-Конфигурирование системного менеджера для использования интерфейса Virtual Private Cloud (VPC)
конечная точка
-Включить исходящий доступ в Интернет на управляемых экземплярах

Примечание
Включение входящего доступа в Интернет не требуется.

(источник: https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-prereqs.html)

Но когда я пытаюсь подключиться к Session Manager, соединение не инициализируется (отображается черный экран, но оно остается пустым).

Если я включу весь входящий трафик в группе безопасности (добавив правило входящих на все порты на 0.0.0.0/0), то Session Manager работает правильно. Но это не должно быть обязательным, и, конечно, я хочу избежать этого по соображениям безопасности.

Так что же не так в настройке?

Answer 1

Насколько я понимаю, вы не настраиваете VPC Endpoint .VPC Endpoint - это интерфейс, который позволяет вам использовать Сервисы AWS через частную сеть AWS (не через Интернет).Поэтому вам не нужно включать правило для входящих подключений, AWS System Manager подключается к вашему EC2 через конечную точку VPC (это безопасный и рекомендуемый способ подключения).Однако, когда вы разрешаете входящее правило в группе безопасности, оно подключается к вашему экземпляру через Интернет и не является безопасным.Так что используйте интерфейс VPC Endpoint.Это не так сложно в использовании, вы можете обратиться к Документация VPC Endpoint AWS System Manager