He intentado añadir un comentario al artículo How to Connect to EC2 with SSM (Session Manager)? pero no ha habido manera…

El autor indica que es necesario configurar la instancia para aceptar tráfico de entrada HTTPS 443 desde cualquier origen

Sin embargo, una de las ventajas de AWS SSM Session Manager es que no requiere abrir ningún puerto para permitir tráfico entrante; sólo requiere tráfico de salida HTTPS a los endpoints de los siguientes servicios, como indica la documentación oficial: Step 1: Complete Session Manager prerequisites

No se vayan todavía, que aún hay más

No sólo no es necesario permitir tráfico de entrada; AWS Session Manager también puede configurarse de forma que el tráfico entre el agente instalado en las instancias y el backend de SSM no salga hacia internet.

Para ello, pueden configurarse los enlaces privados (traducción libre de AWS PrivateLink) de manera que el tráfico sea interno hacia los servicios de AWS relacionados con el servicio de AWS Session Manager. Usando AWS PrivateLink los endpoints de AWS Session Manager reciben una IP privada de los rangos configurados en la VPC, por lo que el todo el tráfico entre el agente y AWS Session Manager es “interno” a la VPC.

Como se indica en la documentación oficial, de esta forma los nodos no sólo no requieren ningún tipo de acceso entrante desde el exterior, sino que además tampoco requieren acceso de salida hacia internet:

La documentación oficial indica cómo configurar los PrivateLinks para obtener este grado adicional de seguridad: Step 6: (Optional) Use AWS PrivateLink to set up a VPC endpoint for Session Manager.

Conclusión

Siempre, siempre: RTFM; la documentación de los proveedores cloud en mi humilde opinión es excelente, al menos siempre que no tengas unos requerimientos demasiado especiales… Y para esos casos “raritos”, generalmente puedes contactar con el fantástico soporte que ofrecen.

Pero sobretodo, aplica siempre tu sentido común y no te creas todo lo que se publica en internet:

P.S. Esta entrada debería haberse publicado el 16/12/2022 pero se quedó en el disco duro por error.