기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AMS SSP를 사용하여 AMS 계정에서 AWS Systems Manager 자동화 프로비저닝
AMS 셀프 서비스 프로비저닝(SSP) 모드를 사용하면 AMS 관리형 계정에서 직접 AWS Systems Manager 자동화 기능에 액세스할 수 있습니다. AWS Systems Manager 자동화는 실행서, 작업 및 서비스 할당량을 사용하여 Amazon Elastic Compute Cloud 인스턴스 및 기타 AWS 리소스의 일반적인 유지 관리 및 배포 작업을 간소화합니다. 이를 통해 대규모로 자동화를 구축, 실행 및 모니터링할 수 있습니다. Systems Manager Automation은 Systems Manager가 관리형 인스턴스에서 수행하는 작업을 정의하는 Systems Manager 문서의 한 유형입니다. 관리형 인스턴스 내에서 명령 또는 자동화 스크립트 실행과 같은 일반적인 유지 관리 및 배포 작업을 수행하는 데 사용하는 실행서입니다. Systems Manager에는 Amazon Elastic Compute Cloud 태그를 사용하여 대규모 인스턴스 그룹을 대상으로 지정하는 데 도움이 되는 기능과 정의한 제한에 따라 변경 사항을 롤아웃하는 데 도움이 되는 속도 제어가 포함되어 있습니다. 실행서는 JavaScript Object Notation(JSON) 또는 YAML을 사용하여 작성됩니다. 그러나 Systems Manager Automation 콘솔에서 [문서 빌더(Document Builder)]를 사용하면 기본 JSON 또는 YAML로 작성하지 않고도 실행서를 생성할 수 있습니다. 또는 필요에 맞는 사전 정의된 단계가 있는 Systems Manager 제공 런북을 사용할 수 있습니다. 자세한 내용은 AWS Systems Manager 설명서의 런북 작업을 참조하세요.
참고
Systems Manager Automation은 실행서에서 사용할 수 있는 20가지 작업 유형을 지원하지만, AMS Advanced 계정에서 사용할 실행서를 작성하는 동안 사용할 수 있는 작업 수는 제한적입니다. 마찬가지로 제한된 수의 Systems Manager 제공 런북을 직접 사용하거나 자체 런북 내에서 사용할 수 있습니다. 자세한 내용은 다음 FAQ의 제한 사항을 참조하세요.
AWS Systems Manager AWS Managed Services의 자동화 FAQ
일반적인 질문과 답변:
Q: AMS 계정에서 Systems Manager Automation에 대한 액세스를 요청하려면 어떻게 해야 합니까?
관리 | AWS 서비스 | 자체 프로비저닝된 서비스 | 변경 유형 추가(ct-1w8z66n899dct)를 사용하여 RFC를 제출하여 AWS Systems Manager 자동화에 대한 액세스를 요청합니다. 이 RFC는 계정에 다음 IAM 역할을 프로비저닝합니다customer_systemsmanager_automation_console_role. 계정에 프로비저닝된 후에는 페더레이션 솔루션의 역할을 온보딩해야 합니다.
Q: AMS 계정에서 AWS Systems Manager Automation을 사용할 때의 제한 사항은 무엇인가요?
관리형 인스턴스 내에서 명령 및/또는 스크립트만 실행하려면 자동화를 위해 제한된 Systems Manager 지원 작업 집합으로 실행서를 작성해야 합니다. 제한 사항과 함께 사용할 수 있는 작업은 다음과 같습니다.
| 작업 | 설명 | 제한 사항 |
|---|---|---|
aws:assertAwsResourceProperty – |
AWS 리소스 상태 또는 이벤트 상태 어설션 |
EC2 인스턴스만 |
aws:aws:branch – |
조건부 자동화 단계 실행 |
제한 없음 |
aws:createTags – |
AWS 리소스에 대한 태그 생성 |
작성한 SSM 자동화 런북에만 해당 |
aws:executeAutomation – |
다른 자동화 실행 |
작성한 자동화 실행서만 |
aws:executeScript – |
스크립트 실행 |
서비스에 대한 API 호출을 수행하지 않는 스크립트만 해당 |
aws:pause – |
자동화 일시 중지 |
제한 없음 |
aws:runCommand – |
관리형 인스턴스에서 명령 실행 |
System Manager 제공 문서만 사용 - AWS-RunShellScript 및 AWS-RunPowerShellScript |
aws:sleep – |
자동화 지연 |
제한 없음 |
aws:waitForAwsResourceProperty – |
AWS 리소스 속성 대기 |
EC2 인스턴스만 |
Systems Manager 콘솔에서 'Run Command' 기능을 사용하여 Systems Manager 제공 실행서 AWS-RunShellScript 및 AWS-RunPowerShellScript로 직접 명령 또는 스크립트를 실행하도록 선택할 수도 있습니다. 추가 사전 및/또는 사후 검증 또는 복잡한 자동화 로직을 지원하는 이러한 런북을 런북 내에 중첩할 수도 있습니다.
역할은 최소 권한 원칙을 준수하며 관리형 인스턴스 내에서 명령 및/또는 스크립트를 실행하기 위한 실행서의 실행 세부 정보를 작성, 실행 및 검색하는 데 필요한 권한만 제공합니다. AWS Systems Manager 서비스에서 제공하는 다른 기능에 대한 권한은 제공하지 않습니다. 이 기능을 사용하면 자동화 런북을 작성할 수 있지만 런북 실행은 AMS 소유 리소스에 대해 대상으로 지정할 수 없습니다.
Q: AMS 계정에서 AWS Systems Manager Automation을 사용하기 위한 사전 조건 또는 종속성은 무엇인가요?
사전 조건은 없지만 런북을 작성하는 동안 내부 프로세스 및/또는 규정 준수 제어를 준수해야 합니다. 또한 프로덕션 리소스에 대해 실행하기 전에 런북을 철저히 테스트하는 것이 좋습니다.
Q: Systems Manager 정책을 다른 IAM 역할에 연결할 customer_systemsmanager_automation_policy 수 있나요?
아니요. 다른 자체 프로비저닝 지원 서비스와 달리이 정책은 프로비저닝된 기본 역할 에만 할당할 수 있습니다customer_systemsmanager_automation_console_role.
다른 SSPS 역할의 정책과 달리이 AMS 서비스는 관리형 인스턴스 내에서 명령 또는 자동화 스크립트를 실행하기 위한 것이므로이 SSM SSPS 정책은 다른 사용자 지정 IAM 역할과 공유할 수 없습니다. 이러한 권한을 다른 서비스에 대한 권한을 가진 다른 사용자 지정 IAM 역할에 연결할 수 있는 경우 허용된 작업 범위가 관리형 서비스로 확장되어 계정의 보안 태세가 저하될 수 있습니다.
AMS 기술 표준을 기준으로 변경 요청(RFCs)을 평가하려면 해당 클라우드 아키텍트 또는 서비스 제공 관리자와 협력하고 RFC 보안 검토를 참조하세요.
참고
AWS Systems Manager 를 사용하면 계정과 공유되는 런북을 사용할 수 있습니다. 공유 런북을 사용할 때는 주의를 기울이고 실사 검사를 수행하고 콘텐츠를 검토하여 런북을 실행하기 전에 실행되는 명령/스크립트를 이해하는 것이 좋습니다. 자세한 내용은 공유 SSM 문서의 모범 사례를 참조하세요.
