• AWS Systems Manager CloudWatch 대시보드는 2026년 4월 30일 이후에는 더 이상 사용할 수 없습니다. 고객은 Amazon CloudWatch 콘솔을 계속 사용하여 현재와 마찬가지로 Amazon CloudWatch 대시보드를 보고, 생성하고, 관리할 수 있습니다. 자세한 내용은 [Amazon CloudWatch 대시보드 설명서](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)를 참조하세요.
# OpsCenter 설정
AWS Systems Manager는 통합 설정 환경을 사용하여 Systems Manager의 도구인 OpsCenter 및 Explorer를 시작할 수 있도록 지원합니다. Explorer는 AWS 리소스에 대한 정보를 보고하는 사용자 지정 가능한 작업 대시보드입니다. 이 설명서에서는 Explorer 및 OpsCenter 설정을 *통합 설정*이라고 합니다.
Explorer로 OpsCenter를 설정하려면 통합 설정을 사용해야 합니다. 통합 설정은 AWS Systems Manager 콘솔에서만 사용할 수 있습니다. Explorer 또는 OpsCenter를 프로그래밍 방식으로 설정할 수 없습니다. 자세한 내용은 [Systems Manager Explorer 및 OpsCenter 시작하기](Explorer-setup.md) 단원을 참조하십시오.
**시작하기 전 준비 사항**
OpsCenter을(를) 설정하면 OpsItems을(를) 자동으로 생성하는 Amazon EventBridge에서 기본 규칙을 활성화합니다. 다음 테이블에는 자동으로 OpsItems가 생성되는 기본 EventBridge 규칙이 설명되어 있습니다. **OpsItem 규칙**에 따라 OpsCenter **설정** 페이지의 EventBridge 규칙을 비활성화할 수 있습니다.
**중요**
기본 규칙에 따라 생성된 OpsItems에 대해 계정에 요금이 부과됩니다. 자세한 내용은 [AWS Systems Manager요금](https://aws.amazon.com/systems-manager/pricing/)을 참조하세요.
****
| 규칙 이름 | 설명 |
| --- | --- |
| SSMOpsItems-Autoscaling-instance-launch-failure | EC2 Auto Scaling 인스턴스 시작에 실패하면 이 규칙을 통해 OpsItems이(가) 생성됩니다. |
| SSMOpsItems-Autoscaling-instance-termination-failure | EC2 Auto Scaling 인스턴스 종료에 실패하면 이 규칙을 통해 OpsItems이(가) 생성됩니다. |
| SSMOpsItems-EBS-snapshot-copy-failed | 시스템에서 Amazon Elastic Block Store(Amazon EBS) 스냅샷을 복사하지 못하면 이 규칙을 통해 OpsItems이(가) 생성됩니다. |
| SSMOpsItems-EBS-snapshot-creation-failed | 시스템에서 Amazon EBS 스냅샷을 생성하지 못하면 이 규칙을 통해 OpsItems이(가) 생성됩니다. |
| SSMOpsItems-EBS-volume-performance-issue | 이 규칙은 AWS Health 추적 규칙에 해당합니다. 규칙은 Amazon EBS 볼륨(건강 이벤트 = `AWS_EBS_DEGRADED_EBS_VOLUME_PERFORMANCE`)에 성능 문제가 있을 때마다 OpsItems을(를) 생성합니다. |
| SSMOpsItems-EC2-issue | 이 규칙은 AWS 서비스 또는 리소스에 영향을 미치는 예상치 못한 이벤트에 대한 AWS Health 추적 규칙에 해당합니다. 예를 들어 규칙은 서비스가 서비스 성능 저하를 유발하는 운영 문제에 대한 통신을 보내거나 현지화된 리소스 수준 문제에 대한 인식을 높이기 위해 통신을 보낼 때 OpsItems을(를) 생성합니다. 예를 들어 이 규칙은 `AWS_EC2_OPERATIONAL_ISSUE` 이벤트에 대한 OpsItem을(를) 생성합니다. |
| SSMOpsItems-EC2-scheduled-change | 이 규칙은 AWS Health 추적 규칙에 해당합니다. AWS은(는) 재부팅, 중단 또는 인스턴트 시작 등 인스턴스에 대한 이벤트를 예약할 수 있습니다. 이 규칙은 EC2 예약 이벤트에 대한 OpsItems을(를) 생성합니다. 예약 이벤트에 대한 자세한 내용은 *Amazon EC2 사용 설명서*의 [인스턴스를 위한 예약 이벤트](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitoring-instances-status-check_sched.html)를 참조하세요. |
| SSMOpsItems-RDS-issue | 이 규칙은 AWS 서비스 또는 리소스에 영향을 미치는 예상치 못한 이벤트에 대한 AWS Health 추적 규칙에 해당합니다. 예를 들어 규칙은 서비스가 서비스 성능 저하를 유발하는 운영 문제에 대한 통신을 보내거나 현지화된 리소스 수준 문제에 대한 인식을 높이기 위해 통신을 보낼 때 OpsItems을(를) 생성합니다. 예를 들어 이 규칙은 `AWS_RDS_MYSQL_DATABASE_CRASHING_REPEATEDLY`, `AWS_RDS_EXPORT_TASK_FAILED` 및 `AWS_RDS_CONNECTIVITY_ISSUE` 이벤트에 대한 OpsItem을(를) 생성합니다. |
| SSMOpsItems-RDS-scheduled-change | 이 규칙은 AWS Health 추적 규칙에 해당합니다. 이 규칙은 Amazon RDS 예약 이벤트에 대한 OpsItems을(를) 생성합니다. 예정된 이벤트는 Amazon RDS 리소스의 예정된 변경 사항에 대한 정보를 제공합니다. 일부 이벤트에서는 서비스 중단을 방지하기 위한 조치를 취하라고 권장할 수 있습니다. 사용자 측의 조치는 필요하지 않은 다른 이벤트는 자동으로 발생합니다. 예약된 변경 활동 중에는 리소스를 일시적으로 사용할 수 없을 수도 있습니다. 예를 들어 이 규칙은 `AWS_RDS_SYSTEM_UPGRADE_SCHEDULED` 및 `AWS_RDS_MAINTENANCE_SCHEDULED` 이벤트에 대한 OpsItem을(를) 생성합니다. 예약된 이벤트에 대한 자세한 내용은 *AWS Health 사용 설명서*의 [이벤트 유형 카테고리](https://docs.aws.amazon.com/health/latest/ug/aws-health-concepts-and-terms.html#event-type-categories)를 참조하세요. |
| SSMOpsItems-SSM-maintenance-window-execution-failed | 시스템 유지보수 유지 기간 처리에 실패하면 이 규칙을 통해 OpsItems이(가) 생성됩니다. |
| SSMOpsItems-SSM-maintenance-window-execution-timedout | Systems Manager 유지 기간 처리에 실패하면 이 규칙을 통해 OpsItems가 생성됩니다. |
다음 절차에 따라 OpsCenter을(를) 설정합니다.
**OpsCenter 설정**
1. AWS Systems Manager 콘솔([https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/))을 엽니다.
1. 탐색 창에서 **OpsCenter**를 선택합니다.
1. OpsCenter 홈 페이지에서 **시작하기**를 선택합니다.
1. OpsCenter 설정 페이지에서 **Explorer에서 AWS Config 및 Amazon CloudWatch 이벤트를 구성하여 일반적으로 사용되는 규칙 및 이벤트에 따라 자동으로 OpsItems가 생성되도록 이 옵션 활성화**를 선택합니다. 이 옵션을 선택하지 않으면 OpsCenter는 비활성화된 상태로 유지됩니다.
**참고**
Amazon EventBridge(이전 Amazon CloudWatch Events)는 CloudWatch Events의 모든 기능과 사용자 지정 이벤트 버스, 타사 이벤트 소스, 스키마 레지스트리 등의 몇 가지 새로운 기능을 제공합니다.
1. **활성화OpsCenter**를 선택합니다.
OpsCenter를 활성화하면 **설정**에서 다음을 수행할 수 있습니다.
+ **CloudWatch 콘솔 열기** 버튼을 사용하여 CloudWatch 경보를 생성합니다. 자세한 내용은 [OpsItems를 생성하도록 CloudWatch 경보 구성](OpsCenter-create-OpsItems-from-CloudWatch-Alarms.md) 단원을 참조하십시오.
+ 운영 인사이트 활성화. 자세한 내용은 [운영 인사이트를 분석하여 OpsItems 줄이기](OpsCenter-working-operational-insights.md) 단원을 참조하십시오.
+ AWS Security Hub CSPM 결과 경보를 활성화합니다. 자세한 내용은 [AWS Security Hub CSPM와의 OpsCenter 통합 이해](OpsCenter-applications-that-integrate.md#OpsCenter-integrate-with-security-hub) 단원을 참조하십시오.
**Topics**
+ [(선택 사항) 여러 계정에서 OpsItems를 중앙 집중식으로 관리하도록 OpsCenter 설정](OpsCenter-setting-up-cross-account.md)
+ [(선택 사항) OpsItems에 대한 알림을 수신하도록 Amazon SNS 설정](OpsCenter-getting-started-sns.md)
# (선택 사항) 여러 계정에서 OpsItems를 중앙 집중식으로 관리하도록 OpsCenter 설정
Systems Manager OpsCenter를 사용하여 선택된 AWS 리전에 있는 여러 AWS 계정의 OpsItems를 중앙에서 관리할 수 있습니다. 이 특성은 AWS Organizations에서 조직을 설정한 후에 사용할 수 있습니다. AWS Organizations는 본인이 생성하고 중앙에서 관리하는 조직에 여러 AWS 계정을 통합할 수 있는 계정 관리 서비스입니다. AWS Organizations에는 비즈니스의 예산, 보안 및 규정 준수 필요성을 더 잘 충족할 수 있는 계정 관리 및 통합 청구 기능이 포함되어 있습니다. 자세한 내용은 **AWS Organizations 사용 설명서의 [AWS Organizations란 무엇인가요?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) 섹션을 참조하세요.
AWS Organizations 관리 계정에 속하는 사용자는 Systems Manager의 위임된 관리자 계정을 설정할 수 있습니다. OpsCenter 컨텍스트에서, 위임된 관리자는 멤버 계정의 OpsItems를 생성하고, 편집하고, 볼 수 있습니다. 또한 위임된 관리자는 Systems Manager Automation 런북을 사용하여 OpsItems를 대량으로 해결하거나 OpsItems가 생성되고 있는 AWS 리소스와 관련된 문제를 해결할 수 있습니다.
**참고**
Systems Manager의 위임된 관리자로 하나의 계정만 할당할 수 있습니다. 자세한 내용은 [Systems Manager에 대한 AWS Organizations 위임 관리자 생성](setting_up_delegated_admin.md) 섹션을 참조하세요.
Systems Manager에서는 여러 AWS 계정의 OpsItems를 중앙에서 관리하도록 OpsCenter를 설정하는 다음과 같은 방법이 제공됩니다.
+ **빠른 설정**: Systems Manager의 도구인 빠른 설정을 통해 Systems Manager 도구의 설정 및 구성 작업이 간소화됩니다. 자세한 내용은 [AWS Systems Manager Quick Setup](systems-manager-quick-setup.md) 섹션을 참조하세요.
OpsCenter 빠른 설정은 여러 계정의 OpsItems를 관리하는 다음과 같은 작업을 완료하는 데 도움이 됩니다.
+ 위임된 관리자로 계정 등록(위임된 관리자가 아직 지정되지 않은 경우)
+ 필수 AWS Identity and Access Management(IAM) 정책 및 역할 생성
+ 위임된 관리자가 여러 계정의 OpsItems를 관리할 수 있는 AWS Organizations 조직 또는 OU(조직 단위) 지정
자세한 내용은 [(선택 사항) Quick Setup을 사용하여 여러 계정의 OpsItems를 관리하도록 OpsCenter 구성](OpsCenter-quick-setup-cross-account.md) 섹션을 참조하세요.
**참고**
현재 Systems Manager를 사용할 수 있는 모든 AWS 리전에서 빠른 설정을 사용할 수 있는 것은 아닙니다. 빠른 설정을 사용하여 여러 계정의 OpsItems를 중앙에서 관리하도록 OpsCenter를 구성하려는 리전에서 빠른 설정을 사용할 수 없는 경우에는 수동 방법을 사용해야 합니다. 빠른 설정을 사용할 수 있는 AWS 리전 목록은 [AWS 리전에서의 Quick Setup 가용성](systems-manager-quick-setup.md#quick-setup-getting-started-regions)에서 확인하세요.
+ **수동 설정**: 여러 계정의 OpsItems를 중앙에서 관리하도록 OpsCenter를 구성하려는 리전에서 빠른 설정을 사용할 수 없는 경우에는 수동 절차를 사용하여 그렇게 구성할 수 있습니다. 자세한 내용은 [(선택 사항) 여러 계정에서 OpsItems를 중앙 집중식으로 관리하도록 OpsCenter를 수동으로 설정](OpsCenter-getting-started-multiple-accounts.md) 섹션을 참조하세요.
# (선택 사항) Quick Setup을 사용하여 여러 계정의 OpsItems를 관리하도록 OpsCenter 구성
AWS Systems Manager의 도구인 Quick Setup을 통해 Systems Manager 도구의 설정 및 구성 작업이 간소화됩니다. OpsCenter용 Quick Setup은 여러 계정의 OpsItems를 관리하는 다음과 같은 작업을 완료하는 데 도움이 됩니다.
+ 위임된 관리자 계정 지정
+ 필수 AWS Identity and Access Management(IAM) 정책 및 역할 생성
+ 위임된 관리자가 여러 계정의 OpsItems를 관리할 수 있는 AWS Organizations 조직 또는 멤버 계정 하위 집합 지정
빠른 설정을 사용하여 여러 계정의 OpsItems를 관리하도록 OpsCenter를 구성하면 지정한 계정에 다음과 같은 리소스가 Quick Setup을 통해 생성됩니다. 이러한 리소스에서는 지정한 계정에 OpsItems로 작업하고 자동화 런북을 사용하여 OpsItems 생성 AWS 리소스 관련 문제를 해결하는 권한을 부여합니다.
****
| 리소스 | 계정 |
| --- | --- |
| `AWSServiceRoleForAmazonSSM_AccountDiscovery` AWS Identity and Access Management(IAM) 서비스 연결 역할 이에 대한 자세한 내용은 [역할을 사용하여 OpsCenter 및 Explorer에 대한 AWS 계정 정보 수집](using-service-linked-roles-service-action-2.md) 섹션을 참조하세요. | AWS Organizations 관리 계정 및 위임된 관리자 계정 |
| `OpsItem-CrossAccountManagementRole` IAM 역할 `AWS-SystemsManager-AutomationAdministrationRole` IAM 역할 | 위임된 관리자 계정 |
| `OpsItem-CrossAccountExecutionRole` IAM 역할 `AWS-SystemsManager-AutomationExecutionRole` IAM 역할 기본 OpsItem 그룹(`OpsItemGroup`)에 대한 `AWS::SSM::ResourcePolicy` Systems Manager 리소스 정책 | 모든 AWS Organizations 멤버 계정 |
**참고**
이전에 [수동 방법](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-getting-started-multiple-accounts.html)을 사용하여 여러 계정의 OpsItems를 관리하도록 OpsCenter를 구성했다면 해당 프로세스의 4단계와 5단계에서 생성한 AWS CloudFormation 스택 또는 스택 세트를 삭제해야 합니다. 다음 절차를 완료할 때 계정에 해당 리소스가 있으면 Quick Setup에서 크로스 계정 OpsItem 관리가 올바르게 구성되지 않습니다.
**빠른 설정을 사용하여 여러 계정의 OpsItems를 관리하도록 OpsCenter를 구성하는 방법**
1. AWS Organizations 관리 계정을 사용하여 AWS Management Console에 로그인합니다.
1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)에서 AWS Systems Manager 콘솔을 엽니다.
1. 탐색 창에서 **Quick Setup**를 선택합니다.
1. **라이브러리** 탭을 선택합니다.
1. 아래쪽으로 스크롤하여 **OpsCenter** 구성 타일을 찾습니다. **생성(Create)**을 선택합니다.
1. Quick Setup OpsCenter 페이지의 **위임된 관리자** 섹션에서 계정 ID를 입력합니다. 이 필드를 편집할 수 없다면 위임된 관리자 계정이 Systems Manager에 이미 지정된 것입니다.
1. [**대상(Targets)**] 섹션에서 옵션을 선택합니다. **사용자 지정**을 선택하는 경우에는 여러 계정의 OpsItems를 관리할 OU(조직 단위)를 선택합니다.
1. **생성(Create)**을 선택합니다.
Quick Setup을 통해 OpsCenter 구성이 생성되고 필수 AWS 리소스가 지정된 OU에 배포됩니다.
**참고**
여러 계정의 OpsItems를 관리하지 않으려면 Quick Setup에서 구성을 삭제할 수 있습니다. 구성을 삭제하면 구성이 원래 배포되었을 때 생성된 다음과 같은 IAM 정책과 역할이 Quick Setup을 통해 삭제됩니다.
위임된 관리자 계정의 `OpsItem-CrossAccountManagementRole`
Organizations 멤버 계정의 `OpsItem-CrossAccountExecutionRole` 및 `SSM::ResourcePolicy`
Quick Setup을 통해 구성이 원래 배포되었던 모든 조직 단위와 AWS 리전에서 구성이 제거됩니다.
## OpsCenter의 Quick Setup 구성 문제 해결
이 섹션에는 Quick Setup을 사용하여 크로스 계정 OpsItem 관리를 구성할 때 문제를 해결하는 데 도움이 되는 정보가 포함되어 있습니다.
**Topics**
+ [이러한 StackSets에 대한 배포 실패: delegatedAdmin](#OpsCenter-quick-setup-cross-account-troubleshooting-stack-set-failed)
+ [Quick Setup 구성 상태가 실패로 표시되는 경우](#OpsCenter-quick-setup-cross-account-troubleshooting-configuration-failed)
### 이러한 StackSets에 대한 배포 실패: delegatedAdmin
OpsCenter 구성을 생성할 때 Quick Setup을 통해 Organizations 관리 계정에 두 개의 AWS CloudFormation 스택 세트가 배포됩니다. 스택 세트에서는 접두사로 `AWS-QuickSetup-SSMOpsCenter`를 사용합니다. Quick Setup에서 `Deployment to these StackSets failed: delegatedAdmin` 오류가 표시되면 다음 절차를 사용하여 이 문제를 해결합니다.
**StackSets failed:delegatedAdmin 오류 해결 방법**
1. Quick Setup 콘솔의 빨간색 배너에 `Deployment to these StackSets failed: delegatedAdmin` 오류가 표시되면 위임된 관리자 계정 및 Quick Setup 홈 리전으로 지정된 AWS 리전에 로그인합니다.
1. CloudFormation 콘솔([https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/))을 엽니다.
1. Quick Setup 구성에 의해 생성된 스택을 선택합니다. 스택 이름에 **AWS-QuickSetup-SSMOpsCenter**가 포함되어 있습니다.
**참고**
실패한 스택 배포가 CloudFormation에서 삭제되는 경우가 있습니다. **스택(Stacks)** 테이블에서 스택을 사용할 수 없는 경우 필터 목록에서 **삭제됨(Deleted)**을 선택합니다.
1. **상태(Status)**와 **상태 이유(Status reason)**를 봅니다. 스택 상태에 대한 자세한 내용은 *AWS CloudFormation 사용 설명서*의 [스택 상태 코드](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-view-stack-data-resources.html#cfn-console-view-stack-data-resources-status-codes)를 참조하세요.
1. 실패한 정확한 단계를 이해하려면 **이벤트(Events)** 탭을 보고 각 이벤트의 **상태(Status)**를 검토합니다. 자세한 내용은 **AWS CloudFormation 사용 설명서의 [문제 해결](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html)을 참조하세요.
**참고**
CloudFormation 문제 해결 단계를 사용하여 배포 실패를 해결할 수 없으면 구성을 삭제하고 다시 시도하세요.
### Quick Setup 구성 상태가 실패로 표시되는 경우
**구성 세부 정보** 페이지의 **구성 세부 정보** 테이블에 구성 상태가 `Failed`로 표시되면 AWS 계정 및 실패한 리전에 로그인합니다.
**Quick Setup의 OpsCenter 구성 생성 실패를 해결하는 방법**
1. AWS 계정 및 실패가 발생한 AWS 리전에 로그인합니다.
1. CloudFormation 콘솔([https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/))을 엽니다.
1. Quick Setup 구성에 의해 생성된 스택을 선택합니다. 스택 이름에 **AWS-QuickSetup-SSMOpsCenter**가 포함되어 있습니다.
**참고**
실패한 스택 배포가 CloudFormation에서 삭제되는 경우가 있습니다. **스택(Stacks)** 테이블에서 스택을 사용할 수 없는 경우 필터 목록에서 **삭제됨(Deleted)**을 선택합니다.
1. **상태(Status)**와 **상태 이유(Status reason)**를 봅니다. 스택 상태에 대한 자세한 내용은 *AWS CloudFormation 사용 설명서*의 [스택 상태 코드](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-view-stack-data-resources.html#cfn-console-view-stack-data-resources-status-codes)를 참조하세요.
1. 실패한 정확한 단계를 이해하려면 **이벤트(Events)** 탭을 보고 각 이벤트의 **상태(Status)**를 검토합니다. 자세한 내용은 **AWS CloudFormation 사용 설명서의 [문제 해결](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html)을 참조하세요.
#### 멤버 계정 구성이 ResourcePolicyLimitExceededException으로 표시되는 경우
스택 상태가 `ResourcePolicyLimitExceededException`으로 표시되면 계정이 이전에 [수동 방법](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-getting-started-multiple-accounts.html)을 통해 OpsCenter 크로스 계정 관리에 온보딩된 것입니다. 이 문제를 해결하려면 수동 온보딩 프로세스의 4단계와 5단계에서 생성된 AWS CloudFormation 스택 또는 스택 세트를 삭제해야 합니다. 자세한 내용은 **AWS CloudFormation 사용 설명서의 [스택 세트 삭제](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-delete.html)와 [CloudFormation 콘솔에서 스택 삭제](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html)를 참조하세요.
# (선택 사항) 여러 계정에서 OpsItems를 중앙 집중식으로 관리하도록 OpsCenter를 수동으로 설정
이 섹션에서는 크로스 계정 OpsItem 관리용 OpsCenter를 수동으로 구성하는 방법을 설명합니다. 이 프로세스는 아직 지원되지만, Systems Manager Quick Setup을 사용하는 새로운 프로세스로 대체되었습니다. 자세한 내용은 [(선택 사항) Quick Setup을 사용하여 여러 계정의 OpsItems를 관리하도록 OpsCenter 구성](OpsCenter-quick-setup-cross-account.md) 섹션을 참조하세요.
중앙 계정을 설정하여 멤버 계정에 대한 수동 OpsItems를 생성하고 해당 OpsItems를 관리하고 수정할 수 있습니다. 중앙 계정은 AWS Organizations 관리 계정이거나 AWS Organizations 관리 계정이면서 Systems Manager 위임 관리자 계정일 수 있습니다. Systems Manager 위임 관리자 계정을 중앙 계정으로 사용하는 것이 좋습니다. 이 기능은 AWS Organizations를 구성한 후에만 사용할 수 있습니다.
AWS Organizations를 사용하면 여러 AWS 계정을 중앙에서 생성하고 관리하는 조직으로 통합할 수 있습니다. 중앙 계정 사용자는 선택된 모든 멤버 계정의 OpsItems를 동시에 생성하고 해당 OpsItems를 관리할 수 있습니다.
이 섹션의 프로세스에 따라 Organizations에서 Systems Manager 서비스 보안 주체를 활성화하고 여러 계정에 걸쳐 OpsItems 작업을 수행하기 위한 AWS Identity and Access Management(IAM) 권한을 구성합니다.
**Topics**
+ [시작하기 전 준비 사항](#OpsCenter-before-you-begin)
+ [1단계: 리소스 데이터 동기화 생성](#OpsCenter-getting-started-multiple-accounts-onboarding-rds)
+ [2단계: AWS Organizations에서 Systems Manager 서비스 보안 주체 활성화](#OpsCenter-getting-started-multiple-accounts-onboarding-service-principal)
+ [3단계: `AWSServiceRoleForAmazonSSM_AccountDiscovery` 서비스 연결 역할 생성](#OpsCenter-getting-started-multiple-accounts-onboarding-SLR)
+ [4단계: 여러 계정에 걸쳐 OpsItems 작업을 수행하도록 권한 구성](#OpsCenter-getting-started-multiple-accounts-onboarding-resource-policy)
+ [5단계: 여러 계정에 걸쳐 관련 리소스 작업을 수행하도록 권한 구성](#OpsCenter-getting-started-multiple-accounts-onboarding-related-resources-permissions)
**참고**
여러 계정에 걸쳐 OpsCenter에서 작업을 수행할 때는 `/aws/issue` 유형의 OpsItems만 지원됩니다.
## 시작하기 전 준비 사항
여러 계정에서 OpsItems와 함께 작동하도록 OpsCenter를 설정하기 전에 다음을 설정했는지 확인하세요.
+ Systems Manager 위임 관리자 계정. 자세한 내용은 [Explorer를 위한 위임된 관리자 구성](Explorer-setup-delegated-administrator.md) 섹션을 참조하세요.
+ 조직에서 설정 및 구성된 하나의 조직. 자세한 내용은 [AWS Organizations 사용 설명서](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html)에서 *조직 생성 및 관리*를 참조하세요.
+ 여러 AWS 리전 및 AWS 계정에서 자동화 런북이 실행되도록 Systems Manager Automation을 구성하셨습니다. 자세한 내용은 [여러 AWS 리전 및 계정에서 자동화 실행](running-automations-multiple-accounts-regions.md) 섹션을 참조하세요.
## 1단계: 리소스 데이터 동기화 생성
AWS Organizations를 설정하고 구성한 후 리소스 데이터 동기화를 생성하여 전체 조직에 대해 OpsCenter의 OpsItems을 집계할 수 있습니다. 자세한 내용은 [리소스 데이터 동기화 생성](Explorer-resource-data-sync-configuring-multi.md) 섹션을 참조하세요. 동기화를 생성할 때 **계정 추가** 섹션에서 **내 AWS Organizations 구성의 모든 계정 포함** 옵션을 선택해야 합니다.
## 2단계: AWS Organizations에서 Systems Manager 서비스 보안 주체 활성화
사용자가 여러 계정에 걸쳐 OpsItems 작업을 수행할 수 있게 하려면 AWS Organizations에서 Systems Manager 서비스 주체를 활성화해야 합니다. 이전에 다른 도구를 사용하여 다중 계정 시나리오를 지원하도록 Systems Manager를 구성한 경우, Systems Manager 서비스 주체가 이미 Organizations에 구성되어 있을 수 있습니다. AWS Command Line Interface(AWS CLI)에서 다음 명령을 실행하여 확인합니다. 다른 다중 계정 시나리오를 지원하도록 Systems Manager를 구성하지 않은* *경우 다음 절차인 *AWS Organizations에서 Systems Manager 서비스 보안 주체 활성화*로 건너뜁니다.
**AWS Organizations에서 Systems Manager 서비스 주체가 활성화되었는지 확인하려면**
1. AWS CLI의 최신 버전을 로컬 시스템에 [다운로드](https://aws.amazon.com/cli/)합니다.
1. AWS CLI를 열고 다음 명령을 실행하여 보안 인증 정보 및 AWS 리전을 지정합니다.
```
aws configure
```
시스템에서 다음을 지정하라는 메시지를 표시합니다. 다음 예제에서는 자신의 정보로 각각의 *사용자 입력 자리 표시자*를 바꿉니다.
```
AWS Access Key ID [None]: key_name
AWS Secret Access Key [None]: key_name
Default region name [None]: region
Default output format [None]: ENTER
```
1. 다음 명령을 실행하여 AWS Organizations에 대해 Systems Manager 서비스 주체가 활성화되었는지 확인합니다.
```
aws organizations list-aws-service-access-for-organization
```
이 명령은 다음 예와 유사한 정보를 반환합니다.
```
{
"EnabledServicePrincipals": [
{
"ServicePrincipal": "member.org.stacksets.cloudformation.amazonaws.com",
"DateEnabled": "2020-12-11T16:32:27.732000-08:00"
},
{
"ServicePrincipal": "opsdatasync.ssm.amazonaws.com",
"DateEnabled": "2022-01-19T12:30:48.352000-08:00"
},
{
"ServicePrincipal": "ssm.amazonaws.com",
"DateEnabled": "2020-12-11T16:32:26.599000-08:00"
}
]
}
```
**AWS Organizations에서 Systems Manager 서비스 주체를 활성화하려면**
Organizations의 Systems Manager 서비스 주체를 구성하지 않은 경우에는 아래의 단계를 수행하여 Systems Manager 서비스 주체를 구성합니다. 이 명령에 대한 자세한 내용은 *AWS CLI 명령 참조*에서 [enable-aws-service-access](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/enable-aws-service-access.html)를 참조하세요.
1. 아직 하지 않은 경우 AWS Command Line Interface(AWS CLI)을 설치하고 구성합니다. 자세한 내용은 [CLI 설치](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)와 [CLI 구성](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html)을 참조하세요.
1. AWS CLI의 최신 버전을 로컬 시스템에 [다운로드](https://aws.amazon.com/cli/)합니다.
1. AWS CLI를 열고 다음 명령을 실행하여 보안 인증 정보 및 AWS 리전을 지정합니다.
```
aws configure
```
시스템에서 다음을 지정하라는 메시지를 표시합니다. 다음 예제에서는 자신의 정보로 각각의 *사용자 입력 자리 표시자*를 바꿉니다.
```
AWS Access Key ID [None]: key_name
AWS Secret Access Key [None]: key_name
Default region name [None]: region
Default output format [None]: ENTER
```
1. 다음 명령을 실행하여 AWS Organizations에 대해 Systems Manager 서비스 주체를 활성화합니다.
```
aws organizations enable-aws-service-access --service-principal "ssm.amazonaws.com"
```
## 3단계: `AWSServiceRoleForAmazonSSM_AccountDiscovery` 서비스 연결 역할 생성
`AWSServiceRoleForAmazonSSM_AccountDiscovery` 역할과 같은 서비스 연결 역할은 Systems Manager와 같은 AWS 서비스에 직접 연결된 고유한 유형의 IAM 역할입니다. 서비스 연결 역할은 해당 서비스에서 사전 정의하며 서비스에서 다른 AWS 서비스를 자동으로 호출하기 위해 필요한 모든 권한을 포함합니다. `AWSServiceRoleForAmazonSSM_AccountDiscovery` 서비스 연결 역할에 대한 자세한 정보는 [Systems Manager 계정 검색을 위한 서비스 연결 역할 권한](using-service-linked-roles-service-action-2.md#service-linked-role-permissions-service-action-2) 섹션을 참조하십시오.
다음 절차에 따라 AWS CLI를 사용하여 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 서비스 연결 역할을 생성합니다. 이 절차에서 사용되는 명령에 대한 자세한 내용은 *AWS CLI 명령 참조*에서 [create-service-linked-role](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-service-linked-role.html)을 참조하세요.
**`AWSServiceRoleForAmazonSSM_AccountDiscovery` 서비스 연결 역할을 생성하려면**
1. AWS Organizations 관리 계정에 로그인합니다.
1. Organizations 관리 계정에 로그인한 상태에서 다음 명령을 실행합니다.
```
aws iam create-service-linked-role \
--aws-service-name accountdiscovery.ssm.amazonaws.com \
--description "Systems Manager account discovery for AWS Organizations service-linked role"
```
## 4단계: 여러 계정에 걸쳐 OpsItems 작업을 수행하도록 권한 구성
AWS CloudFormation 스택 세트를 사용하여 여러 계정에 걸쳐 OpsItems 작업을 수행할 권한을 사용자에게 부여하는 `OpsItemGroup` 리소스 정책과 IAM 실행 역할을 생성합니다. 시작하려면 [https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountMembers.zip](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountMembers.zip) 파일을 다운로드하여 압축 해제합니다. 이 파일에는 `OpsCenterCrossAccountMembers.yaml` CloudFormation 템플릿 파일이 들어 있습니다. 이 템플릿을 사용하여 스택 세트를 생성하면 CloudFormation이 계정에 `OpsItemCrossAccountResourcePolicy` 리소스 정책과 `OpsItemCrossAccountExecutionRole` 실행 역할을 자동으로 생성합니다. 스택 세트 생성에 대한 자세한 내용은 *AWS CloudFormation 사용 설명서*에서 [스택 세트 생성](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html)을 참조하세요.
**중요**
이 태스크에 대한 다음 중요 정보를 기록해 둡니다.
AWS Organizations 관리 계정에 로그인한 상태에서 스택 세트를 배포해야 합니다.
위임된 관리자 계정을 포함하여 여러 계정에서 OpsItems 작업을 수행하기 위한* *대상으로 지정하려는* *모든 계정에 로그인한 상태에서 이 절차를 반복해야 합니다.
다른 AWS 리전에서 계정 간 OpsItems 관리를 활성화하려면, 이 템플릿의 **Specify regions**(리전 지정) 섹션에서 **Add all regions**(모든 리전 추가)를 선택합니다. 옵트인 리전에는 계정 간 OpsItem 관리가 지원되지 않습니다.
## 5단계: 여러 계정에 걸쳐 관련 리소스 작업을 수행하도록 권한 구성
OpsItem에 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스, Amazon Simple Storage Service(S3) 버킷 등 영향을 받는 리소스에 대한 자세한 정보가 포함될 수 있습니다. 이전 4단계에서 생성한 `OpsItemCrossAccountExecutionRole` 실행 역할은 멤버 계정으로 관련 리소스를 볼 수 있는 읽기 전용 권한을 OpsCenter에 제공합니다. 또한 IAM 역할을 생성하여 관련 리소스를 보고 사용할 수 있는 권한을 관리 계정에 제공해야 하며, 이 단계은 이 태스크에서 수행합니다.
시작하려면 [https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountManagementRole.zip](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountManagementRole.zip) 파일을 다운로드하여 압축 해제합니다. 이 파일에는 `OpsCenterCrossAccountManagementRole.yaml` CloudFormation 템플릿 파일이 들어 있습니다. 이 템플릿을 사용하여 스택을 생성하면 CloudFormation이 계정에 `OpsCenterCrossAccountManagementRole` IAM 역할을 자동으로 생성합니다. 스택 생성에 대한 자세한 내용은 *AWS CloudFormation 사용 설명서*의 [AWS CloudFormation 콘솔에서 스택 생성](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html)을 참조하세요.
**중요**
이 태스크에 대한 다음 중요 정보를 기록해 둡니다.
계정을 OpsCenter의 위임된 관리자로 지정하려면 스택을 생헝할 때 해당 AWS 계정을 지정해야 합니다.
AWS Organizations 관리 계정에 로그인한 상태에서 이 절차를 수행하고 위임된 관리자 계정에 로그인한 상태에서 다시 수행해야 합니다.
# (선택 사항) OpsItems에 대한 알림을 수신하도록 Amazon SNS 설정
시스템에서 OpsItem을 생성하거나 기존 OpsItem을 업데이트할 때 Amazon Simple Notification Service(Amazon SNS) 주제에 알림을 보내도록 OpsCenter를 구성할 수 있습니다.
OpsItems에 대한 알림을 수신하려면 다음 단계를 수행하세요.
+ [1단계: Amazon SNS 주제 생성 및 구독](#OpsCenter-getting-started-sns-create-topic)
+ [2단계: Amazon SNS 액세스 정책 업데이트](#OpsCenter-getting-started-sns-encryption-policy)
+ [3단계: AWS KMS 액세스 정책 업데이트](#OpsCenter-getting-started-sns-KMS-policy)
**참고**
2단계에서 AWS Key Management Service(AWS KMS) 서버 측 암호화를 켜면 3단계를 수행해야 합니다. 그렇지 않으면 3단계로 건너뛰어도 됩니다.
+ [4단계: 새 OpsItems에 대한 알림을 보내도록 기본 OpsItems 규칙 켜기](#OpsCenter-getting-started-sns-default-rules)
## 1단계: Amazon SNS 주제 생성 및 구독
알림을 수신하려면 Amazon SNS 주제를 생성하고 구독해야 합니다. 자세한 내용은 *Amazon Simple Notification Service 개발자 가이드*의 [Amazon SNS 주제 생성](https://docs.aws.amazon.com/sns/latest/dg/CreateTopic.html) 및 [Amazon SNS 주제 구독](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-create-subscribe-endpoint-to-topic.html)을 참조하세요.
**참고**
여러 AWS 리전 또는 계정에서 OpsCenter를 사용하는 경우 OpsItem 알림을 받을* *각 리전 또는 계정에서 Amazon SNS 주제를 생성하여 구독해야 합니다.
## 2단계: Amazon SNS 액세스 정책 업데이트
Amazon SNS 주제를 OpsItems와 연결해야 합니다. 1단계에서 생성한 Amazon SNS 주제에 OpsItems 알림을 Systems Manager에서 게시할 수 있도록 Amazon SNS 액세스 정책을 설정합니다.
1. AWS Management Console에 로그인하고 [https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home)에서 Amazon SNS 콘솔을 엽니다.
1. 탐색 창에서 **주제**를 선택합니다.
1. 1단계에서 생성한 주제를 선택한 다음 **편집**을 선택합니다.
1. **액세스 정책(Access policy)**를 확장합니다.
1. 기존 정책에 다음 `Sid` 블록을 추가합니다. 각 *example resource placeholder*를 사용자의 정보로 바꿉니다.
```
{
"Sid": "Allow OpsCenter to publish to this topic",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:region:account ID:topic name", // Account ID of the SNS topic owner
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "account ID" // Account ID of the OpsItem owner
}
}
}
```
**참고**
`aws:SourceAccount` 전역 조건 키로 혼동된 대리자 시나리오를 방지합니다. 이 조건 키를 사용하려면 값을 OpsItem 소유자의 계정 ID로 설정합니다. 자세한 내용은 **IAM 사용 설명서의 [혼동된 대리자](https://docs.aws.amazon.com//IAM/latest/UserGuide/confused-deputy.html)를 참조하세요.
1. **변경 사항 저장**을 선택합니다.
이제 시스템에서는 OpsItems가 생성되거나 업데이트될 때 Amazon SNS 주제로 알림을 보냅니다.
**중요**
2단계에서 AWS Key Management Service(AWS KMS) 서버 측 암호화 키로 Amazon SNS 주제를 구성하는 경우에는 3단계를 완료합니다. 그렇지 않으면 3단계로 건너뛰어도 됩니다.
## 3단계: AWS KMS 액세스 정책 업데이트
Amazon SNS 주제에 대해 AWS KMS 서버 측 암호화를 설정한 경우 주제를 구성할 때 선택한 AWS KMS key의 액세스 정책도 업데이트해야 합니다. 다음 절차에 따라 Systems Manager가 1단계에서 생성한 Amazon SNS 주제에 OpsItem 알림을 게시할 수 있도록 액세스 정책을 업데이트합니다.
**참고**
OpsCenter에서는 AWS 관리형 키로 구성된 Amazon SNS 주제에 대한 OpsItems 게시를 지원하지 않습니다.
1. [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms)에서 AWS KMS 콘솔을 엽니다.
1. AWS 리전을 변경하려면 페이지의 오른쪽 상단 모서리에 있는 리전 선택기를 사용합니다.
1. 탐색 창에서 **고객 관리형 키**를 선택합니다.
1. 주제를 생성할 때 선택한 KMS 키의 ID를 선택합니다.
1. **키 정책(Key policy)** 섹션에서 **정책 보기로 전환(Switch to policy view)**을 선택합니다.
1. **편집**을 선택합니다.
1. 기존 정책에 다음 `Sid` 블록을 추가합니다. 각 *example resource placeholder*를 사용자의 정보로 바꿉니다.
```
{
"Sid": "Allow OpsItems to decrypt the key",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": ["kms:Decrypt", "kms:GenerateDataKey*"],
"Resource": "arn:aws:kms:region:account ID:key/key ID"
}
```
다음 예제에서는 새 블록이 14행에 입력됩니다.
![\[Amazon SNS 주제의 AWS KMS 액세스 정책 편집.\]](http://docs.aws.amazon.com/ko_kr/systems-manager/latest/userguide/images/OpsItems_SNS_KMS_access_policy.png)
1. **변경 사항 저장**을 선택합니다.
## 4단계: 새 OpsItems에 대한 알림을 보내도록 기본 OpsItems 규칙 켜기
Amazon EventBridge의 기본 OpsItems 규칙은 Amazon SNS 알림에 대한 Amazon 리소스 이름(ARN)으로 구성되어 있지 않습니다. 다음 절차에 따라 EventBridge에서 규칙을 편집하고 `notifications` 블록을 입력합니다.
**기본 OpsItem 규칙에 알림 블록을 추가하려면**
1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)에서 AWS Systems Manager 콘솔을 엽니다.
1. 탐색 창에서 **OpsCenter**를 선택합니다.
1. **OpsItems** 탭을 선택한 다음 **Configure sources(소스 구성)**을 선택합니다.
1. 다음 예제와 같이 `notifications` 블록을 사용해 구성할 소스 규칙의 이름을 선택합니다.
![\[Amazon SNS 알림 블록을 추가하기 위한 Amazon EventBridge 규칙 선택.\]](http://docs.aws.amazon.com/ko_kr/systems-manager/latest/userguide/images/OpsItems_SNS_Setup_2.png)
규칙이 Amazon EventBridge에서 열립니다.
1. 규칙 세부 정보 페이지의 **Targets**(대상) 탭에서 **Edit**(편집)을 선택합니다.
1. **Additional settings**(추가 설정) 섹션에서 **Configure input transformer**(입력 변환기 구성)을 선택합니다.
1. **템플릿** 상자에서 다음 형식으로 `notifications` 블록으로 추가합니다.
```
"notifications":[{"arn":"arn:aws:sns:region:account ID:topic name"}],
```
다음은 그 예입니다.
```
"notifications":[{"arn":"arn:aws:sns:us-west-2:1234567890:MySNSTopic"}],
```
미국 서부(오레곤)(us-west-2) 리전에 대한 다음 예제에서와 같이 `resources` 블록 앞에 알림 블록을 입력합니다.
```
{
"title": "EBS snapshot copy failed",
"description": "CloudWatch Event Rule SSMOpsItems-EBS-snapshot-copy-failed was triggered. Your EBS snapshot copy has failed. See below for more details.",
"category": "Availability",
"severity": "2",
"source": "EC2",
"notifications": [{
"arn": "arn:aws:sns:us-west-2:1234567890:MySNSTopic"
}],
"resources": ,
"operationalData": {
"/aws/dedup": {
"type": "SearchableString",
"value": "{\"dedupString\":\"SSMOpsItems-EBS-snapshot-copy-failed\"}"
},
"/aws/automations": {
"value": "[ { \"automationType\": \"AWS:SSM:Automation\", \"automationId\": \"AWS-CopySnapshot\" } ]"
},
"failure-cause": {
"value":
},
"source": {
"value":
},
"start-time": {
"value":
},
"end-time": {
"value":
}
}
}
```
1. **확인**을 선택합니다.
1. **다음**을 선택합니다.
1. **다음**을 선택합니다.
1. **규칙 업데이트**를 선택합니다.
시스템에서 기본 규칙에 대한 OpsItem이 생성되고 나면 Amazon SNS 주제에 대한 알림이 게시됩니다.