Systems Manager의 역할 수임 구성 - AWS Systems Manager
Systems Manager 빠른 설정을 위한 역할 수임을 생성하려면권한 정책

• AWS Systems Manager Change Manager는 더 이상 신규 고객에게 공개되지 않습니다. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 AWS Systems Manager Change Manager 가용성 변경을 참조하세요.

 

• AWS Systems Manager CloudWatch 대시보드는 2026년 4월 30일 이후에는 더 이상 사용할 수 없습니다. 고객은 Amazon CloudWatch 콘솔을 계속 사용하여 현재와 마찬가지로 Amazon CloudWatch 대시보드를 보고, 생성하고, 관리할 수 있습니다. 자세한 내용은 Amazon CloudWatch 대시보드 설명서를 참조하세요.

Systems Manager의 역할 수임 구성

Systems Manager 빠른 설정을 위한 역할 수임을 생성하려면

Systems Manager 빠른 설정에는 Systems Manager가 계정에서 작업을 안전하게 수행할 수 있도록 허용하는 역할이 필요합니다. 이 역할은 Systems Manager에게 인스턴스에서 명령을 실행하고 사용자를 대신하여 EC2 인스턴스, IAM 역할 및 기타 Systems Manager 리소스를 구성하는 데 필요한 권한을 부여합니다.

  1. IAM 콘솔(https://console.aws.amazon.com/iam/)을 엽니다.

  2. 탐색 창에서 정책을 선택한 후 정책 생성을 선택합니다.

  3. 아래 JSON을 사용하여 SsmOnboardingInlinePolicy 정책을 추가합니다. (이 정책은 지정한 인스턴스에 인스턴스 프로파일 권한을 연결하는 데 필요한 작업을 활성화합니다. 예를 들어 인스턴스 프로파일을 생성하고 이를 EC2 인스턴스와 연결할 수 있도록 설정합니다.)

  4. 완료했으면 탐색 창에서 역할을 선택한 후 역할 생성을 선택합니다.

  5. 신뢰할 수 있는 엔터티 유형의 경우 기본값(서비스)을 그대로 둡니다.

  6. 사용 사례에서 Systems Manager를 선택한 후 다음을 선택합니다.

  7. 권한 추가 페이지에서 다음을 수행합니다.

  8. SsmOnboardingInlinePolicy 정책을 추가합니다.

  9. 다음을 선택합니다.

  10. 역할 이름에 설명이 포함된 이름을 입력합니다(예: AmazonSSMRoleForAutomationAssumeQuickSetup).

  11. (선택 사항) 역할을 식별하고 구성하는 데 도움이 되는 태그를 추가합니다.

  12. 역할 생성을 선택합니다.

중요

역할이 ssm.amazonaws.com와 신뢰 관계를 맺고 있어야 합니다. 이는 4단계에서 Systems Manager를 서비스로 선택하면 자동으로 구성됩니다.

역할을 생성한 후 빠른 설정을 구성할 때 해당 역할을 선택할 수 있습니다. 이 역할을 통해 Systems Manager는 EC2 인스턴스, IAM 역할 및 기타 Systems Manager 리소스를 관리할 수 있으며, 사용자를 대신하여 명령을 실행하는 동시에 특정하고 제한된 권한을 통해 보안을 유지할 수 있습니다.

권한 정책

SsmOnboardingInlinePolicy

다음 정책은 Systems Manager 빠른 설정에 대한 권한을 정의합니다.

{
    "Version": "2012-10-17" 		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateInstanceProfile",
                "iam:ListInstanceProfilesForRole",
                "ec2:DescribeIamInstanceProfileAssociations",
                "iam:GetInstanceProfile",
                "iam:AddRoleToInstanceProfile"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AssociateIamInstanceProfile"
            ],
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "Null": {
                    "ec2:InstanceProfile": "true"
                },
                "ArnLike": {
                    "ec2:NewInstanceProfile": "arn:aws:iam::*:instance-profile/[INSTANCE_PROFILE_ROLE_NAME]"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/[INSTANCE_PROFILE_ROLE_NAME]",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "ec2.amazonaws.com"
                }
            }
        }
    ]
        }
신뢰 관계

위 단계를 통해 자동으로 추가됩니다.

{
    "Version": "2012-10-17" 		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ssm.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
     ]
        }