• AWS Systems Manager CloudWatch 대시보드는 2026년 4월 30일 이후에는 더 이상 사용할 수 없습니다. 고객은 Amazon CloudWatch 콘솔을 계속 사용하여 현재와 마찬가지로 Amazon CloudWatch 대시보드를 보고, 생성하고, 관리할 수 있습니다. 자세한 내용은 [Amazon CloudWatch 대시보드 설명서](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)를 참조하세요.
# 8단계: (선택 사항) Session Manager를 통한 SSH 연결에 대한 권한 허용 및 제어
AWS Command Line Interface(AWS CLI)를 사용하여 AWS Systems Manager Session Manager를 통해 관리형 노드에 SSH(Secure Shell) 연결을 설정하도록 AWS 계정의 사용자를 허용할 수 있습니다. SSH로 연결하는 사용자는 로컬 시스템과 관리형 노드 사이에서 SCP(Secure Copy Protocol)를 사용하여 파일을 복사하는 것도 가능합니다. 이 기능을 사용하면 인바운드 포트를 개방하거나 Bastion 호스트를 유지하지 않고도 관리형 노드에 연결할 수 있습니다.
Session Manager를 통해 SSH 연결을 설정하면 AWS CLI 및 SSM Agent가 TLS를 통해 Session Manager 엔드포인트에 대한 보안 WebSocket 연결을 생성합니다. SSH 세션은 이 암호화된 터널 내에서 실행되므로 관리형 노드에서 인바운드 포트를 열지 않고도 추가 보안 계층을 제공합니다.
SSH 연결을 허용한 후 AWS Identity and Access Management(IAM) 정책을 사용하여 사용자, 그룹 또는 역할이 Session Manager를 사용한 SSH 연결을 명시적으로 허용하거나 거부하도록 할 수 있습니다.
**참고**
포트 전달 또는 SSH를 통해 연결하는 Session Manager 세션에는 로깅을 사용할 수 없습니다. 이는 SSH가 AWS CLI 엔드포인트와 Session Manager 엔드포인트 간에 설정된 보안 TLS 연결 내의 모든 세션 데이터를 암호화하고 Session Manager는 SSH 연결을 위한 터널 역할만 하기 때문입니다.
**Topics**
+ [Session Manager의 SSH 연결 허용](#ssh-connections-enable)
+ [Session Manager를 통해 SSH 연결에 대한 사용자 권한 제어](#ssh-connections-permissions)
## Session Manager의 SSH 연결 허용
다음 단계를 사용하여 관리형 노드에서 Session Manager를 통해 SSH 연결을 허용합니다.
**Session Manager의 SSH 연결 허용**
1. SSH 연결을 허용할 관리형 노드에서 다음과 같이 실행합니다.
+ 관리형 노드에서 SSH가 실행 중인지 확인합니다. (노드에서 인바운드 포트를 폐쇄할 수 있습니다)
+ SSM Agent 2.3.672.0 이상이 관리형 노드에 설치되어 있는지 확인합니다.
관리형 노드에 SSM Agent를 설치하거나 업데이트하는 방법에 대한 자세한 내용은 다음 주제를 참조하세요.
+ [SSM Agent용 EC2 인스턴스에 수동으로 Windows Server 설치 및 제거](manually-install-ssm-agent-windows.md).
+ [Linux용 EC2 인스턴스에 수동으로 SSM Agent 설치 및 제거](manually-install-ssm-agent-linux.md)
+ [SSM Agent용 EC2 인스턴스에 수동으로 macOS 설치 및 제거](manually-install-ssm-agent-macos.md)
+ [하이브리드 Windows 노드에 SSM Agent를 설치하는 방법](hybrid-multicloud-ssm-agent-install-windows.md)
+ [하이브리드 Linux 노드에 SSM Agent를 설치하는 방법](hybrid-multicloud-ssm-agent-install-linux.md)
**참고**
관리형 노드로 활성화한 온프레미스 서버, 엣지 디바이스, 가상 머신에서 Session Manager를 사용하려면 고급 인스턴스 티어를 사용해야 합니다. 전용 인스턴스에 대한 자세한 내용은 [인스턴스 티어 구성](fleet-manager-configure-instance-tiers.md) 섹션을 참조하세요.
1. SSH로 관리형 노드에 연결할 로컬 시스템에서 다음과 같이 실행합니다.
+ Session Manager 플러그인 버전 1.1.23.0 이상이 설치되어 있는지 확인합니다.
Session Manager 플러그인 설치에 대한 자세한 내용은 [AWS CLI의 Session Manager 플러그인 설치](session-manager-working-with-install-plugin.md) 섹션을 참조하세요.
+ 프록시 명령 실행을 허용하여 Session Manager 세션을 시작할 수 있도록 SSH 구성 파일을 업데이트한 후 SSH 연결을 통해 모든 데이터를 전송합니다.
**Linux 및 macOS**
**작은 정보**
SSH 구성 파일은 일반적으로 `~/.ssh/config`에 있습니다.
로컬 시스템에서 다음과 같이 구성 파일에 추가합니다.
```
# SSH over Session Manager
Host i-* mi-*
ProxyCommand sh -c "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters 'portNumber=%p'"
User ec2-user
```
** Windows **
**작은 정보**
SSH 구성 파일은 일반적으로 `C:\Users\\.ssh\config`에 있습니다.
로컬 시스템에서 다음과 같이 구성 파일에 추가합니다.
```
# SSH over Session Manager
Host i-* mi-*
ProxyCommand C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters portNumber=%p"
```
+ 관리형 노드에 연결 설정 시 사용할 Privacy Enhanced Mail 인증서(PEM 파일) 또는 최소 퍼블릭 키를 생성하거나 갖추고 있는지 확인합니다. 이 키는 관리형 노드와 이미 연결된 키여야 합니다. 사용자만 읽을 수 있도록 프라이빗 키 파일의 권한을 설정해야 합니다. 다음 명령을 사용하여 사용자만 읽을 수 있도록 프라이빗 키 파일의 권한을 설정할 수 있습니다.
```
chmod 400 .pem
```
예를 들어 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스의 경우 인스턴스를 생성할 때 선택 또는 생성한 키 페어 파일입니다. (세션을 시작하는 명령의 일부로 인증서 또는 키에 대한 경로를 지정합니다. SSH를 사용하여 세션 시작에 대한 자세한 내용은 [세션 시작(SSH)](session-manager-working-with-sessions-start.md#sessions-start-ssh) 섹션을 참조하세요.)
## Session Manager를 통해 SSH 연결에 대한 사용자 권한 제어
Session Manager를 통해 관리형 노드에서 SSH 연결을 활성화한 후 IAM 정책을 사용하여 사용자, 그룹 또는 역할이 Session Manager를 통해 SSH 연결을 수립할 수 있는 기능을 허용하거나 거부할 수 있습니다.
**Session Manager를 통한 SSH 연결을 허용하는 IAM 정책을 사용하려면**
+ 다음 옵션 중 하나를 사용하세요.
+ **옵션 1**: [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.
탐색 창에서 **정책**을 선택한 다음 Session Manager을 통해 SSH 연결을 시작할 수 있도록 허용할 사용자 또는 역할에 대한 권한 정책을 업데이트합니다.
예를 들어 [Session Manager에 대한 빠른 시작 최종 사용자 정책](getting-started-restrict-access-quickstart.md#restrict-access-quickstart-end-user)에서 생성한 빠른 시작 정책에 다음 요소를 추가합니다. 각 *리소스 자리 표시자 예*를 자신의 정보로 바꿉니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ssm:StartSession",
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/instance-id",
"arn:aws:ssm:*:*:document/AWS-StartSSHSession"
]
},
{
"Effect": "Allow",
"Action": "ssmmessages:OpenDataChannel",
"Resource": "arn:aws:ssm:*:*:session/${aws:userid}-*"
}
]
}
```
------
+ **옵션 2**: AWS Management Console, AWS CLI 또는 AWS API를 사용하여 인라인 정책을 사용자 정책에 연결합니다.
선택한 방법을 사용하여 **옵션 1**의 정책 문을 AWS 사용자, 그룹 또는 역할에 대한 정책에 연결합니다.
자세한 내용은 *IAM User Guide*의 [Adding and Removing IAM Identity Permissions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)를 참조하세요.
**Session Manager를 통한 SSH 연결을 거부하는 IAM 정책을 사용하려면**
+ 다음 옵션 중 하나를 사용하세요.
+ **옵션 1**: [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다. 탐색 창에서 **정책**을 선택한 다음, Session Manager 세션의 시작을 차단하도록 사용자 또는 역할에 대한 권한 정책을 업데이트합니다.
예를 들어 [Session Manager에 대한 빠른 시작 최종 사용자 정책](getting-started-restrict-access-quickstart.md#restrict-access-quickstart-end-user)에서 생성한 빠른 시작 정책에 다음 요소를 추가합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ssm:StartSession",
"Resource": "arn:aws:ssm:*:*:document/AWS-StartSSHSession"
},
{
"Effect": "Allow",
"Action": "ssmmessages:OpenDataChannel",
"Resource": "arn:aws:ssm:*:*:session/${aws:userid}-*"
}
]
}
```
------
+ **옵션 2**: AWS Management Console, AWS CLI 또는 AWS API를 사용하여 인라인 정책을 사용자 정책에 연결합니다.
선택한 방법을 사용하여 **옵션 1**의 정책 문을 AWS 사용자, 그룹 또는 역할에 대한 정책에 연결합니다.
자세한 내용은 *IAM User Guide*의 [Adding and Removing IAM Identity Permissions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)를 참조하세요.