AWS Systems Manager Change Manager는 더 이상 신규 고객에게 공개되지 않습니다. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 AWS Systems Manager Change Manager 가용성 변경을 참조하세요.
SSM Agent를 통한 루트 수준 명령에 대한 액세스 제한
AWS Systems Manager 에이전트(SSM Agent)는 루트 권한(Linux) 또는 SYSTEM 권한(Windows Server)을 사용하여 하이브리드 및 멀티클라우드 환경에서 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스와 기타 시스템 유형에서 실행됩니다. 이 경우 시스템 액세스 권한이 최고 수준이기 때문에 SSM Agent로 명령을 보낼 권한이 부여된 신뢰할 수 있는 엔터티는 모두 루트 권한이나 시스템 권한을 가지고 있습니다. (AWS에서 AWS의 작업을 수행하고 리소스에 액세스할 수 있는 신뢰할 수 있는 엔터티를 보안 주체라고 합니다. 보안 주체는 AWS 계정 루트 사용자, 사용자 또는 역할일 수 있습니다.)
보안 주체가 SSM Agent에 권한이 부여된 Systems Manager 명령을 보내기 위해서는 이 수준의 액세스 권한이 필요하지만 SSM Agent의 잠재적 취약성을 이용함으로써 이 보안 주체가 악성 코드를 실행하게 될 가능성도 있습니다.
특히 SendCommand 및 StartSession 명령을 실행하는 권한은 신중하게 제한해야 합니다. 처음에는 해당 조직에서 엄선된 보안 주체에게만 각 명령에 대한 권한을 부여하는 것이 좋습니다. 단, 보안 주체가 명령을 실행할 수 있는 관리형 노드를 제한함으로써 보안 태세를 더욱 강화할 것을 권장합니다. 그러려면 해당 보안 주체에게 IAM 정책을 할당하면 됩니다. 해당 사용자가 특정한 태그 또는 태그 조합이 지정된 관리형 노드에서만 명령을 실행할 수 있도록 제한하는 조건을 IAM 정책에 포함시킬 수 있습니다.
예를 들면, 테스트용과 프로덕션용으로 하나씩 2개의 서버 플릿이 있을 수 있습니다. 하급 엔지니어에게 적용되는 IAM 정책에서는 ssm:resourceTag/testServer 태그가 있는 인스턴스에서만 명령을 실행할 수 있게 지정합니다. 그러나 모든 인스턴스에 액세스할 수 있는 소수의 상급 엔지니어 그룹에는 ssm:resourceTag/testServer 및 ssm:resourceTag/productionServer 태그가 둘 다 있는 인스턴스에 대한 액세스 권한을 부여합니다.
이 방식을 이용하면 하급 엔지니어가 프로덕션 인스턴스에서 명령을 실행하려고 해도 이들에게 할당된 IAM 정책이 ssm:resourceTag/productionServer 태그가 있는 인스턴스에 대한 명시적 액세스 권한을 부여하지 않기 때문에 액세스가 거부될 것입니다.
자세한 내용 및 예제는 다음 항목을 참조하십시오.
