JIT(Just-in-Time) 액세스 요청 알림 구성 - AWS Systems Manager

JIT(Just-in-Time) 액세스 요청 알림 구성

사용자가 승인자 및 요청자에 대해 이메일 주소 또는 채팅 클라이언트에 대한 JIT(Just-in-Time) 노드 액세스 요청을 생성할 때 알림을 보내도록 Systems Manager를 구성할 수 있습니다. 알림에는 요청자가 제공한 액세스 요청 이유, AWS 계정, AWS 리전, 요청 상태 및 대상 노드의 ID가 포함됩니다. 현재 Systems Manager는 채팅 애플리케이션에서 Amazon Q Developer와의 통합을 통해 Slack 및 Microsoft Teams 클라이언트를 지원합니다. 채팅 클라이언트를 통한 알림을 사용하는 경우 액세스 요청 승인자는 액세스 요청과 직접 상호 작용할 수 있습니다. 이렇게 하면 콘솔에 로그인하여 액세스 요청에 대한 조치를 취할 필요가 없습니다.

시작하기 전 준비 사항

Just-in-Time 노드 액세스 알림을 위해 채팅 클라이언트를 구성하기 전에 다음 요구 사항에 유의하세요.

  • IAM 역할을 사용하여 계정의 사용자 자격 증명을 관리하는 경우 알림을 보낼 승인자 또는 요청자의 이메일 주소와 연결된 역할을 수동으로 연결해야 합니다. 연결하지 않으면 원하는 수신자에게 이메일로 알림을 보낼 수 없습니다.

다음 절차에서는 JIT(Just-in-Time) 노드 액세스 요청에 대한 알림을 구성하는 방법을 설명합니다.

채팅 클라이언트에서 JIT(Just-in-Time) 노드 액세스 알림 구성

  1. AWS Systems Manager 콘솔(https://console.aws.amazon.com/systems-manager/)을 엽니다.

  2. 탐색 창에서 설정을 선택합니다.

  3. JIT(Just-in-Time) 노드 액세스 탭을 선택합니다.

  4. 채팅 섹션에서 새 클라이언트 구성을 선택합니다.

  5. 클라이언트 유형 선택 드롭다운에서 구성할 채팅 클라이언트 유형을 선택하고 다음을 선택합니다.

  6. 채팅 애플리케이션에서 Amazon Q Developer의 채팅 클라이언트 액세스 허용을 요청하는 메시지가 표시됩니다. 허용을 선택합니다.

  7. 채널 구성 섹션에서 채팅 클라이언트 채널에 대한 정보를 입력하고 수신하려는 알림 유형을 선택합니다.

  8. Slack 알림을 구성하는 경우 알림이 구성되는 모든 Slack 채널에 '@Amazon Q'를 초대합니다.

  9. 채널 구성을 선택합니다.

참고

Slack 채널에서 직접 액세스 요청을 승인 또는 거부하려면 Slack 채널로 구성된 IAM 역할에 ssm:SendAutomationSignal 권한이 있고 챗봇을 포함하는 신뢰 정책이 있는지 확인합니다.

{
            "Effect": "Allow",
            "Principal": {
                "Service": "chatbot.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
}
이메일 알림에서 JIT(Just-in-Time) 노드 액세스 알림 구성

  1. AWS Systems Manager 콘솔(https://console.aws.amazon.com/systems-manager/)을 엽니다.

  2. 탐색 창에서 설정을 선택합니다.

  3. JIT(Just-in-Time) 노드 액세스 탭을 선택합니다.

  4. 이메일 섹션에서 편집을 선택합니다.

  5. 이메일 추가를 선택하고 이메일 주소와 수동으로 연결할 IAM 역할을 선택합니다.

  6. 이메일 주소 필드에 이메일 주소를 입력합니다. 지정한 IAM 역할로부터의 승인이 필요한 액세스 요청이 생성될 때마다 해당 역할과 연결된 이메일 주소로 알림이 전송됩니다.

  7. 이메일 주소 추가를 선택합니다.