• AWS Systems Manager CloudWatch 대시보드는 2026년 4월 30일 이후에는 더 이상 사용할 수 없습니다. 고객은 Amazon CloudWatch 콘솔을 계속 사용하여 현재와 마찬가지로 Amazon CloudWatch 대시보드를 보고, 생성하고, 관리할 수 있습니다. 자세한 내용은 [Amazon CloudWatch 대시보드 설명서](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)를 참조하세요.
# AWS Systems Manager 설정
다음 주제에서는 AWS Organizations 조직 및 단일 AWS 계정에 대한 통합 AWS Systems Manager 콘솔을 설정하는 방법에 대해 설명합니다.
**Topics**
+ [
# Systems Manager 콘솔 액세스 설정
](systems-manager-setting-up-console-access.md)
+ [
# 조직을 위한 Systems Manager 통합 콘솔 설정
](systems-manager-setting-up-organizations.md)
+ [
# 단일 계정 및 리전에 대한 Systems Manager 통합 콘솔 설정
](systems-manager-setting-up-single-account-region.md)
+ [
# Systems Manager 통합 콘솔 비활성화
](systems-manager-disable-integrated-console.md)
# Systems Manager 콘솔 액세스 설정
AWS Systems Manager에서 AWS Management Console을 사용하려면 올바른 권한이 구성되어 있어야 합니다.
AWS Identity and Access Management 정책을 생성하고 IAM 자격 증명에 연결하는 방법에 대한 자세한 내용은 *IAM 사용 설명서*의 [IAM 정책 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)을 참조하세요.
## Systems Manager 온보딩 정책
다음 예제와 같은 IAM 정책을 생성하고 해당 정책을 IAM 자격 증명에 연결할 수 있습니다. 이 정책은 Systems Manager에 온보딩하고 구성할 수 있는 전체 액세스 권한을 부여합니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `ssm-quicksetup` - 위탁자에게 모든 AWS Systems Manager 빠른 설정 작업에 대한 액세스할 수 있도록 허용합니다.
+ `ssm` - 위탁자가 Systems Manager Automation 및 Resource Explorer에 액세스할 수 있도록 허용합니다.
+ `organizations` - 위탁자가 AWS Organizations에서 조직의 구조를 읽고 위임된 관리자를 조직으로 Systems Manager에 온보딩할 때 관리할 수 있도록 허용합니다.
+ `cloudformation` - 위탁자가 Quick Setup 스택을 관리할 수 있도록 허용합니다.
+ `iam` - 위탁자가 Systems Manager 온보딩에 필요한 IAM 역할 및 정책을 관리할 수 있도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "QuickSetupActions",
"Effect": "Allow",
"Action": [
"ssm-quicksetup:*"
],
"Resource": "*"
},
{
"Sid": "SsmReadOnly",
"Effect": "Allow",
"Action": [
"ssm:DescribeAutomationExecutions",
"ssm:GetAutomationExecution",
"ssm:ListAssociations",
"ssm:DescribeAssociation",
"ssm:ListDocuments",
"ssm:ListResourceDataSync",
"ssm:DescribePatchBaselines",
"ssm:GetPatchBaseline",
"ssm:DescribeMaintenanceWindows",
"ssm:DescribeMaintenanceWindowTasks"
],
"Resource": "*"
},
{
"Sid": "SsmDocument",
"Effect": "Allow",
"Action": [
"ssm:GetDocument",
"ssm:DescribeDocument"
],
"Resource": [
"arn:aws:ssm:*:*:document/AWSQuickSetupType-*",
"arn:aws:ssm:*:*:document/AWS-EnableExplorer"
]
},
{
"Sid": "SsmEnableExplorer",
"Effect": "Allow",
"Action": "ssm:StartAutomationExecution",
"Resource": [
"arn:aws:ssm:*:*:document/AWS-EnableExplorer",
"arn:aws:ssm:*:*:automation-execution/*"
]
},
{
"Sid": "SsmExplorerRds",
"Effect": "Allow",
"Action": [
"ssm:GetOpsSummary",
"ssm:CreateResourceDataSync",
"ssm:UpdateResourceDataSync"
],
"Resource": "arn:aws:ssm:*:*:resource-data-sync/AWS-QuickSetup-*"
},
{
"Sid": "OrgsReadOnly",
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators",
"organizations:ListRoots",
"organizations:ListParents",
"organizations:ListOrganizationalUnitsForParent",
"organizations:DescribeOrganizationalUnit",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": "*"
},
{
"Sid": "OrgsAdministration",
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"ssm.amazonaws.com",
"ssm-quicksetup.amazonaws.com",
"member.org.stacksets.cloudformation.amazonaws.com",
"resource-explorer-2.amazonaws.com"
]
}
}
},
{
"Sid": "CfnReadOnly",
"Effect": "Allow",
"Action": [
"cloudformation:ListStacks",
"cloudformation:DescribeStacks",
"cloudformation:ListStackSets",
"cloudformation:DescribeOrganizationsAccess"
],
"Resource": "*"
},
{
"Sid": "OrgCfnAccess",
"Effect": "Allow",
"Action": [
"cloudformation:ActivateOrganizationsAccess"
],
"Resource": "*"
},
{
"Sid": "CfnStackActions",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStackResources",
"cloudformation:DescribeStackEvents",
"cloudformation:GetTemplate",
"cloudformation:RollbackStack",
"cloudformation:TagResource",
"cloudformation:UntagResource",
"cloudformation:UpdateStack"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-*",
"arn:aws:cloudformation:*:*:stack/AWS-QuickSetup-*",
"arn:aws:cloudformation:*:*:type/resource/*"
]
},
{
"Sid": "CfnStackSetActions",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStackInstances",
"cloudformation:CreateStackSet",
"cloudformation:DeleteStackInstances",
"cloudformation:DeleteStackSet",
"cloudformation:DescribeStackInstance",
"cloudformation:DetectStackSetDrift",
"cloudformation:ListStackInstanceResourceDrifts",
"cloudformation:DescribeStackSet",
"cloudformation:DescribeStackSetOperation",
"cloudformation:ListStackInstances",
"cloudformation:ListStackSetOperations",
"cloudformation:ListStackSetOperationResults",
"cloudformation:TagResource",
"cloudformation:UntagResource",
"cloudformation:UpdateStackSet"
],
"Resource": [
"arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-*",
"arn:aws:cloudformation:*:*:type/resource/*",
"arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-*:*"
]
},
{
"Sid": "ValidationReadonlyActions",
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:GetRole"
],
"Resource": "*"
},
{
"Sid": "IamRolesMgmt",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:DeleteRole",
"iam:GetRole",
"iam:AttachRolePolicy",
"iam:DetachRolePolicy",
"iam:GetRolePolicy",
"iam:ListRolePolicies"
],
"Resource": [
"arn:aws:iam::*:role/AWS-QuickSetup-*",
"arn:aws:iam::*:role/service-role/AWS-QuickSetup-*"
]
},
{
"Sid": "IamPassRole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/AWS-QuickSetup-*",
"arn:aws:iam::*:role/service-role/AWS-QuickSetup-*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"ssm.amazonaws.com",
"ssm-quicksetup.amazonaws.com",
"cloudformation.amazonaws.com"
]
}
}
},
{
"Sid": "IamRolesPoliciesMgmt",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:DetachRolePolicy"
],
"Resource": [
"arn:aws:iam::*:role/AWS-QuickSetup-*",
"arn:aws:iam::*:role/service-role/AWS-QuickSetup-*"
],
"Condition": {
"ArnEquals": {
"iam:PolicyARN": [
"arn:aws:iam::aws:policy/AWSSystemsManagerEnableExplorerExecutionPolicy",
"arn:aws:iam::aws:policy/AWSQuickSetupSSMDeploymentRolePolicy"
]
}
}
},
{
"Sid": "CfnStackSetsSLR",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/stacksets.cloudformation.amazonaws.com/AWSServiceRoleForCloudFormationStackSetsOrgAdmin",
"arn:aws:iam::*:role/aws-service-role/ssm.amazonaws.com/AWSServiceRoleForAmazonSSM",
"arn:aws:iam::*:role/aws-service-role/accountdiscovery.ssm.amazonaws.com/AWSServiceRoleForAmazonSSM_AccountDiscovery",
"arn:aws:iam::*:role/aws-service-role/ssm-quicksetup.amazonaws.com/AWSServiceRoleForSSMQuickSetup",
"arn:aws:iam::*:role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer"
]
}
]
}
```
------
## AWS Systems Manager 콘솔 운영자 정책
다음 예제와 같은 IAM 정책을 생성하고 해당 정책을 IAM 자격 증명에 연결할 수 있습니다. 이 정책은 Systems Manager를 운영할 수 있는 전체 액세스 권한을 부여하고 Systems Manager가 진단 및 문제 해결을 위해 Automation 문서를 실행할 수 있도록 허용합니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `ssm` - 위탁자가 모든 Systems Manager API에 액세스할 수 있도록 허용합니다.
+ `ssm-quicksetup` - 위탁자가 Quick Setup 구성을 관리할 수 있도록 허용합니다.
+ `ec2` - Systems Manager가 활성화된 AWS 리전 및 Amazon EC2 인스턴스 상태를 확인할 수 있도록 허용합니다.
+ `cloudformation` - 위탁자가 Quick Setup 스택을 읽을 수 있도록 허용합니다.
+ `organizations` - 위탁자가 AWS Organizations에서 조직의 구조를 읽고 위임된 관리자를 조직으로 Systems Manager에 온보딩할 때 관리할 수 있도록 허용합니다.
+ `s3` - 위탁자가 Systems Manager 온보딩 프로세스 중에 생성된 진단을 위한 Amazon S3 버킷에 객체를 나열하고 가져올 수 있도록 허용합니다.
+ `iam:PassRole` - 위탁자가 비관리형 노드의 진단 및 문제 해결을 위해 자동화를 실행하는 경우 수임할 역할을 Systems Manager에 전달할 수 있도록 허용합니다.
+ `iam:GetRole` - 위탁자가 Systems Manager에서 작업하는 경우 Quick Setup 역할에 대한 특정 역할 정보를 가져올 수 있도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:*",
"ssm-quicksetup:*"
],
"Resource": "*"
},
{
"Sid": "AllowEC2DescribeActions",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstances",
"ec2:DescribeRegions"
],
"Resource": "*"
},
{
"Sid": "CfnAccess",
"Effect": "Allow",
"Action": [
"cloudformation:ListStacks",
"cloudformation:ListStackSets",
"cloudformation:ListStackInstances",
"cloudformation:ListStackSetOperations",
"cloudformation:ListStackSetOperationResults",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackSet",
"cloudformation:DescribeStackSetOperation",
"cloudformation:DescribeOrganizationsAccess",
"cloudformation:DescribeStackInstance",
"cloudformation:DetectStackSetDrift",
"cloudformation:ListStackInstanceResourceDrifts"
],
"Resource": "*"
},
{
"Sid": "OrgsReadOnly",
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators",
"organizations:ListRoots",
"organizations:ListParents",
"organizations:ListOrganizationalUnitsForParent",
"organizations:DescribeOrganizationalUnit",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": "*"
},
{
"Sid": "AllowKMSOperations",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SystemsManagerManaged": "true"
},
"ArnLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::do-not-delete-ssm-diagnosis-*"
},
"StringLike": {
"kms:ViaService": "s3.*.amazonaws.com"
},
"Bool": {
"aws:ViaAWSService": "true"
}
}
},
{
"Sid": "AllowReadS3BucketFromOrganization",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::do-not-delete-ssm-diagnosis*",
"Condition": {
"StringEquals": {
"aws:ResourceOrgId": "${aws:PrincipalOrgId}"
}
}
},
{
"Sid": "AllowReadS3BucketFromSingleAccount",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::do-not-delete-ssm-diagnosis*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/AWS-SSM-DiagnosisAdminRole*",
"arn:aws:iam::*:role/AWS-SSM-DiagnosisExecutionRole*",
"arn:aws:iam::*:role/AWS-SSM-RemediationAdminRole*",
"arn:aws:iam::*:role/AWS-SSM-RemediationExecutionRole*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "ssm.amazonaws.com"
}
}
},
{
"Sid": "IamReadOnly",
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": [
"arn:aws:iam::*:role/AWS-QuickSetup-*",
"arn:aws:iam::*:role/service-role/AWS-QuickSetup-*"
]
}
]
}
```
------
## AWS Systems Manager 콘솔 운영자 읽기 전용 정책
다음 예제와 같은 IAM 정책을 생성하고 해당 정책을 IAM 자격 증명에 연결할 수 있습니다. 이 정책은 Systems Manager를 사용할 수 있는 읽기 전용 액세스 권한을 부여합니다.
+ `ssm` - 위탁자가 Systems Manager 읽기 전용 API에 액세스할 수 있도록 허용합니다.
+ `ssm-quicksetup` - 위탁자가 Quick Setup 구성을 읽을 수 있도록 허용합니다.
+ `cloudformation` - 위탁자가 Quick Setup 스택을 읽을 수 있도록 허용합니다.
+ `iam:GetRole` - 위탁자가 Systems Manager를 사용하는 경우 Quick Setup 역할에 대한 특정 역할 정보를 가져올 수 있도록 허용합니다.
+ `ec2:DescribeRegions` - Systems Manager가 활성화된 AWS 리전을 확인할 수 있도록 허용합니다.
+ `organizations` - 조직으로서 Systems Manager에 온보딩할 때 위탁자가 AWS Organizations에서 조직의 구조를 읽을 수 있도록 허용합니다.
+ `s3` - 위탁자가 Systems Manager 온보딩 프로세스 중에 생성된 Amazon S3 버킷에 객체를 나열하고 가져올 수 있도록 허용합니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:Describe*",
"ssm:Get*",
"ssm:List*",
"ssm-quicksetup:List*",
"ssm-quicksetup:Get*",
"cloudformation:Describe*",
"cloudformation:Get*",
"cloudformation:List*",
"iam:GetRole",
"ec2:DescribeRegions",
"organizations:Describe*",
"organizations:List*"
],
"Resource": "*"
},
{
"Sid": "AllowKMSOperations",
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SystemsManagerManaged": "true"
},
"ArnLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::do-not-delete-ssm-diagnosis-*"
},
"StringLike": {
"kms:ViaService": "s3.*.amazonaws.com"
},
"Bool": {
"aws:ViaAWSService": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::do-not-delete-ssm-diagnosis*",
"Condition": {
"StringEquals": {
"aws:ResourceOrgId": "${aws:PrincipalOrgId}"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::do-not-delete-ssm-diagnosis*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
# 조직을 위한 Systems Manager 통합 콘솔 설정
Systems Manager 통합 콘솔 환경의 설정 프로세스는 몇 번의 클릭만으로 AWS Management Console에서 완료됩니다. AWS Organizations 조직에 Systems Manager를 설정하려면 조직의 관리 계정과 위임된 관리자로 사용할 조직의 다른 계정에 대한 액세스 권한이 있어야 합니다. 관리 계정에 대한 액세스는 Systems Manager를 활성화하거나 비활성화하는 경우에만 필요합니다. 노드를 관리하려면 위임된 관리자 계정을 사용합니다.
## 사전 조건
조직 전반에 걸쳐 노드를 관리하는 경우 Systems Manager는 다양한 종속 서비스를 사용하여 통합 콘솔의 기능을 설정하고 개선합니다. 따라서 Systems Manager는 신뢰할 수 있는 액세스를 활성화하고 다음 서비스에 대해 위임된 관리자 계정을 등록해야 합니다.
+ AWS CloudFormation - Systems Manager에 필요한 리소스를 계정에 배포합니다.
+ AWS Resource Explorer - 계정에서 EC2 인스턴스를 검색하고 필터링합니다.
+ AWS Systems Manager Explorer - 계정에 Systems Manager용으로 배포된 리소스의 상태를 모니터링하고 문제를 해결합니다.
+ AWS Systems Manager Quick Setup - Systems Manager에 필요한 Quick Setup 구성을 계정에 배포합니다.
시작하기 전에 이러한 종속 서비스에 대해 위임된 관리자의 할당량을 이미 초과하지 않았는지 확인합니다. 그러지 않으면 Systems Manager를 활성화하는 데 필요한 위임된 관리자 계정을 등록할 수 없습니다. 조직에서 Systems Manager를 활성화하면 조직의 모든 계정이 포함됩니다. 현재로서는 설정 프로세스에서 계정을 제외할 수 있는 조항이 없습니다. Systems Manager를 활성화하는 경우 포함할 AWS 리전을 선택할 수 있습니다. 현재 Systems Manager 통합 콘솔을 지원하는 리전만 선택할 수 있습니다. 콘솔 환경을 사용할 수 있는 리전에 대한 자세한 내용은 [지원되는 AWS 리전](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html#regions) 섹션을 참조하세요.
## 통합 콘솔 리소스
Systems Manager 통합 콘솔 설정 프로세스에서는 많은 필수 작업이 자동으로 완료됩니다. 구성하는 기능에 따라 여기에는 노드 등에 필요한 IAM 권한을 제공하기 위해 기본 호스트 관리 구성을 활성화하는 것이 포함됩니다. 다음은 통합 콘솔에 대해 Systems Manager에서 생성한 리소스의 세부 목록입니다. 구성하려는 기능에 따라 일부 리소스가 생성되지 않을 수 있습니다.
AWS Resource Explorer 관리형 보기
+ `AWSManagedViewForSSM` - Systems Manager가 조직의 Resource Explorer에서 인덱싱된 리소스 정보에 액세스하도록 허용합니다. 이러한 관리형 뷰는 Systems Manager에서만 업데이트하거나 삭제할 수 있습니다. 즉, 관리형 뷰를 삭제하거나 Resource Explorer를 끄려면 통합 콘솔을 비활성화해야 합니다. 통합 콘솔을 비활성화하는 방법에 대한 자세한 내용은 [Systems Manager 통합 콘솔 비활성화](systems-manager-disable-integrated-console.md) 섹션을 참조하세요. 관리형 뷰에 대한 자세한 내용은 *Resource Explorer 사용 설명서*에서 [AWS 관리형 뷰](https://docs.aws.amazon.com/resource-explorer/latest/userguide/aws-managed-views.html)를 참조하세요.
**참고**
홈 리전과는 다른 리전에서 Resource Explorer에 대한 애그리게이터 인덱스를 생성한 경우 Systems Manager가 현재 인덱스를 강등합니다. 그런 다음 Systems Manager는 홈 리전의 로컬 인덱스를 새 애그리게이터 인덱스로 승격합니다. 이 기간 동안에는 홈 리전에 대한 노드만 표시됩니다. 이 프로세스를 완료하는 데 최대 24시간이 걸릴 수 있습니다.
IAM 역할
+ `RoleForOnboardingAutomation` - 설정 프로세스 중에 Systems Manager의 리소스 관리를 허용합니다. 정책에 대한 자세한 내용은 [AWSQuickSetupSSMManageResourcesExecutionPolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWSQuickSetupSSMManageResourcesExecutionPolicy)를 참조하세요.
+ `RoleForLifecycleManagement` - Lambda의 설정 프로세스에서 생성된 리소스의 수명 주기 관리를 허용합니다. 정책에 대한 자세한 내용은 [AWSQuickSetupSSMLifecycleManagementExecutionPolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWSQuickSetupSSMLifecycleManagementExecutionPolicy)를 참조하세요.
+ `RoleForAutomation` - 런북 실행을 위해 맡을 Systems Manager Automation 서비스 역할입니다. 자세한 내용은 [콘솔을 사용하여 Automation을 위한 서비스 역할 생성](automation-setup-iam.md) 섹션을 참조하세요.
+ `AWSSSMDiagnosisAdminRole` - 진단 런북을 사용하는 자동화를 시작하는 데 사용되는 관리 역할입니다. 정책에 대한 자세한 내용은 [AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy), [AWS-SSM-Automation-DiagnosisBucketPolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy) 및 [AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy)를 참조하세요.
+ `AWSSSMDiagnosisExecutionRole` - 진단 런북의 자동화 실행 역할입니다. 정책에 대한 자세한 내용은 [AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy) 및 [AWS-SSM-Automation-DiagnosisBucketPolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy)를 참조하세요.
+ `AWSSSMRemediationAdminRole` - 문제 해결 런북을 사용하는 자동화를 시작하는 데 사용되는 관리 역할입니다. 정책에 대한 자세한 내용은 [AWS-SSM-RemediationAutomation-AdministrationRolePolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy), [AWS-SSM-Automation-DiagnosisBucketPolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy) 및 [AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy)를 참조하세요.
+ `AWSSSMRemediationExecutionRole` - 문제 해결 런북의 자동화 실행 역할입니다. 정책에 대한 자세한 내용은 [AWS-SSM-RemediationAutomation-ExecutionRolePolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy) 및 [AWS-SSM-Automation-DiagnosisBucketPolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy)를 참조하세요.
+ `ManagedInstanceCrossAccountManagementRole` - Systems Manager의 계정 간 관리형 노드 정보 수집을 허용합니다.
State Manager 연결
+ `EnableDHMCAssociation` - 매일 실행되며 기본 호스트 관리 구성이 활성화되어 있는지 확인합니다.
+ `SystemAssociationForEnablingExplorer` - 매일 실행되며 Explorer가 활성화되었는지 확인합니다. Explorer는 관리형 노드 데이터 동기화에 사용됩니다.
+ `EnableAREXAssociation` - 매일 실행되며 AWS Resource Explorer의 활성화 여부를 확인합니다. Resource Explorer는 Systems Manager에서 관리하지 않는 조직의 Amazon EC2 인스턴스를 확인하는 데 사용됩니다.
+ `SSMAgentUpdateAssociation` - 14일마다 실행되며 사용 가능한 최신 버전의 SSM Agent가 관리형 노드에 설치되었는지 확인합니다.
+ `SystemAssociationForInventoryCollection` - 12시간마다 실행되며 관리형 노드에서 인벤토리 데이터를 수집합니다.
S3 버킷
+ `DiagnosisBucket` - 진단 런북 실행에서 수집된 데이터를 저장합니다.
Lambda 함수
+ `SSMLifecycleOperatorLambda` - 위탁자에게 모든 AWS Systems Manager 빠른 설정 작업에 대한 액세스할 수 있도록 허용합니다.
+ `SSMLifecycleResource` - 설정 프로세스에서 생성된 리소스의 수명 주기 관리에 도움이 되는 사용자 지정 리소스입니다.
또한 설정 프로세스가 완료되면 노드 **진단 및 문제 해결** 태스크를 선택하여 Systems Manager에서 관리형으로 보고되지 않는 노드에 자동으로 수정 사항을 적용할 수 있습니다. 여기에는 Systems Manager 엔드포인트에 대한 네트워크 연결 문제와 같은 문제를 파악하는 것이 포함될 수 있습니다. 자세한 내용은 [진단 및 문제 해결](diagnose-and-remediate.md) 섹션을 참조하세요.
## 통합 콘솔 설정
**조직에 Systems Manager를 설정하려면**
1. 조직의 관리 계정에 로그인합니다.
1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)에서 AWS Systems Manager 콘솔을 엽니다.
1. 위임된 관리자로 등록할 계정의 ID를 입력합니다.
1. 위임된 관리자 계정을 성공적으로 등록하면 방금 등록한 위임된 관리자 계정에 로그인하고 Systems Manager 콘솔로 돌아가서 Systems Manager 설정을 완료합니다.
1. **Systems Manager 활성화**를 선택합니다.
1. **홈 리전** 섹션에서 Systems Manager가 노드 데이터를 집계할 리전을 결정합니다. 기본적으로 Systems Manager는 현재 사용 중인 리전을 선택합니다. 다른 홈 리전을 선택하려면 Systems Manager를 설정하기 전에 콘솔을 사용하려는 리전으로 변경합니다. 노드 데이터는 조직의 계정과 리전 전반에 걸쳐 복제되어 홈 리전에 저장됩니다. Systems Manager를 설정한 후에는 선택한 리전을 변경할 수 없습니다. 다른 리전을 조직의 홈 리전으로 사용하려면 통합 콘솔을 비활성화하고 설정 프로세스를 다시 완료해야 합니다. 조직에서 IAM Identity Center를 사용하는 경우 IAM Identity Center를 설정한 리전을 홈 리전과 동일하게 선택해야 합니다.
1. **리전** 섹션에서 Systems Manager를 활성화하려는 리전을 선택합니다.
1. **기능 구성** 섹션에서 구성에 대해 활성화할 옵션을 선택합니다.
**DHMC(기본 호스트 관리 구성) 활성화**
Systems Manager의 DHMC 구성을 허용합니다. 이 기능을 사용하면 Systems Manager가 IAM 역할을 사용하여 계정 및 리전의 모든 Amazon EC2 인스턴스에 Systems Manager에서 관리하는 데 필요한 권한이 있는지 확인할 수 있습니다. 드리프트 수정 빈도를 지정할 수도 있습니다. 구성 드리프트는 사용자가 구성을 통한 선택 사항과 충돌하는 서비스나 기능을 변경할 때마다 발생합니다. Systems Manager는 구성 드리프트를 확인하고 지정한 빈도에 따라 수정을 시도합니다. 1\$131일 사이의 값을 지정해야 합니다. 리전에서 이미 DHMC를 구성한 경우 Systems Manager는 이전에 선택한 IAM 역할을 변경하지 않습니다. DHMC에 대한 자세한 내용은 [기본 호스트 관리 구성을 사용한 자동 EC2 인스턴스 관리](fleet-manager-default-host-management-configuration.md) 섹션을 참조하세요.
DHMC를 통해 AWS Identity and Access Management(IAM) 인스턴스 프로파일을 수동으로 생성하지 않고 Amazon EC2 인스턴스를 관리할 수 있습니다. EC2 인스턴스에 Systems Manager에서 관리하는 데 필요한 권한이 있는지 확인하려면 이 옵션을 선택하는 것이 좋습니다.
**인벤토리 메타데이터 수집 활성화**
Systems Manager가 노드로부터 다음 유형의 메타데이터 수집을 구성할 수 있습니다.
+ **AWS 구성 요소** - EC2 드라이버, 에이전트, 버전 등
+ **애플리케이션** - 애플리케이션 이름, 게시자, 버전 등
+ **노드 세부 정보** - 시스템 이름, 운영 체제(OS) 이름, OS 버전, 마지막 부팅, DNS, 도메인, 작업 그룹, OS 아키텍처 등
+ **네트워크 구성** - IP 주소, MAC 주소, DNS, 게이트웨이, 서브넷 마스크 등
+ **서비스** - 이름, 표시 이름, 상태, 종속 서비스, 서비스 유형, 시작 유형 등(Windows Server 노드만 해당)
+ **Windows 역할** - 이름, 표시 이름, 경로, 기능 유형, 설치된 상태 등(Windows Server 노드만 해당)
+ **Windows 업데이트** - Hotfix ID, 설치한 사람, 설치한 날짜 등(Windows Server 노드만 해당)
인벤토리가 수집되는 빈도를 지정합니다. 1\$1744시간 사이의 값을 지정해야 합니다. AWS Systems Manager의 도구인 Inventory에 대한 자세한 내용은 [AWS Systems Manager Inventory](systems-manager-inventory.md) 섹션을 참조하세요.
**자동 SSM(Systems Manager) 에이전트 업데이트 활성화**
Systems Manager가 지정한 빈도에 따라 에이전트의 새 버전을 확인할 수 있습니다. 빈도 값은 1\$131일 사이여야 합니다. 새 버전이 있는 경우 Systems Manager는 관리형 노드의 에이전트를 최신 릴리스 버전으로 자동 업데이트합니다. Systems Manager는 아직 제공되지 않은 에이전트를 인스턴스에 설치하지 않습니다. 사전 설치된 SSM Agent가 있는 AMIs에 대한 자세한 내용은 [SSM Agent가 사전 설치된 상태로 AMIs 검색](ami-preinstalled-agent.md)를 참조하세요.
노드가 항상 SSM Agent의 최신 업데이트 버전을 실행할 수 있도록 이 옵션을 선택하는 것이 좋습니다. 에이전트를 수동으로 설치하는 방법을 포함하여 SSM Agent에 대한 자세한 내용은 [SSM Agent 작업](ssm-agent.md) 섹션을 참조하세요.
1. **제출**을 선택합니다.
조직의 크기에 따라 Systems Manager 통합 콘솔 환경을 설정하는 데 시간이 오래 걸릴 수 있습니다.
# 단일 계정 및 리전에 대한 Systems Manager 통합 콘솔 설정
단일 AWS 계정 및 AWS 리전에 대한 Systems Manager 통합 콘솔 환경을 설정하려면 조직을 사용하거나 위임된 관리자 계정을 등록할 필요가 없습니다. Systems Manager 콘솔 환경을 위한 설정 프로세스에서는 많은 필수 태스크를 자동으로 완료합니다. 구성하는 기능에 따라 여기에는 노드 등에 필요한 IAM 권한을 제공하기 위해 기본 호스트 관리 구성을 활성화하는 것이 포함됩니다. 다음은 통합 콘솔에 대해 Systems Manager에서 생성한 리소스의 세부 목록입니다.
## 통합 콘솔 리소스
구성하려는 기능에 따라 일부 리소스가 생성되지 않을 수 있습니다.
IAM 역할
+ `RoleForOnboardingAutomation` - 설정 프로세스 중에 Systems Manager의 리소스 관리를 허용합니다. 정책에 대한 자세한 내용은 [AWSQuickSetupSSMManageResourcesExecutionPolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWSQuickSetupSSMManageResourcesExecutionPolicy)를 참조하세요.
+ `RoleForLifecycleManagement` - Lambda의 설정 프로세스에서 생성된 리소스의 수명 주기 관리를 허용합니다. 정책에 대한 자세한 내용은 [AWSQuickSetupSSMLifecycleManagementExecutionPolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWSQuickSetupSSMLifecycleManagementExecutionPolicy)를 참조하세요.
+ `RoleForAutomation` - 런북 실행을 위해 맡을 Systems Manager Automation 서비스 역할입니다. 자세한 내용은 [콘솔을 사용하여 Automation을 위한 서비스 역할 생성](automation-setup-iam.md) 섹션을 참조하세요.
+ `AWSSSMDiagnosisAdminRole` - 진단 런북의 자동화 실행 역할입니다. 정책에 대한 자세한 내용은 [AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy), [AWS-SSM-Automation-DiagnosisBucketPolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy) 및 [AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy)를 참조하세요.
+ `AWSSSMRemediationAdminRole` - 문제 해결 런북의 자동화 실행 역할입니다. 정책에 대한 자세한 내용은 [AWS-SSM-RemediationAutomation-AdministrationRolePolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy), [AWS-SSM-Automation-DiagnosisBucketPolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy) 및 [AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy](https://docs.aws.amazon.com/systems-manager/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy)를 참조하세요.
+ `ManagedInstanceCrossAccountManagementRole` - Systems Manager의 계정 간 관리형 노드 정보 수집을 허용합니다.
State Manager 연결
+ `EnableDHMCAssociation` - 매일 실행되며 기본 호스트 관리 구성이 활성화되어 있는지 확인합니다.
+ `SystemAssociationForEnablingExplorer` - 매일 실행되며 Explorer가 활성화되었는지 확인합니다. Explorer는 관리형 노드 데이터 동기화에 사용됩니다.
+ `EnableAREXAssociation` - 매일 실행되며 AWS Resource Explorer의 활성화 여부를 확인합니다. Resource Explorer는 Systems Manager에서 관리하지 않는 조직의 Amazon EC2 인스턴스를 확인하는 데 사용됩니다.
+ `SSMAgentUpdateAssociation` - 14일마다 실행되며 사용 가능한 최신 버전의 SSM Agent가 관리형 노드에 설치되었는지 확인합니다.
+ `SystemAssociationForInventoryCollection` - 12시간마다 실행되며 관리형 노드에서 인벤토리 데이터를 수집합니다.
S3 버킷
+ `DiagnosisBucket` - 진단 런북 실행에서 수집된 데이터를 저장합니다.
Lambda 함수
+ `SSMLifecycleOperatorLambda` - 위탁자에게 모든 AWS Systems Manager 빠른 설정 작업에 대한 액세스할 수 있도록 허용합니다.
+ `SSMLifecycleResource` - 설정 프로세스에서 생성된 리소스의 수명 주기 관리에 도움이 되는 사용자 지정 리소스입니다.
또한 설정 프로세스가 완료되면 노드 **진단 및 문제 해결** 태스크를 선택하여 Systems Manager에서 관리형으로 보고되지 않는 노드에 자동으로 수정 사항을 적용할 수 있습니다. 여기에는 Systems Manager 엔드포인트에 대한 네트워크 연결 문제와 같은 문제를 파악하는 것이 포함될 수 있습니다.
## 통합 콘솔 설정
**단일 계정 및 리전에 대해 Systems Manager를 설정하려면**
1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)에서 AWS Systems Manager 콘솔을 엽니다.
1. **Systems Manager 활성화**를 선택합니다.
1. **기능 구성** 섹션에서 구성에 대해 활성화할 옵션을 선택합니다.
**DHMC(기본 호스트 관리 구성) 활성화**
Systems Manager의 DHMC 구성을 허용합니다. 이 기능을 사용하면 Systems Manager가 IAM 역할을 사용하여 계정 및 리전의 모든 Amazon EC2 인스턴스에 Systems Manager에서 관리하는 데 필요한 권한이 있는지 확인할 수 있습니다. 드리프트 수정 빈도를 지정할 수도 있습니다. 구성 드리프트는 사용자가 구성을 통한 선택 사항과 충돌하는 서비스나 기능을 변경할 때마다 발생합니다. Systems Manager는 구성 드리프트를 확인하고 지정한 빈도에 따라 수정을 시도합니다. 1\$131일 사이의 값을 지정해야 합니다. 리전에서 이미 DHMC를 구성한 경우 Systems Manager는 이전에 선택한 IAM 역할을 변경하지 않습니다. DHMC에 대한 자세한 내용은 [기본 호스트 관리 구성을 사용한 자동 EC2 인스턴스 관리](fleet-manager-default-host-management-configuration.md) 섹션을 참조하세요.
DHMC를 통해 AWS Identity and Access Management(IAM) 인스턴스 프로파일을 수동으로 생성하지 않고 Amazon EC2 인스턴스를 관리할 수 있습니다. EC2 인스턴스에 Systems Manager에서 관리하는 데 필요한 권한이 있는지 확인하려면 이 옵션을 선택하는 것이 좋습니다.
**인벤토리 메타데이터 수집 활성화**
Systems Manager가 노드로부터 다음 유형의 메타데이터 수집을 구성할 수 있습니다.
+ **AWS 구성 요소** - EC2 드라이버, 에이전트, 버전 등
+ **애플리케이션** - 애플리케이션 이름, 게시자, 버전 등
+ **노드 세부 정보** - 시스템 이름, 운영 체제(OS) 이름, OS 버전, 마지막 부팅, DNS, 도메인, 작업 그룹, OS 아키텍처 등
+ **네트워크 구성** - IP 주소, MAC 주소, DNS, 게이트웨이, 서브넷 마스크 등
+ **서비스** - 이름, 표시 이름, 상태, 종속 서비스, 서비스 유형, 시작 유형 등(Windows Server 노드만 해당)
+ **Windows 역할** - 이름, 표시 이름, 경로, 기능 유형, 설치된 상태 등(Windows Server 노드만 해당)
+ **Windows 업데이트** - Hotfix ID, 설치한 사람, 설치한 날짜 등(Windows Server 노드만 해당)
인벤토리가 수집되는 빈도를 지정합니다. 1\$1744시간 사이의 값을 지정해야 합니다. AWS Systems Manager의 도구인 Inventory에 대한 자세한 내용은 [AWS Systems Manager Inventory](systems-manager-inventory.md) 섹션을 참조하세요.
**자동 SSM(Systems Manager) 에이전트 업데이트 활성화**
Systems Manager가 지정한 빈도에 따라 에이전트의 새 버전을 확인할 수 있습니다. 빈도 값은 1\$131일 사이여야 합니다. 새 버전이 있는 경우 Systems Manager는 관리형 노드의 에이전트를 최신 릴리스 버전으로 자동 업데이트합니다. Systems Manager는 아직 제공되지 않은 에이전트를 인스턴스에 설치하지 않습니다. 사전 설치된 SSM Agent가 있는 AMIs에 대한 자세한 내용은 [SSM Agent가 사전 설치된 상태로 AMIs 검색](ami-preinstalled-agent.md)를 참조하세요.
노드가 항상 SSM Agent의 최신 업데이트 버전을 실행할 수 있도록 이 옵션을 선택하는 것이 좋습니다. 에이전트를 수동으로 설치하는 방법을 포함하여 SSM Agent에 대한 자세한 내용은 [SSM Agent 작업](ssm-agent.md) 섹션을 참조하세요.
1. **제출**을 선택합니다.
# Systems Manager 통합 콘솔 비활성화
조직의 Systems Manager 통합 콘솔을 비활성화하려면 Systems Manager의 위임된 관리자로 등록한 계정에 액세스해야 합니다. 조직의 위임된 관리자 계정에 로그인한 후 통합 콘솔의 **설정** 섹션에서 조직에 대한 설정을 비활성화할 수 있습니다. 조직의 통합 콘솔 설정을 비활성화하면 Systems Manager가 Resource Explorer 관리형 뷰를 비롯하여 설정 프로세스 중에 생성된 리소스를 삭제합니다. 조직에서 설정을 비활성화하더라도 종속 서비스에 대한 신뢰할 수 있는 액세스 권한 또는 위임된 관리자 계정의 등록이 취소되지는 않습니다. 다음 절차에서는 통합 콘솔의 설정을 비활성화하는 방법에 대해 설명합니다.
**Systems Manager 통합 콘솔에 대한 설정을 비활성화하려면**
1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)에서 AWS Systems Manager 콘솔을 엽니다.
1. 탐색 창에서 **설정**을 선택합니다.
1. **비활성화**를 선택합니다. 조직에 대한 설정을 비활성화할지 여부를 확인해야 합니다. 이 작업은 통합 콘솔을 위해 생성한 리소스를 삭제하며 실행 취소할 수 없습니다.
Systems Manager의 위임된 관리자 계정에 액세스할 수 없고 통합 콘솔에 대한 설정을 비활성화하려는 경우에는 조직의 관리 계정에서도 이러한 작업을 수행할 수 있습니다. AWS CLI 또는 SDK를 사용하여 `DeleteConfigurationManager` API 작업을 호출하고 계정의 조직 설정에 대한 `ManagerArn` 값을 전달합니다. 통합 콘솔을 설정하는 데 사용되는 관리자 ARN의 형식은 다음과 같습니다.
`arn:aws:ssm-quicksetup:account-id:configuration-manager/configuration-manager-id`.
**참고**
*configuration-manager-id* 값을 알지 못하는 경우 `ListConfigurationManagers` API 작업을 직접 호출하고 `AWSQuickSetupType-SSM` 유형을 사용하여 결과를 필터링합니다.