• AWS Systems Manager CloudWatch 대시보드는 2026년 4월 30일 이후에는 더 이상 사용할 수 없습니다. 고객은 Amazon CloudWatch 콘솔을 계속 사용하여 현재와 마찬가지로 Amazon CloudWatch 대시보드를 보고, 생성하고, 관리할 수 있습니다. 자세한 내용은 [Amazon CloudWatch 대시보드 설명서](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)를 참조하세요.
# Systems Manager를 사용한 EC2 인스턴스 관리
이 섹션의 태스크를 수행하여 AWS Systems Manager에 대한 역할, 권한 및 초기 리소스를 설정하고 구성합니다. 이 섹션에서 설명하는 작업은 일반적으로 AWS 계정 및 시스템 관리자가 수행합니다. 이러한 단계를 완료한 후에는 조직의 사용자가 Systems Manager를 사용하여 자신의 계정에서 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 구성, 관리 및 액세스할 수 있습니다.
**참고**
Systems Manager를 사용하여 온프레미스 시스템을 관리하고 구성하려면 [Systems Manager로 하이브리드 및 멀티클라우드 환경에서 노드 관리](systems-manager-hybrid-multicloud.md)의 설정 단계를 따릅니다. [하이브리드 및 멀티클라우드](operating-systems-and-machine-types.md#supported-machine-types) 환경에서 Amazon EC2 인스턴스 **및 비 EC2 시스템을 모두 사용할 계획인 경우 먼저 여기의 단계를 따릅니다. 이 섹션에서는 Systems Manager 작업에서 사용할 역할, 사용자, 권한 및 초기 리소스를 구성하는 권장되는 순서의 단계를 제공합니다.
다른 AWS 서비스를 이미 사용하는 경우 이러한 단계 중 일부를 완료한 것입니다. 하지만 다른 단계는 Systems Manager에 특정합니다. 따라서 이 섹션 전체를 검토하여 모든 Systems Manager 도구를 사용할 준비가 되었는지 확인하는 것이 좋습니다.
**Topics**
+ [Systems Manager에 필요한 인스턴스 권한 구성](setup-instance-permissions.md)
+ [Systems Manager용 VPC 엔드포인트를 사용하여 EC2 인스턴스의 보안 개선](setup-create-vpc.md)
# Systems Manager에 필요한 인스턴스 권한 구성
AWS Systems Manager는 기본적으로 인스턴스에서 작업을 수행할 권한이 없습니다. AWS Identity and Access Management(IAM) 역할을 사용하여 계정 수준에서 또는 인스턴스 프로파일을 사용하여 인스턴스 수준에서 인스턴스 권한을 제공할 수 있습니다. 사용 사례에서 허용하는 경우 기본 호스트 관리 구성을 사용하여 계정 수준에서 액세스 권한을 부여하는 것이 좋습니다.
**참고**
이 단계를 건너뛰고 통합 콘솔을 설정하는 경우에는 Systems Manager가 인스턴스에 필요한 권한을 대신 적용하도록 허용할 수 있습니다. 자세한 내용은 [AWS Systems Manager 설정](systems-manager-setting-up-console.md) 섹션을 참조하세요.
## EC2 인스턴스 권한에 대한 권장 구성
기본 호스트 관리 구성을 통해 Systems Manager는 Amazon EC2 인스턴스를 자동으로 관리할 수 있습니다. 이 설정을 켜면 AWS 리전에서 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용하는 모든 인스턴스와 SSM Agent 버전 3.2.582.0 이상이 설치된 AWS 계정이 자동으로 관리형 인스턴스가 됩니다. 기본 호스트 관리 구성은 인스턴스 메타데이터 서비스 버전 1을 지원하지 않습니다. IMDSv2로 전환에 대한 자세한 내용은 *Amazon EC2 사용 설명서*의 [인스턴스 메타데이터 서비스 버전 2 사용으로 전환](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-transition-to-version-2.html)을 참조하세요. 인스턴스에 설치된 SSM Agent 버전 확인에 대한 자세한 내용은 [SSM Agent 버전 번호 확인](ssm-agent-get-version.md) 섹션을 참조하세요. SSM Agent 업데이트에 대한 자세한 내용은 [SSM Agent 자동 업데이트](ssm-agent-automatic-updates.md#ssm-agent-automatic-updates-console) 섹션을 참조하세요. 관리형 인스턴스의 이점은 다음과 같습니다.
+ Session Manager를 사용하여 안전하게 인스턴스에 연결합니다.
+ Patch Manager를 사용하여 자동 패치 스캔을 수행합니다.
+ Systems Manager Inventory를 사용하여 인스턴스에 대한 세부 정보를 봅니다.
+ Fleet Manager를 사용하여 인스턴스를 추적하고 관리합니다.
+ SSM Agent를 자동으로 최신 상태로 유지합니다.
Fleet Manager, Inventory, Patch Manager, Session Manager는 AWS Systems Manager의 도구입니다.
기본 호스트 관리 구성을 사용하면 인스턴스 프로파일을 사용하지 않고 인스턴스를 관리할 수 있으며 Systems Manager에 리전 및 계정의 모든 인스턴스를 관리할 수 있는 권한이 있는지 확인할 수 있습니다. 제공된 권한이 사용 사례에 충분하지 않은 경우 기본 호스트 관리 구성에서 생성된 기본 IAM 역할에 정책을 추가할 수도 있습니다. 또는 기본 IAM 역할에서 제공하는 모든 기능에 대한 권한이 필요하지 않은 경우 사용자 지정 역할과 정책을 직접 생성할 수 있습니다. 기본 호스트 관리 구성에 대해 선택한 IAM 역할의 모든 변경 사항은 리전 및 계정의 모든 관리형 Amazon EC2 인스턴스에 적용됩니다. 기본 호스트 관리 구성에서 사용하는 정책에 대한 자세한 내용은 [AWS 관리형 정책: AmazonSSMManagedEC2InstanceDefaultPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy) 섹션을 참조하세요. 기본 호스트 관리 구성에 대한 자세한 내용은 [기본 호스트 관리 구성을 사용한 자동 EC2 인스턴스 관리](fleet-manager-default-host-management-configuration.md) 섹션을 참조하세요.
**중요**
기본 호스트 관리 구성을 사용하여 등록된 인스턴스는 `/lib/amazon/ssm` 또는 `C:\ProgramData\Amazon` 디렉터리에 로컬로 등록 정보를 저장합니다. 이러한 디렉토리 또는 해당 파일을 제거하면 인스턴스가 기본 호스트 관리 구성을 사용하여 시스템 관리자에 연결하는 데 필요한 보안 인증을 획득하지 못하게 됩니다. 이러한 경우 인스턴스 프로파일을 사용하여 인스턴스에 필요한 권한을 제공하거나 인스턴스를 다시 생성해야 합니다.
**참고**
이 절차는 관리자만 수행할 수 있습니다. 개인이 기본 호스트 관리 구성을 구성하거나 수정할 수 있도록 허용할 때 최소 권한 액세스를 구현합니다. Amazon EC2 인스턴스를 자동으로 관리하려는 각 AWS 리전에서 기본 호스트 관리 구성을 켜야 합니다.
**기본 호스트 관리 구성 설정 켜기**
Fleet Manager 콘솔에서 기본 호스트 관리 구성을 켤 수 있습니다. AWS Management Console 또는 기본 명령줄 도구를 사용하여 이 절차를 완료하려면 [GetServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetServiceSetting.html), [ResetServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ResetServiceSetting.html) 및 [UpdateServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateServiceSetting.html) API 작업에 대한 권한이 있어야 합니다. 또한 `AWSSystemsManagerDefaultEC2InstanceManagementRole` IAM 역할에 대한 `iam:PassRole` 권한이 있어야 합니다. 다음은 예제 정책입니다. 각 *example resource placeholder*를 사용자의 정보로 바꿉니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetServiceSetting",
"ssm:ResetServiceSetting",
"ssm:UpdateServiceSetting"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::111122223333:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"ssm.amazonaws.com"
]
}
}
}
]
}
```
------
시작하기 전에 Amazon EC2 인스턴스에 연결된 인스턴스 프로파일이 있는 경우`ssm:UpdateInstanceInformation` 작업을 허용하는 모든 권한을 제거합니다. SSM Agent는 기본 호스트 관리 구성 권한을 사용하기 전에 인스턴스 프로파일 권한 사용을 시도합니다. 인스턴스 프로파일에서 `ssm:UpdateInstanceInformation` 작업을 허용하면 인스턴스가 기본 호스트 관리 구성 권한을 사용하지 않습니다.
1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)에서 AWS Systems Manager 콘솔을 엽니다.
1. 탐색 창에서 **Fleet Manager**를 선택합니다.
1. **계정 관리** 드롭다운에서 **기본 호스트 관리 구성 구성하기**를 선택합니다.
1. **기본 호스트 관리 구성 활성화**를 켭니다.
1. 인스턴스에 대해 Systems Manager 도구를 활성화하는 데 사용되는 IAM 역할을 선택합니다. 기본 호스트 관리 구성에서 제공하는 기본 역할을 사용하는 것이 좋습니다. 여기에는 Systems Manager를 사용하여 Amazon EC2 인스턴스를 관리하는 데 필요한 최소 권한 세트가 포함되어 있습니다. 사용자 지정 역할을 사용하는 것을 선호하는 경우 역할의 신뢰 정책에서 Systems Manager를 신뢰할 수 있는 엔터티로 허용해야 합니다.
1. **구성**을 선택하여 설정을 완료합니다.
기본 호스트 관리 구성을 켠 후 인스턴스가 선택한 역할의 자격 증명을 사용하는 데 30분 정도 걸릴 수 있습니다. Amazon EC2 인스턴스를 자동으로 관리하려는 각 리전에서 기본 호스트 관리 구성을 켜야 합니다.
## EC2 인스턴스 권한에 대한 대체 구성
AWS Identity and Access Management(IAM) 인스턴스 프로파일을 사용하여 개별 인스턴스 수준에서 액세스 권한을 부여할 수 있습니다. 인스턴스 프로파일은 시작 시 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 IAM 역할 정보를 전달하는 컨테이너입니다. 새로운 역할이나 이미 생성된 역할에 필요한 권한을 정의하는 IAM 정책을 하나 이상 연결하여 Systems Manager에 대한 인스턴스 프로파일을 생성할 수 있습니다.
**참고**
AWS Systems Manager의 도구인 Quick Setup을 사용하여 AWS 계정의 모든 인스턴스에서 인스턴스 프로파일을 빠르게 구성할 수 있습니다. Quick Setup은 또한 Systems Manager가 사용자를 대신하여 인스턴스에서 명령을 안전하게 실행할 수 있도록 하는 IAM 서비스 역할이나 *수임* 역할을 생성할 수 있습니다. Quick Setup을 사용하여 이 단계(3단계)와 4단계를 건너뛸 수 있습니다. 자세한 내용은 [AWS Systems Manager Quick Setup](systems-manager-quick-setup.md) 섹션을 참조하세요.
IAM 인스턴스 프로파일 생성에 대한 다음 세부 정보를 참조하세요.
+ Systems Manager용 [하이브리드 및 멀티클라우드](operating-systems-and-machine-types.md#supported-machine-types) 환경에서 비 EC2 시스템을 구성하는 경우에는 인스턴스 프로파일을 생성할 필요가 없습니다. 그 대신에 IAM 서비스 역할을 사용할 서버와 VM을 구성합니다. 자세한 내용은 [하이브리드 및 멀티클라우드 환경에서 Systems Manager에 필요한 IAM 서비스 역할 생성](hybrid-multicloud-service-role.md)을 참조하세요.
+ IAM 인스턴스 프로파일을 변경한 경우에는 인스턴스 자격 증명이 갱신될 때까지 시간이 걸릴 수 있습니다. 갱신이 되어야 SSM Agent가 요청을 처리하기 시작합니다. SSM Agent 또는 인스턴스를 다시 시작하여 갱신 프로세스의 속도를 높일 수 있습니다.
인스턴스 프로파일의 역할을 새로 생성하려는 경우 또는 기존 역할에 필요한 권한을 추가하려는 경우에 각각 다음 절차 중 하나를 사용합니다.
**Systems Manager 관리형 인스턴스의 인스턴스 프로파일을 생성하려면(콘솔)**
1. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.
1. 탐색 창에서 **역할(Roles)**을 선택한 후 **역할 생성(Create role)**을 선택합니다.
1. **신뢰할 수 있는 엔터티 유형**(Trusted entity type)에 **AWS 서비스**을 선택합니다.
1. **사용 사례(Use case)**에서 **EC2**를 선택한 후 **다음(Next)**을 선택합니다.
1. **권한 추가** 페이지에서 다음을 수행합니다.
+ **검색(Search)** 필드를 사용하여 **AmazonSSMManagedInstanceCore** 정책을 찾습니다. 다음 그림과 같이 이름 옆에 있는 확인란을 선택합니다.
![\[AmazonSSMManagedInstanceCore 행에서 확인란이 선택되어 있습니다.\]](http://docs.aws.amazon.com/ko_kr/systems-manager/latest/userguide/images/setup-instance-profile-2.png)
이 콘솔은 사용자가 다른 정책을 검색하더라도 사용자의 선택을 유지합니다.
+ 이전 절차에서 사용자 지정 S3 버킷 정책 [(선택 사항) S3 버킷 액세스에 대한 사용자 지정 정책 생성](#instance-profile-custom-s3-policy)를 생성한 경우 해당 이름을 검색하고 이름 옆의 확인란을 선택합니다.
+ Directory Service에 의해 관리되는 Active Directory에 인스턴스를 조인하려는 경우 **AmazonSSMDirectoryServiceAccess**를 검색하고 이름 옆의 확인란을 선택합니다.
+ 인스턴스를 관리하거나 모니터링하기 위해 EventBridge 또는 CloudWatch Logs를 사용하려는 경우 **CloudWatchAgentServerPolicy**를 검색하고 이름 옆의 확인란을 선택합니다.
1. **다음**을 선택합니다.
1. **역할 이름(Role name)**에 새 인스턴스 프로파일의 이름(예: **SSMInstanceProfile**)을 입력합니다.
**참고**
역할 이름을 기록해 둡니다. 이 역할은 Systems Manager를 사용하여 관리할 새 인스턴스를 생성할 때 선택합니다.
1. (선택) **설명(Description)**에 이 인스턴스 프로파일에 대한 설명을 입력합니다.
1. (선택) **태그(Tags)**에서 이 역할에 대한 액세스를 구성, 추적 또는 제어할 태그-키 값 페어를 하나 이상 추가한 후 **역할 생성(Create role)**을 선택합니다. 그러면 **역할** 페이지로 돌아갑니다.
**Systems Manager의 인스턴스 프로파일 권한을 기존 역할에 추가하려면(콘솔)**
1. IAM 콘솔([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/))을 엽니다.
1. 탐색 창에서 **역할(Roles)**을 선택한 후, Systems Manager 작업을 위한 인스턴스 프로파일과 연결하려는 기존 역할을 선택합니다.
1. **권한(Permissions)** 탭에서 **권한 추가, 정책 연결(Add permissions, Attach policies)**을 선택합니다.
1. **정책 연결** 페이지에서 다음 작업을 수행합니다.
+ **검색(Search)** 필드를 사용하여 **AmazonSSMManagedInstanceCore** 정책을 찾습니다. 이름 옆의 확인란을 선택합니다.
+ 사용자 지정 S3 버킷 정책을 생성한 경우 검색하고 이름 옆의 확인란을 선택합니다. 인스턴스 프로파일의 사용자 지정 S3 버킷 정책에 대한 내용은 [(선택 사항) S3 버킷 액세스에 대한 사용자 지정 정책 생성](#instance-profile-custom-s3-policy)을 참조하세요.
+ Directory Service에 의해 관리되는 Active Directory에 인스턴스를 조인하려는 경우 **AmazonSSMDirectoryServiceAccess**를 검색하고 이름 옆의 확인란을 선택합니다.
+ 인스턴스를 관리하거나 모니터링하기 위해 EventBridge 또는 CloudWatch Logs를 사용하려는 경우 **CloudWatchAgentServerPolicy**를 검색하고 이름 옆의 확인란을 선택합니다.
1. **정책 연결**을 선택합니다.
역할을 업데이트하여 신뢰할 수 있는 엔터티를 포함하거나 액세스를 추가로 제한하는 방법에 대한 자세한 내용은 *IAM 사용 설명서*의 [역할 변경](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html)을 참조하세요.
## (선택 사항) S3 버킷 액세스에 대한 사용자 지정 정책 생성
Amazon S3 액세스를 위한 사용자 정의 정책 생성은 Systems Manager 작업에서 VPC 종단점을 사용 중이거나 자체의 S3 버킷을 사용 중인 경우에만 필요합니다. 기본 호스트 관리 구성에서 생성한 기본 IAM 역할 또는 이전 절차에서 생성한 인스턴스 프로파일에 이 정책을 연결할 수 있습니다.
다음 정책에서 액세스 권한을 제공하는 AWS 관리형 S3 버킷에 대한 내용은 [AWS 관리형 S3 버킷과 SSM Agent 통신](ssm-agent-technical-details.md#ssm-agent-minimum-s3-permissions) 섹션을 참조하세요.
1. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.
1. 탐색 창에서 **정책**을 선택한 후 **정책 생성**을 선택합니다.
1. **JSON** 탭을 선택하고 기본 텍스트를 다음과 같이 바꿉니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::aws-ssm-us-east-2/*",
"arn:aws:s3:::aws-windows-downloads-us-east-2/*",
"arn:aws:s3:::amazon-ssm-us-east-2/*",
"arn:aws:s3:::amazon-ssm-packages-us-east-2/*",
"arn:aws:s3:::us-east-2-birdwatcher-prod/*",
"arn:aws:s3:::aws-ssm-distributor-file-us-east-2/*",
"arn:aws:s3:::aws-ssm-document-attachments-us-east-2/*",
"arn:aws:s3:::patch-baseline-snapshot-us-east-2/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:PutObjectAcl",
"s3:GetEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::amzn-s3-demo-bucket"
]
}
]
}
```
------
**참고**
첫 번째 `Statement` 요소는 VPC 엔드포인트를 사용 중인 경우에만 필요합니다.
두 번째 `Statement` 요소는 Systems Manager 작업에서 사용하기 위해 생성한 S3 버킷을 사용 중인 경우에만 필요합니다.
`PutObjectAcl` 액세스 제어 목록 권한은 다른 계정에서 S3 버킷에 대한 교차 계정 액세스를 지원하려는 경우에만 필요합니다.
`GetEncryptionConfiguration` 요소는 암호화를 사용하기 위해 S3 버킷을 구성할 경우 필요합니다.
암호화를 사용하기 위해 S3 버킷을 구성할 경우 S3 버킷 루트(예: `arn:aws:s3:::amzn-s3-demo-bucket`)가 **리소스** 섹션에 있어야 합니다. 사용자, 그룹 또는 역할은 루트 버킷에 대한 액세스 권한을 사용하여 구성해야 합니다.
1. 작업에 VPC 엔드포인트를 사용 중인 경우 다음을 수행합니다.
첫 번째 `Statement` 요소에서, 각 *region* 자리 표시자를 이 정책이 사용되는 AWS 리전의 식별자로 대체합니다. 예를 들어 미국 동부(오하이오) 리전의 경우 `us-east-2`를 사용합니다. 지원되는 *리전* 값 목록은 **Amazon Web Services 일반 참조의 [Systems Manager 서비스 엔드포인트](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region)에 있는 **리전** 열을 참조하세요.
**중요**
이 정책에서는 특정 리전 대신에 와일드카드 문자(\$1)를 사용하지 않는 것이 좋습니다. 예를 들어, `arn:aws:s3:::aws-ssm-*/*`는 사용하지 마시고 `arn:aws:s3:::aws-ssm-us-east-2/*`를 사용하세요. 와일드카드를 사용하면 액세스 권한을 부여하도록 의도하지 않은 S3 버킷에 액세스할 수 있습니다. 둘 이상의 리전에 대해 인스턴스 프로파일을 사용하려는 경우, 각 리전에 대해 첫 번째 `Statement` 요소를 반복하는 것이 좋습니다.
-또는-
작업에서 VPC 엔드포인트를 사용하고 있지 않다면, 첫 번째 `Statement` 요소를 삭제할 수 있습니다.
1. Systems Manager 작업에 자체의 S3 버킷을 사용 중인 경우 다음을 수행합니다.
두 번째 `Statement` 요소에서, *amzn-s3-demo-bucket*을 계정에 있는 S3 버킷의 이름으로 대체합니다. 이 버킷은 Systems Manager 작업을 위해 사용되며, 리소스로 `"arn:aws:s3:::my-bucket-name/*"`을 사용하여 버킷의 객체에 대한 권한을 제공합니다. 버킷 또는 버킷의 객체에 대한 권한 제공에 대한 자세한 내용은 *Amazon Simple Storage Service 개발자 안내서*의 [Amazon S3 작업](https://docs.aws.amazon.com/AmazonS3/latest/dev/using-with-s3-actions.html) 및 AWS 블로그 게시물 [IAM 정책, 버킷 정책 및 ACLs\$1를 참조하세요. ACL (S3 리소스에 대한 액세스 제어)](https://aws.amazon.com/blogs/security/iam-policies-and-bucket-policies-and-acls-oh-my-controlling-access-to-s3-resources/).
**참고**
둘 이상의 버킷을 사용하는 경우 각각에 대한 ARN을 제공합니다. 버킷에 대한 권한은 다음 예를 참조하세요.
```
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1/*",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
]
```
-또는-
Systems Manager 작업에서 자체의 S3 버킷을 사용하고 있지 않다면 두 번째 `Statement` 요소를 삭제할 수 있습니다.
1. **다음: 태그**를 선택합니다.
1. (선택 사항) **태그 추가(Add tag)**를 선택하고 정책에 대한 기본 설정 태그를 입력하여 태그를 추가합니다.
1. **다음: 검토**를 선택합니다.
1. **이름(Name)**에 이 정책을 식별할 수 있는 이름(예: **SSMInstanceProfileS3Policy**)을 입력합니다.
1. **정책 생성**을 선택합니다.
## 관리형 인스턴스에 대한 추가 정책 고려 사항
이 섹션에서는 기본 호스트 관리 구성에서 생성한 기본 IAM 역할 또는 AWS Systems Manager용 인스턴스 프로파일에 추가할 수 있는 몇 가지 정책에 대해 설명합니다. 인스턴스와 Systems Manager API 간 통신에 권한을 부여하려면 시스템 요구 사항과 보안 요구 사항을 반영하는 사용자 정의 정책을 만드는 것이 좋습니다. 운영 계획에 따라, 다른 정책 중 하나 이상에 제시된 권한이 필요할 수 있습니다.
**정책: `AmazonSSMDirectoryServiceAccess`**
Windows Server의 Amazon EC2 인스턴스를 Microsoft AD 디렉터리에 조인하려는 경우에만 필요합니다.
이 AWS 관리형 정책은 SSM Agent가 관리형 인스턴스의 도메인 조인 요청을 위해 사용자 대신 AWS Directory Service에 액세스하도록 허용합니다. 자세한 내용은 *AWS Directory Service 관리 안내서*의 [Windows EC2 인스턴스를 원활하게 조인](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/launching_instance.html)을 참조하세요.
**정책: `CloudWatchAgentServerPolicy`**
인스턴스에서 지표 및 로그 데이터를 읽고 Amazon CloudWatch에 쓰기 위해 인스턴스에서 CloudWatch 에이전트를 설치하고 실행하려는 경우에만 필요합니다. 이렇게 하면 AWS 리소스의 문제 및 변경을 모니터링, 분석하고 빠르게 대응할 수 있습니다.
기본 호스트 관리 구성 또는 인스턴스 프로파일에서 생성된 기본 IAM 역할에는 Amazon EventBridge 또는 Amazon CloudWatch Logs와 같은 기능을 사용하는 경우에만 이 정책이 필요합니다. (예를 들어 특정 CloudWatch Logs 로그 스트림에 대한 쓰기 액세스를 제어하는 더 제한적인 정책을 생성할 수도 있습니다.)
EventBridge 및 CloudWatch Logs 기능 사용은 선택 사항입니다. 그러나 사용하기로 한 경우에는 Systems Manager 구성 프로세스 시작 시 옵션을 설정하는 것이 좋습니다. 자세한 내용은 *[Amazon EventBridge User Guide](https://docs.aws.amazon.com/eventbridge/latest/userguide/)*와 *[Amazon CloudWatch Logs User Guide](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)*를 참조하세요.
추가 Systems Manager 도구에 대한 권한이 있는 IAM 정책을 생성하려면 다음 리소스를 참조하세요.
+ [IAM 정책을 사용하여 Parameter Store 파라미터에 대한 액세스 제한](sysman-paramstore-access.md)
+ [Automation 설정](automation-setup.md)
+ [2단계: Session Manager의 인스턴스 권한 확인 또는 추가](session-manager-getting-started-instance-profile.md)
## 인스턴스에 Systems Manager 인스턴스 프로파일 연결(콘솔)
다음 절차에서는 Amazon EC2 콘솔을 사용하여 IAM 인스턴스 프로파일을 Amazon EC2 인스턴스에 연결하는 방법을 설명합니다.
1. AWS Management Console에 로그인하고 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)에서 Amazon EC2 콘솔을 엽니다.
1. 탐색 창의 **인스턴스**에서 **인스턴스**를 선택합니다.
1. 목록에서 EC2 인스턴스를 찾아서 선택합니다.
1. **작업(Actions)** 메뉴에서 **보안(Security)**, **IAM 역할 수정(Modify IAM role)**을 선택합니다.
1. **IAM 역할(IAM role)**에 [EC2 인스턴스 권한에 대한 대체 구성](#instance-profile-add-permissions)의 절차를 사용하여 생성한 인스턴스 프로파일을 선택합니다.
1. **IAM 역할 업데이트(Update **IAM role**)**를 선택합니다.
인스턴스에 IAM 역할 연결에 대한 자세한 내용은 선택한 운영 체제 유형에 따라 다음 중 하나를 참조하세요.
+ *Amazon EC2 사용 설명서*의 [인스턴스에 IAM 역할 연결](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html#attach-iam-role)
+ *Amazon EC2 사용 설명서*의 [인스턴스에 IAM 역할 연결](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/iam-roles-for-amazon-ec2.html#attach-iam-role)
계속해서 [Systems Manager용 VPC 엔드포인트를 사용하여 EC2 인스턴스의 보안 개선](setup-create-vpc.md)로 이동하세요.
# Systems Manager용 VPC 엔드포인트를 사용하여 EC2 인스턴스의 보안 개선
Amazon Virtual Private Cloud(VPC)에서 인터페이스 VPC 엔드포인트를 사용하도록 AWS Systems Manager를 구성하여 관리형 노드([하이브리드 및 멀티클라우드](operating-systems-and-machine-types.md#supported-machine-types) 환경의 비 EC2 시스템 포함)의 보안 태세를 개선할 수 있습니다. 인터페이스 VPC 엔드포인트(인터페이스 엔드포인트)를 사용하면 AWS PrivateLink에 의해 구동되는 서비스에 연결할 수 있습니다. AWS PrivateLink는 프라이빗 IP 주소를 사용하여 Amazon Elastic Compute Cloud(Amazon EC2) 및 Systems Manager API에 비공개로 액세스할 수 있는 기술입니다.
AWS PrivateLink는 관리형 인스턴스, Systems Manager 및 Amazon EC2 간의 모든 네트워크 트래픽을 Amazon 네트워크로 제한합니다. 즉, 관리형 인스턴스는 인터넷에 액세스할 수 없습니다. AWS PrivateLink를 사용하는 경우 인터넷 게이트웨이, NAT 디바이스 또는 가상 프라이빗 게이트웨이가 필요 없습니다.
AWS PrivateLink를 구성하는 것이 필수는 아니지만 구성하는 것이 좋습니다. AWS PrivateLink 및 VPC 엔드포인트에 대한 자세한 내용은 [AWS PrivateLink 및 VPC 엔드포인트](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html)를 참조하세요.
**참고**
VPC 엔드포인트 사용의 대체 방법은 관리형 인스턴스에서 아웃바운드 인터넷 액세스를 허용하는 것입니다. 이 경우 관리형 인스턴스는 다음 엔드포인트에 대한 HTTPS(포트 443) 아웃바운드 트래픽도 허용해야 합니다.
`ssm.region.amazonaws.com`
`ssmmessages.region.amazonaws.com`
`ec2messages.region.amazonaws.com`
SSM Agent는 클라우드의 Systems Manager 서비스에 대한 모든 연결을 시작합니다. 이러한 이유로 Systems Manager의 인스턴스에 대한 인바운드 트래픽을 허용하도록 방화벽을 구성할 필요가 없습니다.
이러한 엔드포인트 호출에 대한 자세한 내용은 [참조: ec2messages, ssmmessages 및 기타 API 작업](systems-manager-setting-up-messageAPIs.md) 섹션을 참조하세요.
IPv6*만* 지원하는 환경에서 Systems Manager를 사용하는 경우 다음 엔드포인트로의 아웃바운드 트래픽도 허용해야 합니다.
`ssm.region.api.aws`
`ssmmessages.region.api.aws`
`ec2messages.region.api.aws`
듀얼 스택 서비스 엔드포인트에 대한 자세한 내용은 *AWS 일반 참조 안내서*의 [듀얼 스택 엔드포인트](https://docs.aws.amazon.com/general/latest/gr/rande.html#dual-stack-endpoints)를 참조하세요.
또한 [참조: 패치 작업을 위한 Amazon S3 버킷](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-operations-s3-buckets.html)에 설명된 대로 노드에서 패치 작업 버킷에 연결할 수 있는지 확인해야 합니다.
**Amazon VPC 정보**
Amazon Virtual Private Cloud(Amazon VPC)를 사용하면 AWS 클라우드 내에서 논리적으로 격리된 자체 영역에 *Virtual Private Cloud(VPC)*라고 하는 가상 네트워크를 정의할 수 있습니다. 인스턴스와 같은 AWS 리소스를 VPC에서 시작할 수 있습니다. VPC는 고객의 자체 데이터 센터에서 운영하는 기존 네트워크와 매우 유사하지만 AWS의 확장 가능한 인프라를 사용한다는 이점을 제공합니다. 해당 IP 주소 범위를 선택하고, 서브넷을 만든 후 라우팅 테이블, 네트워크 게이트웨이 및 보안 설정을 구성하여 VPC를 구성할 수 있습니다. VPC의 인스턴스를 인터넷에 연결합니다. VPC를 사내 데이터 센터에 연결하여 AWS 클라우드에서 데이터 센터를 확장할 수 있습니다. 각의 서브넷에서 리소스를 보호하기 위해 보안 그룹 및 네트워크 액세스 제어 목록을 포함한 다중 보안 계층을 사용할 수 있습니다. 자세한 내용은 [Amazon VPC 사용 설명서](https://docs.aws.amazon.com/vpc/latest/userguide/)를 참조하세요.
**Topics**
+ [VPC 엔드포인트 제약 및 제한](#vpc-requirements-and-limitations)
+ [Systems Manager용 VPC 엔드포인트 생성](#create-vpc-endpoints)
+ [인터페이스 VPC 엔드포인트 정책 생성](#create-vpc-interface-endpoint-policies)
## VPC 엔드포인트 제약 및 제한
Systems Manager에 대해 VPC 엔드포인트를 구성하기 전에 다음 제한 사항에 유의합니다.
**VPC 피어링 연결**
VPC 인터페이스 엔드포인트는 *리전 내* 및 *리전 간* VPC 피어링 연결을 통해 액세스할 수 있습니다. VPC 인터페이스 엔드포인트에 대한 VPC 피어링 연결 요청에 대한 자세한 내용은 *Amazon Virtual Private Cloud 사용 설명서*의 [VPC 피어링 연결(할당량)](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-peering)을 참조하세요.
VPC 게이트웨이 엔드포인트 연결은 VPC 외부로 확장할 수 없습니다. VPC의 VPC 피어링 연결의 반대편에 있는 리소스는 게이트웨이 엔드포인트를 사용하여 게이트웨이 엔드포인트 서비스의 리소스와 통신할 수 없습니다. VPC 게이트웨이 엔드포인트에 대한 VPC 피어링 연결 요청에 대한 자세한 내용은 *Amazon Virtual Private Cloud 사용 설명서*의 [VPC 엔드포인트(할당량)](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-endpoints)를 참조하세요.
**수신 연결**
VPC 종단점에 연결된 보안 그룹은 관리형 인스턴스의 프라이빗 서브넷에서 443 포트로 들어오는 연결을 허용해야 합니다. 수신 연결을 허용하지 않으면 관리형 인스턴스가 SSM 및 EC2 엔드포인트에 연결할 수 없습니다.
**DNS 확인**
사용자 지정 DNS 서버를 사용하는 경우 `amazonaws.com` 도메인에 대한 모든 쿼리의 조건부 전달자를 VPC의 Amazon DNS 서버에 추가해야 합니다.
**S3 버킷**
VPC 엔드포인트 정책이 최소한 [AWS 관리형 S3 버킷과 SSM Agent 통신](ssm-agent-technical-details.md#ssm-agent-minimum-s3-permissions)에 열거된 Amazon S3 버킷에 대해 액세스를 허용해야 합니다.
**참고**
온프레미스 방화벽을 사용하고 Patch Manager를 사용하려는 경우 해당 방화벽에서 적절한 패치 기준 엔드포인트에 대한 액세스도 허용해야 합니다.
**Amazon CloudWatch Logs**
인스턴스가 인터넷에 액세스하는 것을 허용하지 않는 경우 CloudWatch Logs에 로그를 보내는 기능을 사용하도록 CloudWatch Logs에 대한 VPC 엔드포인트를 생성합니다. CloudWatch Logs용 엔드포인트 생성에 대한 자세한 내용은 *Amazon CloudWatch Logs User Guide*의 [Creating a VPC endpoint for CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html#create-VPC-endpoint-for-CloudWatchLogs)를 참조하세요.
**하이브리드 및 멀티클라우드 환경의 DNS**
[하이브리드 및 멀티클라우드](operating-systems-and-machine-types.md#supported-machine-types) 환경에서 AWS PrivateLink 엔드포인트로 작업하도록 DNS를 구성하는 방법에 대한 자세한 내용은 **Amazon VPC 사용 설명서의 [인터페이스 엔드포인트의 프라이빗 DNS](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-private-dns)를 참조하세요. 자신의 DNS를 사용하는 경우에는 Route 53 해석기를 사용할 수 있습니다. 자세한 내용은 *Amazon Route 53 개발자 안내서*의 [VPC와 네트워크 간 DNS 쿼리 해석](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)을 참조하세요.
## Systems Manager용 VPC 엔드포인트 생성
다음 정보를 사용하여 AWS Systems Manager에 대한 VPC 인터페이스 엔드포인트를 생성합니다. 이 주제는 *Amazon VPC 사용 설명서*의 절차에 연결됩니다.
**참고**
*리전*은 미국 동부(오하이오) 리전의 `us-east-2` 같이 AWS Systems Manager이 지원하는 AWS 리전의 식별자를 나타냅니다. 지원되는 *리전* 값 목록은 **Amazon Web Services 일반 참조의 [Systems Manager 서비스 엔드포인트](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region)에 있는 **리전** 열을 참조하세요.
[인터페이스 엔드포인트 생성](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint)의 단계에 따라 다음 인터페이스 엔드포인트를 생성합니다.
+ **`com.amazonaws.region.ssm`**: Systems Manager 서비스의 엔드포인트입니다.
+ **`com.amazonaws.region.ec2messages`**: Systems Manager는 이 엔드포인트를 사용하여 SSM Agent에서 Systems Manager 서비스를 호출합니다. SSM Agent 버전 3.3.40.0부터 Systems Manager는 가능한 경우 `ec2messages:*` 엔드포인트(Amazon Message Delivery Service) 대신 `ssmmessages:*` 엔드포인트(Amazon Message Gateway Service)를 사용하기 시작했습니다.
+ **`com.amazonaws.region.ec2`**: Systems Manager를 사용하여 VSS 지원 스냅샷을 만든 경우 EC2 서비스에 대한 엔드포인트가 있어야 합니다. EC2 엔드포인트가 정의되어 있지 않으면 연결된 Amazon EBS 볼륨을 표시하는 호출이 실패하고 이에 따라 Systems Manager 명령에 실패합니다.
+ **`com.amazonaws.region.s3`** - Systems Manager는 이 엔드포인트를 사용하여 SSM Agent를 업데이트합니다. Systems Manager는 선택적으로 버킷에 저장된 스크립트나 기타 파일을 검색하거나 출력 로그를 버킷에 업로드하도록 선택하는 경우에도 이 엔드포인트를 사용합니다. 인스턴스와 연결된 보안 그룹이 아웃바운드 트래픽을 제한하는 경우 Amazon S3의 접두사 목록에 대한 트래픽을 허용하는 규칙을 추가해야 합니다. 자세한 내용은 *AWS PrivateLink Guide*의 [Modify your security group](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-gateway.html#vpc-endpoints-security)을 참조하세요.
+ **`com.amazonaws.region.ssmmessages`** – 이 엔드포인트는 SSM Agent가 Systems Manager 서비스와 통신하기 위해, Run Command를 위해, 그리고 Session Manager를 사용하여 보안 데이터 채널을 통해 인스턴스에 연결하는 경우 필요합니다. 자세한 내용은 [AWS Systems Manager Session Manager](session-manager.md) 및 [참조: ec2messages, ssmmessages 및 기타 API 작업](systems-manager-setting-up-messageAPIs.md)(을)를 참조하세요.
+ (선택 사항) **`com.amazonaws.region.kms`** - Session Manager 또는 Parameter Store 파라미터에 AWS Key Management Service(AWS KMS) 암호화를 사용하려는 경우 이 엔드포인트를 생성합니다.
+ (선택 사항) **`com.amazonaws.region.logs`** - Session Manager, Run Command 또는 SSM Agent 로그를 위해 Amazon CloudWatch Logs(CloudWatch Logs)를 사용하려는 경우 이 엔드포인트를 만드세요.
SSM Agent가 액세스할 수 있어야 하는 AWS 관리형 S3 버킷에 대한 자세한 내용은 [AWS 관리형 S3 버킷과 SSM Agent 통신](ssm-agent-technical-details.md#ssm-agent-minimum-s3-permissions) 섹션을 참조하세요. Systems Manager 작업에서 Virtual Private Cloud(VPC) 엔드포인트를 사용하는 경우 Systems Manager를 위한 Amazon EC2 인스턴스 프로파일 또는 [하이브리드 및 멀티클라우드](operating-systems-and-machine-types.md#supported-machine-types) 환경의 비 EC2 관리형 노드를 위한 서비스 역할에 명시적 권한을 제공해야 합니다.
## 인터페이스 VPC 엔드포인트 정책 생성
AWS Systems Manager에 대한 VPC 인터페이스 엔드포인트의 정책을 생성할 수 있습니다. 이 정책에서 다음을 지정할 수 있습니다.
+ 작업을 수행할 수 있는 보안 주체.
+ 수행할 수 있는 작업
+ 수행되는 작업을 가질 수 있는 리소스
자세한 내용은 *Amazon VPC 사용 설명서*의 [VPC 엔드포인트를 통해 서비스에 대한 액세스 제어](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)를 참조하세요.