AWSSupport-AnalyzeEBSResourceUsage - AWS Systems Manager 자동화 런북 참조

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWSSupport-AnalyzeEBSResourceUsage

설명

AWSSupport-AnalyzeEBSResourceUsage자동화 런북은 아마존 Elastic Block Store (Amazon EBS) 의 리소스 사용량을 분석하는 데 사용됩니다. 볼륨 사용량을 분석하고 특정 지역에서 중단된 볼륨, 이미지 및 스냅샷을 식별합니다. AWS

어떻게 작동하나요?

런북은 다음 네 가지 작업을 수행합니다.

  1. Amazon Simple Storage 서비스 (Amazon S3) 버킷이 있는지 확인하거나 새 Amazon S3 버킷을 생성합니다.

  2. 사용 가능한 상태의 모든 Amazon EBS 볼륨을 수집합니다.

  3. 소스 볼륨이 삭제된 모든 Amazon EBS 스냅샷을 수집합니다.

  4. 종료되지 않은 Amazon Elastic Compute Cloud (Amazon EC2) 인스턴스에서 사용하지 않는 모든 아마존 머신 이미지 (AMI) 를 수집합니다.

런북은 CSV 보고서를 생성하여 사용자가 제공한 Amazon S3 버킷에 저장합니다. 제공된 버킷은 마지막에 설명된 AWS 보안 모범 사례에 따라 보호되어야 합니다. 사용자가 제공한 Amazon S3 버킷이 계정에 없는 경우, Runbook은 이름 형식을 사용하고, 사용자 정의 AWS Key Management Service (AWS KMS) 키로 암호화하고<User-provided-name>-awssupport-YYYY-MM-DD, 객체 버전 관리를 활성화하고, 공개 액세스를 차단하고, SSL/TLS 사용 요청을 요구하는 새 Amazon S3 버킷을 생성합니다.

Amazon S3 버킷을 직접 지정하려면 다음 모범 사례에 따라 구성해야 합니다.

  • 버킷에 대한 퍼블릭 액세스를 차단합니다 (IsPublic로 설정False).

  • Amazon S3 액세스 로깅을 활성화합니다.

  • 버킷에 대한 SSL 요청만 허용합니다.

  • 객체 버전 관리를 활성화합니다.

  • AWS Key Management Service (AWS KMS) 키를 사용하여 버킷을 암호화합니다.

중요

이 런북을 사용하면 Amazon S3 버킷 및 객체 생성 시 계정에 추가 요금이 부과될 수 있습니다. 발생할 수 있는 요금에 대한 자세한 내용은 Amazon S3 요금을 참조하십시오.

문서 유형

자동화

소유자

Amazon

플랫폼

Linux, macOS, Windows

Parameters

  • AutomationAssumeRole

    타입: 문자열

    설명: (선택 사항) 사용자를 대신하여 Systems Manager Automation을 통해 작업을 수행할 수 있도록 허용하는 AWS Identity and Access Management (IAM) 역할의 Amazon 리소스 이름(ARN)입니다. 역할을 지정하지 않은 경우, Systems Manager Automation에서는 이 실행서를 시작하는 사용자의 권한을 사용합니다.

  • S3 BucketName

    유형: AWS::S3::Bucket::Name

    설명: (필수) 보고서를 업로드할 계정의 Amazon S3 버킷. 버킷 정책이 수집된 로그에 액세스할 필요가 없는 당사자에게 불필요한 읽기/쓰기 권한을 부여하지 않도록 하십시오. 지정된 버킷이 계정에 없는 경우 자동화를 통해 리전에 새 버킷이 생성되며, 이 리전에서 이름 형식으로 <User-provided-name>-awssupport-YYYY-MM-DD 자동화가 시작되고 사용자 지정 키로 암호화됩니다. AWS KMS

    허용된 패턴: $|^(?!(^(([0-9]{1,3}[.]){3}[0-9]{1,3}$)))^((?!xn—)(?!.*-s3alias))[a-z0-9][-.a-z0-9]{1,61}[a-z0-9]$

  • CustomerManagedKmsKeyArn

    타입: 문자열

    설명: (선택 사항) 지정된 버킷이 계정에 없는 경우 생성할 새 Amazon S3 버킷을 암호화하기 위한 사용자 지정 AWS KMS 키 Amazon 리소스 이름 (ARN) 입니다. 사용자 지정 AWS KMS 키 ARN을 지정하지 않고 버킷 생성을 시도하면 자동화가 실패합니다.

    허용된 패턴: (^$|^arn:aws:kms:[-a-z0-9]:[0-9]:key/[-a-z0-9]*$)

필수 IAM 권한

실행서를 성공적으로 사용하려면 AutomationAssumeRole 파라미터에 다음 작업이 필요합니다.

  • ec2:DescribeImages

  • ec2:DescribeInstances

  • ec2:DescribeSnapshots

  • ec2:DescribeVolumes

  • kms:Decrypt

  • kms:GenerateDataKey

  • s3:CreateBucket

  • s3:GetBucketAcl

  • s3:GetBucketPolicyStatus

  • s3:GetBucketPublicAccessBlock

  • s3:ListBucket

  • s3:ListAllMyBuckets

  • s3:PutObject

  • s3:PutBucketLogging

  • s3:PutBucketPolicy

  • s3:PutBucketPublicAccessBlock

  • s3:PutBucketTagging

  • s3:PutBucketVersioning

  • s3:PutEncryptionConfiguration

  • ssm:DescribeAutomationExecutions

이 런북을 실행하는 데 필요한 최소 IAM 권한이 있는 예제 정책: 


        {
            "Version": "2012-10-17",
            "Statement": [{
                "Sid": "Read_Only_Permissions",
                "Effect": "Allow",
                "Action": [
                    "ec2:DescribeImages",
                    "ec2:DescribeInstances",
                    "ec2:DescribeSnapshots",
                    "ec2:DescribeVolumes",
                    "ssm:DescribeAutomationExecutions"
                ],
                "Resource": ""
            }, {
                "Sid": "KMS_Generate_Permissions",
                "Effect": "Allow",
                "Action": ["kms:GenerateDataKey", "kms:Decrypt"],
                "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
            }, {
                "Sid": "S3_Read_Only_Permissions",
                "Effect": "Allow",
                "Action": [
                    "s3:GetBucketAcl",
                    "s3:GetBucketPolicyStatus",
                    "s3:GetBucketPublicAccessBlock",
                    "s3:ListBucket"
                ],
                "Resource": [
                    "arn:aws:s3:::DOC-EXAMPLE-BUCKET1",
                    "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/"
                ]
            }, {
                "Sid": "S3_Create_Permissions",
                "Effect": "Allow",
                "Action": [
                    "s3:CreateBucket",
                    "s3:PutObject",
                    "s3:PutBucketLogging",
                    "s3:PutBucketPolicy",
                    "s3:PutBucketPublicAccessBlock",
                    "s3:PutBucketTagging",
                    "s3:PutBucketVersioning",
                    "s3:PutEncryptionConfiguration"
                ],
                "Resource": "*"
            }]
        }

지침

다음 단계에 따라 자동화를 구성합니다.

  1. 콘솔에서 AWSSupportResourceUsage-analyzeEBS로 이동합니다. AWS Systems Manager

  2. 입력 파라미터의 경우, 다음 내용을 입력합니다.

    • AutomationAssumeRole (선택 사항):

      Systems Manager Automation이 사용자를 대신하여 작업을 수행할 수 있도록 하는 AWS Identity and Access Management (IAM) 역할의 Amazon 리소스 이름 (ARN). 역할을 지정하지 않은 경우, Systems Manager Automation에서는 이 실행서를 시작하는 사용자의 권한을 사용합니다.

    • S3 BucketName (필수):

      보고서를 업로드할 계정의 Amazon S3 버킷.

    • CustomerManagedKmsKeyArn (선택 사항):

      지정된 버킷이 계정에 없는 경우 생성되는 새 Amazon S3 버킷을 암호화하기 위한 사용자 지정 AWS KMS 키 Amazon 리소스 이름 (ARN) 입니다.

  3. 실행을 선택합니다.

  4. 자동화가 시작됩니다.

  5. 자동화 실행서는 다음 단계를 수행합니다.

    • 검사 동시성:

      해당 지역에서 이 런북이 한 번만 시작되는지 확인합니다. 런북에서 진행 중인 다른 실행을 발견하면 오류가 반환되고 종료됩니다.

    • OrCreateS3Bucket을 확인하십시오.

      Amazon S3 버킷이 존재하는지 확인합니다. 그렇지 않은 경우 사용자 지정 AWS KMS 키로 암호화된 이름 형식으로 <User-provided-name>-awssupport-YYYY-MM-DD 자동화가 시작되는 지역에 새 Amazon S3 버킷을 생성합니다.

    • 수집AmiDetails:

      Amazon EC2 인스턴스에서 사용하지 않는 AMI를 검색하고 이름 <region>-images.csv 형식의 보고서를 생성하여 Amazon S3 버킷에 업로드합니다.

    • 수집VolumeDetails:

      Amazon EBS 볼륨이 사용 가능 상태인지 확인하고, 이름 형식으로 <region>-volume.csv 보고서를 생성하여 Amazon S3 버킷에 업로드합니다.

    • 수집SnapshotDetails:

      이미 삭제된 Amazon EBS 볼륨의 Amazon EBS 스냅샷을 찾아 이름 형식으로 <region>-snapshot.csv 보고서를 생성하여 Amazon S3 버킷에 업로드합니다.

  6. 완료 후에는 Outputs 섹션에서 실행의 세부 결과를 검토합니다.

참조

Systems Manager Automation