Session Manager용 사용자 지정 IAM 역할 생성 - AWS Systems Manager
최소 Session Manager 권한을 사용하여 IAM 역할 생성(콘솔)Session Manager, Amazon S3 및 CloudWatch Logs에 대한 권한이 있는 IAM 역할 생성(콘솔)

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Session Manager용 사용자 지정 IAM 역할 생성

Amazon EC2 관리형 인스턴스에서 작업을 수행하는 권한을 Session Manager에 부여하는 AWS Identity and Access Management(IAM) 역할을 생성할 수 있습니다. 세션 로그를 Amazon Simple Storage Service(S3) 및 Amazon CloudWatch Logs로 보내는 데 필요한 권한을 부여하는 정책도 포함할 수도 있습니다.

IAM 역할을 생성한 후에 인스턴스에 역할을 연결하는 방법에 대한 내용은 AWS re:Post 웹사이트에서 인스턴스 프로파일 연결 또는 바꾸기를 참조하세요. IAM 인스턴스 프로파일 및 역할에 대한 자세한 내용은 IAM 사용 설명서의 인스턴스 프로파일 사용Linux 인스턴스용 Amazon Elastic Compute Cloud 사용 설명서Amazon EC2에 대한 IAM 역할을 참조하세요. 온프레미스 시스템용 IAM 서비스 역할을 만드는 방법에 대한 자세한 내용은 하이브리드 환경을 위한 IAM 서비스 역할 생성 섹션을 참조하세요.

최소 Session Manager 권한을 사용하여 IAM 역할 생성(콘솔)

다음 절차에 따라 인스턴스에 대해 Session Manager 작업만 가능한 권한을 제공하는 정책을 사용해 사용자 지정 IAM 역할을 생성합니다.

최소 Session Manager 권한을 사용하여 인스턴스 프로파일을 생성하려면(콘솔)

  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 정책(Policies)을 선택한 후 정책 생성(Create policy)을 선택합니다. ([시작하기(Get Started)] 버튼이 표시되면 이 버튼을 선택한 후 [정책 생성(Create Policy)]을 선택합니다.)

  3. JSON 탭을 선택합니다.

  4. 기본 콘텐츠를 다음과 같은 정책으로 바꿉니다. AWS Key Management Service(AWS KMS)를 사용하여 세션을 암호화하려면 사용하려는 AWS KMS key의 Amazon 리소스 이름(ARN)으로 key-name을 바꿉니다.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:UpdateInstanceInformation",
                "ssmmessages:CreateControlChannel",
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:OpenDataChannel"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "key-name"
        }
    ]
}

    KMS 키를 사용하여 세션 데이터를 암호화하는 방법에 대한 자세한 내용은 세션 데이터의 KMS 키 암호화를 설정하려면(콘솔) 섹션을 참조하세요.

    세션 데이터에 AWS KMS 암호화를 사용하지 않으려면 정책에서 다음 콘텐츠를 제거할 수 있습니다.

    ,
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "key-name"
        }

  5. Next: Tags(다음: 태그)를 선택합니다.

  6. (선택 사항) 태그 추가(Add tag)를 선택하고 정책에 대한 기본 설정 태그를 입력하여 태그를 추가합니다.

  7. Next: Review(다음: 검토)를 선택합니다.

  8. 정책 검토(Review policy) 페이지에서 이름(Name)에 인라인 정책 이름을 입력합니다(예: SessionManagerPermissions)

  9. (선택 사항) 설명에 정책에 대한 설명을 입력합니다.

  10. [정책 생성(Create policy)]을 선택합니다.

  11. 탐색 창에서 역할(Roles)을 선택한 후 역할 생성(Create role)을 선택합니다.

  12. 역할 생성 페이지에서 AWS 서비스( service)를 선택하고 사용 사례(Use case)EC2를 선택합니다.

  13. 다음(Next)을 선택합니다.

  14. 권한 추가 페이지에서 방금 생성한 정책의 이름(예: SessionManagerPermissions) 왼쪽에 있는 확인란을 선택합니다.

  15. 다음(Next)을 선택합니다.

  16. 이름, 검토 및 생성 페이지에서 역할 이름(Role name)에 IAM 역할의 이름을 입력합니다(예: MySessionManagerRole).

  17. (선택 사항) 역할 설명에 인스턴스 프로파일에 대한 설명을 입력합니다.

  18. (선택 사항) 태그 추가(Add tag)를 선택하고 역할에 대한 기본 설정 태그를 입력하여 태그를 추가합니다.

    역할 생성을 선택합니다.

ssmmessages 작업에 대한 자세한 내용은 참조: ec2messages, ssmmessages 및 기타 API 작업 섹션을 참조하세요.

Session Manager, Amazon S3 및 CloudWatch Logs에 대한 권한이 있는 IAM 역할 생성(콘솔)

다음 절차에 따라 인스턴스에 대해 Session Manager 작업이 가능한 권한을 제공하는 정책을 사용해 사용자 지정 IAM 역할을 생성합니다. 이 정책은 세션 로그를 Amazon Simple Storage Service(Amazon S3) 버킷 및 Amazon CloudWatch Logs 로그 그룹에 저장하는 데 필요한 권한도 제공합니다.

중요

다른 AWS 계정에서 소유하는 Amazon S3 버킷에 세션 로그를 출력하려면 정책에 IAM 역할 정책에 s3:PutObjectAcl 권한을 추가해야 합니다. 소유하는 계정에서 사용하는 IAM 역할에 버킷 정책에서 크로스 계정 액세스 권한을 부여하여 관리형 인스턴스에 대한 Systems Manager 권한을 부여하는지도 확인해야 합니다. 버킷에서 Key Management Service(KMS) 암호화를 사용하는 경우에는 버킷의 KMS 정책에서도 이 크로스 계정 액세스 권한을 부여해야 합니다. Amazon S3의 크로스 계정 버킷 권한 구성에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 크로스 계정 버킷 권한 부여를 참조하세요. 크로스 계정 권한이 추가되지 않으면 Amazon S3 버킷을 소유하는 계정에서 세션 출력 로그에 액세스할 수 없습니다.

세션 로그 저장에 대한 기본 설정 지정에 관한 자세한 내용은 세션 활동 로깅 활성화 및 비활성화 섹션을 참조하세요.

Session Manager, Amazon S3 및 CloudWatch Logs에 대한 권한이 있는 IAM 역할 생성(콘솔)

  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 정책(Policies)을 선택한 후 정책 생성(Create policy)을 선택합니다. ([시작하기(Get Started)] 버튼이 표시되면 이 버튼을 선택한 후 [정책 생성(Create Policy)]을 선택합니다.)

  3. JSON 탭을 선택합니다.

  4. 기본 콘텐츠를 다음과 같은 정책으로 바꿉니다. 각 리소스 자리 표시자 예를 자신의 정보로 바꿉니다.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssmmessages:CreateControlChannel",
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:OpenDataChannel",
                "ssm:UpdateInstanceInformation"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents",
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/s3-bucket-prefix/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetEncryptionConfiguration"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "key-name"
        },
        {
            "Effect": "Allow",
            "Action": "kms:GenerateDataKey",
            "Resource": "*"
        }
    ]
}

  5. Next: Tags(다음: 태그)를 선택합니다.

  6. (선택 사항) 태그 추가(Add tag)를 선택하고 정책에 대한 기본 설정 태그를 입력하여 태그를 추가합니다.

  7. Next: Review(다음: 검토)를 선택합니다.

  8. 정책 검토(Review policy) 페이지에서 이름(Name)에 인라인 정책 이름을 입력합니다(예: SessionManagerPermissions)

  9. (선택 사항) 설명에 정책에 대한 설명을 입력합니다.

  10. [정책 생성(Create policy)]을 선택합니다.

  11. 탐색 창에서 역할(Roles)을 선택한 후 역할 생성(Create role)을 선택합니다.

  12. 역할 생성 페이지에서 AWS 서비스( service)를 선택하고 사용 사례(Use case)EC2를 선택합니다.

  13. 다음(Next)을 선택합니다.

  14. 권한 추가 페이지에서 방금 생성한 정책의 이름(예: SessionManagerPermissions) 왼쪽에 있는 확인란을 선택합니다.

  15. 다음(Next)을 선택합니다.

  16. 이름, 검토 및 생성 페이지에서 역할 이름(Role name)에 IAM 역할의 이름을 입력합니다(예: MySessionManagerRole).

  17. (선택 사항) Role description(역할 설명)에 역할에 대한 설명을 입력합니다.

  18. (선택 사항) 태그 추가(Add tag)를 선택하고 역할에 대한 기본 설정 태그를 입력하여 태그를 추가합니다.

  19. 역할 생성을 선택합니다.