AWS 시스템 관리자 Session Manager - AWS 시스템 관리자

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

AWS 시스템 관리자 Session Manager

Session Manager 완전히 관리되는 AWS 시스템 관리자 EC2 인스턴스를 관리할 수 있는 기능 온프레미스 인스턴스 및 가상 머신(VM)을 지원합니다. 브라우저 기반 셸 또는 AWS CLI. Session Manager 안전하고 감사 가능한 인스턴스 제공 인바운드 포트를 열거나, bastion 호스트를 유지 관리하거나, SSH를 관리할 필요가 없는 관리 키. Session Manager 또한 규제를 요구하는 기업 정책을 쉽게 준수할 수 있습니다. 인스턴스에 대한 액세스, 엄격한 보안 관행 및 인스턴스가 포함된 완전한 감사 가능 로그 액세스 세부 정보를 제공하는 동시에 최종 사용자에게 간편한 단일 클릭 교차 플랫폼 액세스 제공 를 관리 대상 인스턴스로 보냅니다.

어떻게 할 수 있습니까? Session Manager 내게 이익이 된다 조직입니까?

Session Manager 는 다음과 같은 혜택을 제공합니다.

  • IAM을 사용하여 인스턴스에 대한 중앙 집중식 액세스 제어 정책

    관리자는 인스턴스 에 대한 액세스 권한을 부여하고 취소할 수 있습니다. 사용 전용 AWS Identity and Access Management (IAM) 정책, 개별 사용자 또는 조직 내 그룹이 사용할 수 있는 Session Manager 액세스할 수 있는 인스턴스가 무엇인지 확인합니다.

  • 열린 인바운드 포트가 없어 배스티언 호스트를 관리할 필요가 없습니다. 또는 SSH 키

    인바운드 SSH 포트와 원격 PowerShell 포트를 인스턴스에서 열어 두기 무단 또는 악의적인 인스턴스에 대한 명령 Session Manager 은(는) 다음을 통해 보안 태세를 개선합니다. 이러한 인바운드 포트를 닫을 수 있어 SSH 키를 관리하고 인증서, 배스티언 호스트 및 점프 박스.

  • 한 번의 클릭으로 콘솔에서 인스턴스에 액세스하고 CLI(클리닉)

    사용 방법 AWS 시스템 관리자 콘솔 또는 Amazon EC2 콘솔의 경우, 한 번 클릭 사용 방법 AWS CLI, 단일 실행 세션을 시작할 수도 있습니다. 명령 또는 명령 시퀀스. 인스턴스에 대한 권한이 제공되기 때문입니다. SSH 키 또는 기타 메커니즘 대신 IAM 정책을 통해 시간이 크게 단축됩니다.

  • 포트 전달

    원격 인스턴스 내의 모든 포트를 클라이언트의 로컬 포트로 리디렉션합니다. 그런 다음 로컬 포트에 연결하고 인스턴스 내에서 실행 중입니다.

  • Windows 및 리눅스

    Session Manager 는 단일 도구에서 Windows 및 Linux 지원을 모두 제공합니다. 예를 들어, Linux 인스턴스 및 RDP 연결에 SSH 클라이언트를 사용할 필요가 없습니다. 에 대해 Windows Server 인스턴스.

  • 세션 활동 로깅 및 감사

    조직의 운영 또는 보안 요구 사항을 충족하려면 인스턴스에 대한 연결 및 에서 실행된 명령입니다. 또한 사용자가 조직 내에서 세션 활동을 시작하거나 종료합니다.

    로깅 및 감사 기능은 다음 AWS 서비스:

    • AWS CloudTrail – AWS CloudTrail 캡처 정보 소개 Session Manager 에서 수행된 API 호출 AWS 계정 및 쓰기 사용자가 지정한 S3 버킷에 저장된 파일을 로깅합니다. 버킷 1개 은(는) 모든 CloudTrail 계정을 위한 로그. 자세한 내용은 을 참조하십시오. AWS CloudTrail를 사용하여 AWS 시스템 관리자 API 호출 로깅.

    • Amazon Simple Storage Service – 저장하도록 선택할 수 있습니다. 감사 목적으로 선택한 S3 버킷에 세션 로그 데이터를 저장합니다. 로그 데이터는 S3 버킷으로 전송할 수 있으며, 귀하의 AWS Key Management Service (AWS KMS) 키. 자세한 내용은 을 참조하십시오. 를 사용하여 세션 데이터 로깅 Amazon S3 (콘솔).

    • Amazon CloudWatch Logs – CloudWatch Logs 모니터링, 저장 및 다양한 AWS 서비스. 이메일 주소를 세션 로그 데이터를 CloudWatch Logs 감사용 로그 그룹. 로그 데이터 로그 그룹으로 전송할 수 있습니다. AWS KMS 암호화 사용 귀하의 AWS KMS 키. 자세한 내용은 을 참조하십시오. 로깅 세션 데이터 사용 Amazon CloudWatch Logs (콘솔).

    • Amazon CloudWatch EventsAmazon Simple Notification Service – CloudWatch 이벤트 을 사용하여 언제 변화는 AWS 리소스 중 하나를 선택합니다. 다음을 생성할 수 있습니다. 조직의 사용자가 시작 또는 중지할 때를 감지하는 규칙 를 통해 알림을 받습니다. Amazon SNS (예: 문자 또는 이메일 메시지). 또한 CloudWatch 다른 응답을 트리거할 이벤트. 자세한 내용은 을 참조하십시오. 모니터링 세션 활동 사용 Amazon CloudWatch Events (콘솔).

    참고

    Logging and auditing are not available for Session Manager sessions that connect through port forwarding or SSH. This is because SSH encrypts all session data, and Session Manager only serves as a tunnel for SSH connections.

누가 사용해야 합니까? Session Manager?

  • 임의 AWS 보안 및 감사 태세를 개선하고자 하는 고객 인스턴스에 대한 액세스 제어를 중앙 집중화하여 운영 오버헤드 감소 인바운드 인스턴스 액세스 감소.

  • 인스턴스 액세스를 모니터링하고 추적하려는 정보 보안 전문가 인스턴스의 인바운드 포트를 닫거나 공용 IP 주소가 없는 인스턴스

  • 단일 위치에서 액세스 권한을 부여하고 취소하려는 관리자 Windows와 Linux 모두에서 사용자에게 하나의 솔루션을 제공하려는 고객 인스턴스.

  • 에서 한 번의 클릭으로 인스턴스에 연결하려는 최종 사용자 브라우저 또는 CLI를 사용할 수 있습니다.

의 주요 특징은 무엇입니까? Session Manager?

  • 양쪽 모두 지원 Windows Server 및 Linux 인스턴스

    Session Manager을 사용하면 Amazon Elastic Compute Cloud(EC2) 인스턴스, 온프레미스 인스턴스 및 VM(가상 머신)과의 보안 연결을 설정할 수 있습니다. 지원되는 Windows 및 Linux 인스턴스 운영 체제 유형의 목록은 시작하기 Session Manager 단원을 참조하십시오.

    참고

    온프레미스 서버에 대한 Session Manager 지원은 고급 인스턴스 티어에만 제공됩니다. 자세한 내용은 활성화 고급 인스턴스 계층 단원을 참조하십시오.

  • 콘솔, CLI 및 SDK 액세스 Session Manager 역량

    여러분은 Session Manager 다음과 같은 방식으로

    AWS 시스템 관리자 콘솔 모든 을 Session Manager 관리자 및 최종 사용자 모두를 위한 기능을 제공합니다. 다음을 수행할 수 있습니다. 를 사용하여 세션과 관련된 모든 작업을 시스템 관리자 콘솔.

    더 Amazon EC2 콘솔은 최종 사용자가 EC2에 연결할 수 있는 기능을 제공합니다. 세션 권한이 부여된 인스턴스.

    AWS CLI 에 대한 액세스 포함 Session Manager 기능을 제공합니다. 세션을 시작하고, 세션 목록을 보고, 를 사용하여 세션을 영구적으로 종료합니다. AWS CLI.

    참고

    사용 방법 AWS CLI 세션 명령을 실행하려면 1.16.12 CLI(또는 그 이상)를 사용하고, Session Manager plugin 로컬 시스템에서. 자세한 내용은 를 참조하십시오. (선택 사항) Session Manager Plugin 에 대해 AWS CLI.

    Session Manager SDK 라이브러리 및 애플리케이션 개발자가 프런트엔드 애플리케이션을 구축할 수 있는 샘플 코드 사용자 지정 셸 또는 셀프 서비스 포털과 같은 내부 사용자를 위한 사용 Session Manager 인스턴스 에 연결합니다. 개발자와 파트너는 Session Manager 를 사용하여 클라이언트 측 툴링 또는 자동화 워크플로우에 Session Manager API. 당신 맞춤형 솔루션을 구축할 수도 있습니다.

  • IAM 액세스 제어

    사용 방법 IAM 정책에서 해당 그룹의 구성원을 제어할 수 조직은 인스턴스에 대한 세션과 해당 인스턴스에 대해 에 액세스합니다. 또한 인스턴스 에 대한 임시 액세스를 제공할 수 있습니다. 예를 들어, 온콜 엔지니어(또는 온콜 엔지니어 그룹)에게 로테이션하는 기간 동안에만 운영 서버에 액세스할 수 있습니다.

  • 로깅 및 감사 기능 지원

    Session Manager 감사 및 로깅 세션 기록 옵션을 제공합니다. 귀하의 AWS 다른 여러 회사와의 통합을 통해 AWS 서비스. 자세한 내용은 을 참조하십시오. 감사 및 로깅 세션 활동.

  • 고객 키 데이터 암호화 지원

    다음을 구성할 수 있습니다. Session Manager 으로 전송하는 세션 데이터 로그를 암호화합니다. S3 버킷 또는 스트림 CloudWatch Logs 로그 그룹. 또한 Session Manager ~까지 클라이언트 컴퓨터와 인스턴스 간에 전송되는 데이터를 추가로 암호화합니다. 세션 동안. 자세한 내용은 를 참조하십시오. 감사 및 로깅 세션 활동세션 기본 설정 구성.

  • AWS 공용 IP가 없는 인스턴스에 대한 PrivateLink 지원 주소

    VPC 끝점을 설정할 수도 있습니다. 시스템 관리자 사용 AWS 추가 정보에 대한 비공개 링크 세션 보안 설정 PrivateLink는 사용자 관리되는 인스턴스, 시스템 관리자, 및 Amazon EC2 아마존 네트워크로. 자세한 내용은 참조 (선택 사항) VPC(가상 사설 클라우드) 엔드포인트 생성.

  • 터널링

    세션에서 세션 유형 SSM 문서를 사용하여 http와 같은 트래픽을 터널링합니다. 또는 클라이언트 시스템의 로컬 포트와 원격 포트 사이의 사용자 지정 프로토콜 을 클릭합니다().

  • 대화형 명령

    세션을 사용하여 대화형으로 실행되는 세션 유형의 SSM 문서 생성 단일 명령으로 사용자가 인스턴스.

세션이란 무엇입니까?

A session is a connection made to an instance using Session Manager. Sessions are based on a secure bi-directional communication channel between the client (you) and the remote managed instance that streams inputs and outputs for commands. Traffic between a client and a managed instance is encrypted using TLS 1.2, and requests to create the connection are signed using Sigv4. This two-way communication enables interactive bash and PowerShell access to instances. You can also use an AWS Key Management Service (AWS KMS) key to further encrypt data beyond the default TLS encryption.

예를 들어, John은 IT 부서의 대기 엔지니어라고 말합니다. 부서. 원격으로 연결해야 하는 문제에 대한 알림을 받습니다. 문제 해결 또는 변경 지시가 필요한 장애와 같은 인스턴스로 전환 인스턴스의 간단한 구성 옵션입니다. 사용 방법 AWS 시스템 관리자 콘솔, Amazon EC2 콘솔 또는 AWS CLI, John이 그를 인스턴스에 연결하는 세션을 시작하고, 작업을 완료하는 데 필요한 인스턴스에 대한 명령을 실행한 다음 세션을 종료합니다.

John이 세션을 시작하도록 첫 번째 명령을 전송하면 Session Manager 서비스 는 ID를 인증하고, IAM 정책에 의해 부여된 권한을 확인하고, 세션의 허용 한도 확인과 같은 구성 설정과 메시지 수신 대상 SSM 에이전트 를 클릭하여 양방향 연결을 엽니다. 연결 후 John은 다음 명령을 입력합니다. 명령 출력은 SSM 에이전트 이(가) 이(가) 에 업로드되었습니다. 통신 채널을 다시 로컬 컴퓨터 로 보냅니다.