AWS Systems Manager Session Manager - AWS Systems Manager

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Systems Manager Session Manager

Session Manager는 완전히 관리되는AWS Systems Manager기능을 사용하여 Amazon Elastic Compute Cloud (Amazon EC2) 인스턴스, 온프레미스 인스턴스 및 VM (가상 머신) 을 관리할 수 있습니다.AWS Command Line Interface(AWS CLI).Session Manager는 인바운드 포트를 열거나 배스천 호스트를 유지 관리하거나 SSH 키를 관리할 필요 없이 안전하고 감사 가능한 인스턴스 관리를 제공합니다.Session Manager또한 를 사용하면 인스턴스에 대한 제어된 액세스를 요구하는 회사 정책, 엄격한 보안 관행을 준수하고 인스턴스 액세스 세부 정보가 포함된 완전히 감사 가능한 로그를 제공하는 동시에 최종 사용자에게 관리형 인스턴스에 대한 간단한 원 클릭 교차 플랫폼 액세스를 제공합니다.

Session Manager가 조직에 주는 이점은 무엇입니까?

Session Manager에서 제공하는 이점은 다음과 같습니다.

  • IAM 정책을 사용하여 인스턴스에 대한 중앙 집중식 액세스 제어

    관리자가 한 곳에서 인스턴스에 대한 액세스 권한을 부여하고 취소할 수 있습니다. 사용 전용AWS Identity and Access Management(IAM) 정책을 사용하여 조직의 개별 사용자 또는 그룹을 사용할 수 있는 권한을 제어할 수 있습니다.Session Manager와 액세스 할 수있는 인스턴스.

  • 인바운드 포트를 열 필요가 없고 배스천 호스트 또는 SSH 키를 관리할 필요가 없음

    인스턴스에 인바운드 SSH 포트와 원격 PowerShell 포트를 열어두면 인스턴스에서 개체가 권한이 없거나 악의적인 명령을 실행할 위험이 매우 높아집니다. Session Manager에서는 이러한 인바운드 포트를 닫도록 하고, SSH 키 및 인증서, 배스천 호스트 및 점프박스를 관리할 필요가 없도록 해 보안을 강화하도록 합니다.

  • 클릭 한 번으로 콘솔 및 CLI에서 인스턴스에 액세스

    사용AWS Systems Manager콘솔 또는 Amazon EC2 콘솔을 사용하여 한 번의 클릭으로 세션을 시작할 수 있습니다. AWS CLI를 사용하여 단일 명령 또는 일련의 명령을 실행하는 세션을 시작할 수도 있습니다. 인스턴스에 대한 권한이 SSH 키 또는 기타 메커니즘을 대신 IAM 정책을 통해 제공되기 때문에 연결 시간이 크게 줄어듭니다.

  • 포트 전달

    원격 인스턴스 내부의 포트를 클라이언트의 로컬 포트로 리디렉션합니다. 그런 다음 로컬 포트에 연결하고 인스턴스 내부에서 실행 중인 서버 애플리케이션에 액세스합니다.

  • Windows, Linux 및 에 대한 교차 플랫폼 지원 macOS

    Session Manager는 윈도우, 리눅스 및macOS를 단일 도구에서 사용할 수 있습니다. 예를 들어 Linux의 SSH 클라이언트를 사용할 필요가 없으며macOS인스턴스 또는 RDP 연결Windows Server인스턴스를 생성합니다.

  • 세션 활동 로깅 및 감사

    조직의 작업 또는 보안 요구 사항을 충족하기 위해 인스턴스에 대한 연결과 해당 인스턴스에서 실행된 명령에 대한 기록을 제공해야 할 수 있습니다. 또한 조직의 사용자가 세션 활동을 시작 또는 종료할 때 알림을 받을 수도 있습니다.

    로깅 및 감사 기능은 다음과 같은 기능을 통합하여 제공됩니다.AWS서비스:

    • AWS CloudTrail–AWS CloudTrail에 대한 정보를 캡처합니다.Session ManagerAPI 호출은 AWS 계정 를 생성하여 지정한 Amazon Simple Storage Service (Amazon S3) 버킷에 저장된 로그 파일에 기록합니다. 계정에 대한 모든 CloudTrail 로그에 버킷 하나가 사용됩니다. 자세한 내용은 AWS CloudTrail를 사용하여 AWS Systems Manager API 호출 로깅 섹션을 참조하세요.

    • Amazon Simple Storage Service— 디버깅 및 문제 해결을 위해 선택한 Amazon S3 버킷에 세션 로그 데이터를 저장하도록 선택할 수 있습니다. 로그 데이터는 암호화를 적용하거나 적용하지 않은 상태로 Amazon S3 버킷으로AWS KMS key. 자세한 내용은 Amazon S3 를 사용하여 세션 데이터 로깅 (콘솔) 섹션을 참조하세요.

    • Amazon CloudWatch Logs— CloudWatch Logs s를 사용하면 다양한 로그 파일을 모니터링, 저장 및 액세스할 수 있습니다.AWS서비스. 디버깅 및 문제 해결을 위해 세션 로그 데이터를 CloudWatch Logs 로그 그룹으로 전송할 수 있습니다. 로그 데이터는 유무에 관계없이 로그 그룹으로 전송될 수 있습니다.AWS KMSKMS 키를 사용하여 암호화합니다. 자세한 내용은 Amazon CloudWatch Logs 사용하여 세션 데이터 로깅 (콘솔) 섹션을 참조하세요.

    • Amazon EventBridgeAmazon Simple Notification Service— EventBridge 를 사용하면 변경 시 이를 감지하기 위한 규칙을 설정할 수 있습니다.AWS리소스를 지정합니다. 조직 내 사용자가 세션을 시작 또는 중지하면 이를 감지하는 규칙을 생성하면 Amazon SNS 통해 해당 이벤트에 대한 알림 (예: 문자 메시지 또는 이메일 메시지) 을 받을 수 있습니다. 또한 다른 응답을 시작하도록 CloudWatch 이벤트를 구성할 수도 있습니다. 자세한 내용은 Amazon EventBridge 를 사용하여 세션 활동을 모니터링하려면 (콘솔) 섹션을 참조하세요.

    참고

    에 대한 로깅을 사용할 수 없습니다.Session Manager포트 포워딩 또는 SSH를 통해 연결하는 세션. SSH가 모든 세션 데이터를 암호화하고Session Manager는 SSH 연결의 터널 역할만 합니다.

Session Manager는 누가 사용해야 합니까?

  • 보안 및 감사 상태를 강화하고, 인스턴스의 액세스 제어를 중앙에서 관리하여 운영 오버헤드를 절감하고, 인바운드 인스턴스를 줄이고자 하는 모든 AWS 고객

  • 인스턴스 액세스와 활동을 모니터링하고 추적하며, 인스턴스의 인바운드 포트를 닫거나 퍼블릭 IP 없이 인스턴스와 연결하기를 원하는 Information Security 전문가

  • 단일 위치에서 액세스를 허용하고 취소하며, Linux용 단일 솔루션을 사용자에게 제공하기를 원하는 관리자는macOS, 및Windows Server인스턴스를 생성합니다.

  • 브라우저에서 한 번의 클릭으로 인스턴스에 연결하려는 사용자 또는AWS CLISSH 키를 제공 할 필요없이.

Session Manager의 주요 기능은 무엇입니까?

  • 지원Windows ServerLinux 및 LinuxmacOS인스턴스

    Session Manager를 사용하면 Amazon Elastic Compute Cloud (EC2) 인스턴스, 온프레미스 인스턴스 및 VM (가상 머신) 과의 보안 연결을 설정할 수 있습니다. 지원되는 운영 체제 유형의 목록은 단원을 참조하십시오. 설정Session Manager.

    참고

    온프레미스 서버에 대한 Session Manager 지원은 고급 인스턴스 티어에만 제공됩니다. 자세한 정보는 고급 인스턴스 티어 활성화 섹션을 참조하세요.

  • 콘솔, CLI 및 SDK에 액세스Session Manager기능

    다음과 같은 방식으로 Session Manager 작업을 수행할 수 있습니다.

    AWS Systems Manager콘솔에 대한 액세스 권한을 포함하는Session Manager관리자 및 최종 사용자 둘 다를 위한 기능을 제공합니다. Systems Manager 콘솔을 사용하여 세션에 연결된 모든 작업을 수행할 수 있습니다.

    Amazon EC2 콘솔은 최종 사용자가 세션 권한이 부여된 EC2 인스턴스에 연결할 수 있는 기능을 제공합니다.

    AWS CLI에서는 최종 사용자를 위한 Session Manager 기능에 액세스할 수 있습니다. AWS CLI를 사용해 세션을 시작하고, 세션 목록을 보고, 세션을 영구히 종료할 수 있습니다.

    참고

    이AWS CLI세선 명령을 실행하려면 CLI의 1.16.12 이상 버전을 사용하고 있어야 하며Session Manager플러그인을 로컬 시스템에 설치합니다. 자세한 정보는 (선택 사항) 를 설치합니다.Session Manager플러그인이 있는 경우AWS CLI 섹션을 참조하세요.

    Session ManagerSDK는 를 사용하여 애플리케이션 개발자가 프런트엔드 애플리케이션 (예: 사용자 지정 셸 또는 셀프 서비스 포털) 을 빌드하도록 하는 라이브러리와 샘플 코드로 구성되어 있습니다.Session Manager를 클릭하여 인스턴스에 연결합니다. 개발자와 파트너는 Session Manager API를 사용하여 Session Manager를 각자의 클라이언트 측 도구 또는 자동화 워크플로로 통합할 수 있습니다. 사용자 지정 솔루션을 빌드할 수도 있습니다.

  • IAM 액세스 제어

    IAM 정책을 사용하여 인스턴스에 대한 세션을 시작할 조직 내 구성원과 거기에 액세스할 수 있는 인스턴스를 제어할 수 있습니다. 또한 인스턴스에 대한 임시 액세스를 제공할 수도 있습니다. 예를 들어, 대기 중인 엔지니어(또는 대기 중인 엔지니어 그룹)에게 교대 근무 중에만 프로덕션 서버에 액세스할 수 있는 권한을 부여하려고 할 수 있습니다.

  • 로깅 및 감사 기능 지원

    Session Manager에서 세션 기록을 감사 및 로깅할 수 있는 옵션을 제공합니다. AWS 계정 기타의 수와의 통합을 통해AWS서비스. 자세한 내용은 세션 활동 감사세션 활동 로깅 단원을 참조하세요.

  • 구성 가능한 셸 프로파일

    Session Manager에서는 세션 내에서 기본 설정을 구성할 수 있는 옵션을 제공합니다. 이러한 사용자 정의 가능한 프로파일을 사용하면 쉘 환경설정, 환경 변수, 작업 디렉토리 및 세션이 시작될 때 여러 명령 실행과 같은 기본 설정을 정의할 수 있습니다.

  • 고객 키 데이터 암호화 지원

    다음을 구성할 수 있습니다.Session Manager를 사용하여 Amazon Simple Storage Service (Amazon S3) 버킷이나 스트림으로 보내는 세션 데이터 로그를 CloudWatch Logs 로그 그룹으로 암호화하십시오. 세션 중에 클라이언트 시스템과 인스턴스 사이에 전송되는 데이터를 추가로 암호화하도록 Session Manager을 구성할 수도 있습니다. 자세한 정보는 단원을 참조하십시오.세션 활동 로깅세션 기본 설정 구성.

  • AWS PrivateLink 퍼블릭 IP 주소가 없는 인스턴스 지원

    또한 다음을 사용하여 Systems Manager 대한 VPC 엔드포인트를 설정할 수도 있습니다. AWS PrivateLink 를 사용하여 세션을 더욱 안전하게 보호할 수 있습니다. AWS PrivateLink 관리형 인스턴스, Systems Manager 및 Amazon EC2간의 모든 네트워크 트래픽을 Amazon 네트워크로 제한합니다. 자세한 내용은 단원을 참조하십시오.(선택 사항) VPC(가상 사설 클라우드) 엔드포인트 생성.

  • 터널링

    세션에서 세션 유형AWS Systems Manager(SSM) 문서를 사용하여 트래픽을 터널링합니다 (예: 클라이언트 시스템의 로컬 포트와 인스턴스의 원격 포트 간 http 또는 사용자 지정 프로토콜).

  • 대화형 명령

    세션을 사용하여 단일 명령을 대화형으로 실행하고 사용자가 인스턴스에서 할 수 있는 것을 관리할 방법을 제공하는 세션 유형 SSM 문서를 생성합니다.

세션이란 무엇입니까?

세션은 다음을 사용하여 인스턴스에 대한 연결입니다Session Manager. 세션은 클라이언트 (사용자) 와 명령에 대한 입력 및 출력을 스트리밍하는 원격 관리 인스턴스 간의 안전한 양방향 통신 채널을 기반으로 합니다. 클라이언트와 관리형 인스턴스 간의 트래픽은 TLS 1.2를 사용하여 암호화되며, 연결을 생성하기 위한 요청은 SigV4를 사용하여 서명됩니다. 이 양방향 통신을 통해 인스턴스에 대한 대화식 bash 및 PowerShell 에 액세스 할 수 있습니다. 다음을 사용할 수도 있습니다.AWS Key Management Service(AWS KMS) 키를 사용하여 기본 TLS 암호화 이외의 데이터를 추가로 암호화할 수 있습니다.

예를 들어, John이 IT 부서의 대기 중인 엔지니어라고 생각해 보겠습니다. John은 원격으로 인스턴스에 액세스해야 하는 문제에 대한 알림을 받습니다(예: 문제 해결 또는 인스턴스에 대한 간단한 구성 옵션을 변경하는 지침이 필요한 장애). 사용AWS Systems Manager콘솔, Amazon EC2 콘솔 또는AWS CLIJohn은 인스턴스에 연결하는 세션을 시작하고, 인스턴스에서 작업을 수행하는 데 필요한 명령을 실행한 다음 세션을 종료합니다.

John이 세션을 시작하라는 첫 번째 명령을 보내면 Session Manager서비스에서 John의 ID를 인증하고, IAM 정책에 따라 John에게 부여된 권한을 확인한 다음 구성 설정(예: 세션에 대해 허용된 제한 확인)을 확인하고 SSM Agent에 양방향 연결을 열라는 메시지를 보냅니다. 연결이 설정되어 John이 다음 명령을 입력하면 SSM Agent의 명령 출력이 이 통신 채널로 업로드되고 다시 John의 로컬 시스템으로 전송됩니다.