Systems Manager용 VPC 엔드포인트를 사용하여 EC2 인스턴스의 보안 개선 - AWS Systems Manager

Systems Manager용 VPC 엔드포인트를 사용하여 EC2 인스턴스의 보안 개선

Amazon Virtual Private Cloud(VPC)에서 인터페이스 VPC 엔드포인트를 사용하도록 AWS Systems Manager를 구성하여 관리형 노드(하이브리드 및 멀티클라우드 환경의 비 EC2 시스템 포함)의 보안 태세를 개선할 수 있습니다. 인터페이스 VPC 엔드포인트(인터페이스 엔드포인트)를 사용하면 AWS PrivateLink에 의해 구동되는 서비스에 연결할 수 있습니다. AWS PrivateLink는 프라이빗 IP 주소를 사용하여 Amazon Elastic Compute Cloud(Amazon EC2) 및 Systems Manager API에 비공개로 액세스할 수 있는 기술입니다.

AWS PrivateLink는 관리형 인스턴스, Systems Manager 및 Amazon EC2 간의 모든 네트워크 트래픽을 Amazon 네트워크로 제한합니다. 즉, 관리형 인스턴스는 인터넷에 액세스할 수 없습니다. AWS PrivateLink를 사용하는 경우 인터넷 게이트웨이, NAT 디바이스 또는 가상 프라이빗 게이트웨이가 필요 없습니다.

AWS PrivateLink를 구성하는 것이 필수는 아니지만 구성하는 것이 좋습니다. AWS PrivateLink 및 VPC 엔드포인트에 대한 자세한 내용은 AWS PrivateLink 및 VPC 엔드포인트를 참조하세요.

참고

VPC 엔드포인트 사용의 대체 방법은 관리형 인스턴스에서 아웃바운드 인터넷 액세스를 허용하는 것입니다. 이 경우 관리형 인스턴스는 다음 엔드포인트에 대한 HTTPS(포트 443) 아웃바운드 트래픽도 허용해야 합니다.

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

  • ec2messages.region.amazonaws.com

SSM Agent는 클라우드의 Systems Manager 서비스에 대한 모든 연결을 시작합니다. 이러한 이유로 Systems Manager의 인스턴스에 대한 인바운드 트래픽을 허용하도록 방화벽을 구성할 필요가 없습니다.

이러한 엔드포인트 호출에 대한 자세한 내용은 참조: ec2messages, ssmmessages 및 기타 API 작업 섹션을 참조하세요.

Amazon VPC 정보

Amazon Virtual Private Cloud(Amazon VPC)를 사용하면 AWS 클라우드 내에서 논리적으로 격리된 자체 영역에 Virtual Private Cloud(VPC)라고 하는 가상 네트워크를 정의할 수 있습니다. 인스턴스와 같은 AWS 리소스를 VPC에서 시작할 수 있습니다. VPC는 고객의 자체 데이터 센터에서 운영하는 기존 네트워크와 매우 유사하지만 AWS의 확장 가능한 인프라를 사용한다는 이점을 제공합니다. 해당 IP 주소 범위를 선택하고, 서브넷을 만든 후 라우팅 테이블, 네트워크 게이트웨이 및 보안 설정을 구성하여 VPC를 구성할 수 있습니다. VPC의 인스턴스를 인터넷에 연결합니다. VPC를 사내 데이터 센터에 연결하여 AWS 클라우드에서 데이터 센터를 확장할 수 있습니다. 각의 서브넷에서 리소스를 보호하기 위해 보안 그룹 및 네트워크 액세스 제어 목록을 포함한 다중 보안 계층을 사용할 수 있습니다. 자세한 내용은 Amazon VPC 사용 설명서를 참조하세요.

VPC 엔드포인트 제약 및 제한

Systems Manager에 대해 VPC 엔드포인트를 구성하기 전에 다음 제한 사항에 유의합니다.

교차 리전 요청

VPC 엔드포인트는 교차 리전 요청을 지원하지 않습니다. 버킷과 같은 AWS 리전에 엔드포인트를 생성하는지 확인합니다. Amazon S3 콘솔 또는 get-bucket-location 명령을 사용하여 버킷의 위치를 확인할 수 있습니다. 리전별 Amazon S3 엔드포인트를 사용하여 버킷에 액세스하십시오(예: amzn-s3-demo-bucket.s3-us-west-2.amazonaws.com). Amazon S3의 리전별 엔드포인트에 대한 자세한 내용은Amazon Web Services 일반 참조의 Amazon S3 엔드포인트를 참조하세요. AWS CLI를 사용하여 Amazon S3에 요청할 경우 기본 리전을 버킷과 동일한 리전으로 설정하거나 요청에 --region 파라미터를 사용합니다.

VPC 피어링 연결

VPC 인터페이스 엔드포인트는 리전 내리전 간 VPC 피어링 연결을 통해 액세스할 수 있습니다. VPC 인터페이스 엔드포인트에 대한 VPC 피어링 연결 요청에 대한 자세한 내용은 Amazon Virtual Private Cloud 사용 설명서VPC 피어링 연결(할당량)을 참조하세요.

VPC 게이트웨이 엔드포인트 연결은 VPC 외부로 확장할 수 없습니다. VPC의 VPC 피어링 연결의 반대편에 있는 리소스는 게이트웨이 엔드포인트를 사용하여 게이트웨이 엔드포인트 서비스의 리소스와 통신할 수 없습니다. VPC 게이트웨이 엔드포인트에 대한 VPC 피어링 연결 요청에 대한 자세한 내용은 Amazon Virtual Private Cloud 사용 설명서VPC 엔드포인트(할당량)를 참조하세요.

수신 연결

VPC 종단점에 연결된 보안 그룹은 관리형 인스턴스의 프라이빗 서브넷에서 443 포트로 들어오는 연결을 허용해야 합니다. 수신 연결을 허용하지 않으면 관리형 인스턴스가 SSM 및 EC2 엔드포인트에 연결할 수 없습니다.

DNS 확인

사용자 지정 DNS 서버를 사용하는 경우 amazonaws.com 도메인에 대한 모든 쿼리의 조건부 전달자를 VPC의 Amazon DNS 서버에 추가해야 합니다.

S3 버킷

VPC 엔드포인트 정책이 최소한 AWS 관리형 S3 버킷과 SSM Agent 통신에 열거된 Amazon S3 버킷에 대해 액세스를 허용해야 합니다.

참고

온프레미스 방화벽을 사용하고 Patch Manager를 사용하려는 경우 해당 방화벽에서 적절한 패치 기준 엔드포인트에 대한 액세스도 허용해야 합니다.

Amazon CloudWatch Logs

인스턴스가 인터넷에 액세스하는 것을 허용하지 않는 경우 CloudWatch Logs에 로그를 보내는 기능을 사용하도록 CloudWatch Logs에 대한 VPC 엔드포인트를 생성합니다. CloudWatch Logs용 엔드포인트 생성에 대한 자세한 내용은 Amazon CloudWatch Logs User GuideCreating a VPC endpoint for CloudWatch Logs를 참조하세요.

하이브리드 및 멀티클라우드 환경의 DNS

하이브리드 및 멀티클라우드 환경에서 AWS PrivateLink 엔드포인트로 작업하도록 DNS를 구성하는 방법에 대한 자세한 내용은 Amazon VPC 사용 설명서의 인터페이스 엔드포인트의 프라이빗 DNS를 참조하세요. 자신의 DNS를 사용하는 경우에는 Route 53 해석기를 사용할 수 있습니다. 자세한 내용은 Amazon Route 53 개발자 안내서VPC와 네트워크 간 DNS 쿼리 해석을 참조하세요.

Systems Manager용 VPC 엔드포인트 생성

다음 정보를 사용하여 AWS Systems Manager에 대한 VPC 인터페이스 엔드포인트를 생성합니다. 이 주제는 Amazon VPC 사용 설명서의 절차에 연결됩니다.

참고

리전은 미국 동부(오하이오) 리전의 us-east-2 같이 AWS Systems Manager가 지원하는 AWS 리전의 식별자를 나타냅니다. 지원되는 리전 값 목록은 Amazon Web Services 일반 참조의 Systems Manager 서비스 엔드포인트에 있는 리전 열을 참조하세요.

인터페이스 엔드포인트 생성의 단계에 따라 다음 인터페이스 엔드포인트를 생성합니다.

  • com.amazonaws.region.ssm: Systems Manager 서비스의 엔드포인트입니다.

  • com.amazonaws.region.ec2messages: Systems Manager는 이 엔드포인트를 사용하여 SSM Agent에서 Systems Manager 서비스를 호출합니다. SSM Agent 버전 3.3.40.0부터 Systems Manager는 가능한 경우 ec2messages:* 엔드포인트(Amazon Message Delivery Service) 대신 ssmmessages:* 엔드포인트(Amazon Message Gateway Service)를 사용하기 시작했습니다.

  • com.amazonaws.region.ec2: Systems Manager를 사용하여 VSS 지원 스냅샷을 만든 경우 EC2 서비스에 대한 엔드포인트가 있어야 합니다. EC2 엔드포인트가 정의되어 있지 않으면 연결된 Amazon EBS 볼륨을 표시하는 호출이 실패하고 이에 따라 Systems Manager 명령에 실패합니다.

  • com.amazonaws.region.s3 - Systems Manager는 이 엔드포인트를 사용하여 SSM Agent를 업데이트합니다. Systems Manager는 선택적으로 버킷에 저장된 스크립트나 기타 파일을 검색하거나 출력 로그를 버킷에 업로드하도록 선택하는 경우에도 이 엔드포인트를 사용합니다. 인스턴스와 연결된 보안 그룹이 아웃바운드 트래픽을 제한하는 경우 Amazon S3의 접두사 목록에 대한 트래픽을 허용하는 규칙을 추가해야 합니다. 자세한 내용은 AWS PrivateLink GuideModify your security group을 참조하세요.

  • com.amazonaws.region.ssmmessages – 이 엔드포인트는 SSM Agent가 Systems Manager 서비스와 통신하기 위해, Run Command를 위해, 그리고 Session Manager를 사용하여 보안 데이터 채널을 통해 인스턴스에 연결하는 경우 필요합니다. 자세한 내용은 AWS Systems Manager Session Manager참조: ec2messages, ssmmessages 및 기타 API 작업 단원을 참조하세요.

  • (선택 사항) com.amazonaws.region.kms - Session Manager 또는 Parameter Store 파라미터에 AWS Key Management Service(AWS KMS) 암호화를 사용하려는 경우 이 엔드포인트를 생성합니다.

  • (선택 사항) com.amazonaws.region.logs - Session Manager, Run Command 또는 SSM Agent 로그를 위해 Amazon CloudWatch Logs(CloudWatch Logs)를 사용하려는 경우 이 엔드포인트를 만드세요.

SSM Agent가 액세스할 수 있어야 하는 AWS 관리형 S3 버킷에 대한 자세한 내용은 AWS 관리형 S3 버킷과 SSM Agent 통신 섹션을 참조하세요. Systems Manager 작업에서 Virtual Private Cloud(VPC) 엔드포인트를 사용하는 경우 Systems Manager를 위한 Amazon EC2 인스턴스 프로파일 또는 하이브리드 및 멀티클라우드 환경의 비 EC2 관리형 노드를 위한 서비스 역할에 명시적 권한을 제공해야 합니다.

인터페이스 VPC 엔드포인트 정책 생성

AWS Systems Manager에 대한 VPC 인터페이스 엔드포인트의 정책을 생성할 수 있습니다. 이 정책에서 다음을 지정할 수 있습니다.

  • 작업을 수행할 수 있는 보안 주체.

  • 수행할 수 있는 작업

  • 수행되는 작업을 가질 수 있는 리소스

자세한 내용은 Amazon VPC 사용 설명서VPC 엔드포인트를 통해 서비스에 대한 액세스 제어를 참조하세요.