2단계: VPC 엔드포인트 생성 - AWS Systems Manager
VPC 엔드포인트 제약 및 제한Systems Manager용 VPC 엔드포인트 생성인터페이스 VPC 엔드포인트 정책 생성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

2단계: VPC 엔드포인트 생성

Amazon Virtual Private Cloud (Amazon VPC) 에서 인터페이스 VPC 엔드포인트를 사용하도록 AWS Systems Manager 구성하여 관리형 노드 (하이브리드 및 멀티클라우드 환경의 비 EC2 시스템 포함) 의 보안 상태를 개선할 수 있습니다. 인터페이스 VPC 엔드포인트 (인터페이스 엔드포인트) 를 사용하여 에서 구동되는 서비스에 연결할 수 있습니다. AWS PrivateLink AWS PrivateLink 사설 IP 주소를 사용하여 Amazon Elastic Compute Cloud (Amazon EC2) 및 Systems Manager API에 비공개로 액세스할 수 있는 기술입니다.

AWS PrivateLink 관리형 인스턴스, Systems Manager, Amazon EC2 간의 모든 네트워크 트래픽을 Amazon 네트워크로 제한합니다. 즉, 관리형 인스턴스는 인터넷에 액세스할 수 없습니다. 를 사용하는 경우 인터넷 게이트웨이 AWS PrivateLink, NAT 디바이스 또는 가상 프라이빗 게이트웨이가 필요하지 않습니다.

반드시 구성할 필요는 AWS PrivateLink 없지만 구성하는 것이 좋습니다. 및 VPC 엔드포인트에 대한 자세한 내용은 AWS PrivateLink 및 VPC 엔드포인트를 참조하십시오. AWS PrivateLink

참고

VPC 엔드포인트 사용의 대체 방법은 관리형 인스턴스에서 아웃바운드 인터넷 액세스를 허용하는 것입니다. 이 경우 관리형 인스턴스는 다음 엔드포인트에 대한 HTTPS(포트 443) 아웃바운드 트래픽도 허용해야 합니다.

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

  • ec2messages.region.amazonaws.com

SSM Agent는 클라우드의 Systems Manager 서비스에 대한 모든 연결을 시작합니다. 이러한 이유로 Systems Manager의 인스턴스에 대한 인바운드 트래픽을 허용하도록 방화벽을 구성할 필요가 없습니다.

이러한 엔드포인트 호출에 대한 자세한 내용은 참조: ec2messages, ssmmessages 및 기타 API 작업 섹션을 참조하세요.

Amazon VPC 정보

Amazon VPC (Virtual Private Cloud) 를 사용하여 논리적으로 격리된 자체 영역 AWS 클라우드, 즉 가상 사설 클라우드 (VPC) 에 해당하는 가상 네트워크를 정의할 수 있습니다. 인스턴스와 같은 AWS 리소스를 VPC에서 시작할 수 있습니다. VPC는 고객의 자체 데이터 센터에서 운영하는 기존 네트워크와 매우 유사하지만 AWS의 확장 가능한 인프라를 사용한다는 이점을 제공합니다. 해당 IP 주소 범위를 선택하고, 서브넷을 만든 후 라우팅 테이블, 네트워크 게이트웨이 및 보안 설정을 구성하여 VPC를 구성할 수 있습니다. VPC의 인스턴스를 인터넷에 연결합니다. VPC를 기업 데이터 센터에 연결하여 데이터 센터를 확장할 AWS 클라우드 수 있습니다. 각의 서브넷에서 리소스를 보호하기 위해 보안 그룹 및 네트워크 액세스 제어 목록을 포함한 다중 보안 계층을 사용할 수 있습니다. 자세한 내용은 Amazon VPC 사용 설명서를 참조하세요.

VPC 엔드포인트 제약 및 제한

Systems Manager에 대해 VPC 엔드포인트를 구성하기 전에 다음 제한 사항에 유의합니다.

교차 리전 요청

VPC 엔드포인트는 리전 간 요청을 지원하지 않습니다. 버킷과 동일한 곳에 엔드포인트를 생성해야 합니다. AWS 리전 Amazon S3 콘솔을 사용하거나 get-bucket-location명령을 사용하여 버킷의 위치를 찾을 수 있습니다. 리전별 Amazon S3 엔드포인트를 사용하여 버킷에 액세스하십시오(예: DOC-EXAMPLE-BUCKET.s3-us-west-2.amazonaws.com). Amazon S3의 리전별 엔드포인트에 대한 자세한 내용은Amazon Web Services 일반 참조의 Amazon S3 엔드포인트를 참조하세요. 를 사용하여 Amazon S3에 요청하는 경우, 기본 지역을 버킷과 동일한 지역으로 설정하거나 요청에 --region 파라미터를 사용하십시오. AWS CLI

VPC 피어링 연결

VPC 인터페이스 엔드포인트는 리전 내리전 간 VPC 피어링 연결을 통해 액세스할 수 있습니다. VPC 인터페이스 엔드포인트에 대한 VPC 피어링 연결 요청에 대한 자세한 내용은 Amazon Virtual Private Cloud 사용 설명서VPC 피어링 연결(할당량)을 참조하세요.

VPC 게이트웨이 엔드포인트 연결은 VPC 외부로 확장할 수 없습니다. VPC의 VPC 피어링 연결의 반대편에 있는 리소스는 게이트웨이 엔드포인트를 사용하여 게이트웨이 엔드포인트 서비스의 리소스와 통신할 수 없습니다. VPC 게이트웨이 엔드포인트에 대한 VPC 피어링 연결 요청에 대한 자세한 내용은 Amazon Virtual Private Cloud 사용 설명서VPC 엔드포인트(할당량)를 참조하세요.

수신 연결

VPC 종단점에 연결된 보안 그룹은 관리형 인스턴스의 프라이빗 서브넷에서 443 포트로 들어오는 연결을 허용해야 합니다. 수신 연결을 허용하지 않으면 관리형 인스턴스가 SSM 및 EC2 엔드포인트에 연결할 수 없습니다.

DNS 확인

사용자 지정 DNS 서버를 사용하는 경우 amazonaws.com 도메인에 대한 모든 쿼리의 조건부 전달자를 VPC의 Amazon DNS 서버에 추가해야 합니다.

S3 버킷

VPC 엔드포인트 정책이 최소한 다음 Amazon S3 버킷에 대해 액세스를 허용해야 합니다.

  • AWS 관리형 S3 버킷과 SSM Agent 통신에 열거된 S3 버킷

  • AWS 리전의 패치 기준 작업을 위해 Patch Manager가 사용하는 S3 버킷 이 버킷에는 패치 기준선 서비스가 가져와 인스턴스에서 실행하는 코드가 포함되어 있습니다. 각 AWS 리전 버킷에는 패치 기준 문서가 실행될 때 코드가 검색되는 고유한 패치 기준 작업 버킷이 있습니다. 이 코드를 다운로드할 수 없으면 패치 기준선 명령이 실패합니다.

    참고

    온프레미스 방화벽을 사용하고 Patch Manager를 사용하려는 경우 해당 방화벽에서 적절한 패치 기준 엔드포인트에 대한 액세스도 허용해야 합니다.

    의 버킷에 대한 액세스를 제공하려면 엔드포인트 정책에 다음 권한을 포함시키십시오 AWS 리전.

    arn:aws:s3:::patch-baseline-snapshot-region/*
arn:aws:s3:::aws-ssm-region/*

    지역은 AWS 리전 지원 기관의 식별자를 나타냅니다 (us-east-2예: 미국 동부 (오하이오) 지역의 경우. AWS Systems Manager 지원되는 리전 값 목록은 Amazon Web Services 일반 참조의 Systems Manager 서비스 엔드포인트에 있는 리전 열을 참조하세요.

    다음 예를 참조하세요.

    arn:aws:s3:::patch-baseline-snapshot-us-east-2/*
arn:aws:s3:::aws-ssm-us-east-2/*
    참고

    중동(바레인) 리전(me-south-1)에서 이러한 버킷이 다른 명명 규칙을 사용합니다. 이 AWS 리전 경우에만 다음 두 버킷을 대신 사용하십시오.

    • patch-baseline-snapshot-me-south-1-uduvl7q8

    • aws-patch-manager-me-south-1-a53fc9dce

아마존 CloudWatch 로그

인스턴스의 인터넷 액세스를 허용하지 않는 경우 Logs에 CloudWatch 로그를 보내는 기능을 사용하도록 Logs용 VPC 엔드포인트를 생성하십시오. CloudWatch CloudWatch 로그용 엔드포인트 생성에 대한 자세한 내용은 Amazon Logs 사용 설명서의 CloudWatch CloudWatch 로그용 VPC 엔드포인트 생성을 참조하십시오.

하이브리드 및 멀티클라우드 환경의 DNS

하이브리드 및 멀티클라우드 환경에서 AWS PrivateLink 엔드포인트와 작동하도록 DNS를 구성하는 방법에 대한 자세한 내용은 Amazon VPC 사용 설명서의 인터페이스 엔드포인트용 프라이빗 DNS를 참조하십시오. 자신의 DNS를 사용하는 경우에는 Route 53 해석기를 사용할 수 있습니다. 자세한 내용은 Amazon Route 53 개발자 안내서VPC와 네트워크 간 DNS 쿼리 해석을 참조하세요.

Systems Manager용 VPC 엔드포인트 생성

다음 정보를 사용하여 AWS Systems Manager에 대한 VPC 인터페이스 및 게이트웨이 엔드포인트를 생성합니다. 이 주제는 Amazon VPC 사용 설명서의 절차에 연결됩니다.

Systems Manager용 VPC 엔드포인트를 생성하려면

이 절차의 첫 번째 단계에서는 Systems Manager에 대해 3개의 필수 인터페이스 엔드포인트와 1개의 옵션 인터페이스 엔드포인트를 생성합니다. 처음 3개의 엔드포인트는 Systems Manager가 VPC에서 작동하는 데 필요합니다. 네 번째 엔드포인트인 com.amazonaws.region.ssmmessages는 Session Manager 기능을 사용하는 경우에만 필요합니다.

두 번째 단계에서는 Systems Manager가 Amazon S3에 액세스하는 데 필요한 게이트웨이 엔드포인트를 생성합니다.

참고

지역은 AWS 리전 지원 기관의 식별자를 나타냅니다 (us-east-2예: 미국 동부 (오하이오) 지역의 경우. AWS Systems Manager 지원되는 리전 값 목록은 Amazon Web Services 일반 참조의 Systems Manager 서비스 엔드포인트에 있는 리전 열을 참조하세요.

  1. 인터페이스 엔드포인트 생성의 단계에 따라 다음 인터페이스 엔드포인트를 생성합니다.

    • com.amazonaws.region.ssm: Systems Manager 서비스의 엔드포인트입니다.

    • com.amazonaws.region.ec2messages: Systems Manager는 이 엔드포인트를 사용하여 SSM Agent에서 Systems Manager 서비스를 호출합니다.

    • com.amazonaws.region.ec2: Systems Manager를 사용하여 VSS 지원 스냅샷을 만든 경우 EC2 서비스에 대한 엔드포인트가 있어야 합니다. EC2 엔드포인트가 정의되어 있지 않으면 연결된 Amazon EBS 볼륨을 표시하는 호출이 실패하고 이에 따라 Systems Manager 명령에 실패합니다.

    • com.amazonaws.region.ssmmessages: 이 엔드포인트는 Session Manager를 사용하여 보안 데이터 채널을 통해 인스턴스에 연결하는 경우에만 필요합니다. 자세한 내용은 AWS Systems Manager Session Manager참조: ec2messages, ssmmessages 및 기타 API 작업을(를) 참조하세요.

    • com.amazonaws.region.kms - 이 엔드포인트는 선택 사항입니다. 하지만 Session Manager 또는 Parameter Store 매개변수에 AWS Key Management Service (AWS KMS) 암호화를 사용하려는 경우에는 생성해도 됩니다.

    • com.amazonaws.region.logs - 이 엔드포인트는 선택 사항입니다. 하지만, Session ManagerRun Command, 또는 CloudWatch SSM Agent 로그에 Amazon Logs (CloudWatch Logs) 를 사용하려는 경우에는 생성할 수 있습니다.

  2. 게이트웨이 엔드포인트 생성의 단계에 따라 Amazon S3에 대한 다음 게이트웨이 엔드포인트를 생성합니다.

    • com.amazonaws.region.s3 - Systems Manager가 이 엔드포인트를 사용하여 SSM Agent를 업데이트하고 패치 작업을 수행할 수 있습니다. Systems Manager는 이 엔드포인트를 사용하여 S3 버킷 저장을 선택한 출력 로그 업로드, 버킷에 저장한 스크립트 또는 기타 파일 검색 등의 태스크를 수행합니다. 인스턴스와 연결된 보안 그룹이 아웃바운드 트래픽을 제한하는 경우 Amazon S3의 접두사 목록에 대한 트래픽을 허용하는 규칙을 추가해야 합니다. 자세한 내용은 AWS PrivateLink GuideModify your security group을 참조하세요.

    액세스할 수 SSM Agent 있어야 하는 AWS 관리형 S3 버킷에 대한 자세한 내용은 을 참조하십시오AWS 관리형 S3 버킷과 SSM Agent 통신. Systems Manager 작업에서 Virtual Private Cloud(VPC) 엔드포인트를 사용하는 경우 Systems Manager를 위한 Amazon EC2 인스턴스 프로파일 또는 하이브리드 및 멀티클라우드 환경의 비 EC2 관리형 노드를 위한 서비스 역할에 명시적 권한을 제공해야 합니다.

인터페이스 VPC 엔드포인트 정책 생성

다음을 지정할 수 있는 VPC 인터페이스 AWS Systems Manager 엔드포인트에 대한 정책을 생성할 수 있습니다.

  • 작업을 수행할 수 있는 보안 주체.

  • 수행할 수 있는 작업

  • 수행되는 작업을 가질 수 있는 리소스

자세한 내용은 Amazon VPC 사용 설명서VPC 엔드포인트를 통해 서비스에 대한 액세스 제어를 참조하세요.