4단계: 생성 IAM 인스턴스 프로필 시스템 관리자 - AWS 시스템 관리자

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

4단계: 생성 IAM 인스턴스 프로필 시스템 관리자

기본적으로 AWS 시스템 관리자 은(는) 인스턴스 에 대한 작업을 수행할 권한이 없습니다. 다음을 사용하여 액세스 권한을 부여해야 합니다. AWS Identity and Access Management (IAM) 인스턴스 프로필. 인스턴스 프로필은 IAM 역할 정보를 Amazon Elastic Compute Cloud (Amazon EC2) 인스턴스 시작 시. 다음에 대한 인스턴스 프로필을 작성할 수 있습니다. 시스템 관리자 부착하거나 자세히 IAM 새 역할 또는 역할에 필요한 권한을 정의하는 정책 이미 이(가) 생성되었습니다.

참고

다음을 사용할 수 있습니다. 시스템 관리자 빠른 설정 - 모든 인스턴스가 AWS 계정 에 있습니다. 빠른 설정은 또한 IAM 서비스 역할(또는 가정 역할)로, 이를 통해 시스템 관리자 안전하게 명령을 실행할 수 있습니다. 대신 귀하의 인스턴스 빠른 설정을 사용하면 이 단계를 건너뛸 수 있습니다(단계 4) 및 5단계. 자세한 내용은 을 참조하십시오. AWS 시스템 관리자 빠른 설정.

다음 세부 정보에서 IAM 인스턴스 프로필:

  • 하이브리드 환경에서 서버 또는 가상 머신(VM)을 구성하는 경우 환경 시스템 관리자, 해당 에 대한 인스턴스 프로필을 작성할 필요가 없습니다. 대신 서버 및 VM을 구성하여 IAM 서비스 역할. 자세한 내용은 을 참조하십시오. 하이브리드 환경을 위한 IAM 서비스 역할 생성.

  • 만일 IAM 인스턴스 프로필, 이(가) 완료되기까지 시간이 걸릴 수 있습니다. 인스턴스 자격 증명을 사용하여 새로 고칩니다. SSM 에이전트 이(가) 요청을 처리하지 않습니다. 발생합니다. 새로 고침 프로세스의 속도를 높이려면 SSM 에이전트 또는 재시작 인스턴스.

에 대한 정책 정보 시스템 관리자 인스턴스 프로필

이 섹션에서는 에 대해 EC2 인스턴스 프로필에 추가할 수 있는 정책에 대해 설명합니다. 시스템 관리자. 인스턴스와 의 통신 권한을 제공하려면 시스템 관리자 API, 시스템 요구 사항을 고려하여 사용자 지정 정책을 생성하고 보안 요건. 그러나 시작점으로 하나 이상의 다음 정책에 따라 시스템 관리자 를 클릭하여 인스턴스 와 상호 작용합니다. 첫 번째 정책은 아마존SSM관리인스턴스코어, 인스턴스가 AWS 시스템 관리자 서비스 핵심 기능. 귀하의 하나 이상의 다른 작업 계획에 표시된 권한이 3가지 정책.

정책: 아마존SSM관리인스턴스코어

필수 권한.

이 AWS 관리되는 정책을 통해 인스턴스가 시스템 관리자 서비스 핵심 기능.

정책: S3 버킷 액세스를 위한 사용자 지정 정책

다음 경우 중 하나에서 필요한 권한:

  • 사례 1: VPC를 사용하고 있습니다. 지원되는 AWS 서비스에 VPC를 비공개로 연결하는 엔드포인트 및 PrivateLink 에서 제공하는 VPC 엔드포인트 서비스.

    SSM 에이전트 Amazon 소프트웨어는 인스턴스 및 수행 시스템 관리자 작업. 이 에이전트는 액세스가 필요합니다. 특정 Amazon 소유 S3 버킷에 연결할 수 있습니다. 이 버킷들은 공개적으로 접근 가능.

    그러나 개인 VPC 끝점 환경에서는 다음 버킷에 대한 액세스를 명시적으로 제공합니다.

    arn:aws:s3:::patch-baseline-snapshot-region/* arn:aws:s3:::aws-ssm-region/*

    자세한 내용은 을 참조하십시오. 6단계: (선택 사항) 가상 프라이빗 클라우드 생성 엔드포인트, 최소 S3 버킷 권한 정보 에 대해 SSM 에이전트, 및 부사장 평가변수 에서 Amazon VPC 사용 설명서.

  • 사례 2: S3을 사용할 계획이다 버킷을 만들 수 있습니다 시스템 관리자 작업.

    에 대한 EC2 인스턴스 프로필 시스템 관리자 S3에 대한 액세스 권한을 부여해야 합니다. 다음과 같은 작업을 위해 소유한 버킷:

    • S3 버킷에 저장하여 에 사용할 스크립트에 액세스하려면 를 실행할 명령.

    • 의 전체 출력을 저장하려면 Run Command 명령 또는 Session Manager 세션.

    • 패치할 때 사용할 사용자 지정 패치 목록에 액세스하려면 인스턴스.

참고

출력 로그 데이터를 S3 버킷에 저장하는 것은 선택 사항이지만 처음 시작할 때 설정하는 것이 좋습니다. 시스템 관리자 구성 을 참조하십시오. 자세한 내용은 을 참조하십시오. 생성 버킷 에서 Amazon Simple Storage Service 시작 안내서.

정책: AmazonSM디렉토리서비스액세스

에 대해 EC2 인스턴스에 참여할 계획인 경우에만 필요합니다. Windows Server ~ Microsoft AD 디렉터리.

이 AWS 관리 정책을 통해 SSM 에이전트 액세스 AWS Directory Service 귀하의 를 대신하여 관리되는 인스턴스 에 의해 도메인에 가입하도록 요청을 보냅니다. 추가 정보 정보, 참조 Windows EC2 인스턴스에 원활하게 연결 에서 AWS Directory Service Administration Guide.

정책: 클라우드워치에이전트서버정책

을 설치하고 실행할 경우에만 필요합니다. CloudWatch 에이전트 귀하의 인스턴스에서 메트릭 및 로그 데이터를 읽고 Amazon CloudWatch. 이를 통해 문제를 모니터링하고 분석하고 신속하게 대응할 수 있습니다. 또는 AWS 리소스의 변경 사항.

귀하의 인스턴스 프로필은 귀하가 CloudWatch 기능(예: CloudWatch 이벤트 또는 CloudWatch Logs. (또한 예를 들어 쓰기 액세스를 특정 CloudWatch Logs 로그 스트림).

참고

사용 CloudWatch 기능은 선택 사항이지만 설정하도록 권장합니다. 시스템 관리자 구성 프로세스를 시작할 때 을(를) 사용하기로 결정했습니다. 자세한 내용은 Amazon CloudWatch Events 사용 설명서Amazon CloudWatch Logs User Guide.

추가 인스턴스 프로파일에 대한 권한이 있는 인스턴스 프로파일을 작성하려면 시스템 관리자 다음 리소스를 참조하십시오.

작업 1: (선택 사항) S3 버킷 액세스에 대한 사용자 지정 정책

다음에 대한 사용자 지정 정책 만들기 Amazon S3 VPC를 사용하는 경우에만 액세스가 필요합니다. 엔드포인트를 사용하거나 자신의 S3 버킷을 시스템 관리자 작업.

에 대한 자세한 내용은 AWS 관리형 S3 버킷을 사용하여 아래 정책, 참조 최소 S3 버킷 권한 정보 에 대해 SSM 에이전트.

  1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 다음을 선택합니다. 정책, 그리고 선택 정책 생성.

  3. 선택 제이슨 기본 텍스트를 대체합니다. 다음과 같이 합니다.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::aws-ssm-region/*", "arn:aws:s3:::aws-windows-downloads-region/*", "arn:aws:s3:::amazon-ssm-region/*", "arn:aws:s3:::amazon-ssm-packages-region/*", "arn:aws:s3:::region-birdwatcher-prod/*", "arn:aws:s3:::aws-ssm-distributor-file-region/*", "arn:aws:s3:::aws-ssm-document-attachments-region/*", "arn:aws:s3:::patch-baseline-snapshot-region/*" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:PutObjectAcl", "s3:GetEncryptionConfiguration" ], "Resource": [ "arn:aws:s3:::my-bucket-name/*", "arn:aws:s3:::my-bucket-name" ] } ] }

    1 첫 번째 Statement 요소는 VPC를 사용하는 경우에만 필요합니다. 끝점.

    2 두 번째 Statement 요소는 S3을 사용하는 경우에만 필요합니다. 사용자가 생성한 버킷을 시스템 관리자 작업.

    3PutObjectAcl 액세스 제어 목록 권한이 필요합니다. S3 버킷에 대한 계정 간 액세스를 지원할 계획인 경우에만 계정.

    4GetEncryptionConfiguration S3인 경우 요소가 필요합니다. 버킷이 암호화를 사용하도록 구성되었습니다.

    5 S3 버킷이 암호화를 사용하도록 구성된 다음 S3 버킷 루트( 예: arn:aws:s3:::my-bucket-name)은(는) 이어야 합니다. 에 나열되어 있습니다. 자원 섹션. IAM 사용자, 그룹, 또는 역할은 루트 버킷 에 대한 액세스 권한으로 구성되어야 합니다.

  4. 작업에서 VPC 끝점을 사용하는 경우 다음을 수행하십시오.

    첫 번째 Statement 요소, 교체 region ID가 인 자리 표시자 AWS 이 정책은 에서 사용될 지역입니다. 예를 들어, us-east-2 에 대해 미국 동부(오하이오) 리전. 지원되는 region 값, 참조 지역Amazon Web Services 일반 참조시스템 관리자 서비스 엔드포인트.

    중요

    다음 대신 와일드카드 문자(*)를 사용하지 않는 것이 좋습니다. 이 정책의 특정 지역. 예를 들어, arn:aws:s3:::aws-ssm-us-east-2/* 사용하지 마십시오. arn:aws:s3:::aws-ssm-*/*. 와일드카드를 사용하면 에 대한 액세스를 부여하지 않을 S3 버킷에 대한 액세스. 만약 둘 이상의 지역에 대해 인스턴스 프로필을 사용하려는 경우 상기 제1 Statement 각 요소에 대한 요소 지역.

    -또는-

    작업에서 VPC 끝점을 사용하지 않는 경우 첫 번째 Statement 요소.

  5. S3 버킷을 사용하는 경우 시스템 관리자 작업을 수행할 때 다음:

    두 번째 Statement 요소, 교체 my-bucket-name S3 버킷의 이름을 사용하여 계정 에서 확인할 수 있습니다. 이 버킷은 시스템 관리자 작업. 그것은 은 버킷의 개체에 대한 권한을 제공합니다. "arn:aws:s3:::my-bucket-name/*" 리소스로 설정합니다. 추가 정보 버킷 또는 버킷의 개체에 대한 권한 제공에 대한 정보, 주제 보기 지정 정책 내 권한 에서 Amazon Simple Storage Service 개발자 가이드 및 AWS 블로그 게시물 IAM 정책 및 버킷 정책 및 ACL! 아, 나! (액세스 제어 S3 리소스로).

    참고

    하나 이상의 버킷을 사용하는 경우, 각각에 대해 ARN을 제공하십시오. 대상 예: 버킷에 대한 권한:

    "Resource": [ "arn:aws:s3:::my-first-bucket-name/*", "arn:aws:s3:::my-second-bucket-name/*" ]

    -또는-

    S3 버킷을 사용하지 않는 경우 시스템 관리자 운영, 두 번째 Statement 요소.

  6. 선택 정책 검토.

  7. 대상 이름, 이 정책을 식별할 이름을 입력하십시오. (으)로 SSMInstanceProfileS3Policy 또는 다른 이름으로 을(를) 선호합니다.

  8. 선택 정책 생성.

작업 2: 에 권한 추가 시스템 관리자 인스턴스 프로파일(콘솔)

인스턴스 프로필에 대한 새 역할을 생성하는지 또는 필요한 권한을 기존 역할에 추가하고 다음 중 하나를 사용합니다. 절차.

인스턴스를 작성하려면 프로필 시스템 관리자 관리되는 인스턴스(콘솔)

  1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 다음을 선택합니다. 역할, 그리고 선택 역할 생성.

  3. 미만 신뢰할 수 있는 개체 유형 선택, 선택 AWS 서비스.

  4. 바로 아래 이를 사용할 서비스를 선택하십시오. 역할, 선택 EC2(유럽 약전 2)을 클릭한 다음, 다음: 권한.

    
                                IAM 콘솔에서 EC2 서비스 선택
  5. 에서 권한 정책 첨부 페이지에서 다음:

    • 사용 방법 검색 필드를 클릭하여 아마존SSM관리인스턴스코어. 선택 이름 옆의 상자를 클릭합니다().

      
                                        IAM 콘솔에서 EC2 서비스 선택

      콘솔은 사용자가 기타 정책.

    • 이전에 사용자 지정 S3 버킷 정책을 만든 경우 절차, 작업 1: (선택 사항) S3 버킷 액세스에 대한 사용자 지정 정책, 검색 을 클릭하고 이름 옆에 있는 상자를 선택합니다.

    • 관리 대상 Active Directory에 인스턴스를 조인할 계획인 경우 에 의해 AWS Directory Service, 검색 AmazonSM디렉토리서비스액세스 및 이름 옆에 있는 상자를 선택합니다.

    • 사용할 계획인 경우 CloudWatch 이벤트 또는 CloudWatch Logs 관리 또는 모니터링 인스턴스, 검색 클라우드워치에이전트서버정책 및 선택 이름 옆의 상자를 클릭합니다().

  6. 선택 다음: 태그.

  7. (선택 사항) 하나 이상의 태그 키 값 쌍을 추가하여 이 역할에 대한 액세스를 제어한 다음 다음: 검토.

  8. 대상 역할 이름, 새 인스턴스의 이름을 입력하십시오. 프로필(예: SSMInstanceProfile 또는 다른 을 선택합니다.

    참고

    역할 이름을 메모합니다. 이 역할을 선택할 때는 를 사용하여 관리할 새 인스턴스 작성 시스템 관리자.

  9. (선택 사항) 역할 설명, 입력 이 인스턴스 프로필 에 대한 설명.

  10. 선택 역할 생성. 시스템이 다음 페이지로 돌아갑니다. 역할 페이지를 참조하십시오.

인스턴스 프로필을 추가하려면 권한 시스템 관리자 기존 역할로 이동(콘솔)

  1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 다음을 선택합니다. 역할, 그리고 인스턴스 프로필과 연결할 기존 역할을 선택합니다. 에 대해 시스템 관리자 작업.

  3. 에서 권한 탭, 선택 첨부 정책.

  4. 에서 권한 정책 첨부 페이지에서 다음:

    • 필수 항목 옆의 상자를 아마존SSM관리인스턴스코어 관리됨 정책.

    • 사용자 지정 S3 버킷 정책을 만든 경우, 상자를 선택합니다. 을 클릭합니다(). 사용자 지정 S3 버킷에 대한 정보는 정책을 보려면 다음을 참조하십시오. 작업 1: (선택 사항) S3 버킷 액세스에 대한 사용자 지정 정책.

    • 관리 대상 Active Directory에 인스턴스를 조인할 계획인 경우 에 의해 AWS Directory Service, 다음 옆에 있는 상자를 선택하십시오. AmazonSM디렉토리서비스액세스.

    • 사용할 계획인 경우 CloudWatch 이벤트 또는 CloudWatch Logs 관리 또는 모니터링 인스턴스, 옆에 있는 상자를 선택하십시오. 클라우드워치에이전트서버정책.

  5. 선택 정책 첨부.

신뢰할 수 있는 엔티티를 포함하도록 역할을 업데이트하는 방법에 대한 자세한 내용은 액세스 제한, 참조 역할 수정 에서 IAM 사용 설명서.

계속 5단계: 첨부 IAM 인스턴스 프로필 EC2 인스턴스로.