AWS 관리형 S3 버킷과 SSM Agent 통신 - AWS Systems Manager

AWS 관리형 S3 버킷과 SSM Agent 통신

다양한 Systems Manager 작업을 수행하는 과정에서 AWS Systems Manager Agent(SSM Agent)는 여러 Amazon Simple Storage Service(Amazon S3) 버킷에 액세스합니다. 이러한 S3 버킷은 공개적으로 액세스할 수 있으며 기본적으로 SSM Agent는 HTTP 호출을 사용하여 연결합니다.

그러나 Systems Manager 작업에서 Virtual Private Cloud(VPC) 엔드포인트를 사용하는 경우 Systems Manager를 위한 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 프로파일 또는 하이브리드 환경의 인스턴스를 위한 서비스 역할에 명시적 권한을 제공해야 합니다. 그렇지 않을 경우, 리소스가 이러한 퍼블릭 버킷에 액세스할 수 없습니다.

VPC 엔드포인트를 사용할 때 관리형 노드에 이러한 버킷에 대한 액세스 권한을 부여하려면 사용자 정의 Amazon S3 권한 정책을 생성한 다음 인스턴스 프로파일(EC2 인스턴스의 경우) 또는 하이브리드 환경의 서비스 역할(AWS IoT Greengrass 코어 디바이스 및 온프레미스 서버, 엣지 디바이스, 및 가상 머신의 경우)에 이를 연결합니다.

참고

이러한 권한은 SSM Agent에 필요한 AWS 관리형 버킷에 대한 액세스만 제공합니다. 다른 Amazon S3 작업에 필요한 권한은 제공하지 않습니다. 또한 자체 S3 버킷에 대해서도 권한을 제공하지 않습니다.

자세한 내용은 다음 주제를 참조하세요.

필요한 버킷 권한

다음 표에서는 SSM Agent가 Systems Manager 작업을 위해 액세스해야 할 수 있는 각 S3 버킷에 대해 설명합니다.

참고

리전은 미국 동부(오하이오) 리전의 us-east-2 같이 AWS Systems Manager가 지원하는 AWS 리전의 식별자를 나타냅니다. 지원되는 리전 값 목록은 Amazon Web Services General ReferenceSystems Manager service endpoints에 있는 Region 열을 참조하세요.

SSM Agent에 필요한 Amazon S3 권한

S3 버킷 ARN 설명

arn:aws:s3:::aws-windows-downloads-region/*

Windows 운영 체제만 지원하는 일부 SSM 문서에 필요합니다.

arn:aws:s3:::amazon-ssm-region/*

SSM Agent 설치를 업데이트하는 데 필요합니다. 이 버킷에는 SSM Agent 설치 패키지와 AWS-UpdateSSMAgent 문서 및 플러그인에서 참조되는 설치 매니페스트가 포함되어 있습니다. 이러한 권한이 제공되지 않으면 SSM Agent에서는 HTTP 호출을 통해 업데이트를 다운로드합니다.

arn:aws:s3:::amazon-ssm-packages-region/*

2.2.45.0 이전의 SSM Agent 버전을 사용하여 SSM 문서 AWS-ConfigureAWSPackage를 실행하는 데 필요합니다.

arn:aws:s3:::region-birdwatcher-prod/*

버전 2.2.45.0 이후의 SSM Agent에 사용되는 배포 서비스에 대한 액세스를 제공합니다. 이 서비스는 AWS-ConfigureAWSPackage 문서를 실행하는 데 사용합니다.

이 권한은 아프리카(케이프타운) 리전(af-south-1)과 유럽(밀라노) 리전(eu-south-1)을 제외한 모든 AWS 리전에 필요합니다.

arn:aws:s3:::aws-ssm-distributor-file-region/*

버전 2.2.45.0 이후의 SSM Agent에 사용되는 배포 서비스에 대한 액세스를 제공합니다. 이 서비스는 SSM 문서 AWS-ConfigureAWSPackage를 실행하는 데 사용됩니다.

이 권한은 아프리카(케이프타운) 리전(af-south-1)과 유럽(밀라노) 리전(eu-south-1)에만 필요합니다.

arn:aws:s3:::aws-ssm-document-attachments-region/*

AWS에서 소유하는 AWS Systems Manager의 기능인 Distributor에 대한 패키지가 포함된 S3 버킷에 대한 액세스를 제공합니다.

arn:aws:s3:::patch-baseline-snapshot-region/*

패치 기준 스냅샷이 포함된 S3 버킷에 대한 액세스를 제공합니다. 다음 SSM 문서를 사용하는 경우 필요합니다.

  • AWS-RunPatchBaseline

  • AWS-RunPatchBaselineAssociation

  • AWS-RunPatchBaselineWithHooks

  • AWS-ApplyPatchBaseline(레거시 SSM 문서)

참고

중동(바레인) 리전(me-south-1)에서만 이 S3 버킷이 다른 명명 규칙을 사용합니다. 이 AWS 리전의 경우에만 다음 버킷을 대신 사용합니다.

  • patch-baseline-snapshot-me-south-1-uduvl7q8

아프리카(케이프타운) 리전(me-south-1)에서만 이 S3 버킷이 다른 명명 규칙을 사용합니다. 이 AWS 리전의 경우에만 다음 버킷을 대신 사용합니다.

  • patch-baseline-snapshot-af-south-1-tbxdb5b9

Linux 및 Windows Server 관리형 노드용: arn:aws:s3:::aws-ssm-region/*

macOS에 대한 Amazon EC2 인스턴스의 경우: arn:aws:s3:::aws-patchmanager-macos-region/*

특정 Systems Manager 문서(SSM 문서)에 사용하는 데 필요한 모듈을 포함하여 S3 버킷에 대한 액세스를 제공합니다. 예:

  • arn:aws:s3:::aws-ssm-us-east-2/*

  • aws-patchmanager-macos-us-east-2/*

예외

몇 개의 AWS 리전에 있는 S3 버킷 이름은 ARN에 표시된 대로 확장된 명명 규칙을 사용합니다. 이러한 리전의 경우 다음 ARN을 대신 사용합니다.

  • 중동(바레인) 리전(me-south-1): aws-patch-manager-me-south-1-a53fc9dce

  • 아프리카(케이프타운) 리전(af-south-1): aws-patch-manager-af-south-1-bdd5f65a9

  • 유럽(밀라노) 리전(eu-south-1): aws-patch-manager-eu-south-1-c52f3f594

  • 아시아 태평양(오사카) 리전(ap-northeast-3): aws-patch-manager-ap-northeast-3-67373598a

SSM 문서

다음은 이러한 버킷에 저장된 일반적으로 사용되는 몇 가지 SSM 문서입니다.

arn:aws:s3:::aws-ssm-region/에서:

  • AWS-RunPatchBaseline

  • AWS-RunPatchBaselineAssociation

  • AWS-RunPatchBaselineWithHooks

  • AWS-InstanceRebootWithHooks

  • AWS-ConfigureWindowsUpdate

  • AWS-FindWindowsUpdates

  • AWS-PatchAsgInstance

  • AWS-PatchInstanceWithRollback

  • AWS-UpdateSSMAgent

  • AWS-UpdateEC2Config

arn:aws:s3:::aws-patchmanager-macos-region/에서:

  • AWS-RunPatchBaseline

  • AWS-RunPatchBaselineAssociation

  • AWS-RunPatchBaselineWithHooks

  • AWS-InstanceRebootWithHooks

  • AWS-PatchAsgInstance

  • AWS-PatchInstanceWithRollback

다음 예에서는 미국 동부(오하이오) 리전(us-east-2)에서 Systems Manager 작업에 필요한 S3 버킷에 대한 액세스를 제공하는 방법을 보여줍니다. 대부분의 경우 VPC 엔드포인트를 사용할 때만 인스턴스 프로파일 또는 서비스 역할에서 이러한 권한을 명시적으로 제공해야 합니다.

중요

이 정책에서는 특정 리전 대신에 와일드카드 문자(*)를 사용하지 않는 것이 좋습니다. 예를 들어 arn:aws:s3:::aws-ssm-*/*를 사용하지 말고 arn:aws:s3:::aws-ssm-us-east-2/*를 사용합니다. 와일드카드를 사용하면 액세스 권한을 부여하도록 의도하지 않은 S3 버킷에 액세스할 수 있습니다. 둘 이상의 리전에 대해 인스턴스 프로파일을 사용하려는 경우, 각 리전에 대해 첫 번째 Statement 블록을 반복하는 것이 좋습니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::aws-windows-downloads-us-east-2/*", "arn:aws:s3:::amazon-ssm-us-east-2/*", "arn:aws:s3:::amazon-ssm-packages-us-east-2/*", "arn:aws:s3:::us-east-2-birdwatcher-prod/*", "arn:aws:s3:::aws-ssm-document-attachments-us-east-2/*", "arn:aws:s3:::patch-baseline-snapshot-us-east-2/*", "arn:aws:s3:::aws-ssm-us-east-2/*", "arn:aws:s3:::aws-patchmanager-macos-us-east-2/*" ] } ] }