기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS 관리형 S3 버킷과 SSM Agent 통신
다양한 Systems Manager 작업을 수행하는 과정에서 AWS Systems Manager Agent (SSM Agent) 는 여러 Amazon Simple Storage Service (Amazon S3) 버킷에 액세스합니다. 이러한 S3 버킷은 공개적으로 액세스할 수 있으며 기본적으로 SSM Agent는 HTTP 호출을 사용하여 연결합니다.
하지만 Systems Manager 운영에서 가상 사설 클라우드 (VPC) 엔드포인트를 사용하는 경우 Systems Manager의 경우 Amazon Elastic Compute Cloud (Amazon EC2) 인스턴스 프로필에서 명시적인 권한을 제공하거나 하이브리드 및 멀티클라우드 환경에서 비 EC2 시스템에 대한 서비스 역할을 제공해야 합니다. 그렇지 않을 경우, 리소스가 이러한 퍼블릭 버킷에 액세스할 수 없습니다.
VPC 엔드포인트를 사용할 때 관리형 노드에 이러한 버킷에 대한 액세스 권한을 부여하려면 사용자 정의 Amazon S3 권한 정책을 생성한 다음에 인스턴스 프로파일(EC2 인스턴스의 경우) 또는 서비스 역할(비 EC2 관리형 노드의 경우)에 이를 연결합니다.
Systems Manager 작업에서 Virtual Private Cloud(VPC) 엔드포인트를 사용하는 방법에 대한 자세한 내용은 VPC 엔드포인트 생성을 참조하세요.
참고
이러한 권한은 에 필요한 관리형 버킷에 대한 액세스만 제공합니다. AWS SSM Agent 다른 Amazon S3 작업에 필요한 권한은 제공하지 않습니다. 또한 자체 S3 버킷에 대해서도 권한을 제공하지 않습니다.
자세한 정보는 다음 주제를 참조하십시오.
필요한 버킷 권한
다음 표에서는 SSM Agent가 Systems Manager 작업을 위해 액세스해야 할 수 있는 각 S3 버킷에 대해 설명합니다.
참고
지역은 AWS 리전
지원 기관의 식별자를 나타냅니다 (us-east-2예: 미국 동부 (오하이오) 지역의 경우. AWS Systems Manager지원되는 리전 값 목록은 Amazon Web Services 일반 참조의 Systems Manager 서비스 엔드포인트에 있는 리전 열을 참조하세요.
SSM Agent에 필요한 Amazon S3 권한
| S3 버킷 ARN | 설명 |
|---|---|
|
|
Windows Server 운영 체제만 지원되는 일부 SSM 문서와 교차 플랫폼 지원용 문서(예: |
|
|
SSM Agent 설치를 업데이트하는 데 필요합니다. 이 버킷에는 SSM Agent 설치 패키지와 AWS-UpdateSSMAgent 문서 및 플러그인에서 참조되는 설치 매니페스트가 포함되어 있습니다. 이러한 권한이 제공되지 않으면 SSM Agent에서는 HTTP 호출을 통해 업데이트를 다운로드합니다. |
|
|
2.2.45.0 이전의 SSM Agent 버전을 사용하여 SSM 문서 |
|
|
버전 2.2.45.0 이후의 SSM Agent에 사용되는 배포 서비스에 대한 액세스를 제공합니다. 이 서비스는 이 허가는 아프리카 (케이프타운) 지역 (af-south-1) 및 유럽 (밀라노) 지역 (eu-south-1) 을 AWS 리전 제외한 모든 지역에 필요합니다. |
|
|
버전 2.2.45.0 이후의 SSM Agent에 사용되는 배포 서비스에 대한 액세스를 제공합니다. 이 서비스는 SSM 문서 이 권한은 아프리카(케이프타운) 리전(af-south-1)과 유럽(밀라노) 리전(eu-south-1)에만 필요합니다. |
|
|
가 소유한 패키지Distributor, 기능이 들어 있는 S3 버킷에 대한 액세스를 제공합니다. AWS Systems Manager AWS |
|
|
패치 기준 스냅샷이 포함된 S3 버킷에 대한 액세스를 제공합니다. 다음 SSM 문서를 사용하는 경우 필요합니다.
참고중동(바레인) 리전(me-south-1)에서만 이 S3 버킷이 다른 명명 규칙을 사용합니다. 이 AWS 리전 의 경우에만 다음 버킷을 대신 사용합니다.
아프리카(케이프타운) 리전(me-south-1)에서만 이 S3 버킷이 다른 명명 규칙을 사용합니다. 이 AWS 리전 의 경우에만 다음 버킷을 대신 사용합니다.
|
|
Linux 및 Windows Server 관리형 노드용: macOS에 대한 Amazon EC2 인스턴스의 경우: |
특정 Systems Manager 문서(SSM 문서)에 사용하는 데 필요한 모듈을 포함하여 S3 버킷에 대한 액세스를 제공합니다. 예:
예외일부 S3 버킷 이름은 ARN에서 볼 수 있듯이 확장된 이름 지정 규칙을 AWS 리전 사용합니다. 이러한 리전의 경우 다음 ARN을 대신 사용합니다.
SSM 문서다음은 이러한 버킷에 저장된 일반적으로 사용되는 몇 가지 SSM 문서입니다.
|
예
다음 예에서는 미국 동부(오하이오) 리전(us-east-2)에서 Systems Manager 작업에 필요한 S3 버킷에 대한 액세스를 제공하는 방법을 보여줍니다. 대부분의 경우 VPC 엔드포인트를 사용할 때만 인스턴스 프로파일 또는 서비스 역할에서 이러한 권한을 명시적으로 제공해야 합니다.
중요
이 정책에서는 특정 리전 대신에 와일드카드 문자(*)를 사용하지 않는 것이 좋습니다. 예를 들어 arn:aws:s3:::aws-ssm-*/*를 사용하지 말고 arn:aws:s3:::aws-ssm-us-east-2/*를 사용합니다. 와일드카드를 사용하면 액세스 권한을 부여하도록 의도하지 않은 S3 버킷에 액세스할 수 있습니다. 둘 이상의 리전에 대해 인스턴스 프로파일을 사용하려는 경우, 각 리전에 대해 첫 번째 Statement 블록을 반복하는 것이 좋습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::aws-windows-downloads-us-east-2/*", "arn:aws:s3:::amazon-ssm-us-east-2/*", "arn:aws:s3:::amazon-ssm-packages-us-east-2/*", "arn:aws:s3:::us-east-2-birdwatcher-prod/*", "arn:aws:s3:::aws-ssm-document-attachments-us-east-2/*", "arn:aws:s3:::patch-baseline-snapshot-us-east-2/*", "arn:aws:s3:::aws-ssm-us-east-2/*", "arn:aws:s3:::aws-patchmanager-macos-us-east-2/*" ] } ] }
