루트 레벨에 대한 액세스 제한 명령 통과 SSM 에이전트 - AWS 시스템 관리자

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

루트 레벨에 대한 액세스 제한 명령 통과 SSM 에이전트

SSM 에이전트 루트 권한(Linux) 또는 시스템 권한을 사용하여 EC2 인스턴스에서 실행 (Windows Server). 이러한 액세스 권한은 가장 높은 수준의 시스템 액세스 권한이므로 명령을 보낼 수 있는 권한이 부여된 엔터티 SSM 에이전트 루트 또는 시스템 있음 권한. (AWS에서 작업을 수행하고 리소스를 액세스할 수 있는 신뢰할 수 있는 AWS는 보안 주체라고 합니다. 보안 주체는 AWS 계정 루트 사용자, IAM 사용자, 또는 역할).

이 수준의 액세스는 보안 책임자가 승인된 시스템 관리자 명령 SSM 에이전트를 사용하지만, 보안 주체가 익스플로잇을 통해 악성 코드를 실행할 수도 있습니다. 잠재적 취약성이 SSM 에이전트.

특히, 명령을 실행할 수 있는 권한 SendCommandStartSession 주의 깊게 제한해야 합니다. 좋은 첫 단계는 각 명령에 대한 권한을 사용하여 조직에서 보안 주체를 선택할 수 있습니다. 그러나, 우리는 보안 태세를 강화하는 것이 좋습니다. 프린서펄은 에서 이러한 명령을 실행할 수 있습니다. 이 작업은 IAM 사용자 정책이 할당됨 을(를) 본사 에 연결합니다. 에서 IAM 정책을 적용하려면 에서 특정 으로 태그된 인스턴스에서만 명령을 실행합니다. Amazon EC2 태그, 또는 EC2 태그의 조합.

예를 들어, 2단의 인스턴스가 있다고 가정해 보겠습니다. 하나는 테스트용이고 하나는 생산. 에서 IAM 하급 엔지니어에게 적용되는 정책입니다. 다음 태그가 지정된 인스턴스에서만 명령 실행 ssm:resourceTag/testServer. 하지만 모든 사례에 액세스할 수 있어야 하는 소규모 수석 엔지니어 그룹에게 양쪽으로 태그된 인스턴스에 액세스 권한 부여 ssm:resourceTag/testServerssm:resourceTag/productionServer.

하위 엔지니어가 프로덕션에서 명령을 실행하려고 시도하는 경우 이 방법을 사용합니다. 인스턴스가 할당되어 액세스가 거부됩니다. IAM 정책이 다음 태그가 지정된 인스턴스에 대한 명시적 액세스 제공 ssm:resourceTag/productionServer.

자세한 내용과 예제는 다음 항목을 참조하십시오.