AWS Systems Manager Inventory가 Amazon Athena와 통합되어 여러 AWS 리전 및 AWS 계정에서 인벤터리 데이터를 쿼리하는 데 도움이 됩니다. Athena 통합은 리소스 데이터 동기화를 사용하므로 AWS Systems Manager 콘솔의 세부 정보 보기 페이지에서 모든 관리형 노드의 인벤토리 데이터를 볼 수 있습니다.
중요
이 기능은 AWS Glue를 사용하여 Amazon Simple Storage Service(Amazon S3) 버킷의 데이터를 크롤링하고 Amazon Athena를 사용하여 데이터를 쿼리합니다. 탐색하는 데이터의 양에 다라 이러한 서비스 사용에 대한 비용이 청구될 수 있습니다. AWS Glue는 시간당 요금제이며, 크롤러(데이터 검색) 및 ETL 작업(데이터 처리 및 로드)의 경우 초 단위로 비용이 청구됩니다. Athena에서는 각 쿼리가 검사한 데이터의 양을 기준으로 요금이 청구됩니다. Systems Manager Inventory와 Amazon Athena의 통합을 사용하기 전에 이러한 서비스에 대한 요금 자침을 확인하는 것이 좋습니다. 자세한 내용은 Amazon Athena 요금
Amazon Athena를 사용할 수 있는 모든 AWS 리전의 세부 정보 보기(Detailed View) 페이지에서 인벤토리 데이터를 볼 수 있습니다. 지원되는 리전 목록은 Amazon Web Services 일반 참조의 Amazon Athena 서비스 엔드포인트를 참조하세요.
시작하기 전 준비 사항
Athena 통합은 리소스 데이터 동기화를 사용합니다. 이 기능을 사용하려면 리소스 데이터 동기화를 설정 및 구성해야 합니다. 자세한 내용은 연습: 리소스 데이터 동기화를 사용하여 인벤토리 데이터 집계 단원을 참조하십시오.
또한 세부 정보 보기(Detailed View) 페이지에 리소스 데이터 동기화에서 사용하는 중앙 Amazon S3 버킷의 소유자에 대한 인벤토리 데이터가 표시됩니다. 중앙 Amazon S3 버킷의 소유자가 아닌 경우에는 세부 정보 보기(Detailed View) 페이지에서 인벤토리 데이터가 표시되지 않습니다.
액세스 구성
Systems Manager 콘솔의 세부 정보 보기 페이지에서 여러 계정 및 리전의 데이터를 쿼리하고 보려면 먼저 데이터를 볼 수 있는 권한이 있는 IAM 엔터티를 구성해야 합니다.
인벤토리 데이터가 AWS Key Management Service(AWS KMS) 암호화를 사용하는 Amazon S3 버킷에 저장된 경우 AWS KMS 암호화를 위해 IAM 엔터티와 Amazon-GlueServiceRoleForSSM 서비스 역할 또한 구성해야 합니다.
세부 정보 보기 페이지에 액세스하도록 IAM 엔터티 구성
다음은 상세 보기 페이지에서 인벤토리 데이터를 보는 데 필요한 최소 권한에 대한 설명입니다.
AWSQuicksightAthenaAccess 관리형 정책
다음 PassRole 및 추가 필수 권한 블록
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowGlue",
"Effect": "Allow",
"Action": [
"glue:GetCrawler",
"glue:GetCrawlers",
"glue:GetTables",
"glue:StartCrawler",
"glue:CreateCrawler"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "glue.amazonaws.com"
}
}
},
{
"Sid": "iamRoleCreation",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:AttachRolePolicy"
],
"Resource": "arn:aws:iam::account_ID:role/*"
},
{
"Sid": "iamPolicyCreation",
"Effect": "Allow",
"Action": "iam:CreatePolicy",
"Resource": "arn:aws:iam::account_ID:policy/*"
}
]
}(선택 사항) 인벤토리 데이터를 저장하는 데 사용되는 Amazon S3 버킷이 AWS KMS를 사용하여 암호화된 경우 다음 블록도 정책에 추가해야 합니다.
{ "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:Region:account_ID:key/key_ARN" ] }
액세스 권한을 제공하려면 사용자, 그룹 또는 역할에 권한을 추가하세요:
-
AWS IAM Identity Center의 사용자 및 그룹:
권한 세트를 생성합니다. AWS IAM Identity Center 사용 설명서의 권한 세트 생성의 지침을 따릅니다.
-
보안 인증 공급자를 통해 IAM에서 관리되는 사용자:
ID 페더레이션을 위한 역할을 생성합니다. IAM 사용 설명서의 서드 파티 자격 증명 공급자의 역할 만들기(페더레이션)의 지침을 따르세요.
-
IAM 사용자:
-
사용자가 맡을 수 있는 역할을 생성합니다. IAM 사용 설명서에서 IAM 사용자의 역할 생성의 지침을 따르세요.
-
(권장되지 않음)정책을 사용자에게 직접 연결하거나 사용자를 사용자 그룹에 추가합니다. IAM 사용 설명서에서 사용자(콘솔)에 권한 추가의 지침을 따르세요.
-
(선택 사항) AWS KMS 암호화 데이터를 볼 수 있는 권한 구성
인벤토리 데이터를 저장하는 데 사용되는 Amazon S3 버킷이 AWS Key Management Service(AWS KMS)를 사용하여 암호화된 경우, AWS KMS 키에 대한 kms:Decrypt 권한으로 IAM 엔터티 및 Amazon-GlueServiceRoleForSSM 역할을 구성해야 합니다.
시작하기 전 준비 사항
AWS KMS 키에 대한 kms:Decrypt 권한을 제공하려면 IAM 엔터티에 다음 정책 블록을 추가합니다.
{ "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:Region:account_ID:key/key_ARN" ] }
아직 수행하지 않은 경우 해당 절차를 완료하고 AWS KMS 키에 대해 kms:Decrypt 권한을 추가합니다.
다음 절차에 따라 AWS KMS 키에 대한 kms:Decrypt 권한으로 Amazon-GlueServiceRoleForSSM 역할을 구성합니다.
kms:Decrypt 권한을 가진 Amazon-GlueServiceRoleForSSM 역할을 구성하려면
https://console.aws.amazon.com/iam/
에서 IAM 콘솔을 엽니다. -
탐색 창에서 역할(Roles)을 선택한 다음 검색 필드를 사용하여 Amazon-GlueServiceRoleForSSM 역할을 찾습니다. 요약 페이지가 열립니다.
-
검색 필드를 사용하여 Amazon-GlueServiceRoleForSSM 역할을 찾습니다. 역할 이름을 선택합니다. 요약 페이지가 열립니다.
-
역할 이름을 선택합니다. 요약 페이지가 열립니다.
-
인라인 정책 추가(Add inline policy)를 선택합니다. 정책 생성 페이지가 열립니다.
-
JSON 탭을 선택합니다.
-
편집기에서 기존 JSON 텍스트를 삭제하고 다음 정책을 복사한 다음 JSON 편집기에 붙여 넣습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": [ "arn:aws:kms:Region:account_ID:key/key_ARN" ] } ] } -
[정책 검토(Review policy)]를 선택합니다.
-
정책 검토 페이지에서 이름 필드에 이름을 입력합니다.
-
정책 생성을 선택합니다.
인벤토리 세부 정보 보기(Inventory Detail View) 페이지에서 데이터 쿼리
다음 절차에 따라 Systems Manager Inventory [세부 정보 뷰(Detailed View)] 페이지에서 여러 AWS 리전과 AWS 계정의 인벤토리 데이터를 봅니다.
중요
Inventory [세부 정보 뷰(Detailed View)] 페이지는 Amazon Athena를 제공하는 AWS 리전에서만 사용할 수 있습니다. 다음 탭이 Systems Manager Inventory 페이지에 표시되지 않는 경우 Athena는 리전에서 사용할 수 없으며 세부 정보 보기(Detailed View)를 사용하여 데이터를 쿼리할 수 없습니다.
AWS Systems Manager 콘솔에서 여러 리전과 계정의 인벤토리 데이터를 보려면
AWS Systems Manager 콘솔(https://console.aws.amazon.com/systems-manager/
)을 엽니다. 탐색 창에서 [Inventory]를 선택합니다.
-
세부 정보 보기(Detailed View) 탭을 선택합니다.
-
데이터를 쿼리할 리소스 데이터 동기화를 선택합니다.
-
인벤토리 유형 목록에서 쿼리하려는 인벤토리 데이터의 유형을 선택한 후 Enter를 누릅니다.
-
데이터를 필터링하려면 필터 막대를 선택한 후 필터 옵션을 선택합니다.
CSV로 내보내기 버튼을 사용해 현재 쿼리 세트를 Microsoft Excel 등과 같은 스프레드시트 애플리케이션에서 볼 수 있습니다. [쿼리 기록(Query History)] 및 [고급 쿼리 실행(Run Advanced Queries)] 버튼을 사용해 Amazon Athena에서 기록 세부 정보를 보고 데이터와 상호 작용할 수도 있습니다.
AWS Glue 크롤러 예약 편집
AWS Glue는 기본적으로 중앙 Amazon S3 버킷에서 매일 두 번씩 인벤토리 데이터를 크롤링합니다. 노드에서 수집하는 데이터 유형을 자주 변경하는 경우 다음 절차의 설명에 따라 데이터를 더욱 자주 탐색할 수 있습니다.
중요
AWS Glue는 AWS 계정에 시간당 요금을 부과하며, 크롤러(데이터 검색) 및 ETL 작업(데이터 처리 및 로드)의 경우 초 단위로 비용이 청구됩니다. 크롤러 일정을 변경하기 전에 AWS Glue 요금
인벤토리 데이터 크롤러 일정을 변경하려면
https://console.aws.amazon.com/glue/
에서 AWS Glue 콘솔을 엽니다. -
탐색 창에서 크롤러를 선택합니다.
-
크롤러 목록에서 Systems Manager Inventory 데이터 크롤러 옆의 옵션을 선택합니다. 크롤러 이름의 형식은 다음과 같습니다.
AWSSystemsManager-s3-bucket-name-Region-account_ID -
작업을 선택한 후 크롤러 편집을 선택합니다.
-
탐색 창에서 일정을 선택합니다.
-
Cron 표현식 필드에서 cron 형식을 사용하여 새 일정을 지정합니다. cron 형식에 대한 자세한 내용은 AWS Glue 개발자 안내서의 크롤러와 작업을 위한 시간 기반 일정을 참조하세요.
중요
AWS Glue에서 더 이상 요금이 발생하지 않도록 크롤러를 일시 중지할 수 있습니다. 크롤러를 일시 중지하거나 데이터 크롤링 횟수를 줄이도록 빈도를 변경하면 인벤토리 [세부 정보 뷰(Detailed View)]에 최신이 아닌 데이터가 표시될 수 있습니다.
