AWS Systems Manager이란?
AWS Systems Manager는 AWS 애플리케이션 및 리소스를 위한 운영 허브이자, 안전한 운영이 대규모로 활성화되는 하이브리드 및 멀티클라우드 환경을 위한 안전한 엔드 투 엔드 관리 솔루션입니다.
Systems Manager의 작동 방식
다음 다이어그램에서는 일부 Systems Manager 기능이 리소스에 대한 작업을 수행하는 방법을 설명합니다. 이 다이어그램에서 모든 기능을 다루지는 않습니다. 각 열거된 상호 작용은 다이어그램 앞에 설명되어 있습니다.
-
Systems Manager 액세스 - Systems Manager 액세스에 대해 사용 가능한 옵션 중 하나를 사용합니다.
-
Systems Manager 기능 선택 - 리소스에 대해 수행할 작업을 수행하는 데 도움이 될 수 있는 기능을 확인합니다. 이 다이어그램은 IT 관리자와 DevOps 인력이 리소스를 구성하고 관리하는 데 사용하는 몇 가지 기능만 보여줍니다.
-
확인 및 처리 - Systems Manager는 사용자, 그룹 또는 역할에 지정한 작업을 수행하는 데 필요한 AWS Identity and Access Management(IAM) 권한이 있는지 확인합니다. 작업 대상이 관리형 노드인 경우 노드에서 실행 중인 Systems Manager 에이전트(SSM Agent)가 작업을 수행합니다. 다른 유형의 리소스의 경우 Systems Manager는 지정된 작업을 수행하거나 다른 AWS 서비스와(과) 통신하여 Systems Manager를 대신하여 작업을 수행합니다.
-
보고 - Systems Manager, SSM Agent 및 Systems Manager를 대신하여 작업을 수행하는 기타 AWS 서비스은(는) 상태를 보고합니다. Systems Manager는 다른 AWS 서비스에 상태 세부 정보를 보낼 수 있습니다(구성된 경우).
-
Systems Manager 운영 관리 기능 - 활성화된 경우 Systems Manager 운영 관리 기능(예:Explorer, OpsCenter), Incident Manager는 리소스의 이벤트나 오류에 대응하여 운영 데이터를 집계하거나 아티팩트를 생성합니다. 이러한 아티팩트에는 운영 작업 항목(OpsItems) 및 인시던트가 있습니다. Systems Manager 운영 관리 기능은 애플리케이션 및 리소스에 대한 운영 통찰력과 자동화된 문제 해결 솔루션을 제공하여 문제를 해결하는 데 도움이 됩니다.
Systems Manager 기능
Systems Manager는 기능을 다음 범주로 그룹화합니다. 각 범주 아래에 있는 탭을 선택하여 각 기능에 대해 자세히 알아봅니다.
애플리케이션 관리
- Application Manager
-
Application Manager는 DevOps 엔지니어가 애플리케이션 및 클러스터 맥락에서 AWS 리소스와 관련된 문제를 조사하고 해결하는 데 도움이 됩니다. Application Manager에서 애플리케이션은 하나의 단위로 작동하려는 AWS 리소스의 논리적 그룹입니다. 이 논리 그룹은 몇 가지 예를 들면 다양한 버전의 애플리케이션, 운영자의 소유권 경계 또는 개발자 환경을 나타낼 수 있습니다. Application Manager의 컨테이너 클러스터 지원에는 Amazon Elastic Kubernetes Service(Amazon EKS) 및 Amazon Elastic Container Service(Amazon ECS) 클러스터가 모두 포함됩니다. Application Manager은(는) 여러 AWS 서비스 및 Systems Manager 기능으로부터의 운영 정보를 단일 AWS Management Console(으)로 집계합니다.
- AppConfig
-
AppConfig를 사용하여 애플리케이션 구성 및 기능 플래그를 생성, 관리 및 배포할 수 있습니다. AppConfig는 모든 규모의 애플리케이션에 대한 제어된 배포를 지원합니다. Amazon EC2 인스턴스, AWS Lambda 컨테이너, 모바일 애플리케이션 또는 엣지 디바이스에서 호스팅되는 애플리케이션에서 AppConfig를 사용할 수 있습니다. 애플리케이션 구성을 배포할 때 오류를 방지하기 위해 AppConfig에는 유효성 검사기가 포함됩니다. 검증기는 구문 또는 의미 검사를 제공하여 배포하려는 구성이 의도한 대로 작동하는지 확인합니다. 구성 배포 중에 AppConfig는 애플리케이션을 모니터링하여 배포가 성공적인지 확인합니다. 시스템에 오류가 발생하거나 배포가 경보를 호출하면 애플리케이션 사용자에 대한 영향을 최소화하기 위해 AppConfig가 변경 사항을 롤백합니다.
- 파라미터 스토어
-
Parameter Store는 구성 데이터 및 암호 관리를 위한 안전한 계층적 스토리지를 제공합니다. 암호, 데이터베이스 문자열, Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 ID, Amazon Machine Image(AMI) ID 및 라이선스 코드와 같은 데이터를 파라미터 값으로 저장할 수 있습니다. 값을 일반 텍스트 또는 암호화된 데이터로 저장할 수 있습니다. 그런 다음 파라미터를 생성할 때 지정한 고유한 이름을 사용하여 값을 참조할 수 있습니다.
변경 관리
- Change Manager
-
Change Manager는 애플리케이션 구성 및 인프라에 대한 운영 변경을 요청, 승인, 구현 및 보고하기 위한 엔터프라이즈 변경 관리 프레임워크입니다. 하나의 위임된 관리자 계정에서 AWS Organizations를 사용하면 여러 AWS 리전에 있는 여러 AWS 계정의 변경사항을 관리할 수 있습니다. 또는 로컬 계정을 사용하여 하나의 AWS 계정에 대한 변경 사항을 관리할 수 있습니다. AWS 리소스와 온프레미스 리소스 모두에 대한 변경 사항을 관리하려면 Change Manager를 사용합니다.
- Automation
-
Automation으로 일반적인 유지 관리 및 배포 태스크를 자동화합니다. Automation을 사용해 Amazon Machine Images(AMIs)를 생성 및 업데이트하고, 드라이버 및 에이전트 업데이트를 적용하고, Windows Server 인스턴스에서 암호를 재설정하고, Linux 인스턴스에서 SSH 키를 재설정하고, OS 패치 또는 애플리케이션 업데이트를 적용할 수 있습니다.
- Change Calendar
-
Change Calendar는 지정한 작업(예: Systems Manager Automation 실행서에서)이 AWS 계정에서 수행되거나 수행되지 않을 때 날짜 및 시간 범위를 설정하는 데 도움이 됩니다. Change Calendar에서는 이러한 범위를 이벤트라고 합니다. Change Calendar 항목을 생성하면 ChangeCalendar
유형의 Systems Manager 문서가 생성됩니다. Change Calendar에서 문서는 iCalendar 2.0 데이터를 일반 텍스트 형식으로 저장합니다. Change Calendar 항목에 추가하는 이벤트는 문서의 일부가 됩니다. Change Calendar 인터페이스에서 수동으로 이벤트를 추가하거나 .ics
파일을 사용하여 지원되는 서드 파티 캘린더에서 이벤트를 가져올 수 있습니다.
- 유지 관리 기간
-
업무상 중요한 태스크를 중단하지 않고 패치 및 업데이트 설치와 같은 관리 태스크를 실행하려면 Maintenance Windows를 사용하여 관리형 인스턴스에 대한 반복 일정을 설정합니다.
노드 관리
관리형 노드는 하이브리드 및 멀티클라우드 환경에서 Systems Manager와 함께 사용하도록 구성된 모든 시스템입니다.
- Compliance
-
Compliance를 사용하여 관리형 노드 플릿에 대해 패치 규정 준수 및 구성 일관성을 스캔할 수 있습니다. 여러 AWS 계정 및 AWS 리전의 데이터를 수집하여 집계한 후 규정을 준수하지 않는 특정 리소스로 드릴다운할 수 있습니다. 기본적으로 Compliance는 Patch Manager 패치 및 State Manager 연결에 대한 규정 준수 데이터를 표시합니다. 또한 IT 또는 비즈니스 요구 사항에 따라 서비스를 사용자 지정하고 자체 규정 준수 유형을 만들 수도 있습니다.
- Fleet Manager
-
Fleet Manager는 노드를 원격으로 관리하는 데 도움이 되는 통합 사용자 인터페이스(UI) 환경입니다. Fleet Manager를 사용하면 하나의 콘솔에서 전체 플릿의 상태 및 성능 상태를 볼 수 있습니다. 또한 개별 디바이스 및 인스턴스에서 데이터를 수집하여 콘솔에서 일반적인 문제 해결 및 관리 태스크를 수행할 수 있습니다. 여기에는 디렉터리 및 파일 내용 보기, Windows 레지스트리 관리, 운영 체제 사용자 관리 등이 포함됩니다.
- Inventory
-
Inventory는 관리형 노드에서 소프트웨어 인벤토리를 수집하는 과정을 자동화합니다. Inventory를 사용하여 애플리케이션과 파일, 구성 요소, 패치 등에 대한 메타데이터를 수집할 수 있습니다.
- 세션 관리자
-
Session Manager를 사용하여 대화형 원클릭 브라우저 기반 셸 또는 AWS CLI를 통해 엣지 디바이스와 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 관리할 수 있습니다. Session Manager는 인바운드 포트를 열고, Bastion Host를 유지하고, SSH 키를 관리할 필요 없이 보안성과 감사 가능성을 갖춘 엣지 디바이스 및 인스턴스 관리 기능을 제공합니다. 또한 Session Manager를 통해 인스턴스에 대한 제어된 액세스를 요구하는 회사 정책, 엄격한 보안 관행을 손쉽게 준수하고, 인스턴스 액세스 세부 정보가 포함된 완전히 감사 가능한 로그를 제공하는 동시에 최종 사용자에게 엣지 디바이스 및 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 대한 간단한 원 클릭 크로스 플랫폼 액세스를 제공합니다. Session Manager를 사용하려면 고급 인스턴스 티어를 사용해야 합니다. 자세한 내용은 고급 인스턴스 티어 설정 단원을 참조하십시오.
- Run Command
-
Run Command를 사용하여 관리형 노드의 구성을 원격으로 안전하게 대규모로 관리합니다. Run Command를 사용하여 수십 개나 수백 개의 대상 관리형 노드 집합에서 애플리케이션 업데이트나 Linux 셸 스크립트 및 Windows PowerShell 명령 실행과 같은 온디맨드 변경 사항을 수행합니다.
- State Manager
-
State Manager를 사용하여 관리형 노드를 정의된 상태로 유지하는 과정을 자동화합니다. State Manager를 사용하여 관리형 노드가 시작 시 특정 소프트웨어로 부트스트랩되거나, Windows 도메인에 연결되거나(Windows Server 노드만 해당), 특정 소프트웨어 업데이트로 패치되도록 할 수 있습니다.
- 패치 관리자
-
Patch Manager를 사용하여 보안 관련 및 기타 유형의 업데이트로 관리형 노드를 패치하는 프로세스를 자동화합니다. Patch Manager를 사용하면 운영 체제와 애플리케이션 모두를 패치할 수 있습니다. (Windows Server에서 애플리케이션 지원은 Microsoft에서 릴리스한 애플리케이션의 업데이트로 제한됩니다.)
이 기능을 사용하면 누락된 패치가 있는지 관리형 노드를 스캔하고 태그를 사용하여 누락된 패치를 개별적으로 또는 대규모 관리형 노드 그룹에 적용할 수 있습니다. Patch Manager는 패치 기준을 사용합니다. 여기에는 릴리스 후 며칠 이내에 패치를 자동 승인하는 규칙과 승인 및 거부된 패치 목록이 포함될 수 있습니다. Systems Manager 유지 관리 기간 태스크로 실행되도록 패치를 예약하여 정기적으로 패치를 설치하거나 언제든지 온디맨드로 관리형 노드를 패치할 수 있습니다.
Linux 운영 체제에서는 패치 기준의 일부로서 패칭 작업에 사용해야 하는 리포지토리를 정의할 수 있습니다. 그러면 관리형 노드에 어떤 리포지토리가 구성되었든 신뢰하는 리포지토리에서만 업데이트를 설치할 수 있습니다. Linux의 경우 운영 체제 보안 업데이트로 분류된 것들뿐만 아니라 관리형 노드 상의 모든 패키지를 업데이트할 수 있습니다. 선택한 S3 버킷에 전송되는 패치 보고서를 생성할 수도 있습니다. 단일 관리형 노드의 경우 보고서에 노드에 대한 모든 패치의 세부 정보가 포함됩니다. 모든 관리형 노드에 대한 보고서의 경우 누락된 패치 수에 대한 요약만 제공됩니다.
- Distributor
-
Distributor를 사용하여 패키지를 생성하고 관리형 노드에 배포합니다. Distributor를 사용하면 자체 소프트웨어를 패키징하거나, AmazonCloudWatchAgent와 같이 AWS에서 제공한 에이전트 소프트웨어 패키지를 찾아서 Systems Manager 관리형 노드에 설치할 수 있습니다. 패키지를 처음 설치한 후 Distributor를 사용하여 새 패키지 버전을 제거하고 새 패키지를 다시 설치하거나 새 파일이나 변경된 파일을 추가하는 인플레이스 업데이트를 수행할 수 있습니다. Distributor는 소프트웨어 패키지와 같은 리소스를 Systems Manager 관리형 노드에 게시합니다.
- Hybrid Activations
-
하이브리드 및 멀티클라우드 환경에서 비 EC2 시스템을 관리형 노드로 설정하려면 하이브리드 정품 인증을 생성합니다. 정품 인증을 마치면 정품 인증 코드와 ID를 받게 됩니다. Amazon Elastic Compute Cloud(Amazon EC2) 액세스 ID 및 보안 암호 키와 같은 기능을 수행하는 이 코드와 ID 조합으로 관리형 인스턴스에서 Systems Manager 서비스에 안전하게 액세스할 수 있습니다.
Systems Manager를 사용하여 관리하려는 경우 엣지 디바이스에 대한 활성화를 만들 수도 있습니다.
운영 관리
- Incident Manager
-
Incident Manager는 사용자가 AWS 호스팅 애플리케이션에 영향을 미치는 인시던트를 완화하고 복구하는 데 도움이 되는 인시던트 관리 콘솔입니다.
Incident Manager는 대응자에게 영향을 알리고, 관련 문제 해결 데이터를 강조 표시하고, 서비스를 백업 및 실행하기 위한 협업 도구를 제공하여 인시던트 해결을 개선합니다. Incident Manager는 또한 대응 계획을 자동화하고 대응 팀 에스컬레이션을 허용합니다.
- Explorer
-
Explorer는 AWS 리소스에 대한 정보를 보고하는 사용자 지정 가능한 운영 대시보드입니다. Explorer에는 AWS 계정 및 AWS 리전의 운영 데이터(OpsData)에 대한 집계 보기가 표시됩니다. Explorer에서 OpsData에는 Amazon EC2 인스턴스에 대한 메타데이터, 패치 규정 준수 세부 정보 및 운영 작업 항목(OpsItems)이 포함됩니다. Explorer은 사업부 또는 애플리케이션에 OpsItems가 배포되는 방식, 시간 경과에 따른 추세 및 범주별 차이점에 대한 컨텍스트를 제공합니다. Explorer에서 정보를 그룹화 및 필터링하여 사용자와 관련이 있고 작업이 필요한 항목에 초점을 맞출 수 있습니다. 우선순위가 높은 문제를 식별하면 Systems Manager의 기능인 OpsCenter를 사용하여 Automation 실행서를 실행하고 이러한 문제를 해결할 수 있습니다.
- OpsCenter
-
OpsCenter는 운영 엔지니어와 IT 전문가가 AWS 리소스와 관련된 운영 작업 항목(OpsItems)을 보고, 조사하고, 해결할 수 있는 중앙 위치를 제공합니다. OpsCenter는 AWS 리소스에 영향을 미치는 문제의 평균 해결 시간을 단축하도록 설계되었습니다. 이 Systems Manager는 각 OpsItem, 관련 OpsItems 및 관련 리소스에 대한 컨텍스트 조사 데이터를 제공하면서 서비스 전반에 걸쳐 OpsItems를 집계하고 표준화합니다. 또한 OpsCenter는 문제를 해결하는 데 사용할 수 있는 Systems Manager Automation 실행서를 제공합니다. 각 OpsItem에 대해 검색 가능한 사용자 지정 데이터를 지정할 수 있습니다. 상태 및 소스별로 OpsItems에 대한 자동 생성 요약 보고서를 볼 수도 있습니다.
- CloudWatch Dashboards
-
Amazon CloudWatch 대시보드는 CloudWatch 콘솔에서 사용자 지정이 가능한 페이지로, 다른 리전에 분산된 리소스를 비롯하여 단일 보기에서 리소스를 모니터링하는 데 사용할 수 있습니다. CloudWatch 대시보드를 사용하면 AWS 리소스에 대한 지표 및 경보의 사용자 지정 보기를 생성할 수 있습니다.
Quick Setup
Quick Setup을(를) 사용하여 권장되는 모범 사례에 따라 자주 사용하는 AWS 서비스 및 기능을 구성합니다. Quick Setup을 개별 AWS 계정에 사용하거나 AWS Organizations와 통합하여 여러 AWS 계정 및 AWS 리전에서 사용할 수 있습니다. Quick Setup은 공통 또는 권장 태스크를 자동화하여 Systems Manager를 포함한 서비스 설정을 간소화합니다. 이러한 태스크에는 필수 AWS Identity and Access Management(IAM) 인스턴스 프로파일 역할 생성과 정기 패치 검사 및 인벤토리 수집과 같은 운영 모범 사례 설정이 포함됩니다.
공유 리소스
- Documents
-
Systems Manager 문서(SSM 문서)는 Systems Manager가 수행하는 작업을 정의합니다. SSM 문서 유형에는 State Manager와 Run Command에서 사용하는 Command 문서와 Systems Manager Automation에서 사용하는 Automation 실행서가 포함됩니다. Systems Manager에는 런타임에 파라미터를 지정하여 사용할 수 있는 사전 구성 문서가 수십 개 포함되어 있습니다. 문서는 JSON 또는 YAML로 표현 가능하며 사용자가 지정하는 단계와 파라미터를 포함합니다.
Systems Manager 액세스
다음 방법 중 하나를 사용하여 Systems Manager를 사용할 수 있습니다.
- Systems Manager 콘솔
-
Systems Manager 콘솔은 Systems Manager에 액세스하고 사용하기 위한 브라우저 기반 인터페이스입니다.
- AWS IoT Greengrass V2 콘솔
-
Greengrass 콘솔의 AWS IoT Greengrass를 위해 구성된 엣지 디바이스를 확인하고 관리할 수 있습니다.
- AWS 명령줄 도구
-
AWS 명령줄 도구를 통해 시스템 명령줄에서 명령을 실행하여 Systems Manager 및 기타 AWS 태스크를 수행할 수 있습니다. 도구는 Linux, macOS 및 Windows에서 지원됩니다. AWS Command Line Interface(AWS CLI)를 사용하는 것이 콘솔을 사용하는 것보다 더 빠르고 편리할 수 있습니다. AWS 작업을 수행하는 스크립트를 작성할 때도 명령줄 도구가 유용합니다.
AWS에서는 AWS Command Line Interface와 AWS Tools for Windows PowerShell이라는 두 가지 명령줄 도구 집합을 제공합니다. AWS CLI 설치 및 사용에 대한 자세한 내용은 AWS Command Line Interface 사용 설명서를 참조하세요. Tools for Windows PowerShell 도구 설치 및 사용에 대한 자세한 내용은 AWS Tools for Windows PowerShell User Guide를 참조하세요.
Windows Server 인스턴스에서 특정 SSM 문서(예: 레거시 AWS-ApplyPatchBaseline
문서)를 실행하려면 Windows PowerShell 3.0 이상이 필요합니다. Windows Server 인스턴스가 Windows Management Framework
3.0 이상을 실행 중인지 확인합니다. 프레임워크에 Windows
PowerShell이 포함되어 있습니다.
- AWS SDK
-
AWS에서는 다양한 프로그래밍 언어 및 플랫폼(예: Java, Python, Ruby, .NET, iOS 및 Android 등)을 위한 라이브러리와 샘플 코드로 구성된 소프트웨어 개발 키트(SDK)를 제공합니다. SDK는 Systems Manager에 대한 프로그래밍 방식의 액세스 권한을 부여하는 편리한 방법을 제공합니다. 다운로드 및 설치 방법을 비롯하여 AWS SDK에 대한 자세한 내용은 Amazon Web Services용 도구 페이지를 참조하세요.
Systems Manager 서비스 이름 기록
AWS Systems Manager(Systems Manager)는 이전에는 "Amazon Simple Systems Manager
(SSM)" 및 "Amazon EC2 Systems Manager (SSM)"로 알려졌습니다. 서비스 이름의 기존 약어인 “SSM”의 경우 여전히 몇 개의 다른 서비스 콘솔을 포함하여 다양한 AWS 리소스에서 반영됩니다. 다음은 일부 예입니다.
-
Systems Manager Agent: SSM Agent
-
Systems Manager 파라미터: SSM 파라미터
-
Systems Manager 서비스 엔드포인트: ssm.region
.amazonaws.com
-
AWS CloudFormation 리소스 유형: AWS::SSM::Document
-
AWS Config 규칙 식별자: EC2_INSTANCE_MANAGED_BY_SSM
-
AWS Command Line Interface(AWS CLI) 명령: aws ssm
describe-patch-baselines
-
AWS Identity and Access Management(IAM) 관리형 정책 이름: AmazonSSMReadOnlyAccess
-
Systems Manager 리소스 ARN: arn:aws:ssm:region
:account-id
:patchbaseline/pb-07d8884178EXAMPLE
지원되는 AWS 리전
Systems Manager는 Amazon Web Services 일반 참조의 Systems Manager 서비스 엔드포인트에 나열된 AWS 리전에서 사용할 수 있습니다. Systems Manager 구성 프로세스를 시작하기 전에 서비스를 사용하려는 각 AWS 리전에서 해당 서비스 사용이 가능한지 확인하는 것이 좋습니다.
하이브리드 및 멀티클라우드 환경에 있는 비 EC2 시스템의 경우 데이터 센터 또는 컴퓨팅 환경과 가장 가까운 리전을 선택하는 것이 좋습니다.