2단계: Session Manager의 인스턴스 권한 확인 또는 추가
AWS Systems Manager는 기본적으로 인스턴스에서 작업을 수행할 권한이 없습니다. AWS Identity and Access Management(IAM) 역할을 사용하여 계정 수준에서 또는 인스턴스 프로파일을 사용하여 인스턴스 수준에서 인스턴스 권한을 제공할 수 있습니다. 사용 사례에서 허용하는 경우 기본 호스트 관리 구성을 사용하여 계정 수준에서 액세스 권한을 부여하는 것이 좋습니다. AmazonSSMManagedEC2InstanceDefaultPolicy
정책을 사용하여 계정의 기본 호스트 관리 구성을 이미 설정했으면 다음 단계를 진행할 수 있습니다. 기본 호스트 관리 구성에 대한 자세한 내용은 기본 호스트 관리 구성을 사용한 자동 EC2 인스턴스 관리 섹션을 참조하세요.
또는 인스턴스 프로파일을 사용하여 인스턴스에 필요한 권한을 제공할 수 있습니다. 인스턴스 프로파일을 사용하여 Amazon EC2 인스턴스에 IAM 역할을 전달합니다. IAM 인스턴스 프로파일은 Amazon EC2 인스턴스를 시작할 때 해당 인스턴스에 연결하거나 이전에 시작한 인스턴스에 연결할 수 있습니다. 자세한 내용은 인스턴스 프로파일 사용 섹션을 참조하세요.
온프레미스 서버 또는 가상 머신(VM)의 경우, Systems Manager에 온프레미스 서버 및 VM을 등록하는 데 사용되는 하이브리드 활성화와 연결된 IAM 서비스 역할에 의해 권한이 제공됩니다. 온프레미스 서버 및 VM에서는 인스턴스 프로파일을 사용하지 않습니다.
다른 Systems Manager 기능(예: Run Command 또는 Parameter Store)을 이미 사용하고 있는 경우 Session Manager에 대한 필수 기본 권한을 가진 인스턴스 프로파일이 Amazon EC2 인스턴스에 이미 연결되어 있을 수 있습니다. AWS 관리형 정책 AmazonSSMManagedInstanceCore
를 포함한 인스턴스 프로파일이 이미 인스턴스에 연결되어 있는 경우에는 Session Manager에 대한 필수 권한이 이미 제공되어 있습니다. 하이브리드 활성화에 사용된 IAM 서비스 역할이 AmazonSSMManagedInstanceCore
관리형 정책을 포함하는 경우에도 마찬가지입니다.
그러나 경우에 따라 인스턴스 프로파일에 연결된 권한을 수정해야 할 수 있습니다. 예를 들어 더 좁은 인스턴스 권한 집합을 제공하려 하고 인스턴스 프로파일에 대해 사용자 정의 정책을 생성했거나 또는 세션 데이터를 확보하기 위한 Amazon Simple Storage Service(Amazon S3) 암호화 또는 AWS Key Management Service(AWS KMS) 암호화 옵션을 사용하려고 합니다. 이러한 경우 인스턴스에 Session Manager 작업이 수행되도록 다음 중 하나를 실시할 수 있습니다.
-
사용자 지정 IAM 역할의 Session Manager 작업용 임베드된 권한
AWS 제공 기본 정책
AmazonSSMManagedInstanceCore
에 의존하지 않는 기존 IAM 역할에 Session Manager 작업에 대한 권한을 추가하려면 기존 IAM 역할에 Session Manager 권한 추가의 단계를 따르세요. -
Session Manager 권한만 있는 사용자 지정 IAM 역할 생성
Session Manager 작업에 대한 권한만 있는 IAM 역할을 생성하려면 Session Manager용 사용자 지정 IAM 역할 생성의 단계를 수행합니다.
-
모든 Systems Manager 작업에 대한 권한이 있는 새 IAM 역할 생성 및 사용
모든 Systems Manager 권한을 부여하기 위해 AWS에서 제공하는 기본 정책을 사용하는 Systems Manager 관리형 인스턴스에 대한 IAM 역할을 생성하려면 Systems Manager에 필요한 인스턴스 권한 구성의 단계를 수행합니다.