6단계: (옵션) AWS PrivateLink를 사용하여 Session Manager에 대한 VPC 엔드포인트 설정
인터페이스 Virtual Private Cloud(VPC) 엔드포인트를 사용하도록 AWS Systems Manager를 구성하여 관리형 노드의 보안 태세를 개선할 수 있습니다. 인터페이스 엔드포인트는 프라이빗 IP 주소를 사용하여 Amazon Elastic Compute Cloud(Amazon EC2) 및 Systems Manager API에 비공개로 액세스할 수 있는 기술인 AWS PrivateLink로 구동됩니다.
AWS PrivateLink는 관리형 노드, Systems Manager 및 Amazon EC2 간의 모든 네트워크 트래픽을 Amazon 네트워크로 제한합니다. (관리형 노드는 인터넷에 액세스할 수 없음) 또한 인터넷 게이트웨이, NAT 디바이스 또는 가상 프라이빗 게이트웨이가 필요 없습니다.
VPC 엔드포인트 생성에 대한 자세한 내용은 Systems Manager용 VPC 엔드포인트를 사용하여 EC2 인스턴스의 보안 개선을 참조하세요.
VPC 엔드포인트 사용의 대체 방법은 관리형 노드에서 아웃바운드 인터넷 액세스를 허용하는 것입니다. 이 경우 관리형 노드는 다음 엔드포인트에 대한 HTTPS(포트 443) 아웃바운드 트래픽도 허용해야 합니다.
-
ec2messages.
region
.amazonaws.com -
ssm.
region
.amazonaws.com -
ssmmessages.
region
.amazonaws.com
Systems Manager는 이러한 엔드포인트 중 마지막 엔드포인트인 ssmmessages.
을 사용하여 SSM Agent에서 클라우드의 Session Manager 서비스를 호출합니다.region
.amazonaws.com
AWS Key Management Service(AWS KMS)와 같은 선택적 기능을 사용하려면 암호화, Amazon CloudWatch Logs(CloudWatch 로그)로 로그를 스트리밍하고, Amazon Simple Storage Service(Amazon S3)로 로그를 전송하려면 HTTPS(포트 443) 아웃바운드 트래픽을 다음 엔드포인트로 허용해야 합니다.
-
kms.
region
.amazonaws.com -
logs.
region
.amazonaws.com -
s3.
region
.amazonaws.com
Systems Manager의 필수 엔드포인트에 대한 자세한 내용은 참조: ec2messages, ssmmessages 및 기타 API 작업 섹션을 참조하세요.