Linux 및 macOS 관리형 노드에 대한 Run As 지원 활성화 - AWS Systems Manager

Linux 및 macOS 관리형 노드에 대한 Run As 지원 활성화

기본적으로 Session Manager는 관리형 노드에 생성된 시스템 생성 ssm-user 계정의 보안 인증 정보를 사용하여 연결을 인증합니다. Linux 및 macOS 시스템에서는 이 계정이 /etc/sudoers/에 추가됩니다. 선택하는 경우, 대신 운영 체제(OS) 사용자 계정 또는 Active Directory에 가입한 인스턴스를 위한 도메인 사용자의 인증 정보를 사용하여 세션을 인증할 수 있습니다. 이 경우 Session Manager는 세션을 시작하기 전에 지정한 OS 계정이 노드 또는 도메인에 존재하는지 확인합니다. 노드 또는 도메인에 존재하지 않는 OS 계정을 사용하여 세션을 시작하려고 하면 연결이 실패합니다.

참고

Session Manager는 운영 체제의 root 사용자 계정을 사용한 연결 인증을 지원하지 않습니다. OS 사용자 계정을 사용하여 인증된 세션의 경우 로그인 제한 또는 시스템 리소스 사용 제한과 같은 노드의 OS 수준 및 디렉터리 정책이 적용되지 않을 수 있습니다.

작동 방식

세션에서 Run As 지원을 설정하면 시스템이 다음과 같이 액세스 권한 유무를 검사합니다.

  1. 세션을 시작하는 사용자의 경우 IAM 엔터티(사용자 또는 역할)에 SSMSessionRunAs = os user account name으로 태그가 지정되어 있나요?

    그렇다면 관리형 노드에 OS 사용자 이름이 존재하나요? 그렇다면 세션을 시작합니다. 그렇지 않다면 세션 시작을 허용하지 않습니다.

    IAM 엔터티에 SSMSessionRunAs = os user account name으로 태그가 지정되지 않은 경우 2단계로 계속 진행합니다.

  2. IAM 엔터티에 SSMSessionRunAs = os user account name로 태그가 지정되어 있지 않은 경우 AWS 계정의 Session Manager 기본 설정에서 OS 사용자 이름이 지정되어 있나요?

    그렇다면 관리형 노드에 OS 사용자 이름이 존재하나요? 그렇다면 세션을 시작합니다. 그렇지 않다면 세션 시작을 허용하지 않습니다.

참고

Run As 지원을 활성화하면 Session Manager가 관리형 노드에서 ssm-user 계정을 사용하여 세션을 시작할 수 없습니다. 즉, Session Manager가 지정된 OS 사용자 계정을 사용하여 연결하지 못하는 경우 기본 방법을 사용하는 연결로 되돌아가지 않습니다.

OS 계정을 지정하거나 IAM 엔터티에 태그를 지정하지 않고 Run As를 활성화하고 Session Manager 기본 설정에서 OS 계정을 지정하지 않은 경우 세션 연결 시도가 실패합니다.

Linux 및 macOS 관리형 노드에 대한 Run As 지원을 활성화하는 방법
  1. AWS Systems Manager 콘솔(https://console.aws.amazon.com/systems-manager/)을 엽니다.

  2. 탐색 창에서 Session Manager를 선택합니다.

  3. 기본 설정 탭을 선택하고 편집을 선택합니다.

  4. Linux 인스턴스에 대한 Run As 지원 활성화 옆에 있는 확인란을 선택합니다.

  5. 다음 중 하나를 수행합니다.

    • 옵션 1: 운영 체제 사용자 이름 필드에 세션을 시작할 때 사용할 OS 사용자 계정의 이름을 입력합니다. 이 옵션을 사용하면 Session Manager를 사용하여 연결하는 AWS 계정의 모든 사용자에 대해 동일한 OS 사용자가 모든 세션을 실행합니다.

    • 옵션 2(권장): IAM 콘솔 링크를 선택합니다. 탐색 창에서 사용자 또는 역할을 선택합니다. 태그를 추가할 개체(사용자 또는 역할)와 태그 탭을 차례대로 선택합니다. 키 이름으로 SSMSessionRunAs를 입력합니다. 키 값에 대한 OS 사용자 계정의 이름을 입력합니다. Save changes(변경 사항 저장)를 선택합니다.

      이 옵션을 사용하면 원하는 경우 서로 다른 IAM 엔터티에 대해 고유한 OS 사용자를 지정할 수 있습니다. IAM 엔터티(사용자 또는 역할) 태그 지정에 대한 자세한 내용은 IAM 사용 설명서의 IAM 리소스 태그 지정을 참조하세요.

      다음은 예입니다.

      Session Manager Run As 권한을 위한 태그를 지정하는 스크린샷.
  6. Save(저장)를 선택합니다.