Systems Manager용 VPC 엔드포인트를 사용하여 EC2 인스턴스의 보안 개선 - AWS Systems Manager
VPC 엔드포인트 제약 및 제한Systems Manager용 VPC 엔드포인트 생성인터페이스 VPC 엔드포인트 정책 생성

Systems Manager용 VPC 엔드포인트를 사용하여 EC2 인스턴스의 보안 개선

Amazon Virtual Private Cloud(VPC)에서 인터페이스 VPC 엔드포인트를 사용하도록 AWS Systems Manager를 구성하여 관리형 노드(하이브리드 및 멀티클라우드 환경의 비 EC2 시스템 포함)의 보안 태세를 개선할 수 있습니다. 인터페이스 VPC 엔드포인트(인터페이스 엔드포인트)를 사용하면 AWS PrivateLink에 의해 구동되는 서비스에 연결할 수 있습니다. AWS PrivateLink는 프라이빗 IP 주소를 사용하여 Amazon Elastic Compute Cloud(Amazon EC2) 및 Systems Manager API에 비공개로 액세스할 수 있는 기술입니다.

AWS PrivateLink는 관리형 인스턴스, Systems Manager 및 Amazon EC2 간의 모든 네트워크 트래픽을 Amazon 네트워크로 제한합니다. 즉, 관리형 인스턴스는 인터넷에 액세스할 수 없습니다. AWS PrivateLink를 사용하는 경우 인터넷 게이트웨이, NAT 디바이스 또는 가상 프라이빗 게이트웨이가 필요 없습니다.

AWS PrivateLink를 구성하는 것이 필수는 아니지만 구성하는 것이 좋습니다. AWS PrivateLink 및 VPC 엔드포인트에 대한 자세한 내용은 AWS PrivateLink 및 VPC 엔드포인트를 참조하세요.

참고

VPC 엔드포인트 사용의 대체 방법은 관리형 인스턴스에서 아웃바운드 인터넷 액세스를 허용하는 것입니다. 이 경우 관리형 인스턴스는 다음 엔드포인트에 대한 HTTPS(포트 443) 아웃바운드 트래픽도 허용해야 합니다.

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

  • ec2messages.region.amazonaws.com

SSM Agent는 클라우드의 Systems Manager 서비스에 대한 모든 연결을 시작합니다. 이러한 이유로 Systems Manager의 인스턴스에 대한 인바운드 트래픽을 허용하도록 방화벽을 구성할 필요가 없습니다.

이러한 엔드포인트 호출에 대한 자세한 내용은 참조: ec2messages, ssmmessages 및 기타 API 작업 섹션을 참조하세요.

Amazon VPC 정보

Amazon Virtual Private Cloud(Amazon VPC)를 사용하면 AWS 클라우드 내에서 논리적으로 격리된 자체 영역에 Virtual Private Cloud(VPC)라고 하는 가상 네트워크를 정의할 수 있습니다. 인스턴스와 같은 AWS 리소스를 VPC에서 시작할 수 있습니다. VPC는 고객의 자체 데이터 센터에서 운영하는 기존 네트워크와 매우 유사하지만 AWS의 확장 가능한 인프라를 사용한다는 이점을 제공합니다. 해당 IP 주소 범위를 선택하고, 서브넷을 만든 후 라우팅 테이블, 네트워크 게이트웨이 및 보안 설정을 구성하여 VPC를 구성할 수 있습니다. VPC의 인스턴스를 인터넷에 연결합니다. VPC를 사내 데이터 센터에 연결하여 AWS 클라우드에서 데이터 센터를 확장할 수 있습니다. 각의 서브넷에서 리소스를 보호하기 위해 보안 그룹 및 네트워크 액세스 제어 목록을 포함한 다중 보안 계층을 사용할 수 있습니다. 자세한 내용은 Amazon VPC 사용 설명서를 참조하세요.

VPC 엔드포인트 제약 및 제한

Systems Manager에 대해 VPC 엔드포인트를 구성하기 전에 다음 제한 사항에 유의합니다.

교차 리전 요청

VPC 엔드포인트는 교차 리전 요청을 지원하지 않습니다. 버킷과 같은 AWS 리전에 엔드포인트를 생성하는지 확인합니다. Amazon S3 콘솔 또는 get-bucket-location 명령을 사용하여 버킷의 위치를 확인할 수 있습니다. 리전별 Amazon S3 엔드포인트를 사용하여 버킷에 액세스하십시오(예: DOC-EXAMPLE-BUCKET.s3-us-west-2.amazonaws.com). Amazon S3의 리전별 엔드포인트에 대한 자세한 내용은Amazon Web Services 일반 참조의 Amazon S3 엔드포인트를 참조하세요. AWS CLI를 사용하여 Amazon S3에 요청할 경우 기본 리전을 버킷과 동일한 리전으로 설정하거나 요청에 --region 파라미터를 사용합니다.

VPC 피어링 연결

VPC 인터페이스 엔드포인트는 리전 내리전 간 VPC 피어링 연결을 통해 액세스할 수 있습니다. VPC 인터페이스 엔드포인트에 대한 VPC 피어링 연결 요청에 대한 자세한 내용은 Amazon Virtual Private Cloud 사용 설명서VPC 피어링 연결(할당량)을 참조하세요.

VPC 게이트웨이 엔드포인트 연결은 VPC 외부로 확장할 수 없습니다. VPC의 VPC 피어링 연결의 반대편에 있는 리소스는 게이트웨이 엔드포인트를 사용하여 게이트웨이 엔드포인트 서비스의 리소스와 통신할 수 없습니다. VPC 게이트웨이 엔드포인트에 대한 VPC 피어링 연결 요청에 대한 자세한 내용은 Amazon Virtual Private Cloud 사용 설명서VPC 엔드포인트(할당량)를 참조하세요.

수신 연결

VPC 종단점에 연결된 보안 그룹은 관리형 인스턴스의 프라이빗 서브넷에서 443 포트로 들어오는 연결을 허용해야 합니다. 수신 연결을 허용하지 않으면 관리형 인스턴스가 SSM 및 EC2 엔드포인트에 연결할 수 없습니다.

DNS 확인

사용자 지정 DNS 서버를 사용하는 경우 amazonaws.com 도메인에 대한 모든 쿼리의 조건부 전달자를 VPC의 Amazon DNS 서버에 추가해야 합니다.

S3 버킷

VPC 엔드포인트 정책이 최소한 다음 Amazon S3 버킷에 대해 액세스를 허용해야 합니다.

  • AWS 관리형 S3 버킷과 SSM Agent 통신에 열거된 S3 버킷

  • AWS 리전의 패치 기준 작업을 위해 Patch Manager가 사용하는 S3 버킷 이 버킷에는 패치 기준선 서비스가 가져와 인스턴스에서 실행하는 코드가 포함되어 있습니다. 각 AWS 리전에는 자체 패치 기준 작업 버킷이 있으므로 패킷 기준 문서를 실행할 때 코드를 검색할 수 있습니다. 이 코드를 다운로드할 수 없으면 패치 기준선 명령이 실패합니다.

    참고

    온프레미스 방화벽을 사용하고 Patch Manager를 사용하려는 경우 해당 방화벽에서 적절한 패치 기준 엔드포인트에 대한 액세스도 허용해야 합니다.

    AWS 리전의 버킷에 대한 액세스 권한을 제공하려면 엔드포인트 정책에 다음 권한을 포함합니다.

    arn:aws:s3:::patch-baseline-snapshot-region/*
arn:aws:s3:::aws-ssm-region/*

    리전은 미국 동부(오하이오) 리전의 us-east-2 같이 AWS Systems Manager가 지원하는 AWS 리전의 식별자를 나타냅니다. 지원되는 리전 값 목록은 Amazon Web Services 일반 참조의 Systems Manager 서비스 엔드포인트에 있는 리전 열을 참조하세요.

    다음 예를 참조하세요.

    arn:aws:s3:::patch-baseline-snapshot-us-east-2/*
arn:aws:s3:::aws-ssm-us-east-2/*
    참고

    중동(바레인) 리전(me-south-1)에서 이러한 버킷이 다른 명명 규칙을 사용합니다. 이 AWS 리전의 경우에 다음 2개의 버킷을 대신 사용합니다.

    • patch-baseline-snapshot-me-south-1-uduvl7q8

    • aws-patch-manager-me-south-1-a53fc9dce

Amazon CloudWatch Logs

인스턴스가 인터넷에 액세스하는 것을 허용하지 않는 경우 CloudWatch Logs에 로그를 보내는 기능을 사용하도록 CloudWatch Logs에 대한 VPC 엔드포인트를 생성합니다. CloudWatch Logs용 엔드포인트 생성에 대한 자세한 내용은 Amazon CloudWatch Logs User GuideCreating a VPC endpoint for CloudWatch Logs를 참조하세요.

하이브리드 및 멀티클라우드 환경의 DNS

하이브리드 및 멀티클라우드 환경에서 AWS PrivateLink 엔드포인트로 작업하도록 DNS를 구성하는 방법에 대한 자세한 내용은 Amazon VPC 사용 설명서의 인터페이스 엔드포인트의 프라이빗 DNS를 참조하세요. 자신의 DNS를 사용하는 경우에는 Route 53 해석기를 사용할 수 있습니다. 자세한 내용은 Amazon Route 53 개발자 안내서VPC와 네트워크 간 DNS 쿼리 해석을 참조하세요.

Systems Manager용 VPC 엔드포인트 생성

다음 정보를 사용하여 AWS Systems Manager에 대한 VPC 인터페이스 및 게이트웨이 엔드포인트를 생성합니다. 이 주제는 Amazon VPC 사용 설명서의 절차에 연결됩니다.

Systems Manager용 VPC 엔드포인트를 생성하려면

이 절차의 첫 번째 단계에서는 Systems Manager에 대해 3개의 필수 인터페이스 엔드포인트와 1개의 옵션 인터페이스 엔드포인트를 생성합니다. 처음 3개의 엔드포인트는 Systems Manager가 VPC에서 작동하는 데 필요합니다. 네 번째 엔드포인트인 com.amazonaws.region.ssmmessages는 Session Manager 기능을 사용하는 경우에만 필요합니다.

두 번째 단계에서는 Systems Manager가 Amazon S3에 액세스하는 데 필요한 게이트웨이 엔드포인트를 생성합니다.

참고

리전은 미국 동부(오하이오) 리전의 us-east-2 같이 AWS Systems Manager가 지원하는 AWS 리전의 식별자를 나타냅니다. 지원되는 리전 값 목록은 Amazon Web Services 일반 참조의 Systems Manager 서비스 엔드포인트에 있는 리전 열을 참조하세요.

  1. 인터페이스 엔드포인트 생성의 단계에 따라 다음 인터페이스 엔드포인트를 생성합니다.

    • com.amazonaws.region.ssm: Systems Manager 서비스의 엔드포인트입니다.

    • com.amazonaws.region.ec2messages: Systems Manager는 이 엔드포인트를 사용하여 SSM Agent에서 Systems Manager 서비스를 호출합니다.

    • com.amazonaws.region.ec2: Systems Manager를 사용하여 VSS 지원 스냅샷을 만든 경우 EC2 서비스에 대한 엔드포인트가 있어야 합니다. EC2 엔드포인트가 정의되어 있지 않으면 연결된 Amazon EBS 볼륨을 표시하는 호출이 실패하고 이에 따라 Systems Manager 명령에 실패합니다.

    • com.amazonaws.region.ssmmessages: 이 엔드포인트는 Session Manager를 사용하여 보안 데이터 채널을 통해 인스턴스에 연결하는 경우에만 필요합니다. 자세한 내용은 AWS Systems Manager Session Manager참조: ec2messages, ssmmessages 및 기타 API 작업을(를) 참조하세요.

    • com.amazonaws.region.kms - 이 엔드포인트는 선택 사항입니다. 그러나 Session Manager 또는 Parameter Store 파라미터에 대해 AWS Key Management Service(AWS KMS)를 사용하려는 경우 이를 만들 수 있습니다.

    • com.amazonaws.region.logs - 이 엔드포인트는 선택 사항입니다. Session Manager, Run Command 또는 SSM Agent 로그에 대해 Amazon CloudWatch Logs(CloudWatch Logs)를 사용하려는 경우 이를 생성할 수 있습니다.

  2. 게이트웨이 엔드포인트 생성의 단계에 따라 Amazon S3에 대한 다음 게이트웨이 엔드포인트를 생성합니다.

    • com.amazonaws.region.s3 - Systems Manager가 이 엔드포인트를 사용하여 SSM Agent를 업데이트하고 패치 작업을 수행할 수 있습니다. Systems Manager는 이 엔드포인트를 사용하여 S3 버킷 저장을 선택한 출력 로그 업로드, 버킷에 저장한 스크립트 또는 기타 파일 검색 등의 태스크를 수행합니다. 인스턴스와 연결된 보안 그룹이 아웃바운드 트래픽을 제한하는 경우 Amazon S3의 접두사 목록에 대한 트래픽을 허용하는 규칙을 추가해야 합니다. 자세한 내용은 AWS PrivateLink GuideModify your security group을 참조하세요.

    SSM Agent가 액세스할 수 있어야 하는 AWS 관리형 S3 버킷에 대한 자세한 내용은 AWS 관리형 S3 버킷과 SSM Agent 통신 섹션을 참조하세요. Systems Manager 작업에서 Virtual Private Cloud(VPC) 엔드포인트를 사용하는 경우 Systems Manager를 위한 Amazon EC2 인스턴스 프로파일 또는 하이브리드 및 멀티클라우드 환경의 비 EC2 관리형 노드를 위한 서비스 역할에 명시적 권한을 제공해야 합니다.

인터페이스 VPC 엔드포인트 정책 생성

AWS Systems Manager에 대한 VPC 인터페이스 엔드포인트의 정책을 생성할 수 있습니다. 이 정책에서 다음을 지정할 수 있습니다.

  • 작업을 수행할 수 있는 보안 주체.

  • 수행할 수 있는 작업

  • 수행되는 작업을 가질 수 있는 리소스

자세한 내용은 Amazon VPC 사용 설명서VPC 엔드포인트를 통해 서비스에 대한 액세스 제어를 참조하세요.