사용 사례 및 모범 사례

이 주제는 AWS Systems Manager 기능에 대한 일반 사용 사례 및 모범 사례를 다룹니다. 경우에 따라 이 주제에는 관련 블로그 게시물과 기술 문서의 링크도 포함됩니다.

참고

여기에서 각 섹션의 제목은 기술 문서의 해당 섹션으로 연결되는 활성 링크입니다.

자동화

인프라용 셀프 서비스 Automation 런북을 생성합니다.
AWS Systems Manager의 기능인 Automation을 사용하여 퍼블릭 Systems Manager 문서(SSM 문서)를 사용하거나 고유한 워크플로를 작성하여 AWS Marketplace 또는 사용자 정의 AMIs에서 Amazon Machine Images(AMIs)를 간단하게 생성합니다.
AWS-UpdateLinuxAmi 및 AWS-UpdateWindowsAmi Automation 런북을 사용하거나 직접 생성한 사용자 정의 Automation 런북을 사용하여 AMIs를 구축하고 유지 관리합니다.

인벤토리

AWS Config와 함께 AWS Systems Manager의 기능인 Inventory를 사용하여 시간 경과에 따른 애플리케이션 구성을 감사합니다.

Maintenance Windows

운영 체제(OS) 패치, 드라이버 업데이트 또는 소프트웨어 설치 등 노드에 방해가 될 가능성이 있는 작업의 일정을 정의합니다.
AWS Systems Manager의 기능인 State Manager와 Maintenance Windows의 차이점에 대한 자세한 내용은 State Manager와 Maintenance Windows 중에서 선택 섹션을 참조하세요.

Parameter Store

AWS Systems Manager의 기능인 Parameter Store를 사용하여 글로벌 구성 설정을 중앙에서 관리합니다.
AWS Systems ManagerParameter Store의 AWS KMS 활용 방식
Parameter Store 파라미터에서 AWS Secrets Manager 암호 참조.

Patch Manager

AWS Systems Manager의 기능인 Patch Manager를 사용하여 대규모로 패치를 롤아웃하고 여러 노드에 걸쳐 플릿 규정 준수 가시성을 높입니다.
Patch Manager를 AWS Security Hub와 통합하여 플릿의 노드가 규정을 준수하지 않을 때 알림을 받고 보안 관점에서 플릿의 패치 상태를 모니터링합니다. Security Hub 사용 시 요금이 부과됩니다. 자세한 내용은 요금을 참조하세요.
관리형 노드의 패치 규정 준수를 검사할 때는 한 번에 한 가지 방법만 사용하여 규정 준수 데이터를 실수로 덮어쓰지 않도록 하세요.

Run Command

EC2 Run Command를 이용해 SSH 액세스 없이 대규모 인스턴스를 관리합니다.
AWS CloudTrail을 사용하여 AWS Systems Manager의 기능인 Run Command에 의해 또는 이를 대신하여 실행된 모든 API 호출을 감사합니다.
Run Command를 사용해 명령을 보낼 때 암호, 구성 데이터 또는 기타 보안 암호와 같이 민감한 정보는 일반 텍스트 형식으로 포함하지 않습니다. 계정의 모든 Systems Manager API 활동은 AWS CloudTrail 로그를 위해 S3 버킷에 기록됩니다. 즉, 해당 S3 버킷에 대한 액세스 권한이 있는 사용자는 그러한 보안 암호의 일반 텍스트 값을 볼 수 있습니다. 따라서 SecureString 파라미터를 생성하고 사용하여 Systems Manager 작업에 사용하는 민감한 데이터를 암호화하는 것이 좋습니다.

자세한 내용은 IAM 정책을 사용하여 Parameter Store 파라미터에 대한 액세스 제한 단원을 참조하십시오.

참고
기본적으로 CloudTrail이 버킷에 제공하는 로그 파일은 Amazon S3가 관리하는 암호화 키(SSE-S3)를 사용하는 서버 측 암호화를 사용하여 암호화됩니다. 직접 관리할 수 있는 보안 계층을 제공하려면 CloudTrail 로그 파일에 대한 AWS KMS 관리형 키(SSE-KMS)를 사용하는 서버 측 암호화를 대신 사용하면 됩니다.
자세한 내용은 AWS CloudTrail 사용 설명서의 AWS KMS–관리형 키(SSE-KMS)로 CloudTrail 로그 파일 암호화를 참조하세요.
Run Command의 대상 및 속도 제어 기능을 사용하여 단계별 명령 작업을 수행합니다.
AWS Identity and Access Management(IAM) 정책을 사용하여 Run Command 및 모든 Systems Manager 기능에 대해 세분화된 액세스 권한을 사용합니다.

Session Manager

State Manager

사전 구성된 AWS-UpdateSSMAgent 문서를 사용하여 적어도 한 달에 한 번 SSM Agent를 업데이트합니다.
(Windows) PowerShell 또는 DSC 모듈을 Amazon Simple Storage Service(Amazon S3)에 업로드하고 AWS-InstallPowerShellModule을 사용합니다.
태그를 이용해 노드에 대한 애플리케이션 그룹을 생성합니다. 그런 다음 개별 노드 ID를 지정하는 대신 Targets 파라미터를 사용하여 노드를 대상으로 합니다.
Systems Manager를 사용하여 Amazon Inspector에서 생성된 결과를 자동으로 수정합니다.
SSM 문서에 중앙 집중식 구성 리포지토리를 사용하고 조직 전체에 걸쳐 문서를 공유합니다.
State Manager와 Maintenance Windows의 차이에 대한 자세한 내용은 State Manager와 Maintenance Windows 중에서 선택 섹션을 참조하세요.

관리형 노드

Systems Manager는 작업을 수행하기 위해 정확한 시간 참조가 필요합니다. 노드의 날짜와 시간이 잘못 설정되어 있으면 API 요청의 서명 날짜와 일치하지 않을 수 있습니다. 이로 인해 오류 또는 불완전한 기능이 발생할 수 있습니다. 예를 들어 시간 설정이 올바르지 않은 노드는 관리형 노드 목록에 포함되지 않게 됩니다.

노드에 대한 자세한 정보는 Amazon EC2 인스턴스의 시간 설정을 참조하세요.
Linux 관리 노드에서는 서명을 확인합니다 SSM Agent.

추가 정보

Systems Manager의 보안 모범 사례

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

Systems Manager용 형식이 지정된 날짜 및 시간 문자열 생성

Systems Manager 리소스 및 아티팩트 삭제