Systems Manager 통합 콘솔 환경의 설정 프로세스는 몇 번의 클릭만으로 AWS Management Console에서 완료됩니다. AWS Organizations 조직에 Systems Manager를 설정하려면 조직의 관리 계정과 위임된 관리자로 사용할 조직의 다른 계정에 대한 액세스 권한이 있어야 합니다. 관리 계정에 대한 액세스는 Systems Manager를 활성화하거나 비활성화하는 경우에만 필요합니다. 노드를 관리하려면 위임된 관리자 계정을 사용합니다. 조직 전반에 걸쳐 노드를 관리하는 경우 Systems Manager는 다양한 종속 서비스를 사용하여 통합 콘솔의 기능을 설정하고 개선합니다. 따라서 Systems Manager는 신뢰할 수 있는 액세스를 활성화하고 다음 서비스에 대해 위임된 관리자 계정을 등록해야 합니다.
-
AWS CloudFormation - Systems Manager에 필요한 리소스를 계정에 배포합니다.
-
AWS 리소스 탐색기 - 계정에서 EC2 인스턴스를 검색하고 필터링합니다.
-
AWS Systems Manager Explorer - 계정에 Systems Manager용으로 배포된 리소스의 상태를 모니터링하고 문제를 해결합니다.
-
AWS Systems Manager Quick Setup - Systems Manager에 필요한 Quick Setup 구성을 계정에 배포합니다.
조직을 위한 Systems Manager 설정을 시작하기 전에 이러한 종속 서비스에 대해 위임된 관리자의 할당량을 이미 초과하지 않았는지 확인합니다. 그러지 않으면 Systems Manager를 활성화하는 데 필요한 위임된 관리자 계정을 등록할 수 없습니다. 조직에서 Systems Manager를 활성화하면 조직의 모든 계정이 포함됩니다. 현재로서는 설정 프로세스에서 계정을 제외할 수 있는 조항이 없습니다. Systems Manager를 활성화하는 경우 포함할 AWS 리전을 선택할 수 있습니다. 현재 Systems Manager를 위한 통합 콘솔 환경을 지원하는 리전만 선택할 수 있습니다. 콘솔 환경을 사용할 수 있는 리전에 대한 자세한 내용은 지원되는 AWS 리전 섹션을 참조하세요.
참고
홈 리전과는 다른 리전에서 Resource Explorer에 대한 애그리게이터 인덱스를 생성한 경우 Systems Manager가 현재 인덱스를 강등합니다. 그런 다음 Systems Manager는 홈 리전의 로컬 인덱스를 새 애그리게이터 인덱스로 승격합니다. 이 기간 동안에는 홈 리전에 대한 노드만 표시됩니다. 이 프로세스를 완료하는 데 최대 24시간이 걸릴 수 있습니다.
Systems Manager 콘솔 환경을 위한 설정 프로세스에서는 많은 필수 태스크를 자동으로 완료합니다. 여기에는 필요한 IAM 권한이 있는 인스턴스 프로파일을 생성하고 노드에 연결하는 등의 작업이 포함됩니다. 다음은 통합 콘솔에 대해 Systems Manager에서 생성한 리소스의 세부 목록입니다.
Resource Explorer 관리형 뷰
-
AWSManagedViewForSSM- Systems Manager가 조직의 Resource Explorer에서 인덱싱된 리소스 정보에 액세스하도록 허용합니다. 이러한 관리형 뷰는 Systems Manager에서만 업데이트하거나 삭제할 수 있습니다. 즉, 관리형 뷰를 삭제하거나 Resource Explorer를 끄려면 통합 콘솔을 비활성화해야 합니다. 통합 콘솔을 비활성화하는 방법에 대한 자세한 내용은 Systems Manager 통합 콘솔 비활성화 섹션을 참조하세요. 관리형 뷰에 대한 자세한 내용은 Resource Explorer 사용 설명서에서 AWS 관리형 뷰를 참조하세요.
IAM 역할
-
RoleForOnboardingAutomation- 설정 프로세스 중에 Systems Manager의 리소스 관리를 허용합니다. 정책에 대한 자세한 내용은 AWSQuickSetupSSMManageResourcesExecutionPolicy를 참조하세요. -
RoleForLifecycleManagement- Lambda의 설정 프로세스에서 생성된 리소스의 수명 주기 관리를 허용합니다. 정책에 대한 자세한 내용은 AWSQuickSetupSSMLifecycleManagementExecutionPolicy를 참조하세요. -
RoleForAutomation- 런북 실행을 위해 맡을 Systems Manager Automation 서비스 역할입니다. 자세한 내용은 콘솔을 사용하여 Automation을 위한 서비스 역할 생성 단원을 참조하십시오. -
AWSSSMDiagnosisAdminRole- 진단 런북을 사용하는 자동화를 시작하는 데 사용되는 관리 역할입니다. 정책에 대한 자세한 내용은 AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy, AWS-SSM-Automation-DiagnosisBucketPolicy 및 AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy를 참조하세요. -
AWSSSMDiagnosisExecutionRole- 진단 런북의 자동화 실행 역할입니다. 정책에 대한 자세한 내용은 AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy 및 AWS-SSM-Automation-DiagnosisBucketPolicy를 참조하세요. -
AWSSSMRemediationAdminRole- 문제 해결 런북을 사용하는 자동화를 시작하는 데 사용되는 관리 역할입니다. 정책에 대한 자세한 내용은 AWS-SSM-RemediationAutomation-AdministrationRolePolicy, AWS-SSM-Automation-DiagnosisBucketPolicy 및 AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy를 참조하세요. -
AWSSSMRemediationExecutionRole- 문제 해결 런북의 자동화 실행 역할입니다. 정책에 대한 자세한 내용은 AWS-SSM-RemediationAutomation-ExecutionRolePolicy 및 AWS-SSM-Automation-DiagnosisBucketPolicy를 참조하세요. -
ManagedInstanceCrossAccountManagementRole- Systems Manager의 계정 간 관리형 노드 정보 수집을 허용합니다.
State Manager 연결
-
EnableDHMCAssociation- 매일 실행되며 기본 호스트 관리 구성이 활성화되어 있는지 확인합니다. -
SystemAssociationForManagingInstances- 30일마다 실행되며 노드에 연결된 인스턴스 프로파일에AmazonSSMManagedInstanceCore정책이 적용되는지 확인합니다. 노드에 연결된 인스턴스 프로파일이 없는 경우 Systems Manager는AmazonSSMManagedInstanceCore정책이 포함된 인스턴스 프로파일을 생성하고 노드에 연결합니다. 노드에 이미 인스턴스 프로파일이 연결되어 있는 경우 정책이 인스턴스 프로파일에 추가됩니다. 인스턴스 프로파일에 필요한 권한이 이미 포함된 경우 변경 사항이 적용되지 않습니다.참고
AWS CloudFormation에서 노드를 시작한 경우 Systems Manager에서 인스턴스 프로파일을 변경하면 AWS CloudFormation이 리소스가 드리프트된 것으로 감지할 수 있습니다.
-
SystemAssociationForEnablingExplorer- 매일 실행되며 Explorer가 활성화되었는지 확인합니다. Explorer는 관리형 노드 데이터 동기화에 사용됩니다. -
EnableAREXAssociation- 매일 실행되며 AWS 리소스 탐색기의 활성화 여부를 확인합니다. Resource Explorer는 Systems Manager에서 관리하지 않는 조직의 Amazon EC2 인스턴스를 확인하는 데 사용됩니다. -
SSMAgentUpdateAssociation- 14일마다 실행되며 사용 가능한 최신 버전의 SSM Agent가 관리형 노드에 설치되었는지 확인합니다. -
SystemAssociationForInventoryCollection- 12시간마다 실행되며 관리형 노드에서 인벤토리 데이터를 수집합니다.
S3 버킷
-
DiagnosisBucket- 진단 런북 실행에서 수집된 데이터를 저장합니다.
Lambda 함수
-
SSMLifecycleOperatorLambda- 위탁자에게 모든 AWS Systems Manager 빠른 설정 작업에 대한 액세스할 수 있도록 허용합니다. -
SSMLifecycleResource- 설정 프로세스에서 생성된 리소스의 수명 주기 관리에 도움이 되는 사용자 지정 리소스입니다.
또한 설정 프로세스가 완료되면 노드 진단 및 문제 해결 태스크를 선택하여 Systems Manager에서 관리형으로 보고되지 않는 노드에 자동으로 수정 사항을 적용할 수 있습니다. 여기에는 Systems Manager 엔드포인트에 대한 네트워크 연결 문제와 같은 문제를 파악하는 것이 포함될 수 있습니다.
조직에 Systems Manager를 설정하려면
-
조직의 관리 계정에 로그인합니다.
AWS Systems Manager 콘솔(https://console.aws.amazon.com/systems-manager/
)을 엽니다. -
위임된 관리자로 등록할 계정의 ID를 입력합니다.
-
위임된 관리자 계정을 성공적으로 등록하면 방금 등록한 위임된 관리자 계정에 로그인하고 Systems Manager 콘솔로 돌아가서 Systems Manager 설정을 완료합니다.
-
Systems Manager 활성화를 선택합니다.
-
홈 리전 섹션에서 Systems Manager가 노드 데이터를 집계할 리전을 결정합니다. 기본적으로 Systems Manager는 현재 사용 중인 리전을 선택합니다. 다른 홈 리전을 선택하려면 Systems Manager를 설정하기 전에 콘솔을 사용하려는 리전으로 변경합니다. 노드 데이터는 조직의 계정과 리전 전반에 걸쳐 복제되어 홈 리전에 저장됩니다. Systems Manager를 설정한 후에는 선택한 리전을 변경할 수 없습니다. 다른 리전을 조직의 홈 리전으로 사용하려면 통합 콘솔을 비활성화하고 설정 프로세스를 다시 완료해야 합니다. 조직에서 IAM Identity Center를 사용하는 경우 IAM Identity Center를 설정한 리전을 홈 리전과 동일하게 선택해야 합니다.
-
리전 섹션에서 Systems Manager를 활성화하려는 리전을 선택합니다.
-
제출을 선택합니다.
조직의 크기에 따라 Systems Manager 통합 콘솔 환경을 설정하는 데 시간이 오래 걸릴 수 있습니다.
