by
Apr 10. 2019
63. AWS에서 웹 콘솔로 서버 관리.SSM사용2/2
System Manager,Session Manager
<1> Private IP 서버들도 웹콘솔로 접근해 관리하고자 한다.
<2> AWS 설정법
<3> 참고 자료
<1> Private IP 서버들도 웹콘솔로 접근해 관리하고자 한다.
1. Pirvate IP를 가진 EC2와 System Manager와 443포트로 통신이 되어야 하고, 권한이 있으면 된다.
2. Private IP 서버들은 퍼블릭망에 있는 System Manager와 통신이 되어야 웹콘솔 사용이 가능하다.
EndPoint(Private-link)를 설정해 Private IP서버가 System Manager와 통신이 되도록 설정한다.
<2> AWS 설정법
1. VPC구성
2. EC2 생성 ( EC2에 에이전트 설치)
3. EC2와 System Manager사이 EndPoint(Private-link)를 설정
4. 443을 허용하는 Security Group 생성
5. 모든 EndPoint의 Security Group을 변경
6. EC2에 System Manager 제어가 되도록 IAM 권한 추가
7. 웹 콘솔 사용
1. VPC구성
1) VPC
사설 Subnet이 있는 구성으로 한다.
2. EC2 생성 ( EC2에 에이전트 설치)
1) EC2 > Amazon Linux 를 선택한다.
Amazon Linux로 생성하면 SSM 에이전트(amazon-ssm-agent) 가 설치되어 있다.
Amazon Linux가 아닌 EC2에는 SSM 에이전트를 설치해야 한다.
2) 사설 Subnet에 EC2를 생성
- EC2의 SSM 에이전트와 Session Manager의 퍼블릭 엔드포인트에 연결할 수 있어야 한다.
- EC2가 공인인경우는 IGW나 사설로 NAT를 통해 나가기만 하면 된다. (보안그룹에서 허용할 포트는 없다)
- Private IP만 가진 서버는 EndPoint로 연결한다.
3. EC2와 System Manager 간 EndPoint(Private-link)를 설정.
[VPC]-[Endpoints] -[Create Endpoint]
EC2가 사설인경우는 EndPoint설정을 하여 , EC2 SSM 에이전트와 System Manager간 연결을 한다.
인터페이스 VPC 엔드포인트 (AWS PrivateLink) 설정 - 유료
4. 443포트를 하용하는 Security Group 생성.
EndPoint를 설정할때는 Security Group설정은 필수 이다.
EC2 와 System Manager 는 443 통신을 한다.
443포트에 대해 Security Group에서 허용되어야 한다.
ssm 보안그룹
내부 10.0.0.0/8 블럭내에서는 443 통신이 되도록 Security Group을 만든다.
5. 모든 EndPoint의 Security Group을 변경.
EndPoint 4개 (ec2,ec2messages,ssm,ssmmessages)의 보안그룹을 ssm으로 변경한다.
(443 통신 허용)
기타. S3 EndPoint는 Public, Private subnet 모두 추가.
해당 서브넷에서 S3로 직접 연결될수 있도록 한다.
6. EC2에 System Manager 관리가 되도록 IAM 권한 추가.
1) SSM role 생성한다.
IAM > Roles > Create role > EC2 > SSM role을 만들고 권한을 추가한다.
AmazonEC2RoleForSSM 을 선택한다.
Role name : ssm-role
2) EC2 IAM role 을 ssm-role로 변경한다.
7. 웹 콘솔 사용.
Systems Manager > Managed Instances 에 접속 가능한 서버가 나온다.
콘솔 접속해 사용한다.
<3> 참고 자료
EC2 SSH키 분실시 SSM이용 관라자 권한 상승으로 임시 조치 가능
https://www.notion.so/LabGuide-AWS-Systems-Manager-Session-Manager-bf6bac3002044daf8a2b3d5487a2faeb
