AWS Systems Manager FAQ

Q: AWS Systems Manager Explorer란 무엇입니까?
AWS Systems Manager Explorer는 AWS와 멀티클라우드 및 하이브리드 환경의 리소스에 대한 사용자 지정 가능한 운영 대시보드입니다. Explorer는 AWS 계정 및 리전 전체의 운영 데이터에 대한 집계된 보기를 표시합니다. Explorer는 운영 문제가 사업부 또는 애플리케이션에 어떻게 분포되는지, 시간이 지남에 따라 어떻게 진행되는지, 범주별로 어떻게 다른지에 대한 컨텍스트를 제공합니다.

Q: OpsData란 무엇입니까?
OpsData는 Explorer 대시보드에 표시되는 운영 데이터입니다. OpsData는 EC2, OpsCenter 및 패치 관리자를 비롯한 다양한 소스에서 제공됩니다. Explorer 설정 페이지에서 OpsData 소스를 보고 관리할 수 있습니다.

Q: Explorer와 OpsCenter는 어떤 관계가 있습니까?
Explorer에서 표시하는 데이터 유형 중 하나가 OpsCenter의 OpsItems입니다. OpsItems는 운영 문제를 관리, 조사 및 해결하는 데 도움이 됩니다. Explorer는 계정 및 리전에 걸쳐 다른 관련 운영 데이터와 함께 OpsItems의 집계된 보기를 제공합니다. OpsItems는 OpsCenter를 통해 계속 관리하고 업데이트를 적용할 수 있습니다.

Q: 계정 및 리전에 걸쳐 OpsData를 보려면 어떻게 해야 합니까?
Explorer 설정 페이지에서 리소스 데이터 동기화를 설정하여 계정 및 리전에 걸쳐 OpsData를 볼 수 있습니다. 리소스 데이터 동기화는 지정한 계정 및 리전에서 모든 OpsData를 수집하여 단일 보기로 집계합니다.

Q: AWS Systems Manager 및 AWS Security Hub는 언제 사용합니까?
AWS Systems Manager는 클라우드 및 하이브리드 인프라를 손쉽게 관리할 수 있도록 지원하는 AWS용 운영 허브입니다. Systems Manager에서는 Systems Manager OpsCenter를 사용하여 중앙 위치에서 AWS와 멀티클라우드 및 하이브리드 환경의 리소스와 관련된 운영 문제를 진단 및 해결하고 Systems Manager Explorer를 사용하여 AWS 계정 및 리전 전반의 운영 데이터에 대한 대시보드를 확인할 수 있습니다. AWS Security Hub는 보안 및 규정 준수 전문가와 DevOps 엔지니어가 AWS 계정 및 리소스의 보안 태세를 계속 모니터링하고 개선하는 데 사용됩니다. 대부분의 고객은 보안 문제에 민감하고 일반적으로 액세스 요구 사항이 서로 다르기 때문에 보안 문제(예: 퍼블릭 액세스가 가능한 Amazon S3 버킷 또는 Amazon EC2 인스턴스에서 감지된 암호 마이닝) 및 운영 문제(예: 사용률이 너무 낮은 Amazon Redshift 인스턴스 또는 사용률이 너무 높은 Amazon EC2 인스턴스)를 분리합니다. 그래서, Security Hub를 사용하여 보안 문제를 이해, 관리 및 해결하고, Systems Manager를 사용하여 운영 문제를 이해, 관리 및 해결할 수 있습니다. 또한, 보안 태세에 대한 보다 전문화된 보기를 원하는 경우 Security Hub를 사용하는 것이 좋습니다.

동일한 엔지니어가 보안 및 운영 문제 모두를 처리하는 경우 단일 위치로 통합하면 도움이 될 수 있습니다. Systems Manager OpsCenter 및 Explorer로 결과 전송을 옵트인하면 됩니다. 여기에서 엔지니어는 Systems Manager Automation 런북을 사용하여 운영 문제 외에도 보안 문제를 조사하고 해결할 수 있습니다.

Q: Amazon CloudWatch 대시보드란 무엇입니까?
Amazon CloudWatch 대시보드를 사용하면 재사용 가능한 대시보드를 생성하여 AWS와 멀티클라우드 및 하이브리드 환경의 리소스를 한 곳에서 모니터링할 수 있습니다. 지표 데이터는 15개월 동안 보관되기 때문에 최신 데이터와 기록 데이터를 모두 볼 수 있습니다.

Q: Amazon CloudWatch 대시보드는 AWS Systems Manager와 어떻게 통합되어 있나요?
기존 CloudWatch 대시보드가 이제 AWS Systems Manager에서 바로 제공됩니다. 또한, Systems Manager에서 직접 CloudWatch 대시보드를 생성할 수도 있습니다. CloudWatch 대시보드를 사용하면 애플리케이션 구성 요소 상태, 애플리케이션 계층 또는 운영 소유권의 일반적인 영역을 반영하도록 자체 운영 대시보드를 구축할 수 있습니다.

Q: AWS AppConfig란 무엇인가요?
AWS AppConfig는 AWS Systems Manager의 한 가지 기능으로, Amazon EC2 인스턴스, 컨테이너, AWS Lambda 함수, 모바일 앱 또는 IoT 디바이스에 호스팅되었는지에 상관없이 어떤 크기의 애플리케이션에서든 제어 및 모니터링되는 방식으로 구성을 빠르게 검증하고 롤아웃할 수 있습니다. AWS AppConfig를 사용하면 애플리케이션에 배포하기 전에 정의에 따라 구성 데이터가 의미 및 구문 측면에서 올바른지를 검증할 수 있습니다. AWS AppConfig에서는 오류가 있는지 모니터링하면서 사용자가 정의한 속도로 구성을 롤아웃하여 배포 모범 사례를 따를 수 있습니다. 오류가 발생한 경우 애플리케이션의 사용자에게 미치는 영향을 최소화하도록 AWS AppConfig는 변경 사항을 롤백할 수 있습니다.

Q: AWS AppConfig는 누가 사용해야 하나요?
AWS AppConfig는 관리형 코드와 비슷하게 관리 및 모니터링되는 방식으로 애플리케이션에서 구성 변경 사항을 롤아웃하려는 시스템 관리자, DevOps 팀 및 개발자를 대상으로 설계되었습니다. 하지만 구성 값이 변경될 때 코드를 배포하지 않아도 되므로 가동 중단 위험을 완화할 수 있습니다. AWS AppConfig는 구성에 대한 대상(호스트, 서버, AWS Lambda 함수, 컨테이너, 모바일 디바이스, IoT 디바이스 등)이 있는 회사나 조직(규모나 유형에 상관없이)에 적합합니다.

Q: 구성이란 무엇인가요?
구성이란, 애플리케이션이 런타임에 해당 동작을 수정하는 데 사용하는 하나 이상의 애플리케이션 설정 모음입니다. 또한, AWS Systems Manager 문서나 파라미터로 구성을 저장할 수도 있습니다.

Q: 검사기란 무엇인가요?
검사기란, AWS AppConfig가 정의에 따라 구성이 의미 또는 구문 체계에서 올바른지 테스트하는 데 사용하는 AWS Lambda 함수에 대한 포인터 또는 스키마입니다.

Q: 배포 전략이란 무엇인가요?
배포 전략이란, 구성 데이터를 애플리케이션에 전파하는 방식에 대한 계획입니다. 배포 전략에는 구성을 롤아웃하는 속도, 다양한 간격으로 업데이트된 구성을 수신해야 하는 애플리케이션 인스턴스 비율 및 구성 변경 사항이 부작용을 일으키지 않도록 보장하기 위해 AWS AppConfig에서 전반적인 애플리케이션을 모니터링해야 하는 시간을 정의하는 제어가 포함됩니다.

Q: AWS AppConfig는 AWS CodeDeploy와 어떻게 다른가요?
애플리케이션 구성은 애플리케이션의 동작에 영향을 미치는 데이터로, 컴파일이 필요하지 않습니다. 구성은 런타임에 변경할 수 있는 추상적 데이터입니다. 예를 들어, 특정 날짜 및 시간으로 구성 값을 채워 기능 릴리스를 제어할 수 있습니다. 새 날짜와 시간과 같은 값을 변경해야 하는 경우 관리자는 컴파일하지 않고도 구성 값을 변경할 수 있으며, 애플리케이션은 런타임에 새 구성을 적용합니다. 애플리케이션 구성 및 코드는 모두 프로덕션 환경에서 오류를 방지하기 위한 안전 메커니즘을 포함해야 합니다. 새 구성을 배포하는 경우에는 안전 메커니즘을 적용하기 위해 AWS AppConfig를 사용하고, 새 코드를 배포하는 경우에는 AWS CodeDeploy를 사용하는 것이 좋습니다.

Q: AWS Systems Manager Parameter Store는 언제 사용해야 하며, AWS AppConfig는 언제 사용해야 하나요?
AWS Systems Manager Parameter Store는 보안 정보 또는 일반 텍스트 구성 값을 저장, 검색 및 관리할 수 있는 기능입니다. Parameter Store의 일반적인 사용 사례로는 데이터베이스 문자열 및 라이선스 코드를 파라미터 값으로 저장하는 경우가 이에 해당됩니다. 자체 관리형 방식으로 값을 저장하고 검색해야 하는 경우 Parameter Store를 사용해야 합니다. AWS AppConfig는 런타임에 업데이트된 구성을 애플리케이션에 안전하게 출시하고 구성을 파라미터로 저장할 수 있는 애플리케이션 구성 관리 서비스입니다. 특정 조건에서 변경 사항을 롤백하는 기능과 함께, 제어된 환경에 안전하게 검증 및 배포할 수 있는 복잡한 애플리케이션 구성 세트를 모델링해야 하는 경우 AWS AppConfig를 사용해야 합니다.

Q: AWS AppConfig는 AWS Config와 어떻게 다른가요?
AWS Config에서는 AWS 리소스 구성을 검토, 감사 및 평가할 수 있는 반면, AWS AppConfig에서는 애플리케이션 구성을 관리할 수 있습니다. 계정에서 AWS 리소스 구성을 자세히 보고 과거에 리소스가 구성된 방식과 시간대별 구성 변경을 식별하려면 AWS Config를 사용해야 합니다. AWS AppConfig는 AWS 리소스 또는 온프레미스 서버에서 실행되는 애플리케이션을 대상으로 합니다. AWS AppConfig를 사용하면 애플리케이션 구성에서 변경 사항을 검증하고 런타임에 업데이트된 구성을 애플리케이션에 안전하게 배포하도록 배포 전략을 설정할 수 있습니다.

Q:AWS Systems Manager parameter store란 무엇입니까?
AWS Systems Manager는 데이터베이스 문자열과 같은 평문 데이터든 암호와 같은 비밀이든 관계없이 구성 데이터를 관리할 수 있는 중앙 스토어를 제공합니다. 따라서 비밀과 구성 데이터를 코드와 분리할 수 있습니다. 파라미터를 태깅하고 계층으로 분류할 수 있으므로 좀 더 쉽게 파라미터를 관리할 수 있습니다. 예를 들어 "db-string"라는 같은 파라미터 이름을 "dev/db-string" 또는 "prod/db-string"이라는 서로 다른 계층 경로에 사용하여 서로 다른 값을 저장할 수 있습니다. Systems Manager는 AWS Key Management Service(KMS)와 통합되므로, 저장하는 데이터를 자동으로 암호화할 수 있습니다. 또한, AWS Identity and Access Management(IAM)를 사용해 파라미터에 대한 사용자 및 리소스 액세스를 제어할 수 있습니다. 파라미터는 Amazon Elastic Container Service(ECS), AWS Lambda 및 AWS CloudFormation과 같은 다른 AWS 서비스를 통해 참조할 수 있습니다.

Q: AWS Systems Manager Parameter Store를 사용해야 하는 이유는 무엇인가요?
구성 데이터 및 비밀을 코드와 분리하여 저장하는 것이 모범 사례입니다. AWS Systems Manager parameter store를 사용하면 구성 및 민감한 정보를 신속하게 저장하고 참조할 수 있습니다. 구성 파일에 데이터를 저장하거나 평문으로 데이터를 참조하는 대신, 애플리케이션 또는 스크립트에서 이러한 정보를 저장하고 확보할 수 있습니다. 또한, 적합한 사용자만 적절한 정보에 액세스할 수 있도록 파라미터에 액세스할 권한이 있는 사용자를 제어할 수 있습니다.

Q: 민감한 데이터는 어떻게 저장해야 하나요?
보안 문자열은 안전한 방식으로 저장되고 참조되어야 하는 모든 민감한 데이터를 뜻합니다. 사용자가 평문으로 참조해서는 안 되는 데이터가 있거나 조작 또는 오용될 수 있는 데이터에 액세스할 경우 AWS Systems Manager Parameter Store의 보안 문자열을 사용해야 합니다. 자체 AWS KMS 키 또는 AWS KMS에서 제공하는 사용자 계정 기본 키를 사용하여 민감한 데이터를 암호화할 수 있습니다.

Q: 내 파라미터를 참조할 수 있는 서비스로는 무엇이 있나요?
Amazon ECS, AWS Lambda 및 AWS Systems Manager와 같은 AWS 서비스 또는 AWS Systems Manager Parameter Store API를 사용할 수 있는 모든 서비스에서 손쉽게 파라미터를 참조할 수 있습니다.

Q: 사용량을 추적하고 특정 파라미터에 대한 액세스 제어를 제공할 수 있나요?
예. AWS IAM을 사용하면 파라미터 액세스를 위해 사용자 및 리소스(예: 인스턴스)에 대하여 사용자 지정된 권한을 통해 세분화된 액세스 제어를 제공할 수 있습니다. 즉, 누가 어떤 리소스에서 어떤 파라미터에 액세스할 수 있는지 제어할 수 있습니다. 파라미터 변경 이벤트를 기준으로 Amazon CloudWatch Events 규칙을 설정할 수도 있습니다. 또한, AWS CloudTrail을 사용하여 파라미터 API 호출을 추적하고 감사할 수도 있습니다.

Q: 파라미터에 대한 변경 사항을 추적할 수 있나요?
예. 파라미터 변경 사항 기록을 볼 수 있습니다. 또한 변경이 발생할 때마다 자동으로 구현되는 버전을 사용해 버전을 기준으로 특정 파라미터 값을 검색할 수 있습니다.

Q: 계층 데이터를 파라미터로 저장할 수 있나요?
예. 계층 구조를 사용해 파라미터를 저장할 수 있습니다. 또한, 계층의 모든 레벨에서 액세스를 제어하고 감사할 수 있습니다.

Q: 파라미터 값이 변경될 때 알림을 수신할 수 있나요?
예. 개별 파라미터 값에 대한 Amazon CloudWatch 및 Amazon Simple Notification Service(SNS) 알림을 설정하고 변경 시 알림을 수신할 수 있습니다.

Q: Secrets Manager와 Parameter Store의 차이점은 무엇인가요?
AWS Secrets Manager는 교체, 감사 및 액세스 제어를 비롯하여 조직 내에서 사용하는 보안 정보의 수명 주기를 중앙 집중식으로 관리하는 서비스입니다. Secrets Manager를 사용하면 보안 정보를 자동으로 교체하여 보안 및 규정 준수 요구 사항을 충족할 수 있습니다. Secrets Manager는 Amazon RDS 기반 MySQL, PostgreSQL 및 Amazon Aurora와 기본적으로 통합되며 Lambda 함수를 사용자 지정하여 다른 유형의 보안 정보로 확장 적용할 수 있습니다.

AWS Systems Manager Parameter Store는 구성 데이터 관리를 위한 안전한 계층적 스토리지를 제공하며 여기에는 보안 정보를 포함할 수 있습니다. 데이터베이스 연결 문자열, 암호, 라이선스 코드와 같은 데이터는 파라미터 값으로 저장될 수 있고 감사를 수행하고 액세스를 제어할 수 있습니다. 저장된 값은 평문 또는 암호화된 데이터가 될 수 있습니다. 그런 다음 고유한 파라미터 이름을 사용하여 값을 참조할 수 있습니다. Systems Manager 파라미터를 참조하여 Amazon ECS 및 AWS CloudFormation과 같은 AWS 서비스 전체에서 사용할 일반 구성과 자동화 스크립트는 작성할 수 있습니다.

Q: Parameter Store를 사용해야 하나요, 아니면 Secrets Manager를 사용해야 하나요?
구성과 보안 정보를 위한 단일 스토어를 원한다면, Parameter Store를 사용하면 됩니다. 수명 주기 관리가 제공되는 전용 보안 정보 스토어를 원한다면, Secrets Manager를 사용하십시오. Parameter Store는 파라미터 10,000개까지 추가 비용 없이 사용할 수 있습니다. 자세한 내용은 Secrets Manager 요금 페이지를 참조하세요.

Q: Parameter Store와 Secrets Manager의 보안 모델에 차이가 있나요?
아니오. Parameter Store와 Secrets Manager 둘 다 똑같이 안전합니다. 두 서비스 모두 고객 소유의 KMS 키를 사용한 저장 암호화를 지원합니다. Parameter Store에서 KMS를 사용하는 방법에 대한 자세한 내용은 KMS 개발자 안내서에서 Parameter Store에서 AWS KMS를 사용하는 방법 섹션을 참조하세요.

Q: Secrets Manager를 Parameter Store와 함께 사용할 수 있나요?
예. Parameter Store에서 Secrets Manager 보안 정보를 참조할 수 있습니다.

Q: 고급 파라미터란 무엇인가요?
고급 파라미터는 1만 개 이상의 파라미터를 저장하는 기능, 더 커진 파라미터 값 크기(최대 8KB), 파라미터 정책(예; 만료 및 변경 없음 알림) 같은 향상된 기능을 제공합니다. 만료 정책은 만료 날짜와 시간을 지정할 수 있는 기능을 제공합니다. 변경 없음 알림 정책은 지정된 기간 동안 변경되지 않은 파라미터를 추적하는 데 도움이 됩니다. 고급 파라미터는 월별 스토리지당 그리고 API 상호 작용당 요금이 부과됩니다. 자세한 내용은 요금 페이지를 참조하세요.

Q: 표준 파라미터 유형과 고급 파라미터 유형 간을 변환할 수 있나요?
표준 파라미터는 언제든지 고급 파라미터로 변환할 수 있습니다. 고급 파라미터는 표준 파라미터로 변환할 수 없습니다. 고급 파라미터의 향상된 기능이 더 이상 필요 없거나, 이러한 파라미터에 대한 비용을 지불하길 더 이상 원치 않는 경우 고급 파라미터를 삭제한 후 표준 파라미터를 새 파라미터로 생성할 수 있습니다.

Q: Parameter Store에 대한 API 처리량을 늘릴 수 있나요?
예. Parameter Store 설정 탭을 통해 API 처리량을 더 높은 한도로 늘릴 수 있습니다. API 처리량 한도는 계정별로 리전당 적용되며, 늘어난 처리량 한도에 대한 요금이 발생합니다. 자세한 내용은 요금 페이지를 참조하세요. 늘어난 처리량이 더 이상 필요하지 않으면 언제든지 설정 탭에서 한도를 재설정할 수도 있습니다.

Q: AWS Systems Manager Automation이란 무엇인가요?
AWS Systems Manager의 기능인 Automation은 런북을 사용하여 작업을 코드화할 수 있도록 함으로써 Amazon EC2, Amazon RDS, Amazon Redshift, Amazon S3 등과 같은 AWS 서비스의 일반적인 유지 보수, 배포, 개선 작업을 간소화합니다. Systems Manager Automation의 로우 코드 시각적 디자이너를 사용하면 특정 작업 목록을 지정하는 사용자 지정 런북을 만들거나 AWS에서 생성한 사전 정의된 런북을 사용할 수 있습니다. 이러한 런북은 AWS Management Console, CLI, SDK를 통해 직접 실행하거나, 유지 관리 기간에 일정을 예약하거나, Amazon CloudWatch Events를 통해 AWS와 멀티클라우드 및 하이브리드 환경의 리소스에 대한 변경 사항을 기준으로 트리거할 수 있습니다. 런북의 단계별 실행을 추적하고 단계별 승인을 받도록 할 수 있습니다. 또한, 점진적으로 변경 사항을 롤아웃하고 오류가 발생하면 자동으로 중지할 수 있습니다.

Q: 자동화할 수 있는 작업에는 무엇이 있습니까?
AWS 및 온프레미스 리소스와의 상호 작용과 관련된 모든 작업을 자동화할 수 있습니다. 기본 제공 작업 유형을 사용하면 손쉽게 Amazon EC2 인스턴스, AWS CloudFormation 스택 등과 상호 작용할 수 있습니다. 작업 유형은 AWS Systems Manager Run Command, Python 및 PowerShell 스크립트, AWS Lambda 함수를 호출하는 데 사용할 수 있습니다.

Q: 사전 정의된 AWS Systems Manager Automation 런북이 있나요?
실행하여 골든 AMI 베이크, Amazon EC2 인스턴스 패치, 인스턴스 상태 관리 등 다양한 작업을 완료할 수 있는 370개 이상의 사전 정의된 AWS Systems Manager 런북이 있습니다.

Q: 자체 AWS Systems Manager Automation 런북을 생성할 수 있나요?
콘솔에서 Automation의 로우 코드 시각화 디자이너를 사용하여 사용자 지정 런북을 직접 생성할 수 있습니다. 시각적 디자이너를 사용하면 도메인별 언어 구문에 대해 걱정할 필요 없이 간단한 드래그 앤 드롭 인터페이스를 사용하여 런북의 비즈니스 로직을 정의하는 데 집중할 수 있습니다. 하지만 런북을 코딩하려는 경우 시각적 디자이너에서 JSON 또는 YAML을 지원하는 코드 편집기를 사용할 수도 있습니다. 또한, 다른 계정에서 공유한 AWS Systems Manager Automation 런북을 사용하고 자신의 런북을 다른 계정과 공유할 수 있습니다.

Q: AWS Systems Manager Automation은 승인 프로세스에 도움이 되나요?
예. 기본 제공 승인 작업 유형을 AWS Systems Manager Automation 런북에 추가할 수 있습니다. 한 명 이상의 AWS IAM 사용자를 승인자로 지정할 수 있습니다. 런북은 필요한 최소 승인 수를 받거나 거부될 때까지 실행되지 않고 대기하다가 결과에 따라 적절하게 진행됩니다.

Q: 전체 리소스 그룹을 대상으로 AWS Systems Manager Automation 런북을 실행할 수 있나요?
예. 리소스 그룹을 대상으로 지정하고 특정 리소스 유형에 대해 AWS Systems Manager Automation 런북을 실행할 수 있습니다. 또한, 그룹에서 동시에 실행되어야 하는 리소스 수를 나타내도록 안전 제어 항목을 지정하고, 런북 실행을 중지시키는 오류 임계값을 추가할 수도 있습니다.

Q: AWS Systems Manager Automation 런북의 단계를 한 번에 하나씩 실행할 수 있나요?
예. 전체 AWS Systems Manager Automation 런북을 한 번에 실행하거나 수동 실행 모드를 선택하여 한 번에 한 단계씩 실행할 수 있습니다.

Q: 일정 예약 또는 다른 이벤트를 기반으로 AWS Systems Manager Automation 런북 실행을 트리거할 수 있나요?
예. AWS Systems Manager Automation 런북 실행이 Amazon CloudWatch Events 대상으로 트리거되도록 예약하거나, AWS Systems Manager Maintenance Windows 또는 AWS Systems Manager State Manager를 사용하여 일정에 따라 런북 실행을 트리거할 수 있습니다. 또한, Amazon CloudWatch Events를 통해 AWS와 멀티클라우드 및 하이브리드 환경의 리소스에 대한 변경 사항을 기준으로 런북 실행을 트리거할 수도 있습니다.

Q: 사용자는 Automation 런북에서 스크립트를 어떻게 지정하나요?
Automation에서 스크립트를 실행할 수 있는 방법에는 2가지가 있습니다. 런북의 단계에 스크립트 인라인을 포함할 수 있습니다. 또는 런북에 스크립트를 첨부 파일로 추가하고 런북 단계에서 참조로 실행할 수 있습니다.

Q: Automation 런북은 여러 스크립트를 지원하나요?
예. Automation 런북에 여러 스크립트를 첨부하고 한 단계에 하나의 스크립트를 참조할 수 있습니다. 여러 스크립트를 런북에 파일 또는 폴더로 업로드할 수 있습니다. 스크립트가 모두 같은 런북의 일부인 경우 스크립트 종속성, 즉 스크립트가 다른 스크립트를 호출하는 기능도 지원됩니다. CloudFormation 또는 Serverless Application Model(SAM) 템플릿과 같이 스크립트를 실행하는 데 필요한 다른 아티팩트를 런북에 첨부할 수 있습니다.

Q: Automation에서 스크립트 단계를 위해 지원하는 스크립트 언어는 무엇인가요?
Automation은 PowerShell Core와 Python3를 지원합니다. 사전 로드되는 환경은 AWS API로 사전 로드되는 Python(Boto)입니다. 시각적 디자이너를 사용하여 런북을 작성할 때 Python 스크립트에서 보안 검사를 수행할 수 있습니다. 보안 스캔은 코드의 보안 취약점을 식별하고 코드 보안을 개선하기 위한 해결 방법을 제안합니다. 보안 스캔은 Amazon CodeGuru Security에서 제공합니다. CodeGuru Security 스캔에 대한 Automation 지원은 현재 평가판으로 제공됩니다.

Q: 스크립트 단계에 대한 스크립트의 요구 사항은 무엇인가요?
Automation은 런북을 위해 지정될 입력을 지원합니다. 스크립트에 필요한 파라미터는 Automation 런북 입력 파라미터로 수집되거나, 이전 단계의 출력으로 수집되거나, 데이터베이스와 같은 다른 소스에서 런타임 중에 수집될 수 있습니다. 스크립트 출력은 후속 단계에서 JSON 객체로 사용할 수 있습니다. 참조 단계 출력, Automation 변수, Systems Manager Parameter Store 파라미터와 같은 기존 Automation 기능을 사용하여 런북에서 소비할 출력을 전달할 수 있습니다.

Q: AWS Systems Manager 유지 관리 기간이란 무엇입니까?
AWS Systems Manager를 사용하면 인스턴스 전체에서 관리 및 유지 보수 작업을 실행할 시간대를 예약할 수 있습니다. 따라서 패치 및 업데이트를 설치하거나 다른 구성 변경 사항을 적용할 편리하고 안전한 시간을 선택할 수 있으므로 서비스와 애플리케이션의 가용성과 안정성을 향상할 수 있습니다.

Q: AWS Systems Manager 유지 관리 기간을 사용해야 하는 이유는 무엇인가요?
AWS Systems Manager 유지 관리 기간은 명확하게 정의된 시간대에 자동으로 태스크를 수행하여 운영상의 장애 또는 인프라 장애로 인한 영향을 크게 줄임으로써 워크로드의 가용성 및 안정성을 높이는 데 도움이 됩니다.

Q: AWS Systems Manager 유지 관리 기간에는 어떤 작업을 수행할 수 있습니까?
다음과 같은 작업을 수행할 수 있습니다.

• 애플리케이션 설치, 패치 업데이트, AWS Systems Manager 에이전트 설치 또는 업데이트, PowerShell 명령 및 Linux shell 스크립트.
  
• Amazon Machine Image(AMI) 구축, 소프트웨어 부트스트래핑, 인스턴스 구성.
  
• 패치 업데이트를 위한 인스턴스 스캔과 같은 추가 작업을 트리거하는 AWS Lambda 함수 실행.
  
• Elastic Load Balancing(ELB) 환경에서 인스턴스를 제거하고, 인스턴스를 패치한 다음, 인스턴스를 다시 ELB 환경에 추가하는 등의 태스크를 수행하도록 AWS Step Function 상태 머신 실행.
  
  

Q: AWS Systems Manager 유지 관리 기간에는 어떤 유형의 태스크를 예약할 수 있나요?
AWS Systems Manager Run Command 실행, AWS Systems Manager Automation 문서 실행, AWS Step Functions 또는 AWS Lambda 함수를 태스크로 생성하고 일정을 예약할 수 있습니다.

Q: AWS Systems Manager 유지 관리 기간에는 어떤 유형의 일정을 선택할 수 있나요?
AWS Systems Manager 유지 관리 기간은 반복되는 날짜(예: 매주 화요일 22시 정각 또는 매월 첫째 일요일 22시 정각)로 예약할 수 있습니다. 일정은 cron 또는 rate 식을 사용하여 정의할 수 있습니다.

Q: AWS Systems Manager 구성 규정 준수란 무엇인가요?
AWS Systems Manager를 사용하면 관리형 인스턴스에서 패치 규정 준수 및 구성 불일치 여부를 스캔할 수 있습니다. 여러 AWS 계정 및 리전의 데이터를 수집하여 집계한 후 규정을 준수하지 않는 특정 리소스로 드릴다운할 수 있습니다. 기본적으로 AWS Systems Manager는 패치와 연결 관련 데이터를 표시합니다. 요구 사항에 따라 서비스를 사용자 지정하고 자체 규정 준수 유형을 만들 수도 있습니다. 

Q: 시간 경과에 따른 구성 변경 사항을 추적할 수 있나요?
AWS Config와 통합하면 AWS Config 규칙을 통해 원하는 구성으로 인스턴스의 규정 준수를 모니터링할 수 있습니다. 보안 전문가 및 규정 준수 감사자는 이 기능을 사용하여 인스턴스 구성 변경 사항을 전체적으로 감사 추적할 수 있을 뿐만 아니라, 규정 위반 시 사전 알림을 수신할 수도 있습니다.

Q: 인스턴스의 규정 준수 수준을 보려면 어떻게 해야 하나요?
AWS Systems Manager를 사용하면 패치 적용 프로세스의 상세한 결과를 알려주는 패치 규정 준수 정보를 볼 수 있습니다. 인스턴스별로 집계된 규정 준수 세부 정보를 손쉽게 확인할 수 있습니다. 또한, 추가적인 내용을 파악하고 각 인스턴스에 대해서는 설치된 패치, 누락된 패치, 적용 불가능한 패치 및 설치가 실패한 패치를 각각 확인할 수 있습니다.

Q: 자체 규정 준수 점검 항목을 생성할 수 있나요?
예. API를 통해 자체 규정 준수 유형을 생성하고 기록할 수 있습니다. AWS Systems Manager를 통해 비즈니스 요구 사항에 따라 자체 점검 항목을 생성한 후 규정 준수 결과를 기록하여, 규정을 준수하지 않는 인스턴스를 추적할 수 있습니다. 또한, 리소스 데이터 동기화를 구성하여 계정 및 리전 전체에서 이러한 규정 준수 정보를 볼 수 있습니다.

Q: AWS Systems Manager 인벤토리란 무엇입니까?
AWS Systems Manager는 인스턴스와 인스턴스에 설치된 소프트웨어에 대한 정보를 수집하여 시스템 구성과 설치된 애플리케이션에 대해 이해할 수 있도록 지원합니다. 애플리케이션, 파일, 네트워크 구성, Windows 서비스, 레지스트리, 서버 역할, 업데이트, 기타 시스템 속성을 수집할 수 있습니다. 수집된 데이터를 통해 애플리케이션 자산을 관리하고, 라이선스를 추적하며, 파일 무결성을 모니터링하고, 기존 설치 프로그램으로 설치하지 않은 애플리케이션을 찾는 등 다양한 작업을 수행할 수 있습니다.

Q: Amazon EC2 인스턴스 또는 온프레미스 인스턴스에서 사용자 지정 정보를 수집할 수 있나요?
예. 사용자 지정 인벤토리 유형을 생성하여 인스턴스 자체에서 수집하거나 API를 사용해 기록할 수 있는 시스템 속성을 추가로 수집할 수 있습니다. PowerShell 또는 다른 애플리케이션의 JSON 형식 결과, 랙 정보와 같이 JSON 파일에 정적으로 저장된 정보 등을 예로 들 수 있습니다.

Q: 시간 경과에 따른 구성 변경 사항을 추적하려면 어떻게 해야 하나요?
AWS Config를 사용하면 AWS Config 규칙을 통해 원하는 구성으로 인스턴스의 규정 준수를 모니터링할 수 있습니다. 보안 전문가 및 규정 준수 감사자는 이 기능을 사용하여 인스턴스 구성 변경 사항을 전체적으로 감사 추적할 수 있을 뿐만 아니라, 규정 위반 시 사전 알림을 수신할 수도 있습니다.

Q: AWS 계정 또는 리전 전체에서 인벤토리 데이터를 보거나 쿼리할 수 있나요?
예. 여러 계정과 리전의 인벤토리 데이터를 동일한 Amazon S3 버킷으로 동기화할 수 있습니다. 그런 다음, Amazon Athena, Amazon QuickSight 또는 자체 비즈니스 인텔리전스(BI) 도구를 사용해 계정 및 리전 전체에서 인벤토리 데이터를 쿼리할 수 있습니다.

Q: 인벤토리 데이터에 대해 분석 및 시각화를 수행할 수 있나요?
예. 기본 제공 인벤토리 대시보드 외에도 Amazon Athena 및 Amazon QuickSight를 사용해 인벤토리 데이터에 대한 고급 분석 및 시각화를 구축할 수 있습니다.

Q: 세션 관리자란 무엇인가요?
세션 관리자는 대화형 브라우저 기반 셸과 CLI를 사용하는 완전관리형 서비스입니다. 세션 관리자는 인바운드 포트를 열고, 배스천 호스트를 유지하고, Secure Shell(SSH) 키를 관리할 필요 없이 보안성과 감사 가능성을 갖춘 인스턴스 관리가 가능한 서비스입니다. 세션 관리자를 사용하면 인스턴스에 대한 제어 액세스를 요구하는 보안 및 는 기업 정책을 준수하고, 인스턴스 액세스의 보안 및 감사 성능을 높이면서 최종 사용자에 대한 플랫폼 사이의 간단한 인스턴스 액세스가 가능합니다.

Q: Session Manager를 사용하면 어떤 이점이 있나요?
세션 관리자는 사용자 인스턴스에 SSH 키 또는 인증서를 유지하거나 인바운드 포트를 열도록 요구하지 않고 보안 태세를 강화합니다. 또한, AWS IAM을 사용하여 인스턴스 액세스를 중앙에서 관리합니다. 세션 관리자를 사용하면 Linux 또는 Windows EC2 인스턴스와 연결하여 각 인스턴스에서 세션을 시작한 각 사용자를 추적할 수 있습니다. 인스턴스에 액세스한 사용자와 AWS CloudTrail을 사용한 시점을 감사할 수 있으며, 인스턴스에서 실행된 각 명령을 Amazon S3 또는 Amazon CloudWatch Logs에 기록할 수 있습니다. 끝으로 Session Manager를 사용하면 배스쳔 호스트를 운영하고 관리하기 위한 초기 투자 비용이 들지 않습니다.

Q: Session Manager는 누가 사용해야 하나요?
보안 및 감사 상태를 강화하고, 인스턴스의 액세스 제어를 중앙에서 관리하여 운영 오버헤드를 절감하고, 인바운드 인스턴스를 줄이고자 하는 모든 AWS 고객이 세션 관리자를 사용하여 도움을 얻을 수 있습니다. 인스턴스 액세스와 활동을 모니터링하고 추적하며, 인스턴스에서 인바운드 포트를 닫거나 퍼블릭 IP 없이 인스턴스와 연결하기를 원하는 정보 보안 전문가가 세션 관리자로 도움을 받을 수 있습니다. 단일 위치에서 액세스를 허용하고 거부하며, Windows와 Linux 인스턴스용 단일 솔루션을 사용자에게 제공하기를 원하는 관리자가 도움을 받을 수 있습니다. 마지막으로 운영자는 브라우저를 사용하여 클릭으로 세션을 시작한 다음, 인스턴스를 선택하거나 SSH 키를 제공하지 않고 CLI를 사용하여 바로 시작할 수 있습니다.

Q: 세션 관리자에는 어떤 기능이 있나요?
AWS 관리 콘솔, AWS CLI 또는 기타 AWS SDK에서 Linux 또는 Windows EC2 인스턴스로의 세션을 시작할 수 있습니다. AWS IAM의 태그 기반 권한을 사용하여 인스턴스에 대한 사용자 액세스를 허용하고 거부할 수 있으며, 이후 AWS CloudTrail을 사용하여 세션을 시작했거나 종료한 사람을 감사할 수 있습니다. 인스턴스에서 실행된 모든 작업을 Amazon S3 또는 Amazon CloudWatch Logs에 기록하여 나중에 분석할 수 있습니다.

Q: Session Manager의 사용 요금은 얼마인가요?
추가 비용 없이 Session Manager를 사용하여 Amazon EC2 인스턴스를 관리할 수 있습니다.

Q: 시작하려면 어떻게 해야 하나요?
세션 관리자를 시작하는 가장 빠른 방법은 AWS Management Console을 사용하는 것입니다. 몇 번만 클릭하여 세션 관리자를 활성화할 수 있습니다. 자세한 내용은 시작하기 설명서를 참조하세요.

Q: Session Manager에서 AWS Systems Manager Agent를 사용해야 하나요?
예. 세션 관리자를 시작하려면 최신 버전의 SSM Agent를 사용해야 합니다. SSM Agent는 오픈 소스이며 GitHub에 있습니다.

Q: 계정에서 로깅을 활성화할 수 있나요?
예. Session Manager 기본 설정을 설정하여 계정에서 로깅을 적용할 수 있습니다.

Q: AWS Systems Manager Run Command란 무엇입니까?
AWS Systems Manager에서는 서버에 로그인하지 않고 대규모로 인스턴스를 원격으로 안전하게 관리할 수 있는 기능을 제공하므로, 배스천 호스트, SSH 또는 원격 PowerShell이 필요 없습니다. 레지스트리 편집, 사용자 관리, 소프트웨어 및 패치 설치와 같은 일반적인 관리 작업을 인스턴스 그룹 전체에서 자동화하는 간단한 방법을 제공합니다. AWS IAM과의 통합을 통해 세분화된 권한을 적용하여 사용자가 인스턴스에 수행할 수 있는 작업을 제어할 수 있습니다. Systems Manager가 수행한 모든 작업이 AWS CloudTrail에 기록되기 때문에 환경 전체의 변경 사항을 감사할 수도 있습니다.

Q: AWS에서는 사전에 정의된 명령을 제공하나요?
예. 일반적인 관리 작업을 수행하는 데 도움이 되도록 설계된 사전에 정의된 명령이 제공됩니다. Windows의 경우 PowerShell이나 Shell 명령 또는 스크립트를 실행하고, Windows Update 설정을 구성하고, MSI 애플리케이션을 배포하는 등의 작업을 수행할 수 있습니다. Linux의 경우 모든 Shell 명령 또는 스크립트를 실행하고, 설치된 에이전트를 원격으로 업데이트할 수 있습니다. 또한, 사용자 지정 명령을 생성하여 자사 환경에 필요한 일반적인 태스크를 수행할 수 있습니다.

Q: 환경 전체에 걸쳐 대량으로 변경 사항을 적용할 수 있나요?
예. 태그 기반 쿼리를 사용해 대상을 지정함으로써 대규모 인스턴스 그룹에 영향을 미칠 수 있습니다. 동시 실행 배치와 오류 임계값을 지정할 수 있는 비율 제어 항목을 설정함으로써 변경 사항을 환경 전체에 안전하게 적용할 수 있습니다.

Q: 누가 명령을 실행할 수 있는지 제어할 수 있나요?
예. 게시된 AWS IAM 권한 및 정책을 사용하면, 태그 기반 권한을 통해 특정 인스턴스에서 명령 또는 문서를 실행할 수 있는 사용자가 누구인지 제어할 수 있습니다. 예를 들어, 한 IAM 사용자를 지정하여 PowerShell 명령을 실행할 수 있지만 인스턴스를 도메인에 조인할 수는 없도록 할 수 있습니다. 다른 IAM 사용자에게는 서비스 재시작과 같이 매우 구체적인 명령만 실행할 수 있도록 권한을 부여할 수 있으므로, 어떤 사용자에게 얼마나 많은 권한을 부여할지 유연하게 지정할 수 있습니다.

Q: AWS Systems Manager 상태 관리자란 무엇인가요?
AWS Systems Manager는 Amazon EC2 또는 온프레미스 인스턴스의 구성을 일관되게 유지하는 데 도움이 되는 구성 관리 기능을 제공합니다. Systems Manager에서는 서버 구성, 안티바이러스 정의, 방화벽 설정 등과 같은 구성 세부 정보를 제어할 수 있습니다. AWS Management Console을 통해 서버의 구성 정책을 정의하거나, GitHub 또는 Amazon S3 버킷에서 직접 기존 스크립트, PowerShell 모듈 또는 Ansible 런북을 사용할 수 있습니다. Systems Manager는 정의한 시간과 빈도에 따라 인스턴스 전체에 구성을 자동으로 적용합니다. 언제든 Systems Manager를 쿼리하여 인스턴스 구성 상태를 볼 수 있으므로, 규정 준수 상태에 대한 온디맨드 가시성이 제공됩니다.

Q: AWS Systems Manager 상태 관리자를 사용해야 하는 이유는 무엇입니까?
사용 중인 애플리케이션을 지원하는 인프라의 일관성을 유지하기란 어려운 일입니다. AWS Systems Manager를 사용하면 정책을 생성하고 이 정책을 다시 적용하여 구성 편차를 방지할 수 있으며 계획했던 상태를 모니터링할 수 있습니다.

Q: 정책을 생성하려면 어떻게 해야 합니까?
정책은 AWS Systems Manager 문서를 통해 쉽게 생성할 수 있습니다. 또한 애플리케이션을 설치하고 인스턴스를 도메인에 조인하는 등의 목적에 사용할 수 있는 사전에 정의된 구성도 제공됩니다.

Q: 구성할 수 있는 대상에는 어떤 것이 있습니까?
인스턴스 또는 태그는 유연하게 대상으로 지정할 수 있습니다. 즉, 웹 서버와 같은 인스턴스 그룹에 대해 특정 구성을 지정할 수 있는 유연성이 지원됩니다.

Q: 기존 구성 관리 도구를 AWS Systems Manager 상태 관리자와 함께 사용할 수 있습니까?
예. AWS에서는 Ansible 런북 또는 Salt States를 실행할 수 있도록 사전에 정의된 AWS Systems Manager 문서를 제공합니다. 인스턴스의 PowerShell DSC에서 AWS Systems Manager State Manager를 사용해 구성 드리프트를 완화할 수 있습니다. 또한, 퍼블릭 또는 프라이빗 GitHub 리포지토리에서 직접 원하는 구성 스크립트를 실행할 수도 있습니다.

Q: AWS Systems Manager 패치 관리자란 무엇입니까?
AWS Systems Manager는 대규모 Amazon EC2 그룹 또는 온프레미스 인스턴스 전체에서 자동으로 운영 체제 및 소프트웨어 패치를 선택 및 배포하도록 지원합니다. 패치 기준선을 통해 운영 체제 또는 높은 심각도 패치 등 선택한 카테고리의 패치를 자동 승인하도록 규칙을 설정할 수 있고, 이러한 규칙을 무시하고 자동 승인 또는 거부할 패치 목록을 지정할 수 있습니다. 또한, 미리 설정된 시간에만 패치가 적용되도록 패치에 대한 유지 관리 기간을 예약할 수 있습니다. Systems Manager는 소프트웨어를 최신으로 유지하고 규정 준수 정책을 충족하는 데 도움이 됩니다.

Q: 인스턴스를 패치할 시기를 지정하려면 어떻게 해야 하나요?
AWS Systems Manager 유지 관리 기간을 사용해 패치를 적용할 시점을 정의할 수 있습니다. AWS Systems Manager는 자체 유지 관리가 허용되는 하나 이상의 반복적인 시간대를 정의할 수 있는 기능을 제공합니다. 이러한 기간을 정의한 후 인스턴스와 연결하면, 워크로드의 가용성에 영향을 미칠 수 있는, 인스턴스에서 수행되는 유지 관리 활동이 명확하게 정의된 시간대에 이루어지도록 보장할 수 있습니다.

Q: 패치 적용 프로세스를 사용자 지정하려면 어떻게 해야 하나요?
AWS Systems Manager는 완전관리형 패치 적용 프로세스를 제공합니다. 자체 AWS Systems Manager 명령 또는 자동화 문서를 작성하여 패치 적용 프로세스를 손쉽게 사용자 지정할 수 있습니다.

Q: 어떤 유형의 패치를 설치할 수 있나요?
AWS Systems Manager에서는 Windows 기반 및 Linux 기반 인스턴스의 패치를 지원합니다. 현재 지원되는 버전은 설명서를 참조하세요.

Q: 설치할 패치를 선택하려면 어떻게 해야 하나요?
패치 기준선은 인스턴스에 배포하도록 사용자가 승인하거나 차단한 패치 세트를 정의합니다. 패치 기준선에서는 제품(Windows Server 2008, Windows Server 2012 등), 카테고리(중요 업데이트, 보안 업데이트 등) 및 배포용 패치 검토 시 심각도에 따라 패치를 선택할 수 있습니다. 그런 다음, 선택한 각 범주에 대해 포함된 패치의 배포를 자동으로 승인하는 일정을 정의할 수 있습니다. 규칙 외에도 설치 또는 차단할 각각의 패치를 나타내는 화이트리스트 및 블랙리스트를 지정할 수 있습니다. 패치를 적용할 때 AWS Systems Manager는 해당 시점 이전에 승인된 패치에 대해서만 대상 인스턴스를 평가합니다.

Q: 인스턴스의 규정 준수 수준을 보려면 어떻게 해야 하나요?
패치 적용 프로세스의 자세한 결과를 알려주는 패치 규정 준수 정보를 볼 수 있습니다. AWS Systems Manager 콘솔 또는 API를 사용해 인스턴스별로 집계된 규정 준수 세부 정보를 쉽게 얻을 수 있습니다. 또한 추가적인 내용을 파악하고 각 인스턴스에 대해서는 설치된 패치, 누락된 패치 또는 적용 불가능한 패치 및 설치가 실패한 패치를 각각 확인할 수 있습니다.

Q: AWS Systems Manager Distributor란 무엇입니까?
배포자는 AWS Systems Manager 기능으로서, 이 기능을 사용하면 소프트웨어 패키지를 조직에 안전하게 저장하게 배포할 수 있습니다. Systems Manager의 Run Command 및 상태 관리자 등과 같은 기존 기능과 함께 Distributor를 사용하여 인스턴스에서 실행되는 패키지의 수명 주기를 관리할 수 있습니다.

Q: Distributor를 사용하면 어떤 이점이 있나요?
배포자는 패키지 배포를 표준화하여 소프트웨어 패키지 롤아웃을 확장할 수 있도록 도와줍니다. AWS Systems Manager Run Command 및 상태 관리자와 함께 배포자를 사용하면 패키지 배포 및 설치 도구를 생성하고 관리할 필요가 없습니다. 또한 배포자는 모든 패키지에 대한 중앙 리포지토리를 사용함으로써 소프트웨어 패키지 관리를 간소화합니다. Distributor는 IAM 정책 사용을 지원하며, 패키지를 생성 또는 업데이트할 수 있는 사용자를 제어할 수 있습니다. 또한 패키지는 스토리지에서 암호화되고, Distributor와 인스턴스 간의 모든 통신은 서명 및 암호화되므로 Distributor를 사용하면 소프트웨어 패키지를 안전하게 배포할 수 있습니다.

Q: Distributor는 누가 사용해야 하나요?
정기적으로 소프트웨어 패키지를 배포하고 패키지의 중앙 리포지토리인 패키지 관리를 확장하거나, 자체 관리하는 배포 도구를 사용하지 않기 위한 안전한 방법을 원하는 AWS 고객은 Distributor를 사용해야 합니다. 소프트웨어 패키지를 만들거나 업데이트할 수 있는 사람 및 AWS 계정에 배포할 버전을 제어하려는 IT 전문가는 Distributor를 유용하게 사용할 수 있습니다.

Q: Distributor 비용은 얼마인가요?
Distributor 요금은 Systems Manager 요금 페이지에서 확인할 수 있습니다.

Q: 시작하려면 어떻게 해야 하나요?
AWS Management Console을 사용하여 단 몇 번의 클릭으로 Distributor를 사용할 수 있습니다. 자세한 정보는 시작하기 설명서를 참조하세요.

Q: Distributor에서 SSM Agent를 사용해야 하나요?
예. 배포자를 시작하려면 최신 버전의 SSM Agent를 사용해야 합니다. SSM Agent는 오픈 소스이며 GitHub에서 다운로드할 수 있습니다. SSM Agent는 기본적으로 Amazon Linux, Amazon Linux 2, Windows, Ubuntu AMI에도 설치됩니다.