Amazon EC2 Systems Manager

Q: Amazon EC2 Systems Manager는 무엇인가요?

Amazon EC2 Systems Manager는 유연하면서도 사용하기 쉬운 관리 서비스이며, 이 서비스를 이용하는 기업들은 단일한 통합 AWS 환경을 사용하여 온프레미스 또는 AWS에서 실행 중에 워크로드를 안전하게 관리하고 다룰 수 있습니다. EC2 Systems Manager는 대규모로 인스턴스를 구성하고 관리할 수 있도록 하는 데 중점을 둔 고도의 자동화를 구현하면서 자동화 아티팩트를 간편하게 작성하고 유지 관리할 수 있도록 설계되었습니다.

Q: EC2 Systems Manager를 사용하려면 어떻게 시작해야 하나요?

시작하는 가장 좋은 방법은 인스턴스가 시작 안내서에 나와있는 필수 요구 사항을 충족하는지 확인하는 것입니다. 요구 사항이 충족된 것을 확인했다면 EC2 관리 콘솔의 왼쪽 탐색 모음에서 다양한 EC2 Systems Manager 기능에 액세스하거나 AWS SDK 및 AWS 명령줄 인터페이스를 사용할 수 있습니다.

Q: EC2 Systems Manager는 어떤 운영 체제를 지원하나요?

EC2 Systems Manager는 단일한 통합 환경에서 WindowsLinux 플랫폼을 모두 관리할 수 있도록 최적화되어 있습니다. 온프레미스 시스템 관리에 대한 자세한 내용은 지원되는 운영 체제를 참조하십시오.

Q: EC2 Systems Manager는 온프레미스로 실행되는 인스턴스를 관리하나요?

예. EC2 Systems Manager는 온프레미스 데이터 센터를 실행하는 인스턴스의 관리를 지원합니다. 자세한 내용은 EC2 Systems Manager 필수 조건을 참조하십시오.

Q: EC2 Systems Manager는 어떤 AWS 리전에서 사용할 수 있나요?

EC2 Systems Manager는 여러 퍼블릭 리전에서 사용할 수 있습니다. 지원되는 리전의 전체 목록에 관한 내용은 AWS 리전 및 엔드포인트를 참조하십시오.

Q: 퍼블릭 IP를 사용하지 않고도 내 Amazon Virtual Private Cloud(VPC)에서 EC2 Systems Manager API에 비공개로 액세스할 수 있습니까?

예. VPC 엔드포인트를 생성하면 Amazon Virtual Private Cloud(VPC)에서 EC2 Systems Manager API에 비공개로 액세스할 수 있습니다. VPC 엔드포인트를 사용하면 인터넷 게이트웨이, NAT 게이트웨이 또는 VPN 연결을 사용할 필요 없이 AWS 네트워크에서 VPC와 EC2 Systems Manager 간 라우팅을 처리합니다. EC2 Systems Manager가 사용하는 최신 세대 VPC 엔드포인트는 AWS PrivateLink에서 제공합니다. 이는 Elastic Network Interface(ENI)를 사용하는 AWS 서비스와 VPC 내 프라이빗 IP 간에 프라이빗 연결을 지원하는 기술입니다. PrivateLink에 대해 자세히 알아보려면 PrivateLink 설명서로 이동하십시오.

Q: EC2 Systems Manager의 사용 요금은 얼마인가요?

EC2 Systems Manager는 무료로 제공됩니다.

Run Command

Q: Run Command는 무엇인가요?

Run Command는 EC2 API, CLI 또는 콘솔에서 원격으로 명령을 실행하거나 EC2 인스턴스 또는 온프레미스 서버에 대한 스크립트를 실행하는 간단하면서도 안전한 방법을 제공하는 EC2 Systems Manager의 기능입니다. Run Command를 사용하면 명령을 수행하여 소프트웨어 설치, 스크립트 실행, 구성 변경 수행 등 일반적인 관리 작업을 손쉽게 완료할 수 있습니다.

Q: Run Command는 누가 사용해야 합니까?

Run Command는 안전하고 안정적이며 확장 가능한 방법으로 EC2 인스턴스를 원격으로 관리해야 하는 개발자, 시스템 관리자 및 기타 IT 전문가를 위해 설계되었습니다.

Q: AWS에서는 사전에 정의된 명령을 제공합니까?

예. 일반적인 관리 작업을 수행하는 데 도움이 되도록 설계된 사전에 정의된 명령이 제공됩니다. Windows의 경우 PowerShell 명령 또는 스크립트를 실행하고, Windows Update 설정을 구성하고, MSI 애플리케이션을 배포하는 등의 작업을 수행할 수 있습니다. Linux의 경우 Shell 명령 또는 스크립트를 실행하고, 설치된 에이전트를 원격으로 업데이트할 수 있습니다.

Q: 자체 명령을 생성할 수 있습니까?

예. Run Command를 사용하면 사용자 환경에 필요한 일반 작업을 수행하기 위해 사용자 지정 명령을 쉽게 만들 수 있습니다.

Q: 실행할 수 있는 다른 유형의 명령이나 스크립트에는 어떤 것이 있습니까?

EC2 인스턴스의 명령 창에 입력할 수 있는 모든 명령이나 스크립트를 실행할 수 있습니다.

Q: 같은 명령을 여러 EC2 인스턴스에 동시에 전송할 수 있습니까?

예. 명령을 실행할 때 인스턴스 목록을 제공하면 손쉽게 인스턴스 집합에 명령을 실행할 수 있습니다.

Q: 내 인스턴스에 대해 실행된 명령 이력을 검색할 수 있습니까?

예. Run Command에서는 30일 동안 각 명령에 대한 출력을 보관합니다. 또한 Run Command를 실행하면 Amazon S3에 모든 로그 파일의 사본을 저장하거나 AWS CloudTrail을 사용하여 명령 출력을 캡처할 수 있습니다.

Q: 누가 명령을 실행할 수 있는지 제어할 수 있습니까?

예. 게시된 AWS Identity and Access Management(IAM) 권한 및 정책을 사용하면 특정 인스턴스에서 명령 또는 문서를 실행하기 위한 액세스 권한을 갖는 자를 제어할 수 있습니다. 예를 들어 한 IAM 사용자를 지정하여 PowerShell 명령을 실행할 수 있지만 인스턴스를 도메인에 조인할 수는 없도록 할 수 있습니다. 다른 IAM 사용자에게는 서비스 재시작과 같이 매우 구체적인 명령만 실행할 수 있도록 권한을 부여할 수 있으므로, 어떤 사용자에게 얼마나 많은 권한을 부여할지 유연하게 지정할 수 있습니다.

Q: 실행 중인 명령의 상태를 확인할 수 있습니까?

Run Command에서는 명령이 실행되고 있는 인스턴스별로 명령의 상태를 제공하며, 모두 AWS CLI, SDK 또는 EC2 Management Console을 통해 검색할 수 있습니다.

State Manager

Q: State Manager는 무엇인가요?

State Manager는 전체 시스템 집합에서 OS 및 애플리케이션의 일관된 구성을 정의 및 유지 관리하는 프로세스를 자동화합니다. 예를 들면, 방화벽 정책 구성 및 시행, 맬웨어 방지 정의 업데이트 등이 이러한 프로세스에 해당됩니다. 구성 정책을 다시 적용하면 State Manager는 시스템이 항상 귀사의 기업 정책을 준수하는지 확인합니다.

Q: State Manager를 사용해야 하는 이유는 무엇인가요?

업체들은 AWS 및 온프레미스 데이터 센터를 비롯해 다양한 환경 및 위치에서 애플리케이션을 사용하여 IT 자동화로 전환하고 있습니다. 그러나 사용 중인 애플리케이션을 지원하는 인프라의 일관성을 항상 유지하기란 어려운 일입니다. State Manager를 사용하면 정책을 생성하고 이 정책을 다시 적용하여 구성 편차를 방지할 수 있으며 계획했던 해당 상태를 모니터링할 수 있습니다.

Q: 정책을 생성하려면 어떻게 해야 하나요?

정책은 Systems Manager 문서를 통해 쉽게 생성할 수 있습니다. 또한 애플리케이션을 설치하고 인스턴스를 도메인에 조인하는 등의 목적에 사용할 수 있는 사전 정의된 구성들도 있습니다.

Q: 구성할 수 있는 대상으로는 무엇이 있나요?

인스턴스 또는 태그는 유연하게 대상으로 지정할 수 있습니다. 이는 웹 서버와 같은 인스턴스 그룹에 대해 특정 구성을 유연하게 가질 수 있음을 의미합니다.

Patch Manager

Q: Patch Manager는 무엇인가요?

Patch Manager는 고객이 항상 Windows 인스턴스를 쉽게 업데이트할 수 있도록 도움을 주는 새로운 자동화 중심의 패치 적용 서비스입니다. Patch Manager는 유지 관리 기간 및 동적 패치 승인 정책과 같은 기본적인 모범 사례의 구현을 통해 패치 적용 프로세스를 간소화할 수 있도록 도움을 줍니다. 

Q: 인스턴스를 패치할 시기는 어떻게 지정하나요?

유지 관리 기간을 사용하면 패치 적용을 실시할 시기를 정의할 수 있습니다. EC2의 새로운 기능에 속하는 유지 관리 기간은 자체적인 유지 관리의 진행을 허용하는 1개 이상의 시간대를 정의할 수 있는 기능을 제공합니다. 이러한 시간대를 정의한 후 인스턴스와 연결하면 워크로드의 가용성에 영향을 미칠 수 있는 인스턴스에서 수행하는 유지 관리 활동을 명확하게 정의된 시간대에 더 쉽게 수행할 수 있습니다. 유지 관리 기간을 사용하면 자체적인 Run Command 작업을 수행할 시기를 쉽게 계획할 수 있습니다.

Q: 패치 적용 프로세스를 사용자 지정하려면 어떻게 해야 하나요?

Patch Manager는 Run Command를 사용하여 완전히 자동화 된 패치 적용 프로세스를 제공합니다. Patch Manager는 사전 작성된 Run Command 문서를 제공하며, 사용자 본인의 Run Command 문서를 작성하면 패치 적용 프로세스를 쉽게 사용자 지정할 수 있습니다. 예를 들면, 패치를 롤아웃하기 전에 NT 서비스를 중지할 수 있습니다.

Q: Patch Manager에는 어떤 유형의 패치를 설치할 수 있나요?

Patch Manager는 Windows 및 Linux 기반 인스턴스의 패치를 지원합니다. 현재 지원되는 버전은 설명서를 참조하시기 바랍니다.

Q: 설치할 패치는 어떻게 선택하면 되나요?

Patch Manager를 사용하면 인스턴스에 배포하기 위해 사용자가 승인 또는 차단한 패치 세트를 정의하는 Patch Baseline을 생성할 수 있습니다. Patch Baseline에서는 제품(예: Windows Server 2008, Windows Server 2012 등), 범주(예: 중요 업데이트, 보안 업데이트 등) 및 배포용 패치 검토 시 심각도에 따라 패치를 선택할 수 있습니다. 그런 다음, 선택한 각 범주에 대해서는 포함된 해당 패치가 자동으로 배포 승인을 받을 일정을 정의할 수 있습니다. 규칙 외에도 설치 또는 차단할 각각의 패치를 나타내는 화이트리스트 및 블랙리스트를 지정할 수 있습니다. 패치를 적용할 때 Patch Manager는 해당 시점 이전에 승인된 패치에 대해서만 대상 인스턴스를 평가합니다.

Q: 내 인스턴스의 규정 준수 수준은 어떻게 추적하나요?

Patch Manager를 사용하면 패치 적용 프로세스의 자세한 결과를 알려주는 패치 규정 준수 정보를 볼 수 있습니다. EC2 관리 콘솔 또는 API로부터 인스턴스별 집계 규정 준수 세부 정보를 쉽게 얻을 수 있습니다. 또한 추가적인 내용을 파악하고 각 인스턴스에 대해서는 설치된 패치, 누락된 패치, 적용 불가능한 패치 및 설치가 실패한 패치를 각각 확인할 수 있습니다.

Inventory

Q: Inventory는 무엇인가요?

EC2 Systems Manager의 Inventory 기능은 인스턴스의 소프트웨어 카탈로그 및 구성에 대한 가시성을 제공합니다. 설치된 애플리케이션, AWS 구성 요소 및 에이전트, 네트워크 구성, OS 세부 정보 등과 같은 다양한 인스턴스 속성에 대한 세부 정보를 수집하도록 Inventory를 설정할 수 있습니다. 그런 다음, 강력한 쿼리 기능을 사용하면 규정 준수를 평가하고 사용 중인 집합에 대한 수정이 필요한 인스턴스를 식별할 수 있습니다.

Q: Inventory는 누가 사용해야 하나요?

IT 관리자와 개발 전문가들은 이러한 기능이 현재 사용 중인 집합의 구성과 합성을 이해하는데 유용하다는 것을 알게 될 것입니다. 사용자는 패치가 누락되었거나 오래된 애플리케이션 버전을 실행 중인 해당 인스턴스를 신속하게 확인할 수 있습니다. 이와 마찬가지로, 관리자는 소프트웨어 사용을 이해하기 위해 라이선스 감사를 실행할 수 있습니다. 결과적으로 시스템 관리자는 보다 효과적으로 문제를 해결하고 보안 태세를 평가할 수 있습니다.

Q: Inventory에서 수집한 정보는 사용자 지정할 수 있나요?

예. 사용자 지정 Inventory 유형을 생성하고 Inventory의 스키마를 효과적으로 확장할 수 있습니다. 예를 들면, 추가적인 OS 및 CIM 세부 정보를 수집하거나 온프레미스 서버에 대한 랙 위치 및 서비스 날짜 같은 항목들을 기록하도록 인스턴스를 구성할 수 있습니다.

Q: 시간 경과에 따른 구성 변경은 어떻게 추적할 수 있나요?

AWS Config를 사용하면 Config Rules를 통해 원하는 구성으로 인스턴스의 규정 준수를 모니터링할 수 있습니다. 보안 전문가 및 규정 준수 감사자는 이 기능을 사용하여 인스턴스 구성 변경 사항을 전체적으로 감사 추적할 수 있을 뿐만 아니라, 규정 위반 시 사전 알림을 수신할 수도 있습니다.

자동화

Q: 자동화란 무엇인가요?

EC2 Systems Manager의 자동화 기능은 Amazon 머신 이미지(AMI)의 구축 및 유지 관리 프로세스를 간소화합니다. 이렇게 하면 패치, 애플리케이션 업데이트 및 기타 변경 사항을 AMI에 적용하는 하나의 프로세스를 반복할 수 있습니다.

Q: 자동화할 수 있는 작업으로는 무엇이 있나요?

AMI 유지 관리 작업은 Systems Manager의 자동화 기능을 통해 상당 부분 간소화되기 때문에 능률적이면서도 반복 및 감사가 가능한 프로세스를 사용하여 패치 적용, 에이전트 업데이트 또는 애플리케이션 베이크를 수행할 수 있습니다. 혹은 워크플로 내에서 Run Command 및 AWS Lambda를 사용하면 인스턴스 및 그 외 AWS 리소스의 구성 및 관리를 규모에 따라 조정할 수 있습니다.

Parameter Store

Q: Parameter Store는 무엇인가요?

Parameter Store를 사용하면 구성 파라미터 및 민감한 정보(예: 연결 문자열 및 관리자 암호)에 대한 액세스를 쉽게 저장하고 참조하며 제어할 수 있습니다.

Q: Parameter Store를 사용해야 하는 이유는 무엇인가요?

Parameter Store를 사용하면 구성 및 민감한 정보를 신속하게 저장하고 참조할 수 있습니다. Parameter Store를 활용하면 구성 파일에 데이터를 저장하거나 일반 텍스트에서 데이터를 참조하는 대신, 사용 중인 애플리케이션 또는 스크립트에서 이러한 정보를 얻을 수 있습니다. 또한 적합한 사용자들만 해당 정보에 액세스할 수 있도록 파라미터에 액세스할 권한이 있는 사용자를 제어할 수 있습니다.

Q: 민감한 데이터는 어떻게 저장하면 되나요?

보안 문자열은 안전한 방식으로 저장되고 참조되어야 하는 모든 민감한 데이터를 뜻합니다. 일반 텍스트로 참조하지 않을 데이터가 있을 경우 혹은 조작되거나 오용될 수 있는 데이터에 액세스할 경우 Parameter Store에서 보안 문자열을 사용해야 합니다. 사용자 본인의 AWS Key Management Service(KMS) 키 또는 KMS에서 제공하는 사용자 계정 기본 키를 사용하면 민감한 데이터를 암호화할 수 있습니다.

Q: 내 파라미터를 참조할 수 있는 서비스로는 무엇이 있나요?

파라미터는 Run Command, State Manager 및 자동화와 같은 EC2 Systems Manager 서비스에서 쉽게 참조할 수 있습니다.

Q: 사용량을 추적하고 특정 파라미터에 대한 액세스 제어를 제공할 수 있나요?

예. AWS IAM을 사용하면 파라미터 액세스를 위해 사용자 및 리소스(예: 인스턴스)에 대하여 사용자 지정된 권한을 통해 세분화된 액세스 제어를 제공할 수 있습니다. 즉, 어떤 리소스에서 어떤 파라미터에 누가 액세스할 수 있는지를 제어할 수 있습니다. 또한 AWS CloudTrail을 사용하여 파라미터 API 호출을 추적하고 감사할 수도 있습니다.

유지 관리 기간

Q: 유지 관리 기간이란 무엇입니까?

EC2 Systems Manager의 새로운 기능에 속하는 유지 관리 기간은 방해가 되는 작업이 발생하도록 허용하는 1개 이상의 반복적인 시간대를 정의할 수 있는 기능을 제공합니다. 이러한 시간대를 정의한 후 인스턴스와 연결하면 워크로드의 가용성에 영향을 미칠 수 있는 인스턴스에서 수행하는 유지 관리 활동을 명확하게 정의된 시간대에 더 쉽게 수행할 수 있습니다.

Q: 유지 관리 기간을 사용해야 하는 이유는 무엇입니까?

유지 관리 기간은 명확하게 정의된 시간대에 자동으로 작업을 수행하여 운영상의 장애 또는 인프라 장애로 인한 영향을 크게 저감함으로써 워크로드의 가용성 및 안정성을 높이는 데 도움을 줍니다.

Q: 유지 관리 기간에는 어떤 유형의 작업을 예약할 수 있습니까?

모든 Run Command, Amazon EC2 Systems Manager Automation, AWS Step Functions 또는 AWS Lambda 함수를 작업으로 생성하고 일정을 예약할 수 있습니다.

Q: 유지 관리 기간에 선택할 수 있는 일정의 유형으로는 무엇이 있나요?

유지 관리 기간은 주기적으로 반복되는 날짜(예: 매주 화요일 22시 정각 또는 매월 첫째 일요일 22시 정각)에 예약할 수 있습니다. 일정은 cron 또는 rate 표현식을 사용하여 정의할 수 있습니다.