SSM 에이전트 및 통합 CloudWatch 에이전트를 사용하는 온프레미스 서버를 임시 자격 증명만 사용하도록 구성하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2020년 2월 26일

AWS Systems Manager Agent(SSM Agent)와 통합 CloudWatch 에이전트를 사용하는 온프레미스 서버가 있는 하이브리드 환경이 있습니다. 임시 자격 증명만 사용하도록 온프레미스 서버를 구성하려면 어떻게 해야 합니까?

해결 방법

통합 CloudWatch 에이전트가 온프레미스에 설치되면 구성 파일에서 액세스 및 보안 키가 있는 AWS Identity and Access Management(IAM) 사용자를 지정해야 합니다. 이는 보안상의 이유로 일부 정책에서 주기적으로 교체해야 하는 장기 자격 증명입니다. SSM 에이전트가 온프레미스에 설치되면 임시 자격 증명 프로세스를 사용하여 IAM 역할을 수임할 수 있습니다.

아래 단계에 따라 SSM 에이전트가 제공하는 임시 자격 증명을 사용하여 온프레미스 서버에서 지표를 푸시하도록 통합 CloudWatch 에이전트를 구성합니다.

1.    SSM 에이전트에 의해 생성된 자격 증명 파일을 가리키도록 common-config.toml CloudWatch 에이전트 구성 파일을 구성합니다.

참고: 구성 파일은 다음 디렉터리에서 찾을 수 있습니다.

  • Linux의 경우 /opt/aws/amazon-cloudwatch-agent/etc
  • Windows의 경우 C:\ProgramData\Amazon\AmazonCloudWatchAgent

자격 증명 파일은 SSM 에이전트에 의해 30분마다 새 임시 자격 증명으로 업데이트됩니다. 통합된 CloudWatch 에이전트를 자격 증명 파일에 연결하면 CloudWatch 에이전트가 SSM 에이전트에 의해 생성된 임시 자격 증명을 사용할 수 있습니다.

Windows

[credentials]
shared_credential_profile = "default"
shared_credential_file = "C:\\Windows\\System32\\config\\systemprofile\\.aws\\credentials"

Linux

[credentials]
shared_credential_profile = "default"
shared_credential_file = "/root/.aws/credentials"

2.    통합 CloudWatch 에이전트가 SSM 에이전트 자격 증명 파일을 읽을 수 있도록 권한을 변경합니다.

  • Windows의 경우: 두 에이전트 모두 SYSTEM 사용자로 실행되므로 권한을 변경할 필요가 없습니다.
  • Linux의 경우: 통합 CloudWatch 에이전트는 루트 사용자로 실행됩니다. 에이전트는 run_as_user 옵션을 사용하여 에이전트의 구성 파일에서 지정할 수 있는 사용자로 실행할 수도 있습니다. 에이전트가 루트가 아닌 사용자로 실행되는 경우 사용자가 파일을 읽을 수 있도록 권한을 부여해야 합니다.

3.    SSM 에이전트의 자격 증명 파일 끝에 새 줄에 region 파라미터를 추가합니다. 1단계에서 shared_credential_file을 가리키도록 구성한 파일입니다.

region = eu-west-1

참고:  eu-west-1을 해당 리전으로 바꿔야 합니다.

4.    (Windows만 해당) 통합 CloudWatch 에이전트 서비스의 시작 유형을 Automatic(Delayed)으로 변경합니다. 이 변경 사항은 부팅 중에 SSM 에이전트 서비스 이후에 CloudWatch 에이전트 서비스가 시작된다는 것을 확인합니다.

5.    필요한 AmazonSSMManagedInstanceCore IAM 정책 옆에 있는 하이브리드 환경에 대한 IAM 서비스 역할에 CloudWatchAgentServerPolicy IAM 정책을 연결합니다.


프록시 또는 리전 정보의 공통 구성 수정(Windows/Linux에서 common-config.toml 파일의 위치)

AWS 리소스에서 임시 자격 증명 사용(임시 자격 증명 프로세스에 대한 설명)

하이브리드 환경을 위한 IAM 서비스 역할 생성

이 문서가 도움이 되었습니까?

AWS에서 개선해야 할 부분이 있습니까?


도움이 필요하십니까?