Systems Manager를 사용하여 인터넷 액세스 없이 프라이빗 EC2 인스턴스를 관리할 수 있도록 VPC 종단점을 생성하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2021년 2월 4일

Amazon EC2(Amazon Elastic Compute Cloud) 인스턴스가 인터넷에 액세스할 수 없습니다. AWS Systems Manager를 사용하여 인스턴스를 관리하려면 어떻게 해야 합니까?

해결 방법

Amazon EC2 인스턴스는 AWS Systems Manager를 통해 관리할 관리형 인스턴스로 등록되어야 합니다. 다음 단계를 따르십시오.

  1. SSM 에이전트가 인스턴스에 설치되어 있는지 확인하십시오.
  2. Systems Manager용 AWS Identity and Access Management(IAM) 인스턴스 프로파일을 생성합니다. 새 역할을 생성하거나 기존 역할에 필요한 권한을 추가할 수 있습니다.
  3. 프라이빗 EC2 인스턴스에 IAM 역할을 연결합니다.
  4. Amazon EC2 콘솔을 열고 해당 인스턴스를 선택합니다. 설명(Description) 탭의 VPC ID서브넷 ID(Subnet ID)를 기록해 둡니다.
  5. Systems Manager에 대한 VPC 종단점을 생성합니다.
    서비스 이름(Service Name)에서 com.amazonaws.[region].ssm(예: com.amazonaws.us-east-1.ssm)을 선택합니다. 리전 코드의 전체 목록은 사용 가능한 리전을 참조하십시오.
    VPC에서 사용자의 인스턴스에 대한 VPC ID를 선택합니다.
    서브넷(Subnets)에서 사용자의 인스턴스에 대한 서브넷 ID(Subnet ID)를 선택합니다. 리전 내의 서로 다른 가용 영역에서 서브넷을 선택해야 합니다.
    참고: 동일한 가용 영역에 둘 이상의 서브넷이 있는 경우 추가 서브넷에 대한 VPC 종단점을 생성할 필요가 없습니다. 동일한 가용 영역 내의 다른 서브넷은 인터페이스를 액세스하여 사용할 수 있습니다.
    DNS 이름 활성화(Enable DNS name)에서 이 엔드포인트에 대해 활성화(Enable for this endpoint)를 선택합니다. 자세한 내용은 인터페이스 엔드포인트에 대한 프라이빗 DNS를 참조하세요.
    보안 그룹(Security group)에서 기존 보안 그룹을 선택하거나 새로운 보안 그룹을 생성합니다. 새로운 보안 그룹을 생성한 경우, 해당 VPC 콘솔을 열고 보안 그룹(Security Groups)을 선택한 후 새 보안 그룹을 선택합니다. 인바운드 규칙(Inbound rules) 탭에서 인바운드 규칙 편집(Edit inbound rules)을 선택합니다. 다음 세부 정보를 사용하여 규칙을 추가한 후 규칙 저장(Save rules)을 선택합니다.
    유형(Type)에서 HTTPS를 선택합니다.
    소스(Source)에서 해당 VPC/서브넷 CIDR(VPC/Subnet CIDR)을 선택합니다.
    보안 그룹 ID(Security group ID)를 기록해 둡니다. 이 ID는 다른 엔드포인트와 함께 사용하게 됩니다.
    선택 사항: 고급 설정의 경우 AWS Systems Manager용 VPC 인터페이스 엔드포인트에 대한 정책을 생성합니다.
  6. 5단계를 다음과 같이 변경하여 반복합니다.
    서비스 이름(Service Name)에서 com.amazonaws.[region].ec2messages를 선택합니다.
  7. 5단계를 다음과 같이 변경하여 반복합니다.
    서비스 이름에서 com.amazonaws.[region].ssmmessages를 선택합니다. Session Manager를 사용하려는 경우 이 작업을 수행해야 합니다.

세 개의 엔드포인트가 모두 생성된 후에는 사용자의 인스턴스가 관리형 인스턴스(Managed Instances)에 나타나며 Systems Manager를 사용하여 이를 관리할 수 있습니다.