Systems Manager를 사용하여 인터넷 액세스 없이 프라이빗 EC2 인스턴스를 관리할 수 있도록 VPC 엔드포인트를 생성하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2022년 2월 28일

Amazon EC2(Amazon Elastic Compute Cloud) 인스턴스가 인터넷에 액세스할 수 없습니다. AWS Systems Manager를 사용하여 인스턴스를 관리하려면 어떻게 해야 합니까?

해결 방법

Amazon EC2 인스턴스는 AWS Systems Manager를 통해 관리할 관리형 인스턴스로 등록되어야 합니다. 다음 단계를 따르십시오.

  1. SSM 에이전트가 인스턴스에 설치되어 있는지 확인하십시오.
  2. Systems Manager용 AWS Identity and Access Management(IAM) 인스턴스 프로파일을 생성합니다. 새 역할을 생성하거나 기존 역할에 필요한 권한을 추가할 수 있습니다.
  3. 프라이빗 EC2 인스턴스에 IAM 역할을 연결합니다.
  4. Amazon EC2 콘솔을 열고 해당 인스턴스를 선택합니다. 설명(Description) 탭의 VPC ID서브넷 ID(Subnet ID)를 기록해 둡니다.
  5. Systems Manager에 대한 VPC 종단점을 생성합니다.
    서비스 이름(Service Name)에서 com.amazonaws.[region].ssm(예: com.amazonaws.us-east-1.ssm)을 선택합니다. 리전 코드의 전체 목록은 사용 가능한 리전을 참조하십시오.
    [VPC]에서 사용자 인스턴스의 [VPC ID]를 선택합니다.
    [서브넷(Subnets)]에서 VPC의 [서브넷 ID(Subnet ID)]를 선택합니다. 고가용성을 보장하기 위해 리전 내의 서로 다른 가용 영역에서 서브넷을 두 개 이상 선택합니다.
    참고: 동일한 가용 영역에 둘 이상의 서브넷이 있는 경우 추가 서브넷에 대한 VPC 종단점을 생성할 필요가 없습니다. 동일한 가용 영역 내의 다른 서브넷은 인터페이스를 액세스하여 사용할 수 있습니다.
    DNS 이름 활성화(Enable DNS name)에서 이 엔드포인트에 대해 활성화(Enable for this endpoint)를 선택합니다. 자세한 내용은 인터페이스 엔드포인트에 대한 프라이빗 DNS를 참조하세요.
    [보안 그룹(Security group)]에서 기존 보안 그룹을 선택하거나 새로운 보안 그룹을 생성합니다. 이 보안 그룹은 서비스와 통신하는 VPC의 리소스에서 인바운드 HTTPS(포트 443) 트래픽을 허용해야 합니다.
    새로운 보안 그룹을 생성한 경우, 해당 VPC 콘솔을 열고 [보안 그룹(Security Groups)]을 선택한 후 새 보안 그룹을 선택합니다. [인바운드 규칙(Inbound rules)] 탭에서 [인바운드 규칙 편집(Edit inbound rules)]을 선택합니다. 다음 세부 정보를 사용하여 규칙을 추가한 후 [규칙 저장(Save rules)]을 선택합니다.
    [유형(Type)]에서 [HTTPS]를 선택합니다.
    [소스(Source)]에서 해당 [VPC CIDR]을 선택합니다. 고급 구성의 경우 EC2 인스턴스에서 사용하는 특정 서브넷의 CIDR을 허용할 수 있습니다.
    보안 그룹 ID를 기록해 둡니다. 이 ID는 다른 엔드포인트와 함께 사용하게 됩니다.
    선택 사항: 고급 설정의 경우 AWS Systems Manager용 VPC 인터페이스 엔드포인트에 대한 정책을 생성합니다.
    참고: VPC 엔드포인트에는 AWS 제공 DNS (VPC CIDR+2)가 필요합니다. 사용자 지정 DNS를 사용하는 경우, 올바른 이름 확인을 위해 Amazon Route 53 Resolver를 사용합니다. 자세한 내용은 다음을 참조하세요.
    인터페이스 엔드포인트에 대한 프라이빗 DNS
    VPC와 네트워크 간 DNS 쿼리 확인
  6. 5단계를 다음과 같이 변경하여 반복합니다.
    서비스 이름(Service Name)에서 com.amazonaws.[region].ec2messages를 선택합니다.
  7. 5단계를 다음과 같이 변경하여 반복합니다.
    서비스 이름에서 com.amazonaws.[region].ssmmessages를 선택합니다.

세 개의 엔드포인트가 모두 생성된 후에는 사용자의 인스턴스가 관리형 인스턴스(Managed Instances)에 나타나며 Systems Manager를 사용하여 이를 관리할 수 있습니다.

참고: 세션 관리자를 사용하려면 다음 VPC 엔드포인트를 생성하십시오.

  • 시스템 관리자: com.amazonaws.region.ssm
  • 세션 관리자: com.amazonaws.region.ssmmessages
  • KMS: com.amazonaws.region.kms (선택 사항. 이 엔드포인트는 세션 관리자에 대한 AWS Key Management Service 암호화를 사용하려는 경우에만 필요합니다.)
  • Amazon CloudWatch Logs (선택 사항. 이 엔드포인트는 세션 관리자에 대한 Amazon CloudWatch Logs를 사용하려는 경우에만 필요합니다, 명령 실행).

EC2 VPC 엔드포인트는 인스턴스를 세션 관리자에 연결하는 데 필요하지 않습니다. EC2 VPC 엔드포인트는 인스턴스의 VSS가 활성화된 스냅샷을 생성하는 데 필요합니다.

자세한 내용은 시스템 관리자용 VPC 엔드포인트 생성을 참조하세요.