Cloudest - 블로그 이사했습니다
노션으로 블로그를 옮겼습니다.
흥미로운 포스팅이 올라옵니다!
cloudest.oopy.io
🛠
준비물 : Amazon EC2로 생성된 Windows Server 인스턴스 (실습은 2019버전 사용)
Session Manager란?
- Shell에 Access 할 수 있는 새로운 옵션으로 브라우저 기반의 Interactive Shell과 CLI를 사용하여 Windows 및 Linux 인스턴스를 관리할 수 있다.
- Session Manager은 다음 기능을 제공한다.
- 보안 액세스 : 수동으로 인스턴스에 계정정보나 SSH키를 입력할 필요가 없고, 인바운드 포트 개방이 필요하지 않다. (22번 ssh를 열어줄 필요가 없는 것)
- 액세스 제어 : IAM 기반 액세스 제어 및 날짜 조건 연산자를 사용한 탄력적인 액세스 제한
- 감사 용이성 : Session Manager를 통한 명령과 응답은 Amazon CloudWatch 및 S3 버킷에 로깅하거나 SNS로 세션 접속에 대한 알림을 수신할 수 있다.
Windows Server 2019에 SSM Agent 환경 구축
SSM Agent를 위해 필요한 것
- EC2 인스턴스는 SSM 접근을 허용하는 IAM Role 필요하다.
- EC2 인스턴스는 AWS CLI가 설치돼야 한다.
- EC2 인스턴스는 SSM 접근을 허용하는 IAM Role 필요하다.
SSM Agent설치 (PowerShell)
- 다음 명령을 실행하여 패키지를 받는다. (리전정보가 없는 URL은 2.x버전, 리전정보를 넣은 URL은 3.0버전이다. 우리는 3.0버전을 사용한다.)
Invoke-WebRequest ` https://amazon-ssm-ap-northeast-2.s3.ap-northeast-2.amazonaws.com/latest/windows_amd64/AmazonSSMAgentSetup.exe ` -OutFile $env:USERPROFILE\Desktop\SSMAgent_latest.exe
- 다음 명령을 입력하여 패키지를 설치한다. (따로 팝업 인스톨러가 뜨거나 하지 않고 설치된다.
Start-Process ` -FilePath $env:USERPROFILE\Desktop\SSMAgent_latest.exe ` -ArgumentList "/S"
- 설치파일을 삭제한다.
rm -Force $env:USERPROFILE\Desktop\SSMAgent_latest.exe
- SSM Agnet를 시작 or 재시작한다.
Restart-Service AmazonSSMAgent
- EC2에 SSM을 위한 IAM 역할 연결
- 다음 명령을 실행하여 패키지를 받는다. (리전정보가 없는 URL은 2.x버전, 리전정보를 넣은 URL은 3.0버전이다. 우리는 3.0버전을 사용한다.)
SSM Agent설치 (GUI)
- ESET Anti-Virus와 같은 백신이 설치 된 경우 Powershell이 실행이 안되는 경우가 있다.
- 여기를 클릭해 패키지를 직접 다운로드 받는다.
- exe 파일을 더블클릭하여 수동설치한다.
- win + R → services.msc → Amazon SSM Agent 우클릭 → 다시시작
- IAM 연결
결과 화면
정상적으로 SSM Agent가 설치되면 다음과 같이 EC2 → 연결 → Session Manager 단계에서 오류없이 연결이 활성화된다.
SSM 접속 화면 System Manager 콘솔의 관리형 인스턴스에서 Agent 확인 가능
결론
Session Manager를 통해 Shell에 접근할 수 있게 설정했다.
SSH 설정에 대한 실수로 SG가 아닌 서버자체에서 SSH연결이 끊겼다고 가정해보자.
RunCommand / SSM과 같은 방법이 없다면 꽤나 골치가 아파질 것이다. SSM은 이런 만일의 사태에 도움이 될 수도 있을 것이다.
Uploaded by Notion2Tistory v1.1.0