본문 바로가기
Certificate/AWS SOA-C02

[AWS] Systems Manager Session Manager, 한 번에 이해하기

iwantbaobab 2025. 4. 17. 11:28

https://tech.cloudmt.co.kr/categories/hands-on

 

Systems Manager Session Manager 개념

AWS Systems Manager Session ManagerEC2 인스턴스에 안전하게 원격 접속(터미널 접속)할 수 있도록 지원하는 브라우저 기반 Shell Access 서비스이다.
SSH 키, RDP 포트, 배스천 호스트 없이도 프라이빗 인스턴스에 접근할 수 있으며, 모든 접속은 IAM과 CloudTrail로 통제/감사 가능하다.

 

Systems Manager Session Manager 특징

  • SSH / RDP 불필요 : SSH 키나 포트 22/3389을 열 필요 없이 EC2 인스턴스에 접속할 수 있음
  • 브라우저 기반 접근 : AWS 콘솔 또는 AWS CLI를 통해 터미널 세션에 직접 접속 가능
  • 프라이빗 서브넷 연결 가능 : 인터넷 게이트웨이나 NAT 없이도 프라이빗 서브넷의 EC2에 접속 가능
  • IAM 기반 제어 : IAM 정책을 통해 누가 어떤 인스턴스에 접속할 수 있는지 세밀하게 제어 가능
    참고 : 사용자나 IAM 그룹에 SSM:StartSession 등의 작업을 허용하는 정책 설정 필수
  • CloudTrail 감사 : 모든 세션 활동이 AWS CloudTrail에 기록되어 보안 감사가 가능
  • 로그 기록 가능 : 세션 명령 이력을 Amazon S3 또는 CloudWatch Logs에 저장 가능
  • 멀티 OS 지원 : Amazon Linux, Ubuntu, Windows 등 다양한 운영 체제를 지원

 

예제 문제

대기 엔지니어 팀은 문제 해결 및 명령 실행을 위해 프라이빗 서브넷의 Amazon EC2 인스턴스에 자주 연결해야 합니다. 이 인스턴스는 AWS에서 제공하는 최신 Windows Amazon Machine Image(AMI) 또는 Amazon Linux AMI를 사용합니다.
팀에는 권한 부여를 위한 기존 1AM 역할이 있습니다. 시스템 운영 관리자는 이 역할에 IAM 권한을 부여하여 팀에 인스턴스에 대한 액세스 권한을 제공해야 합니다.
이 요구 사항을 충족하는 솔루션은 무엇입니까?

  • A. 1AM 역할 정책에 인스턴스에서 ssm:StartSession 작업을 허용하는 구문을 추가합니다. 팀에 AWS Systems Manager Session Manager를 사용하여 위임된 IAM 역할을 사용하여 인스턴스에 연결하도록 지시합니다.
  • B. 각 인스턴스에 탄력적 IP 주소와 보안 그룹을 연결합니다. 엔지니어의 IP 주소를 보안 그룹 인바운드 규칙에 추가합니다. 팀이 인스턴스에 연결할 수 있도록 IAM 역할 정책에 ec2:AuthorizeSecurityGrouplngress 작업을 허용하는 구문을 추가합니다.
  • C. EC2 인스턴스에 배스천 호스트를 생성하고 VPC에 연결합니다. 1AM 역할 정책에 배스천 호스트에서 ec2:CreateVpnConnection 작업을 허용하는 구문을 추가합니다. 팀에 배스천 호스트 엔드포인트를 사용하여 인스턴스에 연결하도록 지시합니다.
  • D. 인터넷 연결 네트워크 로드 밸런서를 생성합니다. 두 개의 리스너를 사용합니다. 포트 22를 Linux 인스턴스 대상 그룹으로 전달합니다. 포트 3389를 Windows 인스턴스 대상 그룹으로 전달합니다. 팀이 인스턴스에 연결할 수 있도록 IAM 역할 정책에 ec2:CreateRoute 작업을 허용하는 구문을 추가합니다.
더보기

답 : A

 

시스템 운영 관리자는 AWS Systems Manager Session Manager를 사용하여 Amazon EC2 인스턴스 그룹에 대한 액세스를 제어해야 합니다. EC2 인스턴스에 특정 태그가 이미 추가되었습니다.
관리자가 액세스를 제어하기 위해 추가로 취해야 할 조치는 무엇입니까? (두 가지 선택)

  • A. EC2 인스턴스에 액세스해야 하는 사용자 또는 그룹에 IAM 정책을 연결합니다.
  • B. EC2 인스턴스에 대한 액세스를 제어하기 위해 IAM 역할을 연결합니다.
  • C. EC2 인스턴스에 대한 배치 그룹을 만들고 특정 태그를 추가합니다.
  • D. 서비스 계정을 생성하고 제어해야 하는 EC2 인스턴스에 연결합니다.
  • E. 조건 요소에 지정된 태그가 있는 모든 EC2 인스턴스에 대한 액세스 권한을 부여하는 IAM 정책을 만듭니다.
더보기

답 : A, E

 

[참고 내용]

📌 IAM 정책 기반 Session 제어

  • 사용자 측: SSM 권한 (StartSession, DescribeInstanceInformation 등)을 IAM 정책으로 허용
  • 인스턴스 측: EC2에 SSM Agent가 설치되어 있어야 하며, SSM 역할(AmazonSSMManagedInstanceCore)이 연결되어 있어야 함

📌 태그 기반 액세스 제어 (ABAC)

  • IAM 정책의 Condition에 ssm:resourceTag/KeyName 형식으로 작성
  • 특정 태그를 가진 인스턴스만 접근 가능하게 제한 가능

 

저작자표시 비영리 변경금지 (새창열림)

'Certificate > AWS SOA-C02' 카테고리의 다른 글

[AWS] OAI와 OAC의 차이점, 한 번에 이해하기  (0) 2025.04.17
[AWS] Elastic Beanstalk 배포 정책, 한 눈에 비교하기  (0) 2025.04.17
[AWS] FSR(Fast Snapshot Restore)와 부하테스트의 관계, 한 번에 이해하기  (0) 2025.04.17
[AWS] IAM 정책과 서비스 연결 역할(Service-Linked Role)에 대해서, 한 눈에 비교하기  (0) 2025.04.17
[AWS] Memory Eviction Metric 완화 방법 (Feat. Amazon ElastiCache for Memcached), 한 번에 이해하기  (0) 2025.04.17

'Certificate/AWS SOA-C02' Related Articles

티스토리툴바