AWS Organization 내에서 SSM Agent 관리
이 섹션에서는 AWS Organization 내에서 SSM 에이전트 설치를 관리하는 방법을 설명하고 CloudFormation, Terraform, Shell, PowerShell, Ansible, Chef 및 Puppet 샘플 코드를 제공합니다.
이것은 샘플 코드이며, 프로덕션 환경에서 사용하기 전에 개발 환경에서 철저히 테스트하고 검증해야 합니다.
SSM Agent 이해
이전 섹션에서 논의한 바와 같이, Systems Manager를 사용하여 환경의 노드를 관리하려면 노드가 관리 대상이어야 합니다. 즉, SSM Agent가 머신에 설치되어 있고 에이전트가 필요한 권한으로 Systems Manager 서비스 엔드포인트와 통신할 수 있어야 합니다.
AWS Systems Manager Agent(SSM Agent)는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스, 엣지 디바이스, 온프레미스 서버 및 가상 머신(VM)에서 실행되는 Amazon 소프트웨어입니다. SSM Agent의 소스 코드는 GitHub에서 확인할 수 있습니다. SSM Agent는 Systems Manager가 이러한 리소스를 업데이트, 관리 및 구성할 수 있도록 합니다. 에이전트는 AWS 클라우드의 Systems Manager 서비스에서 요청을 처리한 다음, 요청에 지정된 대로 실행합니다.
따라서 노드에 SSM Agent가 설치되어 있는지 확인하는 것은 AWS Systems Manager 서비스를 사용한 노드 관리 운영을 시작할 때 반드시 해결해야 할 첫 번째 단계입니다.
운영 체제 지원
SSM Agent는 광범위한 운영 체제 및 머신 유형에서 지원됩니다. 사용자 가이드의 지원되는 운영 체제 및 머신 유형을 참조하여 운영 체제(OS), OS 버전 및 머신 유형이 지원되는지 확인하세요.
SSM Agent가 사전 설치된 AMI
Systems Manager를 시작하기 위해, AWS Systems Manager Agent(SSM Agent)는 AWS 및 신뢰할 수 있는 서드파티가 제공하는 일부 Amazon Machine Images(AMI)에 사전 설치되어 있습니다. �사전 설치된 운영 체제 목록은 SSM Agent가 사전 설치된 AMI 찾기를 참조하세요.
SSM Agent 설치 방법
SSM Agent를 지원하는 운영 체제를 이해했으므로, SSM Agent가 사전 설치되지 않은 인스턴스에 에이전트를 설치하는 다양한 방법을 살펴보겠습니다. 설치 접근 방식은 두 가지 주요 시나리오로 분류할 수 있습니다:
- 새 인스턴스 배포: 새 인스턴스를 시작할 때 SSM Agent 설치.
- 기존 인스턴스 관리: 이미 실행 중인 인스턴스에 SSM Agent 설치.
새 인스턴스에 SSM Agent 설치
새 인스턴스를 시작할 때, 초기 설정 프로세스에 SSM Agent 설치를 포함하면 처음부터 일관된 관리 기능을 보장할 수 있습니다. 이 접근 방식은 배포 후 설치가 필요하지 않습니다. Golden AMI, 사용자 데이터 스크립트 또는 Infrastructure as Code 도구 등 다양한 방법을 통해 이를 달성할 수 있습니다. 방법의 선택은 조직의 배포 관행과 확장 요구 사항에 따라 달라집니다.
Golden AMI 접근 방식
Golden AMI는 EC2 인스턴스를 시작하기 위한 표준화된 템플릿 역할을 하는 사용자 지정 Amazon Machine Image입니다. Systems Manager 통합을 위해 조직은 SSM Agent가 사전 설치된 Golden AMI를 생성하여 이러한 AMI에서 시작된 모든 인스턴스가 즉시 Systems Manager를 통해 관리할 수 있도록 할 수 있습니다. 이 접근 방식은 시작 후 설치 스크립트가 필요하지 않으며 배포 실패 위험을 줄입니다.
Golden AMI 생성
- 수동: 인스턴스를 시작하고, SSM Agent를 설치 및 구성하고, 구성을 테스트한 다음, 해당 인스턴스에서 AMI를 생성하여 Golden AMI를 수동으로 만들 수 있습니다.
- EC2 Image Builder: EC2 Image Builder를 사용하여 골든 이미지를 생성하는 경우, 이미지 레시피를 구성하고 출력 이미지에 SSM 에이전트를 유지하는 옵션을 선택합니다.
- Hashicorp Packer: Hashicorp Packer를 사용하는 경우, shell Packer provisioner를 사용하여 SSM 에이전트를 설치하는 셸 명령을 실행합니다.
{
"provisioners": [
{
"type": "shell",
"inline": [
"if [ -f /etc/system-release ]; then",
" # Amazon Linux",
" sudo yum install -y amazon-ssm-agent",
" sudo systemctl enable amazon-ssm-agent",
" sudo systemctl start amazon-ssm-agent",
"elif [ -f /etc/lsb-release ]; then",
" # Ubuntu",
" sudo snap install amazon-ssm-agent —classic",
" sudo systemctl enable snap.amazon-ssm-agent.amazon-ssm-agent.service",
" sudo systemctl start snap.amazon-ssm-agent.amazon-ssm-agent.service",
"fi"
]
}
]
}
또는 Agent 설치 셸 명령이 포함된 스크립트 경로를 제공합니다.
{
"provisioners": [{
"type": "shell",
"script": "scripts/install_ssm.sh"
}]
}
Packer와 script provisioner를 사용할 때, install_ssm.sh는 Packer 구성 파일(.json 또는 .pkr .hcl)을 기준으로 상대 경로에 저장해야 합니다.
Infrastructure as Code (IaC)
- CloudFormation
- Terraform
CloudFormation을 사용하여 SSM 에이전트가 사전 설치되지 않은 AMI로 인스턴스를 시작하는 경우, UserData 속성을 활용하여 SSM 에이전트를 설치할 수 있습니다.
# EC2 Instance
EC2Instance:
Type: AWS::EC2::Instance
Properties:
ImageId: !FindInMap
- RegionMap
- !Ref AWS::Region
- !Ref OperatingSystem
InstanceType: !FindInMap
- EnvironmentSettings
- !Ref EnvironmentType
- InstanceType
IamInstanceProfile: !Ref SSMInstanceProfile
UserData: !If
- !Base64
'Fn::Sub': |
#!/bin/bash
# Install SSM Agent based on OS
if [ -f /etc/os-release ]; then
. /etc/os-release
case "$ID" in
amzn|rhel)
yum install -y amazon-ssm-agent
systemctl enable amazon-ssm-agent
systemctl start amazon-ssm-agent
;;
ubuntu)
snap install amazon-ssm-agent —classic
systemctl enable snap.amazon-ssm-agent.amazon-ssm-agent.service
systemctl start snap.amazon-ssm-agent.amazon-ssm-agent.service
;;
esac
fi
Terraform을 사용하는 경우, SSM 에이전트 설치 셸 명령이 포함된 스크립트 파일을 생성합니다. 그런 다음 인스턴스 리소스의 user_data 속성을 사용하여 설치 스크립트 파일을 지정합니다.
# EC2 Instance
resource "aws_instance" "web" {
ami = data.aws_ami.amazon_linux_2.id
instance_type = "t2.micro"
subnet_id = data.aws_subnet.main.id
vpc_security_group_ids = [aws_security_group.allow_ssm.id]
iam_instance_profile = aws_iam_instance_profile.ssm_profile.name
associate_public_ip_address = true
user_data = filebase64("${path.module}/scripts/install_ssm.sh")
tags = {
Name = "SSM-enabled-instance"
}
}
# Output
output "instance_id" {
value = aws_instance.web.id
}
EC2 콘솔/API/SDK
EC2 콘솔 또는 SDK를 사용하여 EC2 인스턴스를 시작할 때, 인스턴스를 시작하기 전에 SSM Agent 설치 명령이 포함된 사용자 데이터를 Amazon EC2 인스턴스에 추가합니다.
- Linux의 경우 이 문서의 단계를 참조하세요: 시작 시 Amazon EC2 Linux 인스�턴스에 SSM Agent를 설치하는 방법
- Windows의 경우 이 문서의 단계를 참조하세요: 시작 시 Amazon EC2 Windows 인스턴스에 AWS Systems Manager Agent(SSM Agent)를 설치하는 방법
Application Migration Service (MGN)
Application Migration Service를 사용하여 서버를 마이그레이션하고 시작하는 경우, post-launch 설정을 사용하여 SSM Agent를 설치합니다. 여기에 설명된 단계를 참조하세요.
Amazon EKS
최신 Amazon EKS 최적화 AMI는 SSM Agent를 자동으로 설치합니다. 사용자 지정 AMI를 사용하는 경우, SSM Agent를 설치하려면 여기에 설명된 대로 preBootstrapCommands 속성을 사용합니다.
실행 중인 인스턴스에 SSM Agent 설치
환경에서 이미 실행 중인 인스턴스의 경우, 다양한 원격 액세스 및 자동화 방법을 사용하여 SSM Agent를 설치할 수 있습니다. 설치 프로세스는 운영 체제 유형, 사용 가능한 접근 방법 및 네트워크 구성에 따라 달라집니다. 이 섹션에서는 기존 인스턴스에 SSM Agent를 설치하는 데 사용할 수 있는 다양한 접근 방식을 설명합니다.
사용자 정의 솔루션
관리되지 않는 Amazon EC2 노드에 AWS Systems Manager 에이전트 자동 설치에 대한 공개 블로그를 참조하세요. 이 솔루션은 userdata를 사용하여 SSM 에이전트를 설치하고 automation 런북이 리전과 계정에 걸쳐 이 프로세스를 조정합니다.
구성 관리 도구
조직에서 Puppet, Chef 또는 Ansible과 같은 구성 관리 도구를 사용하는 경우, 이러한 기존 도구를 활용하여 인스턴스 전체에 SSM Agent를 배포할 수 있습니다.
- Ansible
- Chef
- Puppet
- name: Install SSM Agent across fleet
hosts: all
become: yes
tasks:
- name: Detect OS family
ansible.builtin.set_fact:
os_family: "{{ ansible_facts['os_family'] }}"
- name: Install SSM Agent on RedHat family
block:
- name: Download SSM Agent RPM
get_url:
url: "https://s3.{{ aws_region }}.amazonaws.com/amazon-ssm-{{ aws_region }}/latest/linux_amd64/amazon-ssm-agent.rpm"
dest: /tmp/amazon-ssm-agent.rpm
mode: '0644'
- name: Install SSM Agent
yum:
name: /tmp/amazon-ssm-agent.rpm
state: present
when: os_family == "RedHat"
- name: Install SSM Agent on Debian family
block:
- name: Install SSM Agent via Snap
community.general.snap:
name: amazon-ssm-agent
classic: yes
when: os_family == "Debian"
- name: Enable and start SSM Agent
systemd:
name: amazon-ssm-agent
enabled: yes
state: started
- name: Verify installation
command: systemctl status amazon-ssm-agent
register: ssm_status
ignore_errors: yes
- name: Report status
debug:
var: ssm_status.stdout_lines
if $facts['os']['family'] == 'RedHat' {
package { 'amazon-ssm-agent':
ensure => installed,
source => 's3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.rpm',
provider => 'rpm',
}
} elsif $facts['os']['family'] == 'Debian' {
package { 'amazon-ssm-agent':
ensure => installed,
source => 's3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/debian_amd64/amazon-ssm-agent.deb',
provider => 'dpkg',
}
}
service { 'amazon-ssm-agent':
ensure => running,
enable => true,
require => Package['amazon-ssm-agent'],
}
# cookbooks/ssm_agent/recipes/default.rb
case node['platform_family']
when 'rhel'
remote_file '/tmp/amazon-ssm-agent.rpm' do
source "https://s3.#{node['region']}.amazonaws.com/amazon-ssm-#{node['region']}/latest/linux_amd64/amazon-ssm-agent.rpm"
mode '0644'
action :create
end
package 'amazon-ssm-agent' do
source '/tmp/amazon-ssm-agent.rpm'
action :install
end
when 'debian'
execute 'install_ssm_agent' do
command 'snap install amazon-ssm-agent —classic'
not_if 'snap list | grep amazon-ssm-agent'
end
end
service 'amazon-ssm-agent' do
action [:enable, :start]
end
EC2 사용자 데이터
기본적으로 사용자 데이터 명령과 cloud-init 지시문은 EC2 인스턴스가 시작될 때 첫 번째 부팅 주기에서만 실행됩니다. 그러나 mime 멀티파트 파일을 사용하여 사용자 데이터 명령과 cloud-init 지시문을 구성할 수 있습니다.
사용자 데이터를 업데이트하려면 인스턴스를 중지합니다. Actions를 클릭하고, Instance settings를 선택한 다음 Edit User Data를 선택합니다.
- Linux
- Windows
Content-Type: multipart/mixed; boundary="//"
MIME-Version: 1.0
--//
Content-Type: text/cloud-config; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
Content-Disposition: attachment;
filename="cloud-config.txt"
#cloud-config
cloud_final_modules:
- [scripts-user, always]
--//
Content-Type: text/x-shellscript; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
Content-Disposition: attachment; filename="userdata.txt"
#!/bin/bash
# Amazon Linux 2, RHEL
dnf install -y s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.rpm
systemctl enable amazon-ssm-agent
systemctl start amazon-ssm-agent
--//--
참고: 아래 PowerShell 스크립트는 EC2Launch v2 시작 에이전트에서만 작동합니다.
<powershell>
$dir = $env:TEMP + "\ssm"
New-Item -ItemType directory -Path $dir -Force
cd $dir
(New-Object System.Net.WebClient).DownloadFile("https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/windows_amd64/AmazonSSMAgentSetup.exe", $dir + "\AmazonSSMAgentSetup.exe")
Start-Process .\AmazonSSMAgentSetup.exe -ArgumentList @("/q", "/log", "install.log") -Wait
</powershell>
<persist>true</persist>
ModifyInstanceAttribute API를 사용하여 프로그래밍 방식으로 수행할 때, 이 스크립트는 base64로 인코딩된 텍스트로 변환해야 합니다.
그룹 정책 (Windows용)
그룹 정책은 전통적으로 .msi 패키지를 지원하지만, AWS Systems Manager(SSM) Agent는 .exe 파일로 제공됩니다. 이 제한을 극복하기 위해 그룹 정책과 예약된 작업의 조합을 사용하여 Windows 환경 전체에 SSM Agent를 배포합니다.
-
Active Directory의 적절한 계층/OU에서 GPO를 생성(또는 기존 GPO를 수정)합니다. 컴퓨터 예약 작업 스크립트 구성을 활용하도록 정책을 편집합니다.
-
옵션은 Computer Configuration | Preferences | Control Panel Settings | Scheduled Tasks | 마우스 오른쪽 클릭하고 New→Immediate Task를 선택하면 됩니다.
-
작업에 대해 Create를 선택하고, 작업 이름을 지정하며, 작업을 실행할 사용자 계정으로
NT AUTHORITY\System을 지정합니다. Run whether user is logged on or not 라디오 버튼을 클릭하고 Triggers 탭을 클릭하여 다음 섹션으로 진행합니다.
-
트리거의 경우 한 번을 선택합니다.
-
Start a program으로 새 작업을 만들고
powershell.exe를 선택한 다음 Argument에 다음을 사용합니다:
-ExecutionPolicy Bypass -Command "$dir = $env:TEMP + '\ssm'; New-Item -ItemType directory -Path $dir -Force; Set-Location $dir; (New-Object System.Net.WebClient).DownloadFile('https://s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/windows_amd64/AmazonSSMAgentSetup.exe', $dir + '\AmazonSSMAgentSetup.exe'); Start-Process .\AmazonSSMAgentSetup.exe -ArgumentList @('/q', '/log', 'install.log') -Wait"
-
New Action 창에서 OK를 클릭하고 Properties 창에서 OK를 클릭하여 대화 상자를 닫습니다.
-
완료되면 GP 정책이 업데이트되거나 명령 프롬프트에서
gpudate /force를 사용하여 해당 작업을 강제할 때 연결된 컴퓨터에 설치 프로그램이 푸시됩니다.
자세한 내용은 AWS Systems Manager에서 Windows 관리 노드 자동 등록을 참조하세요.
SSH (Linux용)
SSH를 통해 접근 가능한 Linux 인스턴스의 경우, 다음 �샘플 스크립트를 사용하여 SSM Agent 설치를 자동화할 수 있습니다. 이 스크립트는 OS 유형을 감지하고 적절한 패키지를 설치합니다.
#!/bin/bash
USERNAME=ec2-user
HOSTS=("192.168.1.121" "192.168.1.122" "192.168.1.123")
KEY_PATH="/path/to/your/key.pem"
for HOSTNAME in ${HOSTS}; do
# Detect OS type
OS_TYPE=$(ssh -i "${KEY_PATH}" -l ${USERNAME} ${HOSTNAME} "cat /etc/os-release | grep '^ID=' | cut -d= -f2 | tr -d '\"'")
case ${OS_TYPE} in
"amzn"|"rhel"|"centos")
SCRIPT="sudo yum install -y s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.rpm && sudo systemctl start amazon-ssm-agent"
;;
"ubuntu"|"debian")
SCRIPT="wget s3.amazonaws.com/ec2-downloads-windows/SSMAgent/latest/debian_amd64/amazon-ssm-agent.deb && sudo dpkg -i amazon-ssm-agent.deb && sudo systemctl start amazon-ssm-agent"
;;
*)
echo "Unsupported OS on ${HOSTNAME}"
continue
;;
esac
ssh -i "${KEY_PATH}" -l ${USERNAME} ${HOSTNAME} "${SCRIPT}"
done
Amazon EKS - 기존 인스턴스
최신 Amazon EKS 최적화 AMI는 SSM Agent를 자동으로 설치합니다. 사용자 지정 AMI를 사용하는 경우, 실행 중인 워커 노드에 SSM Agent를 설치하려면 여기에 설명된 Kubernetes Daemonset을 사용합니다.
Amazon Workspaces
여기에 문서화된 사용자 지정 솔루션을 사용합니다.
SSM Agent를 위한 IAM 권한 관리
적절한 IAM 권한은 SSM Agent 기능에 필수적입니다. AWS는 수동 인스턴스 프로파일 연결부터 자동화된 조직 전체 솔루션까지 이러한 권한을 관리하기 위한 여러 접근 방식을 제공합니다.
Default Host Management Configuration (DHMC)
DHMC는 조직 전체에서 SSM Agent 권한을 관리하기 위한 AWS 권장 접근 방식입니다. 수동으로 AWS Identity and Access Management(IAM) 인스턴스 프로파일을 생성하지 않고도 EC2 인스턴스를 관리할 수 있습니다. 대신 Default Host Management Configuration은 활성화된 AWS 계정과 AWS 리전의 모든 인스턴스를 관리할 수 있는 권한을 Systems Manager에 부여하는 기본 IAM 역할을 생성하고 적용합니다.
DHMC를 활성화하는 방법:
- 통합 콘솔 환경을 통해: 통합 콘솔 환경에 온보딩할 때 DHMC가 자동으로 활성화됩니다. 이는 온보딩 중에 생성된 State Manager 연결을 사용하여 활성화되며 각 대상 계정 및 리전에서 DHMC를 활성화합니다.
- Fleet Manager 사용: Fleet Manager 콘솔에서 Default Host Management Configuration을 켤 수 있습니다. Amazon EC2 인스턴스를 관리하려는 각 리전에서 하나씩 Default Host Management Configuration을 켜야 합니다. 여기의 단계를 참조하세요.
- CLI/SDK를 통해: 필요한 역할을 생성하고 AWS CLI/SDK를 사용하여 서비스 설정을 업데이트하여 수행합니다. Amazon EC2 인스턴스를 관리하려는 각 리전에서 하나씩 Default Host Management Configuration을 켜야 합니다. 여기의 단계를 참조하세요.
- Quick Setup을 통해: Quick Setup을 사용하면 AWS Organizations에 추가된 모든 계정과 리전에 대해 Default Host Management Configuration을 활성화할 수 있습니다. 여기의 단계를 참조하세요.
- CloudFormation 사용: CloudFormation을 사용하여 StackSets로 다중 계정 및 리전에서 DHMC를 활성화할 수도 있습니다. 이 블로그를 참조하세요.
개별 인스턴스 권한
DHMC를 사용하지 않는 경우, SSM 에이전트에 대한 권한은 IAM Instance Profile을 사용하여 각 인스턴스 수준에서 부여해야 합니다. SSM 에이전트를 위한 권장 Amazon 관리형 정책인 AmazonSSMManagedInstanceCore로 Instance Profile을 생성하는 것을 권장합니다. 사용 사례에 따라 이 인스턴스 프로파일에 추가 권한이 필요합니다. 사용자 가이드의 관리형 인스턴스에 대한 추가 정책 고려 사항을 참조하여 SSM 에이전트 사용을 위한 IAM 인스턴스 프로파일 생성 및 추가 정책 고려 사항에 대해 알아보세요.
시작 시 EC2 인스턴스에 인스턴스 프로파일 연결
- CloudFormation
- Terraform
CloudFormation을 사용하여 인스턴스를 시작하는 경우, IAM 인스턴스 프로파일 리소스를 생성하고 인스턴스 리소스에서 참조할 수 있습니다.
AWSTemplateFormatVersion: '2010-09-09'
Resources:
SSMInstanceRole:
Type: 'AWS::IAM::Role'
Properties:
AssumeRolePolicyDocument:
Version: '2012-10-17'
Statement:
- Effect: Allow
Principal:
Service: ec2.amazonaws.com
Action: sts:AssumeRole
ManagedPolicyArns:
- arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
SSMInstanceProfile:
Type: 'AWS::IAM::InstanceProfile'
Properties:
Path: /
Roles:
- !Ref SSMInstanceRole
EC2Instance:
Type: 'AWS::EC2::Instance'
Properties:
IamInstanceProfile: !Ref SSMInstanceProfile
# Other instance properties
Auto Scaling 그룹을 배포할 때, Launch template 리소스 속성에서 Instance Profile을 참조할 수 있습니다.
# ASG with SSM Instance Profile
Resources:
AutoScalingGroup:
Type: AWS::AutoScaling::AutoScalingGroup
Properties:
LaunchTemplate:
LaunchTemplateId: !Ref LaunchTemplate
Version: !GetAtt LaunchTemplate.LatestVersionNumber
LaunchTemplate:
Type: AWS::EC2::LaunchTemplate
Properties:
LaunchTemplateData:
IamInstanceProfile:
Name: !Ref SSMInstanceProfile
Terraform을 사용하여 인스턴스를 시작하는 경우, IAM Instance Profile 리소스를 생성하고 Instance 리소스에서 참조할 수 있습니다.
# IAM Role and Instance Profile
resource "aws_iam_role" "ssm_role" {
name = "SSMManagedInstanceRole"
assume_role_policy = jsonencode({
Version = "2012-10-17"
Statement = [
{
Action = "sts:AssumeRole"
Effect = "Allow"
Principal = {
Service = "ec2.amazonaws.com"
}
}
]
})
}
resource "aws_iam_role_policy_attachment" "ssm_policy" {
role = aws_iam_role.ssm_role.name
policy_arn = "arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore"
}
resource "aws_iam_instance_profile" "ssm_profile" {
name = "SSMManagedInstanceProfile"
role = aws_iam_role.ssm_role.name
}
# EC2 Instance with Profile
resource "aws_instance" "example" {
# ... other configuration ...
iam_instance_profile = aws_iam_instance_profile.ssm_profile.name
}
Systems Manager Automation 런북을 사용한 인스턴스 시작
AWS-CreateManagedLinuxInstance 및 AWS-CreateManagedWindowsInstance는 관리형 인스턴스의 생성 및 구성 프로세스를 자동화하는 사전 구성된 Systems Manager Automation 런북입니다. 이러한 런북은 시작된 인스턴스에 필요한 SSM 권한이 포함된 인스턴스 프로파일이 연결되도록 합니다.
이미 실행 중인 EC2 인스턴스에 인스턴스 프로파일 연결
-
Quick Setup 사용 (권장): Quick Setup을 사용한 Amazon EC2 호스트 관리를 사용하면 인스턴스에 연결된 기존 인스턴스 프로파일에 필요한 IAM 정책을 추가하거나, Quick Setup이 선택한 구성에 필요한 권한으로 IAM 정책 및 인스턴스 프로파일을 생성하도록 허용하도록 구성할 수 있습니다. 이 옵션은 조직의 여러 계정 또는 특정 OU의 인스턴스를 대상으로 할 수 있습니다.
-
Systems Manager Automation 사용: automation 런북 AWS-SetupManagedRoleOnEc2Instance를 사용하여 Systems Manager 액세스를 위한 SSMRoleForManagedInstance 관리형 IAM 역할로 인스턴스를 구성할 수 있습니다. 지정된 역할이 존재하지 않으면 automation에 의해 생성됩니다. 여러 계정과 리전의 인스턴스를 대상으로 하려면 다중 계정/다중 리전 모드로 automation을 실행합니다.