"AWSSupport-ActivateWindowsWithAmazonLicense" 자동화 런북을 사용하여 EC2 Windows 인스턴스의 Windows 정품 인증 문제를 진단하고 해결하는 방법

개요  

보유하고 있는 EC2 Windows 인스턴스의 OS 정품 인증이 자동으로 되지 않거나 해제되어 Windows 정품 인증을 수동으로 수행해야 하는 경우가 발생할 수 있습니다.

   

이러한 경우 AWS Support로 지원 케이스를 생성하여 해당 이슈에 대해 문의하고 문제 해결을 시도할 수 있지만, AWS 지원 자동화 워크플로우(Support Automation Workflow) 런북을 이용하면 AWS Support의 도움 없이 직접 빠르게 관련 설정을 확인 및 진단하여 정품 인증 이슈를 해결할 수 있습니다. [1]  

AWS Systems Manager에서 제공하는 "AWSSupport-ActivateWindowsWithAmazonLicense" 자동화 런북은 대상 인스턴스에 설정된 Microsoft KMS(Key Management Service) 설정을 확인하고 필요한 경우 이를 변경하여 정품 인증을 시도합니다. 여기에는 Amazon에서 제공하는 Microsoft KMS(Key Management Service) 로의 라우팅 경로 설정 및 정품 인증을 위한 KMS 클라이언트 키 설정이 포함됩니다.

 

참고 : 이 자동화 런북을 사용하여 BYOL(Bring Your Own License) EC2 Windows 인스턴스의 정품 인증을 수행하거나 정품 인증 관련 이슈를 진단 및 해결할 수는 없습니다.

 

이 자동화 런북은 대상으로 지정된 인스턴스에 대해 온라인 상태로 문제 해결을 시도하고 이것이 실패될 경우, 지정된 파라미터에 따라 오프라인으로 Windows 정품 인증 이슈 해결을 시도합니다.  

"AWSSupport-ActivateWindowsWithAmazonLicense" 런북은 다음과 같은 입력 파라미터를 제공합니다. 해당 런북의 실행을 위해 각 입력 파라미터를 설정할 때 참고해 주세요.

 

● InstanceId : 본 자동화 런북을 실행할 대상 인스턴스를 지정합니다.

● ForceActivation (Optional) : 'True'로 설정하면 대상 인스턴스의 Windows OS가 이미 정품 인증 되어 있더라도 런북을 수행하도록 합니다.

● AllowOffline (Optional) : 'True'로 설정하면 온라인으로 문제 해결이 실패되면 오프라인으로 문제 해결을 시도하도록 합니다. 또한 대상으로 지정된 인스턴스가 관리형 인스턴스가 아닌 경우에 오프라인으로 문제 해결을 시도하도록 합니다. 오프라인으로 조치 될 경우 대상 인스턴스가 자동으로 중지되고 다시 시작됩니다. 따라서 오프라인 조치를 허용할 때 이점을 유의해야 합니다.

● SubnetId (Optional) : (Offline only) 오프라인으로 문제를 해결하는데 사용하는 EC2Rescue 실행 인스턴스가 생성될 서브넷을 지정합니다. "SelectedInstanceSubnet"을 입력하면 대상 인스턴스와 동일 서브넷이 선택되며 다른 새로운 VPC를 생성하고 사용하도록 하려면 "CreateNewVPC"를 입력합니다.

● AutomationAssumeRole (Optional) : 사용자를 대신하여 Systems Manager 자동화가 작업을 수행할 수 있도록 허용하는 AWS IAM 역할의 ARN(Amazon Resource Name)을 지정합니다. 역할을 지정하지 않을 경우, 이 자동화 런북을 시작하는 사용자의 권한을 사용합니다.

● EC2RescueInstanceType (Optional) : (Offline only) 오프라인으로 문제를 해결하는데 사용하는 EC2Rescue 실행 인스턴스의 인스턴스 유형을 지정합니다.

● AllowEncryptedVolume (Optional) : (Offline only) 'True'로 설정하면 암호화된 루트 볼륨에 대해 EC2Rescue 작업을 수행할 수 있도록 합니다. 단, 해당 볼륨을 암호화 하는데 사용된 AWS KMS 키가 활성화(enabled) 상태이고 유효한(valid) 상태이어야 합니다.

● HelperInstanceProfileName (Optional) : (Offline only) 오프라인으로 문제를 해결하는데 사용하는 EC2Rescue 실행 인스턴스를 위한 인스턴스 프로파일의 이름을 지정합니다.

● HelperInstanceSecurityGroupId (Optional) : (Offline only) 오프라인으로 문제를 해결하는데 사용하는 EC2Rescue 실행 인스턴스에 연결될 보안 그룹의 ID를 지정합니다. 만약 이를 지정하지 않으면 VPC의 기본 보안 그룹이 사용됩니다. 단, EC2Rescue 실행 인스턴스의 보안 그룹은 Amazon S3 및 AWS Systems Manager 엔드포인트와 HTTPS(443포트) 아웃바운드 트래픽을 허용해야 합니다.

 

추가로, 성공적인 런북 실행을 위해 대상 EC2 Windows 인스턴스는 Amazon 관리형 정책인 "AmazonSSMManagedInstanceCore"이 포함된 IAM 역할을 가지는 것을 권장합니다. 그리고 런북을 실행하는 사용자는 대상 인스턴스에 명령을 보내고 자동화를 실행하기 위해 최소한 "ssm:StartAutomationExecution" 과 "ssm:SendCommand"을 수행할 수 있는 권한이 있어야 합니다. 거기에 더하여 자동화 실행 결과를 읽어 올 수 있도록 "ssm:GetAutomationExecution" 실행 권한이 있어야 합니다. 오프라인 조치를 위해 "AWSSupport-StartEC2RescueWorkflow" 런북이 내부적으로 실행되므로 이에 대한 필요한 권한도 가져야 합니다. [2]

 

실행 예제  

다음은 AWS 지원 자동화 워크플로우에서 제공되는 "AWSSupport-ActivateWindowsWithAmazonLicense" 런북을 통해 EC2 Windows 인스턴스의 Windows 정품 인증 문제를 해결하는 방법을 보여 줍니다.

 

1. Amazon에서 제공하는 Windows 라이선스로 정품 인증이 되어야 하는 조치가 필요한 EC2 Windows 인스턴스의 ID를 확인합니다.

2. AWS Systems Manager 콘솔로 이동하여 왼쪽 네비게이션에서 자동화(Automation)을 선택합니다.

3. 오른쪽의 자동화 실행(Execute automation) 버튼을 클릭합니다.

4. 중앙의 자동화 런북에서 "ActivateWindowsWithAmazonLicense"를 입력하여 검색하고 결과에 표시된 "AWSSupport-ActivateWindowsWithAmazonLicense" 런북을 선택한 뒤 하단에서 다음(Next)를 클릭합니다. 참고로, 런북 검색시 "AWSSupport-ActivateWindowsWithAmazonLicense"를 전체 입력하면 입력 글자 수 제한으로 인해 오류가 발생됩니다.    

5. 기본적으로 단순 실행(Simple execution)으로 선택됩니다. 조치가 필요한 인스턴스를 선택하거나 ID를 입력합니다. 그리고 입력 파라미터 섹션에서 필요한 정보를 입력합니다. 본 기사의 시나리오에서는 먼저 온라인으로만 문제 해결을 시도하고 이미 정품 인증이 되어 있더라도 다시 정품 인증을 시도하도록 입력 파라미터를 다음과 같이 설정합니다.

● ForceActivation : True

● AllowOffline : False

   

6. 하단에 실행(Execute)를 클릭합니다.
7. 런북이 실행되는 동안 위에서 설명한 작업이 자동으로 진행됩니다.
8. 런북이 성공적으로 실행완료되면, 그 결과(Output)을 통해 대상 인스턴스의 Windows 정품 인증 상태와 그에 따른 조치 내용 및 결과를 확인하실 수 있습니다. 앞서 설명한 바와 같이 "ForceActivation"을 'True'로 설정하였기에 Microsoft KMS로의 라우팅 경로 설정 및 관련 설정이 자동으로 진행되고 KMS 클라이언트 키가 설정되어 정품 인증이 다시 진행된 것을 확인할 수 있습니다.

   

그리고, Windows가 이미 정품 인증되어 있고 "ForceActivation" 파라미터의 값을 'False'로 설정했을 때 결과는 아래와 같습니다.

   

참고로, 관리형 인스턴스가 아닌 EC2 Windows 인스턴스에 대해 오프라인으로 조치할 경우 결과 예제는 다음과 같습니다.

   

해당 결과는 대상 인스턴스가 중지되고 루트 볼륨이 EC2Rescue 실행 인스턴스에 마운트된 후 Windows 정품 인증이 진행되도록 EC2Rescue에 의해 EC2Launch 가 구성되었음을 보여줍니다. 이후 루트 볼륨은 원래 대상 인스턴스에 다시 마운트되며 인스턴스는 자동으로 시작됩니다.

   

참고:  

[1] AWSSupport-ActivateWindowsWithAmazonLicense

https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-activatewindowswithamazonlicense.html

[2] AWSSupport-StartEC2RescueWorkflow

https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-startec2rescueworkflow.html