AWS re:Post을(를) 사용하면 다음에 동의하게 됩니다. AWS re:Post 이용 약관

Systems Manager를 사용하여 인터넷에 액세스하지 않고도 프라이빗 EC2 인스턴스를 관리할 수 있도록 VPC 엔드포인트를 생성하려면 어떻게 해야 하나요?

3분 분량
0

Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스가 인터넷에 액세스할 수 없습니다. AWS Systems Manager를 사용하여 인스턴스를 관리하고 싶습니다.

해결 방법

Systems Manager를 사용하여 Amazon EC2 인스턴스를 관리하려면 Amazon EC2 인스턴스를 관리형 인스턴스로 등록해야 합니다.

참고: Virtual Private Cloud(VPC) 엔드포인트는 특정 서브넷에 매핑됩니다. VPC 엔드포인트를 생성할 때 여러 서브넷을 선택하면 선택한 각 서브넷에 대해 하나의 엔드포인트가 생성됩니다. 이렇게 하면 각 엔드포인트에 대해 요금이 발생하므로 청구 비용이 증가합니다.

Systems Manager용 IAM 인스턴스 프로파일 생성

다음 단계를 완료합니다.

  1. 인스턴스에 SSM 에이전트가 설치되어 있는지 확인합니다.
  2. AWS Identity and Access Management(IAM) 인스턴스 프로파일을 생성합니다. 새 역할을 만들거나 기존 역할에 필요한 권한을 추가할 수 있습니다.
  3. 인스턴스에 IAM 역할을 연결합니다.
  4. Amazon EC2 콘솔을 연 다음 인스턴스를 선택합니다.
  5. 설명 탭을 선택한 다음 VPC ID서브넷 ID를 기록해 둡니다.

보안 그룹 생성 또는 수정

보안 그룹을 생성하거나 기존 보안 그룹을 수정합니다. 보안 그룹은 서비스와 통신하는 VPC 리소스의 인바운드 HTTPS(포트 443) 트래픽을 허용해야 합니다.

새 보안 그룹을 생성할 경우 다음 단계를 완료하여 보안 그룹을 구성합니다.

  1. Amazon VPC 콘솔을 엽니다.
  2. 보안 그룹을 선택한 다음, 새 보안 그룹을 선택합니다.
  3. 인바운드 규칙 탭에서 인바운드 규칙 편집을 선택합니다.
  4. 다음 세부 정보가 포함된 규칙을 추가합니다.
    유형에서 HTTPS를 선택합니다.
    소스에서 VPC CIDR을 선택합니다.
    고급 구성의 경우 EC2 인스턴스가 사용하는 특정 서브넷에 대해 CIDR을 허용할 수 있습니다.
  5. 다른 엔드포인트에서 사용할 보안 그룹 ID를 기록해 둡니다.
  6. 규칙 저장을 선택합니다.

Systems Manager용 VPC 엔드포인트 생성 및 구성

다음 단계를 완료합니다.

  1. VPC 엔드포인트를 생성합니다.
  2. 서비스 이름com.amazonaws.[region].ssm을 선택합니다. com.amazonaws.us-east-1.ssm을 예로 들 수 있습니다. AWS 리전 코드 목록을 보려면 사용 가능한 리전을 참조합니다.
  3. VPC의 경우 인스턴스의 VPC ID를 선택합니다.
  4. 서브넷의 경우 VPC의 서브넷 ID를 선택합니다.
  5. 고가용성을 위해 리전 내 서로 다른 가용 영역에 있는 서브넷을 두 개 이상 선택합니다.
    참고: 동일한 가용 영역에 서브넷이 두 개 이상 있는 경우, 추가 서브넷에 대한 VPC 엔드포인트를 생성할 필요가 없습니다. 동일한 가용 영역 내의 다른 모든 서브넷이 해당 인터페이스에 액세스하여 이를 사용할 수 있습니다.
  6. DNS 이름 활성화에서 이 엔드포인트에 대해 활성화를 선택합니다. 자세한 내용을 보려면 인터페이스 VPC 엔드포인트를 사용하여 AWS 서비스에 액세스를 참조하세요.
  7. 보안 그룹에서 기존 보안 그룹을 선택하거나 새 보안 그룹을 생성합니다. 보안 그룹은 서비스와 통신하는 VPC 리소스의 인바운드 HTTPS(포트 443) 트래픽을 허용해야 합니다.
  8. (선택 사항) 고급 설정의 경우, Systems Manager용 인터페이스 VPC 엔드포인트 정책을 생성합니다.
    참고: VPC 엔드포인트에는 AWS에서 제공한 DNS(VPC CIDR+2)가 필요합니다. 사용자 지정 DNS를 사용하는 경우 올바른 이름 확인을 위해 Amazon Route 53 Resolver를 사용합니다. 자세한 내용은 다음 문서를 참조하세요.
    인터페이스 VPC 엔드포인트를 사용하여 AWS 서비스에 액세스
    VPC와 네트워크 간 DNS 쿼리 확인
  9. 다음과 같이 변경하여 2단계를 반복합니다.
    서비스 이름에서 com.amazonaws.[region].ec2messages를 선택합니다.

보안 그룹을 생성할 경우 이전 섹션의 보안 그룹 생성 또는 수정에 나와 있는 단계를 완료하여 보안 그룹을 구성합니다.

세 개의 엔드포인트를 생성하면 인스턴스가 관리형 인스턴스에 표시됩니다. 

참고: Session Manager를 사용하려면 다음 VPC 엔드포인트를 생성합니다.

  • AWS Systems Manager: com.amazonaws.region.ssm
  • Session Manager: com.amazonaws.region.ssmmessages
  • (선택 사항) AWS Key Management Service(AWS KMS): com.amazonaws.region.kms
    참고: 이 엔드포인트는 Session Manager에 AWS KMS 암호화를 사용하는 경우에만 필요합니다.
  • (선택 사항) Amazon CloudWatch Logs
    참고: 이 엔드포인트는 Session Manager, Run Command에 Amazon CloudWatch Logs를 사용하는 경우에만 필요합니다.

인스턴스를 Session Manager에 연결하는 데 EC2 VPC 엔드포인트는 필요하지 않습니다. EC2 VPC 엔드포인트는 인스턴스의 VSS가 활성화된 스냅샷을 생성하는 데 필요합니다.

자세한 내용을 보려면 Systems Manager용 VPC 엔드포인트 생성을 참조합니다.

관련 정보

AWS Systems Manager 엔드포인트 및 할당량

AWS Systems Manager 설정

AWS PrivateLink를 사용하여 Session Manager용 VPC 엔드포인트 설정

AWS 공식
AWS 공식업데이트됨 일 년 전