AWS Systems Manager(SSM) - Session Manager

 

본 게시글에서는 AWS Systems Manager의 Session Manager 기능에 대해서 알아보고자 한다.

 

1. Session Manager 란?

AWS Systems Manager의 Session Manager

 

- AWS Systems Manager(이하 SSM)의 기능 중 하나로, 웹 브라우저를 통해 인스턴스에 연결할 수 있음

- Session Manager를 사용하여 EC2 인스턴스, 엣지 디바이스, 온프레미스 서버 및 가상 머신을 관리할 수 있음

- IAM 정책을 사용하여 관리형 노드에 대한 중앙 집중식 액세스 제어

- 인바운드 포트를 열 필요가 없고, Bastion 호스트 또는 SSH 키를 관리할 필요가 없음

- 클릭 한 번으로 콘솔 및 CLI에서 관리형 노드에 접속할 수 있음

- 세션 활동 로깅 및 감사 가능

 

2. Session Manager을 통한 EC2 인스턴스 접속

Session Manager를 이용하여 EC2 인스턴스에 접속해볼 예정이다.

(※ AWS SSM과 SSM 에이전트가 설치된 EC2 인스턴스가 정상적으로 연결되어 있는 환경에서 수행함)

 

아래와 같이 몇 번의 클릭만으로 간단히 EC2 인스턴스에 접속할 수 있다.

 

3. Session Manager와 EC2 인스턴스 연결 비교

이전 게시글(AWS Systems Manager(SSM))에서 SSM 에이전트가 설치된 EC2 인스턴스 접속을 위해 'EC2 인스턴스 연결' 기능을 이용하여 접속을 시도하였다.

 

'EC2 인스턴스 연결' 기능도 AWS 관리 콘솔에서 몇 번의 클릭만으로 웹 브라우저에서 접속이 가능한데, 그렇다면 Session Manager와 어떤 차이점이 있는지 알아보자

 

결론부터 말하면, 'EC2 인스턴스 연결'과 Session Manager 차이점은 아래와 같다.

EC2 Connect 및 Sessions Manager 비교

'EC2 인스턴스 연결' 은 인바운드 규칙에 22번 포트 허용이 필요하고, Public IP가 설정되어 있어야 한다.

그러나 Session Manager는 EC2 IAM 역할만 설정되어 있으면 된다.

 

이와 같이 Session Manager의 경우 보안 그룹이나 Public IP 설정이 존재하지 않으므로 더 폐쇄적인 환경, 즉 더 안전한 환경에서 사용자가 사용할 수 있는 것이다.

 

4. Session Manager의 로깅 및 감사 설정

'3.' 항목에서  'EC2 인스턴스 연결'과 Session Manager의 차이점을 살펴보았는데,

또 하나의 중요한 차이점은 Session Manager는 로깅 및 감사가 가능하다는 점이다.

 

사용자가 Session Manager를 통해 EC2 인스턴스가 접속한 기록과 실제 접속 후 사용한 명령어들을 모두 확인이 가능하다.

 

로깅 및 감사 기능을 사용하기 위해서는 Session Manager 내 CloudWatch 로깅 기능을 활성화시키고, 로그 그룹을 설정해줘야 한다.

그리고CloudWatch 서비스를 사용해야 하므로, Session Manager가 CloudWatch에 접근할 수 있는 역할을 부여해줘야 한다.

 

 

1) CloudWatch 의 로그 그룹 생성

 

2) Session Manager의 CloudWatch 로깅 기능 활성화

 

3) Session Manager를 통해 EC2 인스턴스 접속 후, 명령어 실행

 

4) Session Manager 내 세션 기록 확인

세션 기록이 저장되어 있는 CloudWatch 로그를 살펴보면, 아래와 같이 로그가 저장되지 않았음을 확인할 수 있다.

EC2 인스턴스가 CloudWatch에 로그를 저장할 역할이 부여되어 있지 않기 때문이다.

 

5) EC2 인스턴스에 CloudWatch 역할 추가

 

6) CloudWatch 내 로그그룹 확인

CloudWatch 역할을 부여하면, 세션 기록의 로그가 정상적으로 남는 것을 확인할 수 있다.

 

끝.