AWS System Manager + Session Manager

개요

- Bastion Host + 키페어 + Security Group을 사용하지 않고 인스턴스에 접근할 수 있음

- AWS SSM Agent가 아웃바운드 443포트로 AWS 서비스를 요청함( 하지만 실제로 요청할 때 AWS 서비스의 공인 IP로 콜함 이걸 내부로 하기 위해 나온 것이 Private Link임)

- Private Link는 지원되는 서비스가 있음( 하나씩 늘어나고 있는 추세 )

- Amazon Linux는 기본적으로 Agent가 설치되어 있음

- Private Subnet에 있는 EC2에 접근하려면 VPC 엔드포인트를 사용해야함

 

보안점

- 아웃바운드 트래픽 제어 및 주요정보 로깅시 외부통신 안하는지 체크해야함

 

// 고객사 담당자는 이런 부분까지는 모름 MSP업체에서 이렇게 구성해달라고 안했다고 하면 할말이 없음

 

중요

- 내부 dns 통신 하지 않는 이상 서비스 콜하면 외부로 다녀옴( 엔드포인트가 외부에서 접근이 가능하면 외부로 다녀온다고 생각하면 됨 ) // 비용문제 + 컴플라이언스 문제

- 때문에 Private Link를 달아 내부에서 통신하게 함

- 2021년 6월부터 AWS CLI용 시스템 매니저/ 세션 관리자 플러그인이 오픈소스로 제공됨

  ( https://aws.amazon.com/ko/about-aws/whats-new/2021/06/aws-systems-manager-session-manager-plugin-for-the-aws-cli-is-now-opensource/ )