AWS - SYSTEM MANAGER (SSM)

■ SSM (SYSTEM MANAGER) 개요

• 클라우드 내외부에 있는 리소스를 통합적으로 보기 및 관리할 수 있게 해주는 관리 도구, 사용자는 서버와 인스턴스의 스케일에 관계없이 자동화된 작업, 구성 및 인벤토리 관리, 패치 관리 등을 통해 시스템을 효율적으로 관리 함. 

■ SSM (SYSTEM MANAGER) 기능

• 인스턴스 및 서버 관리: AWS와 온프레미스 환경 모두에서 실행되는 서버와 인스턴스에 대한 중앙 집중식 관리를 제공합니다.
• 자동화: AWS 리소스 및 애플리케이션 구성에 대한 자동화 스크립트를 생성하고 실행하여, 관리 작업을 자동화합니다.
• 패치 관리: 운영 체제 패치를 자동으로 적용하여, 보안 및 규정 준수를 유지할 수 있습니다.
• 구성 관리: 원하는 상태 관리(Desired State Management)를 통해 인스턴스와 서버의 구성을 지정하고, 지정된 구성에서 벗어난 경우 이를 자동으로 수정합니다.
• 인벤토리 관리: 인스턴스에 설치된 애플리케이션, OS 패치 수준, 네트워크 구성 등에 대한 자세한 인벤토리 정보를 수집하고 관리합니다.
• 통찰력 및 분석: 운영 데이터를 수집하고 분석하여 시스템의 성능과 보안 상태에 대한 통찰력을 제공합니다.
• 원격 서비스: SSM을 사용하여 EC2 접근 시 Key-Pair가 없더라도 접속이 가능하고, Private EC2 접근에 사용되는 VPN을 대체 가능. Key-Pair를 관리 업무 배제 및 Site-VPN 사용 비용을 절감하는 효과 발생

AWS Systems Manager를 사용하면 인프라스트럭처 관리의 복잡성을 줄이고, 운영 효율성을 개선하며, 보안 및 규정 준수 요구 사항을 충족하는 데 필요한 도구와 기능을 제공받을 수 있습니다. 이를 통해 개발자와 IT 운영 팀은 애플리케이션 배포 및 인프라 관리에 더 집중할 수 있게 됩니다.

• SYSOPS 시험 출제 범위 
  • Resource Group
  • Shared Resorces - Documents
  • Change Management - Automation, Maintenance  Windows
  • Application Management - Parameter Store
  • Node Management - Inventory, Session Manager, Run command, State manager, Patch Manager

---

 

■ SSM (System Manger) 기능 사용

• SSM → 노드 관리 → 플릿 매니저 
• 생성된 EC2에 SSM Agent가 설치 되어 있고, 네트워크 통신 환경이 정상이라면 관리형 노드 항목에 EC2가 표출됨.

 

■ SSM (System Manger) 문서(Documents) 활용

• 문서는 JSON 또는 YAML 언어로 작성 가능
• 매개변수를 정의하여 수행할 작업을 작성, 해당 문서는 명령 실행, 자동화, 패치 관리, 상태 관리, 매개변수 저장소에서의 정보 검색 등에 사용 됨. 

■ SSM (System Manger) - 명령 실행(Run Command)

• SSM 문서를 활용하여 EC2 인스턴스에게 명령을 수행 (≓ Shell Script와 유사), EC2 인스턴스는 복수로 선택할 수 있으며, 복수 선택시 기준으로 Resource Group을 사용 가능
• EC2에 설치된 SSM Agent와 SSM 사이 내부 통신을 하기 때문에 EC2가 SSM과 통신을 하기 위해 별도의 보안 그룹 설정은 필요하지 않음. 
• 명령 실행의 로그 정보는 S3 버킷 또는 CloudWatch로 전송 할 수 있으며, SNS에 상태 정보를 전송하여 전반적인 작업의 진행과정을 확인 할 수 있음. 
• IAM & CloudTail과 통합되어 있어 누가 명령을 수행 했는지 확인 가능
• 실습 내용: AWS - SYSTEM MANAGER (SSM) 명령 실행 (실습) :: 네트워크&파이썬 (tistory.com)

 

 

---

 

■ SSM (System Manger) - 자동화 (Automation)

• AWS 환경에서 IT 운영 및 관리 작업을 자동화하는 데 사용되는 기능입니다. SSM 자동화를 통해 관리자와 개발자는 일상적인 관리 작업, 소프트웨어 배포, 인프라스트럭처 변경 등을 자동화하고, 이러한 작업의 실행을 계획하고 추적할 수 있습니다. 

■ SSM (System Manger) - 자동화 (Automation) 특징

• 작업 자동화: 시스템 및 네트워크 구성 변경, 소프트웨어 설치 및 업데이트, 리소스 모니터링 및 복구 작업 등을 자동화가 가능하며, 반복적인 작업이 간소화 되어 운영비용이 절감되는 부가 효과가 발생 합니다. 
• 안전성 향상: SSM 자동화는 사전 정의된 작업(자동화 문서)을 사용하여 환경 변경을 안전하게 실행할 수 있게 합니다. 이는 변경 관리 프로세스를 표준화하고, 우발적인 오류로 인한 손실을 최소화합니다.
• 확장성: AWS 대부분의 서비스에 자동화 적용이 가능하여, 대규모 인프라에서도 효과적으로 작업을 관리하고 실행할 수 있습니다. (명령 실행보다 수행가능한 서비스의 범위가 넓음)
• 다양한 수행방법: 콘솔, CLI, SDK, EventBridge, Maintenance Windows(스케줄링 사용), AWS Config Remidiation 에 의해서 SSM 자동화 수행이 촉발됨.
• 실습 내용: AWS - SYSTEM MANAGER (SSM) 자동화 (실습) :: 네트워크&파이썬 (tistory.com)

---

 

■ SSM (System Manger) - 인벤토리

• AWS 환경 내에서 실행되는 서버 및 가상 머신의 인벤토리 데이터를 수집, 집계 및 추적하는 기능을 제공합니다.

■ SSM (System Manger) - 인벤토리 특징

• 자산 관리: AWS 클라우드 및 온프레미스 환경에서 실행되는 서버와 가상 머신의 자산을 효과적으로 관리가 가능합니다.
• 소프트웨어 인벤토리 관리: 설치된 애플리케이션, 실행 중인 서비스, 시스템 환경 변수 등에 대한 정보를 수집하여, 소프트웨어 자산 및 라이선스를 효율적으로 관리할 수 있습니다.
• 구성 관리: 인스턴스의 운영 체제, 네트워크 구성, 설치된 패치 수준 등에 대한 구성 정보를 수집하고, 이 정보를 사용하여 시스템의 구성을 모니터링하고 관리할 수 있습니다.
• 패치 준수 및 보안: 설치된 패치와 소프트웨어 업데이트의 상태를 추적하여, 시스템의 보안 및 패치 준수 상태를 평가할 수 있습니다. 이를 통해 취약점을 식별하고 해결할 수 있습니다.
• 쿼리 기반 검색: 인벤토리 정보를 S3 버킷에 저장하고 Athena 쿼리를 통해 분석 가능하고 QuickSight를 통해 대시보드 생성 기능 지원

 

---

 

■ SSM (System Manger) - 상태 관리자

• AWS 클라우드 및 온프레미스 환경에서 서버와 가상 머신(VM)의 구성을 관리하고, 이들이 원하는 상태를 유지하도록 하는 기능입니다

■ SSM (System Manger) - 상태 관리자 특징

• 상태 유지: State Manager는 서버와 VM이 사용자가 정의한 구성(예: 소프트웨어 설치, 시스템 설정)을 지속적으로 유지하도록 보장합니다. 
• 보안 강화: 보안 설정, 패치 적용 및 구성 변경과 같은 작업을 자동화함으로써, 조직의 보안 기준 및 규정 준수 요구사항을 충족할 수 있습니다.

---

 

■ SSM (System Manger) - 패치 관리자

• AWS 및 온프레미스 환경에서 서버와 가상 머신(VM)에 대한 패치 관리 프로세스를 자동화하는 데 사용 됩니다. 

 

■ SSM (System Manger) - 패치 관리자 특징

• 자동화된 패치 적용: Patch Manager를 사용하면 정의된 일정에 따라 시스템에 필요한 패치를 자동으로 적용할 수 있습니다. 
• 광범위한 OS 지원: 여러 운영 체제를 지원하므로, AWS에서 실행되는 Windows, Linux 서버 등 다양한 시스템의 패치 관리를 일관되게 수행할 수 있습니다.
• 패치 준수 상태 모니터링: Patch Manager는 패치 준수 보고서를 제공하여, 어떤 시스템이 최신 상태인지, 어떤 패치가 필요한지 등을 쉽게 확인할 수 있습니다. 이를 통해 시스템의 보안 상태를 지속적으로 모니터링하고 개선할 수 있습니다.
• 폭넓은 패치 범위: 운영 체제 업데이트, 어플리케이션 업데이트, 보안 업데이트 등 다양한 패치를 지원 합니다. 
• 보안 및 규정 준수 강화: 정기적인 패치 적용을 통해 시스템의 취약점을 줄이고, 다양한 규정 준수 요구 사항(예: PCI DSS, HIPAA)을 충족할 수 있습니다.

 

■ SSM (System Manger) - 패치 관리자 구성요소

• Patch Baseline
  
  • 중요 패치나 보안 패치만을 SSM 관리 에이전트에 설치하는 것이 기본 동작.
  • Pre-Defined Patch Baseline
    1. AWS에 의해 관리되며 수정 불가능 
    2. SSM 문서 - AWS-RunPatchBaseline을 사용하여 Linux, Mac, Windows 의 운영체제 및 어플리케이션 패치 수행 가능 
  • Custom Path Baseline
    
    1. 자동 승인될 패치 항목 지정 / 설치 및 거부 패치 목록 정의 가능 
    2. 사용자 지정 혹은 대체 패치 저장소(Repository) 지정 가능
• Patch Group
  • 인스턴스들을 특정한 Patch Baseline에 연결되어 있어야 합니다. 
  • 인스턴스는 오직 하나의 Patch Group에만 소속될 수 있고, Patch Group은 오직 하나의 Patch Baseline에만 등록 될 수 있습니다.