Session Manager

📌 SSH, Bastion의 대안
1. EC2 접속시 필요한 SSH

• EC2에 여러 유저가 접근할 경우 접속 할때마다 SSH key가 필요하게 되고 이 경우 각 유저마다 key파일을 가지고 있어야 해서 번거롭고 보안 상 문제가 발생할 수 있음
  

2. Bastion

• Private subnet에 접근할 때 Bastion Host(EC2) 터널링을 통해 접속해야 하고 매번 이를 통해야 한다는 번거로움

---

Systems Manager Session Manager

• 완전 관리형 AWS 서비스로 EC2 및 온프레미스 인스턴스, 가상머신을 브라우저 기반의 쉘 혹은 AWS CLI로 관리할 수 있는 서비스

System Manager

Session Manager

• 인스턴스에 대해 원클릭 액세스를 제공하는 관리형 서비스
• 인스턴스에 SSH연결 없이, 포트를 열 필요 없이, 베스천 호스트를 유지할 필요 없이 인스턴스에 로그인 가능
• IAM 유저 단위로 제어 가능 (Key 파일 제어 필요 없음)
  ✓ 수백개의 인스턴스에 대해 일일이 로그인을 위한 키파일을 관리해야 할 때
  ✓ 개발자 별로 지정된 팀의 인스턴스만 로그인할 수 있도록 하고 싶을 때 (IAM 설정)
• 웹브라우저 기반으로 OS와 무관하게 사용 가능
• 로깅과 감사 (언제 누가 어디서 접속했는지 확인 가능 - CloudTrail과 연동)
• 접속 기록과 사용한 모든 커맨트 및 출력 내역을 S3 혹은 CloudWatch로 전송 가능
• AWS 서비스와 연동되어 있어 다양한 시나리오 구현 가능
  ✓ EventBridge 등과 연동하여 실시간으로 접근에 대한 알림 받기

---

실습

1. IAM 정책등록
   AmazonEC2RoleforSSM

2. 인스턴스 생성

• 기존 키페어 없이 계속
  

• IAM 롤 선택
  

3. AWS Systems Manager - Session Manager

• 등록된 EC2 세션 시작
  

4. bash

bash
sudo -s
dir

5. CloudWatch 로그 그룹 생성
   

6. Session Manager
   Configure Preferences 클릭

• Cloud Loggging
  Allow Only CloudWatch log ~~~
  -> 로그 그룹이 인크립트가 안되있어서 선택이 안되는 문제 방지하기 위해
  (실제로는 로그 그룹도 암호화 시키고 해야 함)
  

저장

7. 다시 세션 시작
   7-1 핑 찍기
   

8. 클라우드 와치 로깅 확인
   

---

Systems Manager - SSH 터널링
https://aws.amazon.com/ko/premiumsupport/knowledge-center/systems-manager-ssh-vpc-resources/

https://www.youtube.com/watch?v=2Xb2JXV5Llo&ab_channel=AWS%EA%B0%95%EC%9D%98%EC%8B%A4