aws 아키텍처 사례 2 - Session Manager로 서버 접근통제 구현

출처: https://tech.cloudmt.co.kr/2022/09/29/aws-systems-manager%EC%9D%98-session-manager%EB%A5%BC-%EC%9D%B4%EC%9A%A9%ED%95%98%EC%97%AC-%ED%94%84%EB%9D%BC%EC%9D%B4%EB%B9%97-%ED%99%98%EA%B2%BD%EC%9D%98-%EC%84%9C%EB%B2%84-%EC%A0%91%EA%B7%BC%ED%86%B5%EC%A0%9C-%EA%B5%AC%ED%98%84/

 

아키텍처

Private 환경의 서버 접근통제 구현 아키텍처

아키텍처 설명

1. IAM 정책으로 인스턴스에 접근할 수 있는 권한을 부여한 사용자로 세션 시작
2. Systems Manager의 Session Manager 서비스에서 사용자 ID 인증, 권한 확인 후 연결이 이루어진다.
3. VPC의 인터페이스 엔드포인트를 거쳐 EC2 2가지 중에 사용자가 권한이 있는 EC2 인스턴스로 접근이 된다.
4. 게이트웨이 엔드포인트를 통해 S3에 로깅이 된다. 

Session Manager란?

- Systems Manager의 기능 중 하나로 서버 접근통제를 간편하게 구현할 수 있는 AWS 서비스

[장점]

• 인바운드 포트를 열 필요가 없다.
• Bastion 호스트를 사용하지 않는다.
• SSH 키를 사용하지 않아도 된다.
• 세션 활동을 로깅 및 감사가 가능하다.

무스마 기술블로그의  SSH로 EC2 접근하기와 SSM으로 EC2 접근하기 비교

VPC 엔드 포인트 종류(인터페이스 엔드포인트 vs 게이트웨이 엔드포인트)

- Access 방식에 차이점이 있다.

- Interface Endpoint: Private IP를 만들어서 서비스로 연결 (SQS, SNS, Kinesis, Sagemaker 등 많은 서비스 지원)

- Gateway Endpoint: 라우팅 테이블에서 경로의 대상으로 지정하여 사용 (S3, DynamoDB 등 일부 지원)

 

참고 링크

https://inpa.tistory.com/entry/AWS-%F0%9F%93%9A-VPC-End-Point-%EA%B0%9C%EB%85%90-%EC%9B%90%EB%A6%AC-%EA%B5%AC%EC%B6%95-%EC%84%B8%ED%8C%85

https://musma.github.io/2019/11/29/about-aws-ssm.html