기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AMS Accelerate의 자동 인스턴스 구성
AMS Accelerate는 자동화된 인스턴스 구성 서비스를 제공합니다. 이 서비스는 인스턴스가 AMS가 인스턴스를 올바르게 관리할 수 있도록 올바른 로그와 지표를 내보내도록 합니다. 자동 인스턴스 구성에는이 섹션의 뒷부분에서 설명하는 온보딩을 위한 자체 사전 조건과 단계가 있습니다.
**Topics**
+ [Accelerate에서 자동화된 인스턴스 구성의 작동 방식](inst-auto-config-how-works.md)
+ [SSM 에이전트 자동 설치](ssm-agent-auto-install.md)
+ [자동 인스턴스 구성 변경](inst-auto-config-changes-made.md)
# Accelerate에서 자동화된 인스턴스 구성의 작동 방식
자동 인스턴스 구성을 사용하면 AMS Accelerate가 특정 에이전트 및 태그를 추가하여 표시하는 인스턴스에 대해 매일 특정 구성을 수행할 수 있습니다.
# Accelerate의 자동 인스턴스 구성을 위한 사전 조건
AMS Accelerate가 관리형 인스턴스에서 이전에 설명한 자동화된 작업을 수행할 수 있도록 하려면 이러한 조건을 충족해야 합니다.
**SSM 에이전트가 설치됨**
AMS Accelerate 자동 인스턴스 구성을 사용하려면 AWS Systems Manager SSM 에이전트가 설치되어 있어야 합니다.
AMS SSM 에이전트 자동 설치 기능 사용에 대한 자세한 내용은 섹션을 참조하세요[SSM 에이전트 자동 설치](ssm-agent-auto-install.md).
SSM 에이전트를 수동으로 설치하는 방법에 대한 자세한 내용은 다음을 참조하세요.
+ Linux: [ Linux용 Amazon EC2 인스턴스에 SSM 에이전트 수동 설치 - AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-manual-agent-install.html)
+ Windows: [ Windows Server용 Amazon EC2 인스턴스에 SSM Agent 수동 설치 - AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-install-win.html)
**SSM 에이전트가 관리형 상태입니다.**
AMS Accelerate 자동 인스턴스 구성에는 운영 SSM 에이전트가 필요합니다. SSM 에이전트가 설치되어 있어야 하며 Amazon EC2 인스턴스는 관리형 상태여야 합니다. 자세한 내용은 [SSM 에이전트 작업](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent.html) AWS 설명서를 참조하세요.
# 자동 인스턴스 구성 설정
사전 조건이 충족되었다고 가정하면 특정 Amazon EC2 인스턴스 태그를 추가하면 AMS Accelerate 자동 인스턴스 구성이 자동으로 시작됩니다. 다음 방법 중 하나를 사용하여이 태그를 추가합니다.
1. (매우 권장) AMS Accelerate 리소스 태거 사용
계정에 대한 태그 지정 로직을 구성하려면 섹션을 참조하세요[태그 지정 작동 방식](acc-tag-intro.md#acc-tag-how-works). 태그 지정이 완료되면 태그 및 자동 인스턴스 구성이 자동으로 처리됩니다.
1. 수동으로 태그 추가
Amazon EC2 인스턴스에 다음 태그를 수동으로 추가합니다.
Key:**ams:rt:ams-managed**, Value:**true**.
**참고**
인스턴스 구성 서비스는 **ams:rt:ams 관리형** 태그가 인스턴스에 적용되면 필요한 AMS 구성을 적용하려고 시도합니다. 서비스는 인스턴스가 시작될 때마다, 그리고 AMS 일일 구성 검사가 발생할 때마다 AMS 필수 구성을 어설션합니다.
# SSM 에이전트 자동 설치
AMS가 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 관리하도록 하려면 각 인스턴스에 AWS Systems Manager SSM 에이전트를 설치해야 합니다. 인스턴스에 SSM 에이전트가 설치되어 있지 않은 경우 AMS SSM 에이전트 자동 설치 기능을 사용할 수 있습니다.
**참고**
6/03/2024 이후에 계정이 AMS Accelerate에 온보딩되면이 기능이 기본적으로 활성화됩니다. 이 기능을 끄려면 CA 또는 CSDM에 문의하십시오.
6/03/2024 이전에 온보딩된 계정에서이 기능을 켜려면 CA 또는 CSDM에 문의하세요.
이 기능은 Auto Scaling 그룹에 없고 AMS에서 지원하는 Linux 운영 체제를 실행하는 EC2 인스턴스에서만 사용할 수 있습니다.
## SSM 에이전트 사용을 위한 사전 조건
+ 대상 인스턴스와 연결된 인스턴스 프로파일에 다음 정책(또는 허용 목록에 있는 것과 동등한 권한) 중 하나가 있는지 확인합니다.
+ AmazonSSMManagedEC2InstanceDefaultPolicy
+ AmazonSSMManagedInstanceCore
+ 이전 정책에 나열된 권한을 명시적으로 거부하는 AWS Organizations 수준의 서비스 제어 정책이 없는지 확인합니다.
자세한 내용은 [Systems Manager에 필요한 인스턴스 권한 구성](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-permissions.html)을 참조하세요.
+ 아웃바운드 트래픽을 차단하려면 대상 인스턴스가 있는 VPC에서 다음 인터페이스 엔드포인트가 활성화되어 있는지 확인합니다(URL의 "리전"을 적절하게 바꿉니다).
+ ssm..amazonaws.com
+ ssmmessages..amazonaws.com
+ ec2messages.<리전>.amazonaws.com
자세한 내용은 [Systems Manager용 VPC 엔드포인트를 사용하여 EC2 인스턴스의 보안 개선](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-create-vpc.html)을 참조하세요.
관리형 노드 가용성 활성화 또는 문제 해결에 대한 일반적인 팁은 [솔루션 2: 인스턴스에 대해 IAM 인스턴스 프로파일이 지정되었는지 확인(EC2 인스턴스만 해당)을](https://docs.aws.amazon.com/systems-manager/latest/userguide/troubleshooting-managed-instances.html#instances-missing-solution-2) 참조하세요.
**참고**
AMS는 자동 설치 프로세스의 일부로 각 인스턴스를 중지하고 시작합니다. 인스턴스가 중지되면 인스턴스 스토어 볼륨에 저장된 데이터와 RAM에 저장된 데이터가 손실됩니다. 자세한 내용은 [인스턴스를 중지하면 어떻게 되는지를 참조하세요](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Stop_Start.html#what-happens-stop).
## 인스턴스에 SSM 에이전트 자동 설치 요청
계정이 AMS Accelerate 패치 추가 기능에 온보딩된 경우 인스턴스에 대한 패치 유지 관리 기간(MW)을 구성합니다. 패치 프로세스를 완료하려면 작동 중인 SSM 에이전트가 필요합니다. 인스턴스에 SSM 에이전트가 없는 경우 AMS는 패치 유지 관리 기간 동안 인스턴스를 자동으로 설치하려고 시도합니다.
**참고**
AMS는 자동 설치 프로세스의 일부로 각 인스턴스를 중지하고 시작합니다. 인스턴스가 중지되면 인스턴스 스토어 볼륨에 저장된 데이터와 RAM에 저장된 데이터가 손실됩니다. 자세한 내용은 [인스턴스를 중지하면 어떻게 되는지를 참조하세요](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Stop_Start.html#what-happens-stop).
## SSM 에이전트 자동 설치 작동 방식
AMS는 EC2 사용자 데이터를 사용하여 인스턴스에서 설치 스크립트를 실행합니다. 사용자 데이터 스크립트를 추가하고 인스턴스에서 실행하려면 AMS가 각 인스턴스를 중지하고 시작해야 합니다.
인스턴스에 이미 기존 사용자 데이터 스크립트가 있는 경우 AMS는 자동 설치 프로세스 중에 다음 단계를 완료합니다.
1. 기존 사용자 데이터 스크립트의 백업을 생성합니다.
1. 기존 사용자 데이터 스크립트를 SSM 에이전트 설치 스크립트로 바꿉니다.
1. 인스턴스를 다시 시작하여 SSM 에이전트를 설치합니다.
1. 인스턴스를 중지하고 원래 스크립트를 복원합니다.
1. 원래 스크립트로 인스턴스를 다시 시작합니다.
# 자동 인스턴스 구성 변경
AMS Accelerate 인스턴스 구성 자동화는 계정에서 다음과 같이 변경합니다.
1. IAM 권한
AMS Accelerate에서 설치한 에이전트를 사용할 수 있는 권한을 인스턴스에 부여하는 데 필요한 IAM 관리형 정책을 추가합니다.
1. Agents
1. Amazon CloudWatch 에이전트는 OS 로그 및 지표를 내보낼 책임이 있습니다. 인스턴스 구성 자동화를 통해 CloudWatch 에이전트가 설치되고 AMS Accelerate 최소 버전을 실행할 수 있습니다.
1. AWS Systems Manager SSM 에이전트는 인스턴스에서 원격 명령을 실행할 책임이 있습니다. 인스턴스 구성 자동화는 SSM 에이전트가 AMS Accelerate 최소 버전을 실행하고 있는지 확인합니다.
1. CloudWatch 구성
1. 필요한 지표와 로그가 생성되도록 AMS Accelerate는 CloudWatch 구성을 사용자 지정합니다. 자세한 내용은 다음 [CloudWatch 구성 변경 세부 정보](inst-auto-config-details-cw.md) 단원을 참조하세요.
자동 인스턴스 구성은 IAM 인스턴스 프로파일 및 CloudWatch 구성을 변경하거나 추가합니다.
# IAM 권한 변경 세부 정보
각 관리형 인스턴스에는 다음과 같은 관리형 정책이 포함된 AWS Identity and Access Management 역할이 있어야 합니다.
+ arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
+ arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
+ arn:aws:iam::aws:policy/AMSInstanceProfileBasePolicy
처음 두 정책은 AWS관리형 정책입니다. AMS 관리형 정책은 다음과 같습니다.
**AMSInstanceProfileBasePolicy**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:UpdateSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:/ams/byoa/*"
],
"Effect": "Allow"
},
{
"Action": [
"kms:Encrypt"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
인스턴스에 이미 연결된 IAM 역할이 있지만 이러한 정책이 누락된 경우 AMS는 누락된 정책을 IAM 역할에 추가합니다. 인스턴스에 IAM 역할이 없는 경우 AMS는 **AMSOSConfigurationCustomerInstanceProfile** IAM 역할을 연결합니다. **AMSOSConfigurationCustomerInstanceProfile** IAM 역할에는 AMS Accelerate에 필요한 모든 정책이 있습니다.
**참고**
기본 인스턴스 프로파일 제한인 10에 도달하면 AMS는 제한을 20으로 늘려 필요한 인스턴스 프로파일을 연결할 수 있습니다.
# CloudWatch 구성 변경 세부 정보
CloudWatch 구성에 대한 추가 세부 정보입니다.
+ 인스턴스의 CloudWatch 구성 파일 위치:
+ Windows: %ProgramData%\$1Amazon\$1AmazonCloudWatchAgent\$1amazon-cloudwatch-agent.json
+ Linux: /opt/aws/amazon-cloudwatch-agent/etc/amazon-cloudwatch-agent.d/ams-accelerate-config.json
+ Amazon S3의 CloudWatch 구성 파일 위치:
+ Windows: https://ams-configuration-artifacts-*REGION\$1NAME*.s3.*REGION\$1NAME*.amazonaws.com/configurations/cloudwatch/latest/windows-cloudwatch-config.json
+ Linux: https://ams-configuration-artifacts-*REGION\$1NAME*.s3.*REGION\$1NAME*.amazonaws.com/configurations/cloudwatch/latest/linux-cloudwatch-config.json
+ 수집된 지표:
+ Windows:
+ AWS Systems Manager SSM 에이전트(CPU\$1Usage)
+ CloudWatch 에이전트(CPU\$1Usage)
+ 모든 디스크의 디스크 공간 사용률(% 여유 공간)
+ 메모리(사용 중인 커밋 바이트 비율)
+ Linux:
+ AWS Systems Manager SSM 에이전트(CPU\$1Usage)
+ CloudWatch 에이전트(CPU\$1Usage)
+ CPU(cpu\$1usage\$1idle, cpu\$1usage\$1iowait, cpu\$1usage\$1user, cpu\$1usage\$1system)
+ 디스크(used\$1percent, inodes\$1used, inodes\$1total)
+ Diskio(io\$1time, write\$1bytes, read\$1bytes, writes, reads)
+ Mem(mem\$1used\$1percent)
+ 스왑(swap\$1used\$1percent)
+ 수집된 로그:
+ Windows:
+ AmazonSSMAgentLog
+ AmazonCloudWatchAgentLog
+ AmazonSSMErrorLog
+ AmazonCloudFormationLog
+ ApplicationEventLog
+ EC2ConfigServiceEventLog
+ MicrosoftWindowsAppLockerEXEAndDLLEventLog
+ MicrosoftWindowsAppLockerMSIAndScriptEventLog
+ MicrosoftWindowsGroupPolicyOperationalEventLog
+ SecurityEventLog
+ SystemEventLog
+ Linux:
+ /var/log/amazon/ssm/amazon-ssm-agent.log
+ /var/log/amazon/ssm/errors.log
+ /var/log/audit/audit.log
+ /var/log/cloud-init-output.log
+ /var/log/cloud-init.log
+ /var/log/cron
+ /var/log/dpkg.log
+ /var/log/maillog
+ /var/log/messages
+ /var/log/secure
+ /var/log/spooler
+ /var/log/syslog
+ /var/log/yum.log
+ /var/log/zypper.log