[AWS] [활용] SSM - EC2 Windows 인스턴스 관리자 암호 재설정

 

해결 방법

AWS Systems Manager 또는 EC2Rescue를 사용하여 EC2 Windows 인스턴스에서 관리자 암호를 재설정할 수 있습니다.

Systems Manager Run Command AWSSupport-RunEC2RescueForWindowsTool(온라인 메서드)

사전 조건:

• AWS 계정에 Systems Manager를 구성한 다음 인스턴스에 Systems Manager 에이전트를 설치해야 합니다. 자세한 내용은 AWS Systems Manager 설정을 참조하세요.
• 인스턴스는 퍼블릭 IP 주소 또는 NAT를 사용하여 인터넷에 액세스할 수 있어야 합니다(Systems Manager의 경우).
  -또는-
  인스턴스는 Systems Manager용으로 구성된 Amazon Virtual Private Cloud(Amazon VPC) 엔드포인트를 사용해야 합니다.
  자세한 내용은 VPC 엔드포인트를 참조하세요.

Run Command를 사용하여 Systems Manager에서 관리자 암호를 재설정하려면 다음 단계를 따르세요.

1.    암호화된 암호를 파라미터 스토어에 쓰려면 인스턴스에 연결된 IAM 역할에 다음 정책을 연결합니다.

{ 
  "Version": "2012-10-17", 
  "Statement": [ 
    { 
      "Effect": "Allow", 
      "Action": [ 
      "ssm:PutParameter" 
      ], 
      "Resource": [ 
        "arn:aws:ssm:*:*:parameter/EC2Rescue/Passwords/i-*" 
        ] 
    } 
  ] 
}

2.    [AWS Systems Manager 콘솔]을 열고 탐색 창에서 [Run Command]를 선택합니다.

3.    Run a Command를 선택합니다.

4.    [Command document]에서 [AWSSupport-RunEC2RescueForWindowsTool]을 선택합니다.

5.    [명령 파라미터(Command parameters)]에서 Command가 [ResetAccess]로 설정되어 있는지 확인합니다.

6.    [Targets]에서 [Choose instances manually]를 선택한 다음 사용자 인스턴스를 선택합니다.

7.    Run을 선택합니다.

8.    [Targets and outputs] 섹션에서 인스턴스의 [Instance ID] 를 선택합니다.

9.    새 암호를 검색하는 방법에 대한 지침은 [View output]를 선택합니다.

10.    인스턴스에 다시 액세스한 후에는 암호를 교체한 다음 Parameter Store에서 파라미터를 삭제하는 것이 가장 좋습니다.

자세한 내용은 Systems Manager Run Command에서 Windows Server용 EC2Rescue 사용을 참조하세요.

Systems Manager Automation AWSSupport-ResetAccess(오프라인 메서드)

경고: 자동화를 실행하기 전에 유의할 사항은 다음과 같습니다.

• 탄력적 IP 주소를 사용하지 않는 경우 인스턴스를 중지하면 퍼블릭 IP 주소가 릴리스됩니다.
• 이 인스턴스에 인스턴스 스토어 볼륨이 있는 경우, 인스턴스가 중지될 때 해당 인스턴스 데이터가 삭제됩니다.
• instance shutdown behavior가 Terminate로 설정된 경우, 인스턴스가 중지되면 인스턴스가 종료됩니다.
• 인스턴스가 Auto Scaling 그룹의 일부인 경우 먼저 해당 인스턴스를 Auto Scaling 그룹에서 분리합니다. 그리고, 인스턴스를 중지했다가 시작한 후 인스턴스를 Auto Scaling 그룹에 다시 연결하세요.

자세한 내용은 인스턴스 중지 및 시작을 참조하세요.

AWSSupport-ResetAccess는 AWS CloudFormation 및 AWS Lambda 함수를 사용하여 EC2Rescue 오프라인 암호 재설정을 자동화하는 Systems Manager 자동화 문서입니다. 자동화 문서 실행:

• 가용 영역에서 복구를 지원할 인스턴스를 생성합니다.
• EBS 볼륨을 연결하고 분리합니다.
• EC2Rescue 유틸리티를 실행합니다.
• 환경과 분리된 Amazon VPC for EC2Rescue를 생성합니다.
• 인스턴스의 백업 AMI를 생성합니다.

다음과 같은 경우 AWSSupport-ResetAccess 문서를 사용할 수 있습니다.

• EC2 키 페어를 분실한 경우 EC2 인스턴스에서 암호가 활성화된 AMI를 생성하여 기존 키 페어로 새 인스턴스를 시작하려고 합니다.
• 로컬 관리자 암호를 분실했으며 현재 EC2 키 페어로 해독할 수 있는 새 암호를 생성하려고 합니다.

중요: 암호화된 루트 EBS 볼륨에는 AWSSupport-ResetAccess 문서를 사용할 수 없습니다.

1.    AWS Systems Manager 콘솔을 열고 탐색 창에서 [자동화(Automation)]를 선택합니다.

2.    [Execute automation]을 선택합니다.

3.    [Automation document]에서 [AWSSupport-ResetAccess] 를 선택한 후 [Next]를 선택합니다.

4.    [Input parameters]에 EC2 인스턴스의 InstanceID를 입력합니다.

5.    [Execute]를 선택합니다.

6.    상태가 Success로 변경될 때까지 기다립니다. 최대 25분이 걸릴 수 있습니다.

참고: [실행 세부 정보(Execution detail)] 페이지에서 [실행 단계(Executed steps)]를 보고 진행 상황을 모니터링합니다. [출력(Outputs)]을 확장하여 자동화 출력을 확인합니다. 이 페이지로 돌아가려면 AWS Systems Manager 콘솔을 열고 탐색 창에서 [자동화(Automation)]를 선택합니다. 실행 중인 자동화를 선택한 다음 [세부 정보 보기(View details)]를 선택합니다.

7.    기존 키 페어를 사용하여 EC2 콘솔에서 새로 생성된 암호를 디코딩합니다. 자세한 내용은 인스턴스를 시작한 후에 Windows 관리자 암호를 검색하려면 어떻게 해야 합니까?를 참조하세요.

Systems Manager Run Command(온라인 메서드)

사전 조건:

• AWS 계정에 Systems Manager를 구성한 다음 인스턴스에 Systems Manager 에이전트를 설치해야 합니다. 자세한 내용은 AWS Systems Manager 설정을 참조하세요.
• 인스턴스는 퍼블릭 IP 주소 또는 NAT를 사용하여 인터넷에 액세스할 수 있어야 합니다(Systems Manager의 경우).
  -또는-
  인스턴스는 Systems Manager용으로 구성된 Amazon Virtual Private Cloud(Amazon VPC) 엔드포인트를 사용해야 합니다.
  자세한 내용은 VPC 엔드포인트를 참조하세요.

1.    AWS IAM 콘솔을 엽니다.

2.    역할, 새 역할 생성을 선택합니다.

3.    EC2를 선택한 다음 선택을 선택합니다.

4.    정책 이름에서 AmazonSSMManagedInstanceCore를 선택한 다음 역할 이름을 입력합니다.

5.    역할 생성을 선택합니다.

6.    Amazon EC2 콘솔을 열고 적절한 리전을 선택합니다.

7.    영향을 받는 인스턴스를 선택한 다음 작업, 보안, IAM 역할 수정을 선택합니다.

8.    방금 생성한 IAM 역할을 선택한 다음 저장을 선택합니다.

참고: 적절한 IAM 정책을 사용하여 인스턴스에 IAM 역할을 연결한 후 약 5분 정도 기다립니다. AWS Systems Manager 콘솔의 관리형 인스턴스에서 인스턴스를 확인할 수 있습니다. 인스턴스가 관리형 인스턴스 아래에 나타나지 않으면 인스턴스를 재부팅해 보세요. 해당 인스턴스가 여전히 표시되지 않을 경우 EC2 인스턴스가 Systems Manager 콘솔의 관리형 인스턴스 아래에 나타나지 않는 이유는 무엇입니까?를 참조하세요.

 

 

9.    인스턴스가 관리형 인스턴스에 나타나면 AWS Systems Manager 콘솔에서 Run Command를 선택합니다.

10.    Run a Command를 선택합니다.

11.    Command document에서 AWS-RunPowerShellScript를 선택합니다.

12.    Command parameters의 경우 다음 명령을 복사하여 붙여 넣습니다. Password@123을 본인의 암호로 바꿉니다.

net user Administrator Password@123

중요: 이 명령은 사용자 이름과 암호의 세부 정보를 AWS Systems Manager Agent(SSM Agent) 로그에 기록하며, 이로 인해 인스턴스에 대한 무단 액세스가 발생할 수 있습니다. 인스턴스에 다시 액세스한 후에는 암호를 변경하는 것이 좋습니다.

13.    Targets에서 Choose instances manually를 선택한 다음 암호 재설정이 필요한 인스턴스를 선택합니다.

14.    Run을 선택합니다.

참고: 모든 설정은 기본값으로 그대로 둡니다.

run 명령이 성공적으로 완료되면 이제 12단계에서 사용된 로컬 관리자 암호를 사용하여 인스턴스에 로그인할 수 있습니다. 이 방법을 사용한 후에는 암호를 변경하는 것이 좋습니다.

 

 

 

EC2 키 페어를 분실한 경우

1.    인스턴스를 중지합니다.

경고: 인스턴스를 중지하기 전에 다음 사항에 유의하세요.

• 탄력적 IP 주소를 사용하지 않는 경우, 인스턴스를 중단하면 퍼블릭 IP 주소가 릴리스됩니다.
• 이 인스턴스에 인스턴스 스토어 볼륨이 있는 경우, 인스턴스가 중지될 때 해당 인스턴스 데이터가 삭제됩니다.
• instance shutdown behavior가 Terminate로 설정된 경우, 인스턴스가 중지되면 인스턴스가 종료됩니다.
• 인스턴스가 Auto Scaling 그룹의 일부인 경우, 먼저 해당 인스턴스를 Auto Scaling 그룹에서 분리하세요. 그리고, 인스턴스를 중지했다가 시작한 후 인스턴스를 Auto Scaling 그룹에 다시 연결하세요.

자세한 내용은 인스턴스 중지 및 시작을 참조하세요.

2.    [Amazon EC2 콘솔]을 열고 [AMIs]를 선택합니다.

3.    인스턴트 ID를 검색합니다.

4.    AWSSupport-EC2Rescue-Post-Script-Backup-i-xxxxxxxxx_Date라는 AMI를 선택한 다음, Launch를 선택합니다.

5.    시작 마법사에 따라 인스턴스의 구성을 지정한 다음 소유한 키 페어를 선택합니다.

6.    다른 인스턴스를 종료하기 전에 새 인스턴스에 연결할 수 있고 애플리케이션이 예상대로 작동하는지 확인합니다.

EC2Rescue(오프라인 또는 온라인 방식)

다음 부팅 시 관리자 암호를 다시 생성하려면 EC2Rescue를 사용하여 EC2SetPassword를 활성화할 수 있습니다.

1.    [Diagnose and Rescue]를 선택합니다. EC2Config 섹션에는 현재 Ec2SetPassword 설정이 표시됩니다. [Next]를 선택합니다.

2.    [Detect possible issues]에서 [Ec2SetPassword] 확인란을 선택하고 [Next]를 선택합니다.

자세한 내용은 EC2Rescue를 사용하여 Amazon EC2 Windows 인스턴스의 문제를 해결하려면 어떻게 해야 하나요?를 참조하세요.

 

 

 

 

EC2 Windows 인스턴스에서 관리자 암호 재설정 (amazon.com)

EC2 Windows 인스턴스에서 관리자 암호 재설정