본 기사는 AWS Systems Manager에서 제공하는 "AWSSupport-ManageRDPSettings" 자동화 런북을 사용하여 EC2 Windows 인스턴스의 RDP 설정을 확인 및 변경하는 등의 설정 관리 방법에 대해 설명합니다.
AWS Systems Manager에서 제공하는 "AWSSupport-ManageRDPSettings" 자동화 런북을 사용하면 EC2 Windows 인스턴스에 설정된 RDP 포트 및 네트워크 계층 인증 (NLA) 활성화 여부와 같은 일반적인 RDP 설정을 확인하고 변경하는 관리 작업을 수행할 수 있습니다.
참고: 이 자동화 런북을 사용하여 RDP 설정을 변경하기 전에 기존 설정을 확인하고 검토하는 것을 권장 드립니다.
사전 요구 사항
이 자동화 런북을 성공적으로 실행하려면 "AutomationAssumeRole" 파라미터에 "AmazonSSMManagedInstanceCore" Amazon 관리형 정책이 연결된 IAM 역할(role)이 있어야 합니다.
또한, 사용자는 EC2 인스턴스에 명령을 전송하고 출력 결과를 읽을 수 있도록 "SSM:SendCommand" 와 "SSM:GetCommand" 을 수행할 수 있는 권한을 가져야 합니다.
자동화 런북 실행 방법
- RDP 설정을 관리할 EC2 Windows 인스턴스의 ID를 확인합니다.
- AWS Systems Manager 콘솔로 이동하여 왼쪽 네비게이션에서 자동화(Automation)을 선택합니다.
- 오른쪽의 자동화 실행(Execute automation) 버튼을 클릭합니다.
- 중앙의 자동화 런북에서 "AWSSupport-ManageRDPSettings"을 검색하고 선택한 뒤 하단에서 다음(Next)를 클릭합니다.
- 기본적으로 단순 실행(Simple execution)으로 선택됩니다. 입력 파라미터 섹션에서 필요한 정보를 입력합니다.
● InstanceId : 앞서 확인한 RDP 설정을 관리할 EC2 Windows 인스턴스의 ID를 선택합니다. 만약 해당 인스턴스가 리스트에 없을 경우 "Show interactive instance picker" 스위치를 토글하시면 직접 인스턴스 ID를 입력할 수 있습니다.
● RDPPortAction : 드롭다운 목록에서 RDP Port 파라미터에 적용할 작업을 선택합니다. (Check : 현재 설정 확인, Modify : RDPPort 파라미터의 값으로 RDP Port 변경 설정)
● RDPPort : RDPPortAction 파라미터에서 'Modify'를 선택한 경우, 변경할 RDP 포트 번호를 입력합니다. 입력되는 포트 번호는 1025~65535 사이 값이어야 합니다. RDP 포트를 변경하면 RDP 서비스가 다시 시작된다는 점에 유의하세요.
● NLASettingAction : 드롭다운 목록에서 NLA 설정에 대해 수행할 작업을 선택합니다. (Check : 현재 설정 확인, Enable : NLA 활성화, Disable : NLA 비활성화)
● RemoteConnections : 드롭다운 목록에서 원격 데스크톱 연결 사용(fDenyTSConnections)에 대해 수행할 작업을 선택합니다. (Check : 현재 설정 확인, Enable : 원격 데스크톱 연결 활성화, Disable : 원격 데스크톱 연결 비활성화)
● AutomationAssumeRole : 드롭다운 목록에서 이 자동화 런북을 실행하는 IAM 역할을 선택합니다. IAM 역할이 지정되지 않은 경우, 자동화는 이 런북을 실행하는 사용자의 권한을 사용합니다.
- 하단에 실행(Execute)를 클릭합니다.
- 자동화 런북이 실행되는 동안 위에서 설명한 작업이 자동으로 진행됩니다.
- 자동화 런북이 성공적으로 실행완료되며, 그 결과(Output)을 통해 설정 확인 및 설정 변경 사항을 확인하실 수 있습니다. 아래 예는 RDP Port를 3390으로 변경하고 현재 인스턴스의 NLA 및 연결 거부 설정을 확인하도록 입력 파라미터를 지정하고 실행한 결과 입니다.
참고
[+] AWSSupport-ManageRDPSettings
[+] Change the listening port for Remote Desktop on your computer
[+] fDenyTSConnections