기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
제어 및 제어 세트 문제 해결
이 페이지의 정보를 사용하여 Audit Manager의 제어와 관련된 일반적인 문제를 해결할 수 있습니다.
나의 평가에서 제어항목이나 제어 세트를 볼 수 없습니다.
간단히 말해서, 평가의 컨트롤 항목을 보려면 귀하가 해당 평가의 감사 소유자로 지정되어야 합니다. 또한 관련 Audit Manager 리소스를 보고 관리하려면 필요한 IAM 권한이 필요합니다.
평가의 제어 기능에 액세스해야 하는 경우 해당 평가의 감사 소유자 중 한 명에게 귀하를 감사 소유자로 지정해 달라고 요청하세요. 평가를 생성하거나 편집할 때 감사 소유자를 지정할 수 있습니다.
또한 평가를 관리하는 데 필요한 권한이 있는지 확인하세요. 감사 소유자는 이 AWSAuditManagerAdministratorAccess정책을 사용하는 것이 좋습니다. IAM 권한에 대한 도움이 필요한 경우 관리자 또는 AWS 지원
제어에 수동으로 증거를 업로드할 수 없습니다.
제어에 증거를 수동으로 업로드할 수 없다면 제어가 비활성 상태이기 때문일 수 있습니다.
수동 증거를 제어에 업로드하려면 먼저 제어 상태를 검토 중 또는 검토됨으로 변경해야 합니다. 지침은 에서 평가 관리 상태 변경 AWS Audit Manager 섹션을 참조하세요.
중요
각 컨트롤은 매일 최대 100개의 증거 파일만 수동으로 컨트롤에 업로드할 AWS 계정 수 있습니다. 이 일일 할당량을 초과하면 해당 제어에 대한 추가 수동 업로드가 실패합니다. 대량의 수동 증거를 단일 컨트롤에 업로드해야 하는 경우, 며칠에 걸쳐 일괄적으로 증거를 업로드하세요.
컨트롤에 “대체 가능”이라고 표시되면 무슨 뜻인가요?
이 메시지가 표시되면 사용자 지정 프레임워크에 있는 하나 이상의 표준 컨트롤에 대해 업데이트된 컨트롤 정의를 사용할 수 있다는 의미입니다. Audit Manager에서 제공하는 개선된 증거 자료를 활용할 수 있도록 이러한 제어 기능을 교체하는 것이 좋습니다.
진행 방법에 대한 지침은 을 참조하십시오사용자 지정 프레임워크 세부 정보 페이지에 사용자 지정 프레임워크를 다시 만들라는 메시지가 표시됩니다..
여러 AWS Config 규칙을 단일 컨트롤의 데이터 소스로 사용해야 합니다.
단일 제어에 관리형 규칙과 사용자 지정 규칙을 조합하여 사용할 수 있습니다. 이렇게 하려면 컨트롤에 사용할 여러 증거 소스를 정의하고 각각에 대해 선호하는 규칙 유형을 선택하세요. 단일 사용자 지정 컨트롤에 대해 최대 100개의 고객 관리 데이터 소스를 정의할 수 있습니다.
컨트롤 데이터 소스를 구성할 때는 사용자 지정 규칙 옵션을 사용할 수 없습니다
이것은 귀하가 자신의, AWS 계정 또는 조직의 사용자 지정 규칙을 볼 권한이 없다는 것을 의미합니다. 더 구체적으로 말하자면, Audit Manager 콘솔에서는 DescribeConfigRules작업을 수행할 권한이 없습니다.
이 문제를 해결하려면 AWS 관리자에게 도움을 요청하십시오. 귀하가 AWS 관리자인 경우에는, IAM 정책을 관리하여 귀하의 사용자 또는 그룹에 권한을 부여할 수 있습니다.
사용자 지정 규칙 옵션을 사용할 수 있지만 드롭다운 목록에 규칙이 표시되지 않아요.
이것은 귀하의 AWS 계정 또는 조직에서 활성화되어 있거나 사용할 수 있는 사용자 지정 규칙이 없다는 뜻입니다.
아직 사용자 지정 규칙이 없는 경우 새로 만들 수 있습니다. AWS Config지침을 보려면 AWS Config 개발자 안내서의 AWS Config 사용자 지정 규칙 섹션을 참조하세요.
사용자 지정 규칙이 표시될 것으로 예상되면 다음 문제 해결 항목을 확인하세요.
일부 사용자 지정 규칙을 사용할 수 있지만 사용하려는 규칙이 보이지 않습니다.
찾으려는 사용자 지정 규칙이 보이지 않는 경우 다음 문제 중 하나가 원인일 수 있습니다.
- 귀하의 계정이 규칙에서 제외되었습니다.
-
사용 중인 위임된 관리자 계정이 규칙에서 제외될 수 있습니다.
조직의 관리 계정 (또는 AWS Config 위임된 관리자 계정 중 하나) 은 AWS Command Line Interface (AWS CLI) 를 사용하여 사용자 지정 조직 규칙을 만들 수 있습니다. 이렇게 하면 규칙에서 제외할 계정 목록을 지정할 수 있습니다. 계정이 이 목록에 있는 경우 해당 규칙은 Audit Manager에서 사용할 수 없습니다.
이 문제를 해결하려면 AWS Config 관리자에게 도움을 요청하세요. AWS Config 관리자인 경우 put-organization-config-rule명령을 실행하여 제외된 계정 목록을 업데이트할 수 있습니다.
- AWS Config에서 규칙이 성공적으로 생성 및 활성화되지 못했습니다.
-
사용자 지정 규칙이 성공적으로 생성되고 활성화되지 않았을 수도 있습니다. 규칙을 만들 때 오류가 발생했거나 규칙이 활성화되지 않은 경우 Audit Manager의 사용 가능한 규칙 목록에 표시되지 않습니다.
이 문제에 대한 도움이 필요하면 AWS Config 관리자에게 문의하는 것이 좋습니다.
- 이 규칙은 관리형 규칙입니다.
-
사용자 지정 규칙의 드롭다운 목록에서 원하는 규칙을 찾을 수 없다면 해당 규칙이 관리형 규칙일 수 있습니다.
AWS Config 콘솔
을 사용하여 규칙이 관리형 규칙인지 확인할 수 있습니다. 이렇게 하려면 왼쪽 탐색 메뉴에서 규칙을 선택하고 표에서 규칙을 찾아보세요. 규칙이 관리형 규칙인 경우 유형 열에 AWS 관리되었음이 표시됩니다. 
관리형 규칙임을 확인한 후 Audit Manager로 돌아가서 규칙 유형으로 관리형 규칙을 선택합니다. 그런 다음, 관리형 규칙의 드롭다운 목록에서 관리 규칙 식별자 키워드를 찾아보세요.
사용하려는 관리형 규칙이 보이지 않습니다.
Audit Manager 콘솔의 드롭다운 목록에서 규칙을 선택하기 전에 규칙 유형으로 관리형 규칙을 선택했는지 확인하세요.
찾으려는 관리형 규칙이 여전히 보이지 않는다면 귀하가 규칙 이름을 찾고 있는 것일 수 있습니다. 대신 규칙 식별자를 찾아야 합니다.
기본 관리형 규칙을 사용하는 경우 이름과 식별자는 비슷합니다. 이름은 소문자이며 대시를 사용합니다 (예:iam-policy-in-use). 식별자는 대문자이며 밑줄을 사용합니다 (예:IAM_POLICY_IN_USE). 기본 관리 규칙의 식별자를 찾으려면 지원되는 AWS Config 관리형 규칙 키워드 목록을 검토하고 사용하려는 규칙의 링크를 따라가세요. 그러면 해당 관리형 규칙의 AWS Config 설명서가 표시됩니다. 여기에서 이름과 식별자를 모두 볼 수 있습니다. Audit Manager 드롭다운 목록에서 식별자 키워드를 찾으세요.
사용자 지정 관리형 규칙을 사용하는 경우 AWS Config 콘솔을customized-iam-policy-in-use라는 관리형 규칙을 사용하려고 한다고 가정해 보겠습니다. 이 규칙의 식별자를 찾으려면 AWS Config 콘솔로 이동하여 왼쪽 탐색 메뉴에서 규칙을 선택하고 표에서 규칙을 선택합니다.
편집을 선택하여 관리형 규칙에 대한 세부 정보를 엽니다.
세부 정보 섹션에서 관리형 규칙이 (IAM_POLICY_IN_USE)에서 생성된 소스 식별자를 찾을 수 있습니다.
이제 Audit Manager 콘솔로 돌아가서 드롭다운 목록에서 동일한 식별자 키워드를 선택할 수 있습니다.
사용자 지정 프레임워크를 공유하고 싶은데 이 프레임워크에는 사용자 지정 AWS Config 규칙을 데이터 소스로 사용하는 컨트롤이 있습니다. 수신자가 이러한 제어에 대한 증거를 수집할 수 있나요?
예. 수신자는 이러한 제어에 대한 증거를 수집할 수 있지만, 이를 위해서는 몇 가지 단계가 필요합니다.
Audit Manager가 AWS Config 규칙을 데이터 소스 매핑으로 사용하여 증거를 수집하려면 다음 조건을 충족해야 합니다. 이것이 관리형 규칙과 사용자 정의 규칙 모두에 적용되어야 합니다.
-
규칙은 수신자의 AWS 환경에 존재해야 합니다.
-
수신자 AWS 환경에서 규칙을 활성화해야 합니다.
계정의 사용자 지정 AWS Config 규칙은 수신자의 AWS 환경에 이미 존재하지 않을 가능성이 높다는 점을 기억하세요. 또한 수신자가 공유 요청을 수락하면 Audit Manager는 해당 계정에 사용자 지정 규칙을 다시 만들지 않습니다. 수신자가 사용자 지정 규칙을 데이터 원본 매핑으로 사용하여 증거를 수집하려면 수신자가 자신의 인스턴스에 동일한 사용자 지정 규칙을 만들어야 AWS Config합니다. 수신자가 규칙을 작성하고 활성화한 후 Audit Manager는 해당 데이터 소스에서 증거를 수집할 수 있습니다.
수신자의 AWS Config의 인스턴스 내에서 사용자 지정 규칙이 생성되어야 하는 경우, 귀하가 해당 수신자와 통신하여 이를 알리는 것이 좋습니다.
사용자 지정 규칙이 AWS Config에서 업데이트되면 어떻게 되나요? 제가 Audit Manager에서 취해야 할 조치가 있습니까?
AWS 환경 내 규칙 업데이트의 경우
AWS 환경 내에서 사용자 지정 규칙을 업데이트하는 경우 Audit Manager에서 별도의 조치를 취할 필요가 없습니다. Audit Manager는 다음 표에 설명된 대로 규칙 업데이트를 탐지하고 처리합니다. Audit Manager는 규칙 업데이트가 감지된 경우 사용자에게 알리지 않습니다.
| 시나리오 | Audit Manager의 역할 | 알아야 할 내용 |
|---|---|---|
|
사용자 지정 규칙은 다음 인스턴스에서 업데이트됩니다. AWS Config |
Audit Manager는 업데이트된 규칙 정의를 사용하여 해당 규칙에 대한 결과를 계속 보고합니다. | 별도의 작업은 필요없습니다. |
|
사용자 지정 규칙은 다음 인스턴스에서 삭제됩니다. AWS Config |
Audit Manager는 삭제된 규칙에 대한 결과 보고를 중단합니다. |
별도의 작업은 필요없습니다. 원하는 경우 삭제된 규칙을 데이터 소스 매핑으로 사용한 사용자 지정 제어를 편집할 수 있습니다. 이렇게 하면 삭제된 규칙을 제거하여 데이터 소스 설정을 정리하는 데 도움이 됩니다. 그렇지 않으면 삭제된 규칙 이름이 사용되지 않은 데이터 소스 매핑으로 남습니다. |
AWS 환경 외부에서 규칙을 업데이트하는 경우
사용자 지정 규칙이 AWS 환경 외부에서 업데이트되는 경우 Audit Manager는 규칙 업데이트를 감지하지 못합니다. 공유된 사용자 지정 프레임워크를 사용하는 경우 이 점을 고려해야 합니다. 이 시나리오에서는 발신자와 수신자가 각각 별도의 AWS 환경에서 작업하기 때문입니다. 다음 표에서는 이 시나리오에 대한 권장 조치를 제공합니다.
| 귀하의 역할 | 시나리오 | 권장 조치 |
|---|---|---|
|
발신자 |
|
수신자에게 업데이트 내용을 알려주세요. 이렇게 하면 동일한 업데이트를 적용하고 최신 규칙 정의와 동기화된 상태를 유지할 수 있습니다. |
| 수신자 |
|
귀사 자신의 AWS Config인스턴스에서 규칙을 그에 따라 업데이트하세요. |
