개념 - AWS Config

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

개념

AWS Config 구성 방식, 리소스 간의 관계, 시간 경과에 따른 구성 및 관계 변화를 포함하여 AWS 계정과 관련된 리소스를 자세히 볼 수 있습니다. AWS Config의 개념을 살펴보겠습니다.

리소스 관리

의 기본 구성 요소를 AWS Config 이해하면 리소스 인벤토리 및 변경 사항을 추적하고 AWS 리소스 구성을 평가하는 데 도움이 됩니다.

AWS 리소스

AWS 리소스는, AWS Command Line Interface (CLI) AWS Management Console, AWS SDK 또는 AWS 파트너 도구를 사용하여 생성하고 관리하는 엔티티입니다. AWS 리소스의 예로는 Amazon EC2 인스턴스, 보안 그룹, 아마존 VPC, 아마존 엘라스틱 블록 스토어 등이 있습니다. AWS Config 리소스 ID 또는 Amazon 리소스 이름 (ARN) 과 같은 고유 식별자를 사용하는 각 리소스를 가리킵니다. 자세한 내용은 지원되는 리소스 유형 섹션을 참조하세요.

구성 항목

구성 항목은 계정에 있는 지원 AWS 리소스의 다양한 속성에 대한 point-in-time 뷰를 나타냅니다. 구성 항목의 구성 요소에는 메타데이터, 속성, 관계, 현재 구성 및 관련 이벤트가 포함됩니다. AWS Config 기록 중인 리소스 유형의 변경을 감지할 때마다 구성 항목을 만듭니다. 예를 들어 Amazon S3 버킷을 기록하는 경우 AWS Config , 버킷이 생성, 업데이트 또는 삭제될 때마다 구성 항목을 AWS Config 생성합니다. 설정한 기록 빈도에 따라 구성 항목을 AWS Config 생성하도록 선택할 수도 있습니다.

자세한 내용은 Components of a Configuration Item기록할 리소스 선택 | 기록 빈도를 참조하세요.

구성 레코더

구성 레코더는 지원되는 리소스의 구성을 계정에 구성 항목으로 저장합니다. 기록을 시작하려면 먼저 구성 레코더를 만든 후 시작해야 합니다. 언제든 구성 레코더를 중지하고 다시 시작할 수 있습니다. 자세한 설명은 구성 레코더 관리 섹션을 참조하세요.

기본적으로 구성 AWS Config 레코더는 실행 중인 지역에서 지원되는 모든 리소스를 기록합니다. 지정한 리소스 유형만 기록하는 사용자 지정된 구성 레코더를 만들 수 있습니다. 자세한 설명은 어떤 리소스 AWS Config 레코드 선택 섹션을 참조하세요.

AWS Management Console 또는 CLI를 사용하여 서비스를 켜는 경우 컨피그레이션 레코더가 AWS Config 자동으로 생성되고 시작됩니다.

구성 기록

구성 기록은 임의의 기간 동안 지정된 리소스에 대한 구성 항목의 모음입니다. 구성 기록을 통해 리소스가 처음 생성된 시간, 리소스가 지난 한 달간 구성된 방법, 어제 오전 9시에 도입된 구성 변경에 대한 질문에 답할 수 있습니다. 구성 기록은 다양한 형식으로 제공됩니다. AWS Config 는 기록되는 각 리소스 유형에 대한 구성 기록 파일을 지정한 Amazon S3 버킷에 자동으로 전송합니다. AWS Config 콘솔에서 지정된 리소스를 선택하고 타임라인을 사용하여 해당 리소스의 모든 이전 구성 항목으로 이동할 수 있습니다. 또한 API에서 리소스의 구성 기록 항목에 액세스할 수도 있습니다.

자세한 내용은 AWS 리소스 구성 및 기록 보기 및 AWS 리소스 구성 및 기록 관리를 참조하십시오.

구성 스냅샷

구성 스냅샷은 계정에 있는 지원되는 리소스에 대한 구성 항목의 모음입니다. 이 구성 스냅샷은 기록 중인 리소스와 그 구성의 전체 사진입니다. 구성 스냅샷은 구성의 유효성을 검사할 때 유용한 도구일 수 있습니다. 예를 들어, 잘못 구성되었거나 없어야 하는 리소스의 구성 스냅샷을 정기적으로 검토하고자 할 수 있습니다. 구성 스냅샷은 여러 형식으로 제공됩니다. 구성 스냅샷이 지정한 Amazon Simple Storage Service(S3) 버킷으로 전달되도록 할 수 있습니다. 또한 AWS Config 콘솔에서 특정 시점을 선택하고 리소스 간의 관계를 사용하여 구성 항목의 스냅샷을 탐색할 수 있습니다.

구성 스트림

구성 AWS Config 스트림은 기록 중인 리소스의 모든 구성 항목을 자동으로 업데이트한 목록입니다. 리소스가 생성, 수정 또는 삭제될 때마다 AWS Config 는 구성 항목을 만들고 구성 스트림에 추가합니다. 구성 스트림은 선택한 Amazon Simple Notification Service(SNS) 주제를 사용하여 작동합니다. 구성 스트림은 구성 변경이 발생할 때 이를 관찰하여 잠재적 문제를 발견하고, 특정 리소스가 변경될 경우 알림을 생성하거나, AWS 리소스 구성을 반영해야 하는 외부 시스템을 업데이트하는 데 유용합니다.

리소스 관계

AWS Config 계정에서 AWS 리소스를 검색한 다음 리소스 간 AWS 관계 맵을 생성합니다. 예를 들어, 관계에는 보안 그룹 sg-ef678hk과 관련된 Amazon EC2 인스턴스 i-a1b2c3d4에 연결된 Amazon EBS 볼륨 vol-123ab45d이 포함될 수 있습니다.

자세한 설명은 지원되는 리소스 유형 섹션을 참조하세요.

AWS Config 규칙

AWS Config 규칙은 특정 AWS 리소스 또는 전체 AWS 계정에 대해 원하는 구성 설정을 나타냅니다. 리소스가 규칙 검사를 통과하지 못하면 해당 리소스와 규칙을 준수하지 않는 것으로 AWS Config 플래그를 지정하고 Amazon SNS를 통해 AWS Config 알립니다. 규칙에 대해 가능한 평가 결과는 다음과 같습니다. AWS Config

  • COMPLIANT - 규칙이 규정 준수 검사 조건을 통과합니다.

  • NON_COMPLIANT - 규칙이 규정 준수 검사 조건을 충족하지 않습니다.

  • ERROR - 필수 파라미터 또는 선택 사항 파라미터가 유효하지 않거나 올바른 유형이 아니거나 형식이 잘못되었습니다.

  • NOT_APPLICABLE - 규칙의 논리를 적용할 수 없는 리소스를 필터링하는 데 사용되었습니다. 예를 들어 alb-desync-mode-check규칙은 애플리케이션 로드 밸런서만 검사하고 네트워크 로드 밸런서와 게이트웨이 로드 밸런서는 무시합니다.

규칙에는 AWS Config 관리형 규칙과 사용자 지정 규칙이라는 두 가지 유형이 있습니다. AWS Config 규칙 정의 및 규칙 메타데이터의 구조에 대한 자세한 내용은 규칙 구성 요소를 참조하십시오. AWS Config

AWS Config 관리형 규칙

AWS Config 관리형 규칙은 에서 만든 AWS Config 사전 정의되고 사용자 지정 가능한 규칙입니다. 관리형 규칙 목록은 관리형 규칙 목록을 AWS Config 참조하십시오.

AWS Config 사용자 지정 규칙

AWS Config 사용자 지정 규칙은 처음부터 새로 만드는 규칙입니다. AWS Config 사용자 지정 규칙을 생성하는 방법은 두 가지가 있습니다. 하나는 Lambda 함수 AWS Lambda (개발자 가이드) 를 사용하는 것이고 다른 하나는 언어인 Guard ( GitHub가드 리포지토리) 를 사용하는 것입니다. policy-as-code AWS Config 로 AWS Lambda 생성한 사용자 지정 규칙을 AWS Config 사용자 지정 Lambda 규칙이라고 AWS Config 하고 Guard로 생성한 사용자 지정 규칙을 사용자 지정 정책 AWS Config 규칙이라고 합니다.

사용자 지정 정책 규칙을 생성하는 방법을 보여주는 단계별 지침은 AWS Config 사용자 지정 정책 규칙 생성을 AWS Config 참조하십시오. 사용자 지정 AWS Config Lambda 규칙을 생성하는 방법을 보여주는 단계별 지침은 사용자 지정 Lambda 규칙 생성을 참조하십시오. AWS Config

트리거 유형

계정에 규칙을 추가한 후 리소스를 규칙의 조건과 AWS Config 비교합니다. 이 초기 평가 이후에는 평가가 트리거될 때마다 평가를 AWS Config 계속 실행합니다. 평가 트리거는 규칙의 일부로 정의되어 있으며, 다음 유형을 포함할 수 있습니다.

구성 변경

AWS Config 규칙 범위와 일치하는 리소스가 있고 리소스 구성이 변경된 경우 규칙에 대한 평가를 실행합니다. 구성 항목 변경 알림을 AWS Config 보낸 후 평가가 실행됩니다.

규칙의 범위를 정의하여 평가를 유발하는 리소스를 선택합니다. 범위에는 다음이 포함될 수 있습니다.

  • 하나 이상의 리소스 유형

  • 리소스 유형과 리소스 ID의 조합

  • 태그 키와 값의 조합

  • 기록된 모든 리소스가 생성, 업데이트 또는 삭제된 때

AWS Config 규칙 범위와 일치하는 리소스 변경이 감지되면 평가를 실행합니다. 범위를 사용하여 평가를 시작하는 리소스를 제한할 수 있습니다.

주기적

AWS Config 선택한 빈도로 규칙 평가를 실행합니다 (예: 24시간마다).

하이브리드

일부 규칙에는 구성 변경과 주기적 트리거가 모두 있습니다. 이러한 규칙의 경우 구성 변경이 감지될 때 그리고 지정한 빈도에 따라 리소스를 AWS Config 평가합니다.

평가 모드

규칙에는 두 가지 평가 모드가 있습니다. AWS Config

사전

리소스를 배포하기 전에 평가하려면 사전 평가를 사용합니다. 이를 통해 해당 지역의 계정에 설정된 사전 예방 규칙 세트를 고려하여 리소스 속성 집합이 AWS 리소스를 정의하는 데 사용되는 경우 COMPLIANT인지 NON_COMPLIANT인지를 평가할 수 있습니다.

자세한 내용은 평가 모드를 참조하세요. 사전 평가를 지원하는 관리 규칙 목록은 평가 모드별 관리 규칙 목록을 AWS Config 참조하십시오.

참고

사전 예방 규칙은 NON_COMPLIANT로 플래그가 지정된 리소스를 수정하거나 배포를 금지하지 않습니다.

탐지

탐지 평가를 통해 이미 배포된 리소스를 평가합니다. 이를 통해 기존 리소스의 구성 설정을 평가할 수 있습니다.

적합성 팩

적합성 팩은 계정과 지역의 단일 엔티티로 또는 조직 전체에 쉽게 배포할 수 있는 AWS Config 규칙 및 수정 조치의 모음입니다. AWS Organizations

적합성 팩은 AWS Config 관리형 규칙이나 사용자 지정 규칙 및 문제 해결 작업의 목록이 포함된 YAML 템플릿을 작성하여 만듭니다. AWS Config 콘솔 또는 AWS CLI를 사용하여 템플릿을 배포할 수 있습니다.

빠르게 시작하고 AWS 환경을 평가하려면 샘플 적합성 팩 템플릿 중 하나를 사용하십시오. 또한 사용자 지정 적합성 팩을 기반으로 적합성 팩 YAML 파일을 처음부터 작성할 수도 있습니다. 사용자 지정 적합성 팩은 계정과 AWS 지역에 함께 배포하거나 조직 전체에 배포할 수 있는 고유한 AWS Config 규칙 및 수정 조치 모음입니다. AWS Organizations

프로세스 검사는 적합성 팩의 일부로 검증이 필요한 외부 및 내부 작업을 추적할 수 있는 일종의 AWS Config 규칙입니다. 이러한 검사를 기존 적합성 팩이나 새 적합성 팩에 추가할 수 있습니다. 기간 및 수동 검사를 포함한 모든 규정 준수를 한 곳에서 추적할 수 AWS Config 있습니다.

다중 계정 다중 리전 데이터 집계

에서 다중 계정 다중 지역 데이터 집계를 AWS Config 통해 여러 계정 및 지역의 AWS Config 구성 및 규정 준수 데이터를 단일 계정으로 집계할 수 있습니다. 다중 계정 다중 지역 데이터 집계는 중앙 IT 관리자가 기업 내 여러 계정의 규정 준수를 모니터링하는 데 유용합니다. AWS

소스 계정

소스 계정은 AWS Config 리소스 구성 및 규정 준수 데이터를 집계하려는 AWS 계정입니다. 소스 계정은 개별 계정일 수도 있고 AWS Organizations 내 조직일 수도 있습니다. 소스 계정을 개별적으로 제공하거나 소스 계정을 통해 AWS Organizations 검색할 수 있습니다.

소스 리전

소스 지역은 AWS Config 구성 및 규정 준수 데이터를 집계하려는 AWS 지역입니다.

집계자

애그리게이터는 여러 소스 계정 및 지역에서 AWS Config AWS Config 구성 및 규정 준수 데이터를 수집하는 새로운 리소스 유형입니다. 집계된 구성 및 규정 준수 데이터를 보려는 지역에 AWS Config 애그리게이터를 만드십시오.

참고

애그리게이터는 소스 계정의 데이터를 애그리게이터 계정으로 복제하여 애그리게이터가 볼 수 있는 권한이 부여된 소스 계정 및 지역에 대한 읽기 전용 보기를 제공합니다. 애그리게이터는 소스 계정이나 지역에 대한 변경 액세스 권한을 제공하지 않습니다. 예를 들어 애그리게이터를 통해 규칙을 배포하거나 애그리게이터를 통해 소스 계정 또는 지역에 스냅샷 파일을 푸시할 수 없습니다.

애그리게이터를 사용할 경우 추가 비용이 발생하지 않습니다.

집계자 계정

집계자 계정은 사용자가 집계자를 생성하는 계정입니다.

권한 부여

소스 계정 소유자인 권한 부여는 구성 및 규정 준수 데이터를 수집할 수 있도록 애그리게이터 계정 및 지역에 부여하는 권한을 말합니다. AWS Config AWS Organizations를 구성하는 소스 계정을 집계하는 경우에는 권한 부여가 필요하지 않습니다.

자세한 내용은 Multi-Account Multi-Region Data Aggregation 단원의 주제를 참조하세요.

사용 AWS Config

AWS Config 콘솔

AWS Config 콘솔을 사용하여 서비스를 관리할 수 있습니다. 콘솔은 다음과 같은 다양한 AWS Config 작업을 수행할 수 있는 사용자 인터페이스를 제공합니다.

  • 레코딩할 AWS 리소스 유형 지정.

  • 다음을 포함하여 리소스를 기록하도록 구성:

    • Amazon S3 버킷 선택.

    • Amazon SNS 주제 선택.

    • AWS Config 역할 생성.

  • 특정 AWS 리소스 또는 전체 AWS 계정에 대해 원하는 구성 설정을 나타내는 관리형 규칙 및 사용자 지정 규칙 생성

  • 복수의 계정 및 리전에서 데이터를 집계하는 구성 집계자 생성 및 관리

  • 지원되는 리소스의 현재 구성의 스냅샷 보기

  • AWS 리소스 간 관계 보기.

에 대한 자세한 내용은 AWS Management Console 을 참조하십시오 AWS Management Console.

AWS Config CLI

AWS Config 명령줄에서 상호 작용하는 데 사용할 수 있는 통합 도구입니다. AWS Command Line Interface 자세한 내용은 AWS Command Line Interface 사용 설명서를 참조하십시오. AWS Config CLI 명령의 전체 목록은 사용 가능한 명령을 참조하십시오.

AWS Config API

콘솔과 CLI 외에도 AWS Config RESTful API를 사용하여 직접 프로그래밍할 수 있습니다. AWS Config 자세한 내용은 AWS Config API 참조를 참조하십시오.

AWS SDK

AWS Config API를 사용하는 대신 AWS SDK 중 하나를 사용할 수 있습니다. 각 SDK는 다양한 프로그래밍 언어 및 플랫폼을 위한 라이브러리와 샘플 코드로 구성되어 있습니다. SDK를 사용하면 편리하게 AWS Config에 프로그래밍 방식으로 액세스할 수 있습니다. 예를 들어, SDK를 사용하여 요청에 암호화 방식으로 서명하고, 오류를 관리하며, 자동으로 요청을 재시도할 수 있습니다. 자세한 내용은 Amazon Web Services의 도구 페이지를 참조하세요.

액세스 제어: AWS Config

AWS Identity and Access Management Amazon Web Services (AWS) 고객이 사용자 및 사용자 권한을 관리할 수 있도록 하는 웹 서비스입니다.

액세스 권한을 제공하려면 사용자, 그룹 또는 역할에 권한을 추가하세요:

  • 대상 사용자 및 그룹 AWS IAM Identity Center:

    권한 세트를 생성합니다. AWS IAM Identity Center 사용 설명서권한 세트 생성의 지침을 따르십시오.

  • ID 공급자를 통해 IAM에서 관리되는 사용자:

    ID 페더레이션을 위한 역할을 생성합니다. IAM 사용 설명서서드 파티 자격 증명 공급자의 역할 만들기(연합)의 지침을 따르십시오.

  • IAM 사용자:

    • 사용자가 맡을 수 있는 역할을 생성합니다. IAM 사용 설명서에서 IAM 사용자의 역할 생성의 지침을 따르십시오.

    • (권장되지 않음)정책을 사용자에게 직접 연결하거나 사용자를 사용자 그룹에 추가합니다. IAM 사용 설명서에서 사용자(콘솔)에 권한 추가의 지침을 따르세요.

파트너 솔루션

AWS 로깅 및 분석 분야의 타사 전문가와 협력하여 AWS Config 출력을 사용하는 솔루션을 제공합니다. 자세한 내용은 의 AWS Config 세부 정보 페이지를 참조하십시오 AWS Config.