개념 - AWS Config

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

개념

AWS Config는 AWS 계정과 연관된 리소스의 상세 보기를 제공합니다. 여기에는 리소스 구성 방식, 서로 관련된 방식 및 시간에 따른 구성 및 관계 변경 방식이 포함됩니다. AWS Config의 개념을 살펴보겠습니다.

AWS Config

AWS Config의 기본 구성 요소를 이해하면 리소스 인벤토리 및 변경 추적과 AWS 리소스 구성 평가에 도움이 됩니다.

AWS 리소스

AWS 리소스는 AWS Management Console, AWS Command Line Interface(CLI), AWS SDK 또는 AWS 파트너 도구를 사용하여 만들고 관리하는 개체입니다. 예제입니다AWS리소스에는 Amazon EC2 인스턴스, 보안 그룹, Amazon VPC 및 Amazon 엘라스틱 블록 스토어가 포함됩니다.AWS Config각 리소스의 고유 식별자 (예: 리소스 ID 또는Amazon 리소스 이름 (ARN). 자세한 내용은 지원되는 리소스 유형 단원을 참조하세요.

구성 기록

구성 기록은 임의의 기간 동안 지정된 리소스에 대한 구성 항목의 모음입니다. 구성 기록을 통해 리소스가 처음 생성된 시간, 리소스가 지난 한 달간 구성된 방법, 어제 오전 9시에 도입된 구성 변경에 대한 질문에 답할 수 있습니다. 구성 기록은 다양한 형식으로 제공됩니다.AWS Config사용자가 지정한 Amazon S3 버킷에 기록 중인 각 리소스 유형에 대한 구성 기록 파일을 자동으로 전송합니다. AWS Config 콘솔에서 지정된 리소스를 선택하고 타임라인을 사용하여 해당 리소스의 모든 이전 구성 항목으로 이동할 수 있습니다. 또한 API에서 리소스의 구성 기록 항목에 액세스할 수도 있습니다.

자세한 내용을 알아보려면 다음 섹션을 참조하세요.보기AWS리소스 구성 및 기록관리AWS리소스 구성 및 기록.

구성 항목

A구성 항목a를 나타냅니다 point-in-time 지원되는 다양한 속성 보기AWS계정에서 사용 중인 리소스 구성 항목의 구성 요소에는 메타데이터, 속성, 관계, 현재 구성, 관련 이벤트가 있습니다. AWS Config는 기록 중인 리소스 유형의 변경을 발견할 때마다 구성 항목을 만듭니다. 예,AWS ConfigAmazon S3 버킷을 기록하고 있습니다.AWS Config버킷이 생성, 업데이트 또는 삭제될 때마다 구성 항목을 생성합니다.

자세한 내용은 Components of a Configuration Item을 참조하세요.

구성 레코더

구성 레코더는 지원되는 리소스의 구성을 계정에 구성 항목으로 저장합니다. 기록을 시작하려면 먼저 구성 레코더를 만든 후 시작해야 합니다. 언제든 구성 레코더를 중지하고 다시 시작할 수 있습니다. 자세한 내용은 구성 레코더 관리을 참조하세요.

기본적으로 구성 레코더는 AWS Config가 실행되는 리전에서 지원되는 모든 리소스를 기록합니다. 지정한 리소스 유형만 기록하는 사용자 지정된 구성 레코더를 만들 수 있습니다. 자세한 내용은 AWS Config가 기록하는 리소스 선택을 참조하세요.

AWS Management Console 또는 CLI를 사용하여 서비스를 켜면 AWS Config가 구성 레코더를 자동으로 만들고 시작합니다.

구성 스냅샷

구성 스냅샷은 계정에 있는 지원되는 리소스에 대한 구성 항목의 모음입니다. 이 구성 스냅샷은 기록 중인 리소스와 그 구성의 전체 사진입니다. 구성 스냅샷은 구성의 유효성을 검사할 때 유용한 도구일 수 있습니다. 예를 들어, 잘못 구성되었거나 없어야 하는 리소스의 구성 스냅샷을 정기적으로 검토하고자 할 수 있습니다. 구성 스냅샷은 여러 형식으로 제공됩니다. 구성 스냅샷은 사용자가 지정한 Amazon Simple Storage Service (Amazon S3) 버킷에 전송되도록 할 수 있습니다. 또한 AWS Config 콘솔에서 특정 시점을 선택하고 리소스 간의 관계를 사용하여 구성 항목의 스냅샷을 탐색할 수도 있습니다.

구성 스트림

구성 스트림은 AWS Config가 기록 중인 리소스에 대한 모든 구성 항목의 자동으로 업데이트된 목록입니다. 리소스가 생성, 수정 또는 삭제될 때마다 AWS Config는 구성 항목을 만들고 구성 스트림에 추가합니다. 구성 스트림은 선택한 Amazon Simple Notification Service (Amazon SNS) 주제를 사용하여 작동합니다. 구성 스트림은 잠재적 문제를 찾을 수 있도록 발생한 구성 변경을 관찰할 때 유용합니다. 그러면 특정 리소스가 변경된 경우 알림을 생성하거나 AWS 리소스의 구성을 반영해야 하는 외부 시스템을 업데이트할 수 있습니다.

리소스 관계

AWS Config는 계정에서 AWS 리소스를 탐색한 다음 AWS 리소스 간의 관계 맵을 만듭니다. 예를 들어 관계에 Amazon EBS 볼륨이 포함될 수 있습니다.vol-123ab45dAmazon EC2 인스턴스에 연결i-a1b2c3d4보안 그룹과 연결되어 있습니다.sg-ef678hk.

자세한 내용은 지원되는 리소스 유형을 참조하세요.

AWS Config 규칙

원래 요청 ping에 대한AWS Config규칙은 특정 항목에 대한 원하는 구성 설정을 나타냅니다.AWS리소스 또는 전체AWS계정. 리소스가 규칙 검사를 통과하지 못한 경우AWS Config리소스 및 규칙을 준수하지 않는 것으로 플래그를 지정하고AWS ConfigAmazon SNS SNS를 통해 사용자에게 알립니다.

규칙을 활성화하면 AWS Config가 리소스를 해당 규칙의 조건과 비교합니다. AWS Config는 이 첫 평가 후 평가가 트리거될 때마다 계속 평가를 실행합니다. 평가 트리거는 규칙의 일부로 정의되어 있으며, 다음 유형을 포함할 수 있습니다.

  • 구성 변경 —AWS Config규칙의 범위와 일치하는 리소스가 구성이 변경될 때 평가를 트리거합니다. AWS Config가 구성 항목 변경 알림을 보내면 평가가 실행됩니다.

  • 정기적 —AWS Config선택한 빈도 (예: 24시간마다) 로 규칙에 대한 평가를 실행합니다.

규칙 유형은 다음 두 가지입니다.AWS Config 관리형 규칙 및AWS Config사용자 지정 규칙. 규칙 정의 및 규칙 메타데이터의 구조에 대한 자세한 내용은 단원을 참조하세요.구성 요소AWS Config규칙.

'AWS Config 관리형 규칙

관리형 규칙은 에서 만든 사전 정의된 사용자 지정 가능한 규칙입니다.AWS Config. 관리형 규칙 목록은 단원을 참조하세요.의 나열AWS Config관리형 규칙.

AWS Config 사용자 지정 규칙

사용자 지정 규칙은 Guard 또는 를 사용하여 만들 수 있는 규칙입니다.AWS Lambda함수. 가드 (가드 GitHubRepository) 는 a입니다 policy-as-code 에 의해 적용되는 정책을 작성할 수 있는 언어AWS Config사용자 지정 정책 규칙AWS Lambda업로드한 사용자 지정 코드를 사용하여 사용자 지정 규칙을 평가합니다. 이벤트 소스에 의해 게시된 이벤트에 의해 호출되며,AWS Config사용자 지정 규칙이 시작될 때 호출됩니다.

생성 방법을 보여주는 안내를 보려면AWS Config사용자 지정 정책 규칙, 참조생성 중AWS Config사용자 지정 정책 규칙. 생성 방법을 보여주는 안내를 보려면AWS Config사용자 지정 Lambda 규칙, 참조생성 중AWS Config사용자 지정 Lambda 규칙.

다중 계정 다중 리전 데이터 집계

AWS Config의 다중 계정, 다중 리전 데이터 집계 기능을 사용하면 다중 계정 및 다중 리전의 AWS Config 구성과 규정 준수 데이터를 단일 계정으로 집계할 수 있습니다. 다중 계정 다중 리전 데이터 집계는 중앙 IT 관리자가 여러 의 규정 준수를 모니터링하는 데 유용합니다.AWS기업 내 계정.

소스 계정

소스 계정은AWS집계하려는 계정AWS Config리소스 구성 및 규정 준수 데이터 소스 계정은 개별 계정일 수도 있고 AWS Organizations 내 조직일 수도 있습니다. 소스 계정을 개별적으로 입력하거나 AWS Organizations를 통해 검색할 수 있습니다.

소스 리전

소스 지역은AWS집계하려는 지역AWS Config구성 및 규정 준수 데이터

집계자

집계자는 다중 소스 계정 및 리전의 AWS Config 구성 및 규정 준수 데이터를 수집하는 새로운 AWS Config 리소스 유형입니다. 집계된 AWS Config 구성 및 규정 준수 데이터를 보려는 리전에서 집계자를 생성합니다.

참고

애그리게이터는읽기 전용 보기애그리게이터가 볼 수 있는 권한이 있는 소스 계정 및 지역으로 이동합니다. 애그리게이터는 소스 계정 또는 지역에 대한 변경 액세스 권한을 제공하지 않습니다. 예를 들어, 애그리게이터를 통해 규칙을 배포하거나 애그리게이터를 통해 소스 계정 또는 리전에서 스냅샷 파일을 가져올 수 없습니다.

집계자 계정

집계자 계정은 사용자가 집계자를 생성하는 계정입니다.

승인

소스 계정 소유자로서, 권한 부여는 사용자가 집계자 계정 및 리전에 AWS Config 구성 및 규정 준수 데이터를 수집하도록 부여하는 권한을 의미합니다. AWS Organizations를 구성하는 소스 계정을 집계하는 경우에는 권한 부여가 필요하지 않습니다.

자세한 내용은 Multi-Account Multi-Region Data Aggregation 단원의 주제를 참조하십시오.

AWS Config 관리

AWS Config 콘솔

AWS Config 콘솔을 사용하여 서비스를 관리할 수 있습니다. 콘솔은 다음과 같이 다양한 AWS Config 작업을 수행할 수 있도록 사용자 인터페이스를 제공합니다.

  • AWS 리소스 유형을 기록하도록 지정.

  • 다음을 포함하여 리소스를 기록하도록 구성

    • Amazon S3 버킷 선택.

    • Amazon SNS 주제 선택

    • AWS Config 역할 생성

  • 특정 AWS 리소스 또는 전체 AWS 계정에 대해 바람직하다고 판단한 구성 설정을 나타내는 관리형 규칙 및 사용자 지정 규칙 생성

  • 복수의 계정 및 리전에서 데이터를 집계하는 구성 집계자 생성 및 관리

  • 지원되는 리소스의 현재 구성의 스냅샷 보기

  • AWS 리소스 간의 관계 보기

AWS Management Console에 대한 자세한 내용은 AWS Management Console 섹션을 참조하세요.

AWS Config CLI

AWS Command Line Interface는 명령줄에서 AWS Config과 상호 작용을 할 때 사용할 수 있는 통합 도구입니다. 자세한 내용은 AWS Command Line Interface 사용 설명서를 참조하세요. 전체 AWS Config CLI 명령 목록은 사용 가능한 명령을 참조하십시오.

AWS Config API

콘솔 및 CLI 외에도 AWS Config RESTful API를 사용하여 AWS Config을 직접 프로그래밍할 수도 있습니다. 자세한 내용은 AWS Config API 참조를 참조하세요.

AWS SDK

를 사용하는 대신AWS ConfigAPI, 다음 중 하나를 사용할 수 있습니다AWSSDK. 각 SDK는 다양한 프로그래밍 언어 및 플랫폼을 위한 라이브러리와 샘플 코드로 구성되어 있습니다. SDK를 사용하면 편리하게 AWS Config에 프로그래밍 방식으로 액세스할 수 있습니다. 예를 들어, SDK를 사용하여 요청에 암호화 방식으로 서명하고, 오류를 관리하며, 자동으로 요청을 재시도할 수 있습니다. 자세한 내용은 Amazon Web Services의 도구 페이지를 참조하세요.

AWS Config 액세스 제어

AWS Identity and Access Management는 Amazon Web Services(AWS) 고객이 사용자와 각 사용자 권한을 관리할 수 있도록 하는 웹 서비스입니다. IAM을 사용하면 AWS Config에 액세스해야 하는 사람을 위한 개별 사용자를 생성할 수 있습니다. 개발자 본인을 위한 IAM 사용자를 생성하고 해당 IAM 사용자에게 관리 권한을 부여하며 모든 작업에 해당 IAM 사용자를 사용할 수 있습니다. 계정에 액세스하는 사람들에 대해 개별 IAM 사용자를 생성하여 각 IAM 사용자에게 고유한 보안 자격 증명 세트를 제공할 수 있습니다. 또한 각 IAM 사용자에게 서로 다른 권한을 부여할 수도 있습니다. 필요한 경우 언제든지 IAM 사용자의 권한을 변경하거나 취소할 수 있습니다. 자세한 내용은 AWS Identity and Access Management을 참조하세요.

파트너 솔루션

AWS는 AWS Config 출력을 사용하는 솔루션을 제공하기 위해 타사 로깅 및 분석 전문가와 협력합니다. 자세한 내용은 단원을 참조하십시오.AWS Config세부 정보 페이지AWS Config.