기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
조직 내 모든 계정의 AWS Config 규칙 관리
중요
조직 규칙은 API 또는 CLI API로만 생성할 수 있습니다. AWS Config 콘솔에서는 이 작업이 지원되지 않습니다.
AWS Config 조직 내 모든 AWS 계정의 AWS Config 규칙을 관리할 수 있습니다. 다음을 할 수 있습니다.
-
조직의 모든 계정에서 AWS Config 규칙을 중앙에서 생성, 업데이트 및 삭제합니다.
-
모든 계정에 공통된 AWS Config 규칙 세트를 배포하고 AWS Config 규칙을 만들지 말아야 하는 계정을 지정하세요.
-
에서 관리 계정의 API를 사용하여 조직의 구성원 AWS Organizations 계정이 기본 AWS Config 규칙을 수정할 수 없도록 함으로써 거버넌스를 적용하십시오.
참고
여러 리전에 배포하는 경우
여러 계정에 규칙 및 적합성 팩을 배포하기 위한 API 직접 호출은 리전별로 다릅니다. 규칙을 다른 리전에 배포하려면 조직 수준에서 API 직접 호출의 컨텍스트를 다른 리전으로 변경해야 합니다. 예를 들어 미국 동부(버지니아 북부)에 규칙을 배포하려면 리전을 미국 동부(버지니아 북부)로 변경한 다음 PutOrganizationConfigRule을 직접적으로 호출합니다.
조직 내 계정의 경우
새 계정이 조직에 가입하면 규칙 또는 적합성 팩이 해당 계정에 배포됩니다. 계정이 조직을 나가면 규칙 또는 적합성 팩이 제거됩니다.
조직 관리자 계정에 조직 규칙 또는 적합성 팩을 배포한 다음 위임된 관리자를 설정하고 위임된 관리자 계정에 조직 규칙 또는 적합성 팩을 배포하는 경우 위임된 관리자 계정에서 조직 관리자 계정의 조직 규칙 또는 적합성 팩을 볼 수 없고 조직 관리자 계정에서 위임된 관리자 계정의 조직 규칙 또는 적합성 팩을 볼 수 없습니다. DescribeOrganizationConfigRules및 DescribeOrganizationConformancePacksAPI는 해당 API를 호출하는 계정 내에서 배포된 조직 관련 리소스만 보고 상호 작용할 수 있습니다.
조직에 추가된 새 계정에 대한 재시도 메커니즘
레코더를 사용할 수 없는 경우 조직에 계정을 추가한 후 7시간 동안만 기존 조직 규칙 및 적합성 팩 배포가 다시 시도됩니다. 조직에 계정을 추가한 후 7시간 이내에 레코더가 없으면 레코더를 생성해야 합니다.
다음 API를 사용하여 조직 내 모든 AWS 계정의 AWS Config 규칙을 관리하기 전에 AWS Config 기록이 켜져 있는지 확인하세요.
-
PutOrganizationConfigRule는 AWS 리소스가 원하는 구성을 준수하는지 여부를 평가하여 조직 전체에 대한 조직 구성 규칙을 추가하거나 업데이트합니다.
-
DescribeOrganizationConfigRules는 조직 구성 규칙 목록을 반환합니다.
-
GetOrganizationConfigRuleDetailedStatus는 지정된 조직 구성 규칙에 대한 조직 내 각 구성원 계정의 세부 상태를 반환합니다.
-
GetOrganizationCustomRulePolicy는 조직 구성 사용자 지정 정책 규칙의 로직이 포함된 정책 정의를 반환합니다.
-
DescribeOrganizationConfigRuleStatuses, 조직의 조직 구성 규칙 배포 상태를 제공합니다.
-
DeleteOrganizationConfigRule, 지정된 조직 구성 규칙 및 모든 평가 결과를 해당 조직의 모든 구성원 계정에서 삭제합니다.
리전 지원
AWS 조직의 구성원 계정 전체에 AWS Config 규칙을 배포하는 것은 다음 지역에서 지원됩니다.
| 리전 이름 | 리전 | 엔드포인트 | 프로토콜 |
|---|---|---|---|
| 미국 동부(오하이오) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| 미국 동부(버지니아 북부) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| 미국 서부(캘리포니아 북부) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| 미국 서부(오레곤) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| 아시아 태평양(멜버른) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| 아시아 태평양(뭄바이) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| 아시아 태평양(서울) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| 아시아 태평양(싱가포르) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| 아시아 태평양(시드니) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| 아시아 태평양(도쿄) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| 캐나다(중부) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| 유럽(프랑크푸르트) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| 유럽(아일랜드) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| 유럽(런던) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| 유럽(파리) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| 유럽(스톡홀름) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| 남아메리카(상파울루) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (미국 동부) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (미국 서부) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
참고
AWS GovCloud (US) 제한 사항
AWS GovCloud (미국 동부) 및 AWS GovCloud (미국 서부) 에서 조직 관리 계정을 사용하고 조직 배포에 위임 관리자를 사용하려는 경우, SLR (서비스 연결 역할) 이 자동으로 AWS Config 생성되지 않는다는 점에 유의하세요. 이러한 지역의 경우 IAM을 사용하여 서비스 연결 역할 (SLR) 을 별도로 수동으로 생성해야 합니다.
관리 계정용 SLR이 없는 경우 위임된 관리자 계정에서 해당 계정에 리소스를 배포할 수 없습니다. 관리 계정과 위임된 관리자 계정에서 구성원 계정에 AWS Config 규칙을 계속 배포할 수 있습니다. 자세한 내용은 AWS Identity and Access Management (IAM) 사용 설명서의 서비스 연결 역할 사용을 참조하십시오.
