기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
적합성 팩
적합성 팩은 계정과 지역의 단일 엔티티로 또는 조직 전체에 쉽게 배포할 수 있는 AWS Config 규칙 및 수정 조치의 모음입니다. AWS Organizations
적합성 팩은 AWS Config 관리형 규칙이나 사용자 지정 규칙 및 문제 해결 작업의 목록이 포함된 YAML 템플릿을 작성하여 만듭니다. 또한 AWS Systems Manager 문서 (SSM 문서) 를 사용하여 적합성 팩 템플릿을 저장하고 SSM 문서 이름을 사용하여 적합성 팩을 직접 배포할 수 있습니다. AWS AWS Config 콘솔 또는 AWS CLI를 사용하여 템플릿을 배포할 수 있습니다.
빠르게 시작하고 AWS 환경을 평가하려면 샘플 적합성 팩 템플릿 중 하나를 사용하십시오. 또한 사용자 지정 적합성 팩을 기반으로 적합성 팩 YAML 파일을 처음부터 작성할 수도 있습니다.
주제
리전 지원
적합성 팩은 다음 리전에서 지원됩니다.
| 리전 이름 | 지역 | 엔드포인트 | 프로토콜 |
|---|---|---|---|
| 미국 동부(오하이오) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| 미국 동부(버지니아 북부) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| 미국 서부(캘리포니아 북부) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| 미국 서부(오레곤) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| 아시아 태평양(홍콩) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
| 아시아 태평양(자카르타) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| 아시아 태평양(멜버른) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| 아시아 태평양(뭄바이) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| 아시아 태평양(서울) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| 아시아 태평양(싱가포르) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| 아시아 태평양(시드니) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| 아시아 태평양(도쿄) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| 캐나다(중부) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| 유럽(프랑크푸르트) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| 유럽(아일랜드) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| 유럽(런던) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| 유럽(파리) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| 유럽(스톡홀름) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| 중동(바레인) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
| 남아메리카(상파울루) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (미국 동부) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (미국 서부) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
AWS 조직의 구성원 계정 전체에 적합성 팩을 배포하는 것은 다음 지역에서 지원됩니다.
| 리전 이름 | 지역 | 엔드포인트 | 프로토콜 |
|---|---|---|---|
| 미국 동부(오하이오) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| 미국 동부(버지니아 북부) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| 미국 서부(캘리포니아 북부) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| 미국 서부(오레곤) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| 아시아 태평양(자카르타) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| 아시아 태평양(멜버른) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| 아시아 태평양(뭄바이) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| 아시아 태평양(서울) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| 아시아 태평양(싱가포르) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| 아시아 태평양(시드니) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| 아시아 태평양(도쿄) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| 캐나다(중부) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| 유럽(프랑크푸르트) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| 유럽(아일랜드) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| 유럽(런던) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| 유럽(파리) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| 유럽(스톡홀름) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| 남아메리카(상파울루) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (미국 동부) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (미국 서부) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
문제 해결
적합성 팩의 실패 상태
적합성 팩을 생성, 업데이트 또는 삭제하는 중에 적합성 팩이 실패했음을 나타내는 오류가 발생하는 경우 적합성 팩의 상태를 확인할 수 있습니다.
aws configservice describe-conformance-pack-status --conformance-pack-name MyConformancePack1
다음과 유사한 출력 화면이 표시되어야 합니다.
"ConformancePackStatusDetails": [ { "ConformancePackName": "ConformancePackName", "ConformancePackId": "ConformancePackId", "ConformancePackArn": "ConformancePackArn", "ConformancePackState": "CREATE_FAILED", "StackArn": "CloudFormation stackArn", "ConformancePackStatusReason": "Failure Reason", "LastUpdateRequestedTime": 1573865201.619, "LastUpdateCompletedTime": 1573864244.653 } ]
실패에 ConformancePackStatusReason대한 자세한 내용은 를 확인하십시오.
StackArn이 응답에 있는 경우
오류 메시지가 명확하지 않거나 내부 오류로 인한 실패인 경우 AWS CloudFormation 콘솔로 이동하여 다음을 수행합니다.
-
출력에서 stackArn을 검색합니다.
-
CloudFormation 스택의 Events 탭을 선택하고 실패한 이벤트가 있는지 확인합니다.
상태 이유는 적합성 팩이 실패한 이유를 나타냅니다.
StackArn이 응답에 없는 경우
적합성 팩을 생성하는 동안 오류가 발생했지만 StackARN이 상태 응답에 없는 경우 스택 생성이 실패하여 스택이 롤백되고 삭제되었기 때문일 수 있습니다. CloudFormation CloudFormation 콘솔로 이동하여 삭제됨 상태인 스택을 검색하십시오. 실패한 스택을 거기에서 사용할 수 있습니다. CloudFormation 스택에는 적합성 팩 이름이 들어 있습니다. 장애가 발생한 스택을 찾으면 스택의 이벤트 탭을 선택하고 실패한 이벤트가 있는지 확인하십시오. CloudFormation
위 단계 중 아무 것도 작동하지 않고 실패 원인이 내부 서비스 오류인 경우 작업을 다시 시도하거나 AWS Support 센터에
적합성 팩의 댕글링 규칙
적합성 팩을 배포하려면 백그라운드에서 기본 AWS CloudFormation 스택을 만들어 준수 팩 템플릿에 규칙을 배포해야 합니다. 이러한 규칙은 서비스 연결 규칙이므로 준수 팩 외부에서 업데이트하거나 삭제할 수 없습니다.
기본 CloudFormation 스택을 변경하면 적합성 팩과 해당 규칙을 관리할 수 없게 되는 상황이 발생합니다. 이러한 관리하기 어려운 규칙은 복잡하게 얽혀 있는 규칙입니다.
CloudFormation 스택과 컴플라이언스 팩 사이의 드리프트
콘솔에서 직접 적합성 팩 템플릿의 규칙 이름을 업데이트할 수 있습니다. CloudFormation CloudFormation 콘솔에서 템플릿을 직접 업데이트하는 경우 배포된 준수 팩은 업데이트되지 않습니다.
이러한 드리프트로 인해 댕글링 규칙이 생성됩니다. 적합 팩에서 규칙을 삭제하려고 하면 다음과 비슷한 오류 메시지가 나타납니다.
"An AWS service owns ServiceLinkedConfigRule. You do not have permissions to take action on this rule. (Service: AmazonConfig; Status Code: 400; Error Code: AccessDeniedException; Request ID:my-request-ID; Proxy: null)".
준수 팩을 삭제하려고 하면 댕글링 규칙을 삭제할 수 없으며 다음과 비슷한 오류 메시지가 나타납니다.
"User: arn:aws:sts::111122223333:assumed-role/AWSServiceRoleForConfigConforms/AwsConfigConformsWorkflow is not authorized to perform: config:DeleteConfigRule on resource:my-dangling-rule
이 문제를 해결하려면 다음 단계를 수행하십시오.
스택을 삭제합니다. 자세한 내용은 CloudFormation 사용 설명서의 AWS CloudFormation 콘솔에서 스택 삭제를 참조하십시오.
AWS Config 콘솔이나 Pack API를 사용하여 적합성 팩을 삭제합니다. DeleteConformance 조직 적합성 팩이고 관리 또는 위임된 관리자 계정을 사용하는 경우 API를 사용하십시오. DeleteOrganizationConformancePack
적합성 팩에 있는 댕글링 규칙의 Amazon 리소스 이름 (ARN) 을 사용하여 AWS Support 센터에
연락하여 계정을 정리하는 데 도움을 받으십시오.
이 문제를 방지하려면 다음 모범 사례를 기억하십시오.
적합성 팩의 CloudFormation 스택을 직접 업데이트하지 마십시오.
적합성 팩과 기본 스택 간에 편차를 야기하는 변경을 시도하지 마십시오. CloudFormation
적합성 팩의 서비스 연결 역할 (SLR) 은 수정할 수 없습니다. 업데이트하려는 리소스가 SLR에 대한 권한 정책의 일부인지 확인하십시오.
적합성 CloudFormation 팩의 스택을 삭제했습니다.
CloudFormation 스택과 준수 팩 사이에 변동이 없는 한 콘솔에서 직접 준수 팩 또는 해당 스택의 규칙을 삭제하지 않는 것이 좋습니다. CloudFormation CloudFormation
이 문제를 해결하려면 적합성 팩에 있는 댕글링 규칙의 Amazon Resource Name (ARN) 을 가지고 AWS Support 센터에
이 문제를 방지하려면 다음 모범 사례를 기억하십시오.
적합성 팩의 기본 CloudFormation 스택은 절대 삭제하지 마십시오.
Pack API를 사용하여 적합성 팩을 삭제합니다. DeleteConformance 조직 적합성 팩이고 관리 또는 위임된 관리자 계정을 사용하는 경우 API를 사용하십시오. DeleteOrganizationConformancePack
