사용자 지정 적합성 팩 - AWS Config
용어템플릿 사용자 지정사용자 지정 적합성 팩 배포

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

사용자 지정 적합성 팩

사용자 지정 적합성 팩은 계정과 AWS 지역에 함께 배포하거나 조직 전체에 배포할 수 있는 고유한 AWS Config 규칙 및 수정 조치 모음입니다. AWS Organizations

사용자 지정 적합성 팩을 생성하려면 다음 템플릿 사용자 지정 단원의 단계에 따라 작업하려는 AWS Config 관리형 규칙 또는 AWS Config 사용자 지정 규칙의 목록이 포함된 YAML 파일을 작성합니다.

용어

AWS Config 관리형 규칙은 에서 소유하는 사전 정의된 규칙입니다. AWS Config

AWS Config 사용자 지정 규칙은 처음부터 생성하는 규칙입니다.

AWS Config 사용자 지정 규칙을 생성하는 방법은 두 가지가 있습니다. 하나는 Lambda 함수 AWS Lambda (개발자 가이드) 를 사용하는 것이고 다른 하나는 언어인 Guard ( GitHub가드 리포지토리) 를 사용하는 것입니다. policy-as-code AWS Config 로 AWS Lambda 생성한 사용자 지정 규칙을 AWS Config 사용자 지정 Lambda 규칙이라고 AWS Config 하고 Guard로 생성한 사용자 지정 규칙을 사용자 지정 정책 AWS Config 규칙이라고 합니다.

템플릿 사용자 지정

YAML 파일 작성

YAML 파일을 작성하려면 텍스트 편집기를 열고 파일을 .yaml로 저장합니다.

참고

파일에는 파라미터리소스 섹션이 포함됩니다.

파라미터

YAML 파일의 섹션은 Parameters 섹션 뒷부분에서 추가할 AWS Config 규칙 세트의 규칙 파라미터를 위한 것입니다. Resources 다음 코드 블록을 복사하여 YAML 파일에 붙여넣고 필요에 따라 사용자 지정하고 각 규칙 파라미터에 대해 반복하여 Parameters 섹션을 생성합니다.

Parameters:    
    NameOfRuleParamNameOfRuleParameter: 
        Default: Parameter value
        Type: Type    
    ...

예:

Parameters:
    IamPasswordPolicyParamMinimumPasswordLength:
        Default: '14'
        Type: String
참고

AWS Config 규칙을 선택하여 사용자 지정 적합성 팩을 빌드할 때는 규칙에 대해 평가할 리소스가 계정 내에 프로비저닝되어 있는지 확인하세요. AWS Config

  1. 뒤에 있는 매개 변수 섹션의 첫 번째 줄은 + Param +로 구성된 연결된 Parameters: 문자열입니다. NameOfRuleNameOfRuleParameter

    1. NameOfRule을 규칙에 대해 생성한 일관된 이름으로 바꿉니다. 예를 들어 규칙을 위한 것일 수 있습니다. IamPasswordPolicyiam-password-policy

    2. Param를 입력합니다.

    3. 그런 다음 NameOfRuleParameter를 특정 규칙의 규칙 파라미터의 이름으로 바꿉니다. AWS Config 관리형 규칙의 경우 규칙 매개 변수의 이름은 AWS Config 관리형 규칙 목록에 있습니다 (예: 규칙의 규칙 매개 변수 이름). MinimumPasswordLengthiam-password-policy AWS Config 사용자 지정 규칙의 경우 규칙 파라미터의 이름은 규칙을 생성할 때 선택한 이름입니다.

  2. 관리형 규칙을 사용하는 경우 AWS Config 관리형 AWS Config 규칙 목록에서 적절한 규칙을 찾아 특정 규칙에 대해 Default 허용되는 값을 파악할 수 있습니다. Type AWS Config 사용자 지정 규칙의 경우 규칙을 생성할 때 선택한 값을 사용합니다.

    참고

    각 매개변수에 대해 Type 지정해야 합니다. Type“문자열”, “int”, “double”, “CSV”, “부울” 및 "StringMap” 중 하나일 수 있습니다.

리소스

Resources 섹션에는 사용자 지정 적합성 팩에 추가되는 규칙이 나열되어 있습니다. Parameters 섹션 바로 아래에 다음 Resources 블록을 추가한 다음 필요에 따라 사용자 지정하고 각 규칙에 대해 반복합니다. 사양에 대한 자세한 내용은 을 참조하십시오. AWS::Config::ConfigRule 

Resources:
     NameOfRule:
        Properties:
            ConfigRuleName: ActualConfigRuleName  
            InputParameters:
                NameOfRuleParameter: NameOfRuleParamNameOfRuleParameter
            Source:
                Owner: Owner
                SourceIdentifier: SOURCE_IDENTIFIER
        Type: AWS::Config::ConfigRule
     ...

예:

Resources:
    IamPasswordPolicy:
        Properties:
            ConfigRuleName: iam-password-policy
            InputParameters:
                MinimumPasswordLength: IamPasswordPolicyParamMinimumPasswordLength
            Source:
                Owner: AWS
                SourceIdentifier: IAM_PASSWORD_POLICY
        Type: AWS::Config::ConfigRule
참고

사용자 지정 준수 팩을 빌드하기 위한 AWS Config 규칙을 선택할 때는 계정 내에 규정된 AWS Config 규칙에 대해 평가될 리소스가 있는지 확인하십시오. 자세한 내용은 지원되는 리소스 유형 단원을 참조하세요.

  1. NameOfRuleParameters 섹션에서 지정한 이름으로 바꿉니다.

  2. AWS Config 관리형 규칙의 경우 관리형 규칙 목록에서 해당 규칙 페이지의 ActualConfigRuleName 제목으로 바꾸십시오. AWS Config AWS Config 사용자 지정 규칙의 경우 규칙을 만들 때 선택한 Config Rule 이름을 사용합니다.

  3. NameOfRuleParameterParameters 섹션에서 사용한 이름으로 바꿉니다. 콜론 뒤에는 섹션에서 만든 NameOfRule+ Param+와 동일한 연결 문자열을 복사하여 붙여넣습니다. NameOfRuleParameterParameters

  4. Owner를 적절한 값으로 변경합니다.

    참고

    AWS Config 관리형 규칙

    AWS Config 관리형 규칙의 Owner 경우 의 값은 AWS 입니다.

    AWS Config 사용자 지정 규칙

    Guard로 생성한 AWS Config 사용자 지정 규칙의 Owner 경우 의 값은 CUSTOM_POLICY 입니다. Lambda로 생성한 AWS Config 사용자 지정 규칙의 경우 의 값은 Owner 입니다. CUSTOM_LAMBDA

  5. SOURCE_IDENTIFIER를 적절한 값으로 변경합니다.

    참고

    AWS Config 관리형 규칙

    AWS Config 관리형 규칙의 경우 관리형 규칙 목록에서 선택한 규칙의 링크를 따라 식별자를 복사합니다 (예: 규칙의 AWS Config 소스 식별자는 ACCESS_KEYS_ROTATED). access-keys-rotated

    AWS Config 사용자 지정 규칙

    Lambda로 생성한 AWS Config 사용자 지정 규칙의 경우 SourceIdentifier 는 규칙 함수의 Amazon 리소스 이름 (ARN) 입니다 (예:). AWS Lambda arn:aws:lambda:us-east-2:123456789012:function:ActualConfigRuleName Guard로 생성한 AWS Config 사용자 지정 규칙의 경우 이 필드는 필요하지 않습니다.

사용자 정의 적합성 팩을 모두 작성하면 다음과 비슷하게 표시되어야 합니다. 이 예시는 AWS Config 관리형 규칙 (Managed Rules), 및 -check를 사용한 예입니다. iam-password-policyaccess-keys-rotatediam-user-unused-credentials 

Parameters:
    IamPasswordPolicyParamMinimumPasswordLength:
        Default: '14'
        Type: String
    AccessKeysRotatedParamMaxAccessKeyAge:
        Default: '90'
        Type: String
    IamUserUnusedCredentialsCheckParamMaxCredentialUsageAge:
        Default: '45'
        Type: String
Resources:
    IamPasswordPolicy:
        Properties:
            ConfigRuleName: iam-password-policy
            InputParameters:
                MinimumPasswordLength: IamPasswordPolicyParamMinimumPasswordLength
            Source:
                Owner: AWS
                SourceIdentifier: IAM_PASSWORD_POLICY
        Type: AWS::Config::ConfigRule    
    AccessKeysRotated:
        Properties:
            ConfigRuleName: access-keys-rotated
            InputParameters:
                maxAccessKeyAge: AccessKeysRotatedParamMaxAccessKeyAge
            Source:
                Owner: AWS
                SourceIdentifier: ACCESS_KEYS_ROTATED
        Type: AWS::Config::ConfigRule
    IamUserUnusedCredentialsCheck:
        Properties:
            ConfigRuleName: iam-user-unused-credentials-check
            InputParameters:
                maxCredentialUsageAge: IamUserUnusedCredentialsCheckParamMaxCredentialUsageAge
            Source:
                Owner: AWS
                SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK
        Type: AWS::Config::ConfigRule

사용자 지정 적합성 팩 배포

사용자 정의 준수 팩을 배포하려면 다음을 사용하여 준수 팩 배포를 참조하십시오. AWS Config 콘솔 사용 및 명령줄 인터페이스를 사용한 적합성 팩 배포 AWS Config