AWS Config 규칙의 트리거 지정 - AWS Config

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

AWS Config 규칙의 트리거 지정

계정에 규칙을 추가하면 AWS Config에서 규칙을 실행하는 시기를 지정할 수 있습니다. 이를 트리거라고 합니다. AWS Config는 트리거가 발생하면 규칙을 기준으로 리소스 구성을 평가합니다.

트리거 유형

다음과 같은 두 가지 유형의 트리거가 있습니다.

구성 변경

AWS Config는 특정 유형의 리소스가 생성, 변경 또는 삭제되면 이 규칙에 대한 평가를 실행합니다.

규칙의 범위를 정의하여 평가를 트리거하는 리소스를 선택합니다. 범위에는 다음이 포함될 수 있습니다.

  • 하나 이상의 리소스 유형

  • 리소스 유형과 리소스 ID의 조합

  • 태그 키와 값의 조합

  • 기록된 모든 리소스가 생성, 업데이트 또는 삭제된 때

AWS Config가 규칙의 범위와 일치하는 리소스의 변경을 발견하면 평가를 실행합니다. 범위를 사용하여 평가를 트리거하는 리소스를 제한할 수 있습니다. 그렇지 않으면 기록된 모든 리소스가 변경될 때마다 평가가 트리거됩니다.

주기적

AWS Config가 사용자가 선택한 간격(예: 24시간마다)으로 이 규칙에 대한 평가를 실행합니다.

구성 변경 및 주기적을 선택하면, AWS Config에서 구성 변경을 발견했을 때 또는 사용자가 지정한 간격으로 Lambda 함수를 호출합니다.

트리거를 사용하는 규칙 예

구성 변경 트리거를 사용하는 규칙 예

  1. 계정에 AWS Config 관리형 규칙인 S3_BUCKET_LOGGING_ENABLED를 추가하여 Amazon S3 버킷에 로깅이 활성화되어 있는지 확인합니다.

  2. 이 규칙의 트리거 유형은 구성 변경입니다. AWS Config;는 Amazon S3 버킷이 생성, 변경 또는 삭제되면 이 규칙에 대한 평가를 실행합니다.

  3. 버킷이 업데이트되면 구성 변경은 규칙을 트리거하고 AWS Config는 해당 버킷이 규칙을 준수하는지 여부를 평가합니다.

주기적 트리거를 사용하는 규칙 예

  1. 계정에 AWS Config 관리형 규칙인 IAM_PASSWORD_POLICY를 추가합니다. 이 규칙은 IAM 사용자의 암호 정책이 계정 정책(예: 최소 길이 또는 특정 문자 요구)을 준수하는지 여부를 확인합니다.

  2. 이 규칙의 트리거 유형은 주기적입니다. AWS Config는 사용자가 지정한 간격(예: 24시간마다)으로 이 규칙에 대한 평가를 실행합니다.

  3. 24시간마다 규칙이 트리거되고 AWS Config는 IAM 사용자의 암호가 규칙을 준수하는지 여부를 평가합니다.

구성 변경 및 주기적 트리거를 사용하는 규칙 예

  1. 계정에서 CloudTrail 추적 기능이 켜져 있으며 모든 리전을 로깅하는지 여부를 평가하는 사용자 지정 규칙을 만듭니다.

  2. 추적 내역이 생성, 업데이트 또는 삭제될 때마다 AWS Config에서 규칙에 대한 평가를 실행하도록 하려고 합니다. 또한 AWS Config에서 12시간마다 규칙을 실행하도록 하려고 합니다.

  3. 트리거 유형에서 구성 변경 및 주기적을 선택합니다.

구성 레코더가 꺼져 있는 경우의 규칙 평가

구성 레코더를 끄면 AWS Config가 리소스 구성의 변경 사항 기록을 중지합니다. 이는 다음과 같은 방식으로 규칙 평가에 영향을 줍니다.

  • 주기적 트리거를 사용하는 규칙은 지정된 간격으로 평가를 계속 실행합니다.

  • 구성 변경 트리거를 사용하는 규칙은 평가를 실행하지 않습니다.

  • 두 트리거 유형을 모두 사용하는 규칙은 지정된 간격으로만 평가를 실행합니다. 그러나 구성 변경에 대한 평가는 실행하지 않습니다.

  • 구성 변경 트리거를 사용하는 규칙에 대해 요청 시 평가를 실행하면, 이 규칙은 리소스의 마지막으로 알려진 상태, 즉 마지막으로 기록된 구성 항목을 평가합니다. .