AWS Config 규칙 추가, 업데이트 및 삭제 - AWS Config
콘솔 사용SDK 사용 AWS Security Hub 사용

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Config 규칙 추가, 업데이트 및 삭제

AWS Config 콘솔 또는 AWS SDK를 사용하여 규칙을 보고, 추가하고, 삭제할 수 있습니다.

규칙(콘솔) 추가, 보기, 업데이트 및 삭제

규칙 페이지에 규칙과 각 규칙의 현재 준수 상태가 표로 표시됩니다. 각 규칙의 결과는 평가 중... 입니다. 규칙에 대한 리소스 평가가 AWS Config 완료될 때까지 새로 고침 버튼으로 결과를 업데이트할 수 있습니다. 평가를 AWS Config 마치면 규정을 준수하거나 준수하지 않는 규칙 및 리소스 유형을 확인할 수 있습니다. 자세한 정보는 규정 준수 정보 및 평가 결과 보기을 참조하세요.

참고

AWS Config 기록 중인 리소스 유형만 평가합니다. 예를 들어 cloudtrail-enabled 규칙을 추가했지만 CloudTrail 트레일 리소스 유형을 기록하지 않으면 계정의 트레일이 규정을 준수하는지 비준수인지를 평가할 AWS Config 수 없습니다. 자세한 정보는 레코딩 AWS 리소스을 참조하세요.

규칙을 추가하려면

  1. 로그인하고 https://console.aws.amazon.com/config/ 에서 콘솔을 엽니다. AWS Management ConsoleAWS Config

  2. AWS Management Console 메뉴에서 지역 선택기가 AWS Config 규칙을 지원하는 지역으로 설정되어 있는지 확인합니다. 지원되는 리전의 목록은 Amazon Web Services 일반 참조의 AWS Config 리전 및 엔드포인트를 참조하세요.

  3. 왼쪽 탐색 창에서 규칙을 선택합니다.

  4. 규칙 페이지에서 규칙 추가를 선택합니다.

  5. 규칙 유형 지정 페이지에서 다음 단계를 완료하여 규칙 유형을 지정합니다.

    1. 검색 필드에 입력하여 규칙 이름, 설명 및 레이블을 기준으로 관리형 규칙 목록을 필터링합니다. 예를 들어 EC2를 입력하면 EC2 인스턴스 유형을 평가하는 규칙이, 주기적을 입력하면 주기적으로 트리거되는 규칙이 표시됩니다.

    2. 고유의 사용자 지정 규칙을 만들 수도 있습니다. Lambda를 사용하여 사용자 지정 규칙 생성 또는 Guard를 사용하여 사용자 지정 규칙 생성을 선택하고 사용자 지정 Lambda 규칙 생성 또는 AWS Config 사용자 지정 정책 규칙 생성의 절차를 따르십시오. AWS Config

  6. 규칙 구성 페이지에서 다음 단계를 완료하여 규칙을 구성합니다.

    1. 이름에 규칙의 고유 이름을 입력합니다.

    2. 설명에 규칙에 대한 설명을 입력합니다.

    3. 평가 모드의 경우 리소스 생성 및 관리 프로세스에서 리소스를 평가할 시기를 선택합니다. AWS Config 규칙에 따라 리소스가 배포되기 전, 리소스가 배포된 후 또는 둘 다에서 리소스 구성을 평가할 AWS Config 수 있습니다.

      1. 리소스를 배포하기 전에 리소스의 구성 설정에 대한 평가를 실행하려면 사전 평가 켜기를 선택합니다.

        사전 평가를 활성화한 후에는 StartResource평가 GetResourceEvaluationSummaryAPI 및 API를 사용하여 이러한 명령에 지정한 리소스가 해당 지역 계정의 사전 예방 규칙에 따라 NON_COMPLIANT로 플래그가 지정되는지 확인할 수 있습니다.

        이 명령어 사용에 대한 자세한 내용은 규칙을 사용한 리소스 평가를 참조하십시오. AWS Config 사전 평가를 지원하는 관리형 규칙 목록은 평가 모드별 AWS Config 관리형 규칙 목록을 참조하십시오.

      2. 기존 리소스의 구성 설정을 평가하려면 탐지 평가 켜기를 선택합니다.

        탐지 평가의 경우 트리거에는 구성이 변경되는 경우 트리거와 주기적 트리거라는 두 가지 유형이 있습니다.

        1. 규칙의 트리거 유형에 구성 변경이 포함된 경우 Lambda AWS Config 함수를 호출하는 변경 범위에 대해 다음 옵션 중 하나를 지정하십시오.

          • 리소스 - 지정된 리소스 유형 또는 유형 및 식별자와 일치하는 리소스가 생성, 변경 또는 삭제되는 경우.

          • 태그 - 지정된 태그가 있는 리소스가 생성, 변경 또는 삭제되는 경우.

          • 모든 변경 — 에서 기록한 AWS Config 리소스가 생성, 변경 또는 삭제된 시점.

          AWS Config 규칙 범위와 일치하는 리소스 변경이 감지되면 평가를 실행합니다. 범위를 사용하여 평가를 시작하는 리소스를 제한할 수 있습니다.

        2. 규칙의 트리거 유형에 주기가 포함된 경우 Lambda AWS Config 함수를 호출하는 빈도를 지정하십시오.

    4. 규칙에 파라미터가 포함된 경우 파라미터에서 제공된 키의 값을 사용자 지정할 수 있습니다. 파라미터는 리소스가 규칙을 준수한다고 간주되기 위해 준수해야 하는 속성입니다.

  7. 검토 및 생성 페이지에서 규칙을 추가하기 전에 모든 선택 사항을 검토하십시오. AWS 계정규칙이 예상대로 작동하지 않는 경우, 규정 준수에 다음 중 하나가 표시될 수 있습니다.

    • 결과가 보고되지 않았습니다. 규칙을 기준으로 리소스를 AWS Config 평가했습니다. 규칙이 해당 범위의 AWS 리소스에 적용되지 않았거나, 지정된 리소스가 삭제되었거나, 평가 결과가 삭제되었습니다. 평가 결과를 받으려면 규칙을 업데이트하여 범위를 변경하거나 재평가를 선택하십시오.

      규칙에서 평가 결과를 보고하지 않았을 때도 이 메시지가 나타날 수 있습니다.

    • 범위 내 리소스 없음 - 규칙 범위 내에 있는 AWS 리소스가 없으므로 기록된 리소스를 이 규칙과 비교하여 평가할 수 AWS Config 없습니다. 평가 결과를 얻으려면 규칙을 편집하고 범위를 변경하거나 설정 페이지를 사용하여 AWS Config 기록할 리소스를 추가하십시오.

    • Evaluations failed - 문제 파악에 도움이 되는 정보를 얻으려면 규칙 이름을 선택하여 세부 정보 페이지를 열고 오류 메시지를 확인하십시오.

규칙을 보려면

  1. 에 AWS Management Console 로그인하고 https://console.aws.amazon.com/config/ 에서 AWS Config 콘솔을 엽니다.

  2. AWS Management Console 메뉴에서 지역 선택기가 AWS Config 규칙을 지원하는 지역으로 설정되어 있는지 확인합니다. 지원되는 리전의 목록은 Amazon Web Services 일반 참조의 AWS Config 리전 및 엔드포인트를 참조하세요.

  3. 왼쪽 탐색 창에서 규칙을 선택합니다.

  4. 규칙 페이지에는 현재 귀하의 AWS 계정규칙에 대한 모든 내용이 표시됩니다. 여기에는 각 규칙의 이름, 연결된 문제 해결 작업 및 규정 준수 상태가 나열됩니다.

    • 규칙 추가를 선택하여 규칙 생성을 시작합니다.

    • 규칙을 선택하여 해당 설정을 보거나 규칙을 선택하고 세부 정보 보기 선택합니다.

    • 규칙이 리소스를 평가할 때 해당 규칙의 준수 상태를 확인합니다.

    • 규칙을 선택하고 규칙 편집을 선택하여 규칙의 구성 설정을 변경하고 규정 미준수 규칙에 대한 문제 해결 작업을 설정합니다.

규칙을 업데이트하려면

  1. https://console.aws.amazon.com/config/ 에서 AWS Management Console 로그인하고 AWS Config 콘솔을 엽니다.

  2. AWS Management Console 메뉴에서 지역 선택기가 AWS Config 규칙을 지원하는 지역으로 설정되어 있는지 확인합니다. 지원되는 리전의 목록은 Amazon Web Services 일반 참조의 AWS Config 리전 및 엔드포인트를 참조하세요.

  3. 왼쪽 탐색 창에서 규칙을 선택합니다.

  4. 업데이트하려는 규칙을 선택하고 규칙 편집을 선택합니다.

  5. 규칙 편집 페이지에서 설정을 수정하여 규칙을 필요에 따라 변경합니다.

  6. 저장을 선택합니다.

규칙을 삭제하려면

  1. 에 AWS Management Console 로그인하고 https://console.aws.amazon.com/config/ 에서 AWS Config 콘솔을 엽니다.

  2. AWS Management Console 메뉴에서 지역 선택기가 AWS Config 규칙을 지원하는 지역으로 설정되어 있는지 확인합니다. 지원되는 리전의 목록은 Amazon Web Services 일반 참조의 AWS Config 리전 및 엔드포인트를 참조하세요.

  3. 왼쪽 탐색 창에서 규칙을 선택합니다.

  4. 표에서 삭제하려는 규칙을 선택합니다.

  5. 작업 드롭다운 목록에서 규칙 삭제를 선택합니다.

  6. 메시지가 표시되면 ‘Delete’(대소문자 구분)를 입력한 다음 삭제를 선택합니다.

사전 평가를 사용하여 리소스를 배포하기 전에 리소스를 평가할 수 있습니다. 이를 통해 해당 지역의 계정에 설정된 사전 예방 규칙 세트를 고려하여 리소스 속성 세트를 AWS 리소스를 정의하는 데 사용하는 경우 COMPLIANT 또는 NON_COMPLIANT인지 평가할 수 있습니다.

리소스 유형 스키마는 리소스의 속성을 명시합니다. 리소스 유형 스키마는 AWS CloudFormation 레지스트리 내의 "AWS 공용 확장 “에서 또는 다음 CLI 명령을 사용하여 찾을 수 있습니다.

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

자세한 내용은 사용 설명서의 AWS CloudFormation 레지스트리를 통한 확장 관리AWS 리소스 및 속성 유형 참조를 참조하십시오. AWS CloudFormation

참고

사전 예방 규칙은 NON_COMPLIANT로 플래그가 지정된 리소스를 수정하거나 배포를 금지하지 않습니다.

사전 평가를 활성화하려면

  1. AWS Management Console 로그인하고 https://console.aws.amazon.com/config/ 에서 AWS Config 콘솔을 엽니다.

  2. AWS Management Console 메뉴에서 지역 선택기가 AWS Config 규칙을 지원하는 지역으로 설정되어 있는지 확인합니다. 지원되는 AWS 리전의 목록은 Amazon Web Services 일반 참조의 AWS Config 리전 및 엔드포인트를 참조하세요.

  3. 왼쪽 탐색 창에서 규칙을 선택합니다. 사전 평가를 지원하는 관리 규칙 목록은 평가 모드별 AWS Config 관리 규칙 목록을 참조하십시오.

  4. 업데이트하려는 규칙을 선택하고 규칙 편집을 선택합니다.

  5. 리소스를 배포하기 전에 리소스의 구성 설정에 대한 평가를 실행하려면 평가 모드에서 사전 평가 켜기를 선택합니다.

  6. 저장을 선택합니다.

사전 평가를 활성화한 후에는 StartResource평가 GetResourceEvaluationSummaryAPI 및 API를 사용하여 해당 명령에 지정한 리소스가 해당 지역 계정의 사전 예방 규칙에 의해 NON_COMPLIANT로 플래그가 지정되는지 확인할 수 있습니다.

예를 들어, API로 시작해 보세요. StartResourceEvaluation 

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::RESOURCE::TYPE",
                                     "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

출력이 ResourceEvaluationId를 제공합니다.

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

그런 다음 ResourceEvaluationId GetResourceEvaluationSummary API와 함께 를 사용하여 평가 결과를 확인합니다.

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

다음과 유사한 출력 화면이 표시될 것입니다.

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
    }
}

리소스에 NON_COMPLIANT로 플래그를 지정한 규칙 등 평가 결과에 대한 추가 정보를 보려면 Resource API를 사용하세요. GetCompliance DetailsBy

규칙 (SDK) 보기, 업데이트 또는 추가 및 삭제 규칙AWS

다음 코드 예제는 DescribeConfigRules의 사용 방법을 보여줍니다.

CLI
AWS CLI

AWS Config 규칙의 세부 정보를 가져오려면

다음 명령은 이름이 지정된 AWS Config 규칙에 대한 세부 정보를 반환합니다. InstanceTypesAreT2micro 

aws configservice describe-config-rules --config-rule-names InstanceTypesAreT2micro

출력:

{
    "ConfigRules": [
        {
            "ConfigRuleState": "ACTIVE",
            "Description": "Evaluates whether EC2 instances are the t2.micro type.",
            "ConfigRuleName": "InstanceTypesAreT2micro",
            "ConfigRuleArn": "arn:aws:config:us-east-1:123456789012:config-rule/config-rule-abcdef",
            "Source": {
                "Owner": "CUSTOM_LAMBDA",
                "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck",
                "SourceDetails": [
                    {
                        "EventSource": "aws.config",
                        "MessageType": "ConfigurationItemChangeNotification"
                    }
                ]
            },
            "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}",
            "Scope": {
                "ComplianceResourceTypes": [
                    "AWS::EC2::Instance"
                ]
            },
            "ConfigRuleId": "config-rule-abcdef"
        }
    ]
}

  • API 세부 정보는 AWS CLI 명령 참조의 DescribeConfig 규칙을 참조하십시오.

PowerShell
도구: PowerShell

예 1: 이 샘플은 선택한 속성과 함께 계정의 구성 규칙을 나열합니다.

Get-CFGConfigRule | Select-Object ConfigRuleName, ConfigRuleId, ConfigRuleArn, ConfigRuleState

출력:

ConfigRuleName                                    ConfigRuleId       ConfigRuleArn                                                        ConfigRuleState
--------------                                    ------------       -------------                                                        ---------------
ALB_REDIRECTION_CHECK                             config-rule-12iyn3 arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-12iyn3 ACTIVE
access-keys-rotated                               config-rule-aospfr arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-aospfr ACTIVE
autoscaling-group-elb-healthcheck-required        config-rule-cn1f2x arn:aws:config-service:eu-west-1:123456789012:config-rule/config-rule-cn1f2x ACTIVE
Python
SDK for Python(Boto3)
참고

자세한 내용은 다음과 같습니다. GitHub AWS 코드 예제 리포지토리에서 전체 예제를 찾고 설정 및 실행하는 방법을 배워보세요.

class ConfigWrapper:
    """
    Encapsulates AWS Config functions.
    """

    def __init__(self, config_client):
        """
        :param config_client: A Boto3 AWS Config client.
        """
        self.config_client = config_client


    def describe_config_rule(self, rule_name):
        """
        Gets data for the specified rule.

        :param rule_name: The name of the rule to retrieve.
        :return: The rule data.
        """
        try:
            response = self.config_client.describe_config_rules(
                ConfigRuleNames=[rule_name]
            )
            rule = response["ConfigRules"]
            logger.info("Got data for rule %s.", rule_name)
        except ClientError:
            logger.exception("Couldn't get data for rule %s.", rule_name)
            raise
        else:
            return rule

  • API에 대한 자세한 내용은 파이썬용AWS SDK의 DescribeConfig규칙 (Boto3) API 레퍼런스를 참조하십시오.

다음 코드 예제는 PutConfigRule의 사용 방법을 보여줍니다.

CLI
AWS CLI

AWS 관리형 Config 규칙을 추가하려면

다음 명령은 AWS 관리형 Config 규칙을 추가하기 위한 JSON 코드를 제공합니다.

aws configservice put-config-rule --config-rule file://RequiredTagsForEC2Instances.json

RequiredTagsForEC2Instances.json은 규칙 구성이 포함된 JSON 파일입니다.

{
  "ConfigRuleName": "RequiredTagsForEC2Instances",
  "Description": "Checks whether the CostCenter and Owner tags are applied to EC2 instances.",
  "Scope": {
    "ComplianceResourceTypes": [
      "AWS::EC2::Instance"
    ]
  },
  "Source": {
    "Owner": "AWS",
    "SourceIdentifier": "REQUIRED_TAGS"
  },
  "InputParameters": "{\"tag1Key\":\"CostCenter\",\"tag2Key\":\"Owner\"}"
}

ComplianceResourceTypes속성의 경우 이 JSON 코드는 범위를 해당 AWS::EC2::Instance 유형의 리소스로 제한하므로 AWS Config는 규칙에 따라 EC2 인스턴스만 평가합니다. 규칙은 관리형 규칙이므로 Owner 속성은 AWS로 설정되고 SourceIdentifier 속성은 규칙 식별자인 REQUIRED_TAGS로 설정됩니다. InputParameters 속성의 경우 규칙에 필요한 태그 키인 CostCenterOwner가 지정됩니다.

명령이 성공하면 AWS Config는 출력을 반환하지 않습니다. 규칙 구성을 확인하려면 describe-config-rules 명령을 실행하고 규칙 이름을 지정합니다.

고객 관리형 Config 규칙을 추가하는 방법

다음 명령은 고객 관리형 Config 규칙을 추가하기 위한 JSON 코드를 제공합니다.

aws configservice put-config-rule --config-rule file://InstanceTypesAreT2micro.json

InstanceTypesAreT2micro.json은 규칙 구성이 포함된 JSON 파일입니다.

{
  "ConfigRuleName": "InstanceTypesAreT2micro",
  "Description": "Evaluates whether EC2 instances are the t2.micro type.",
  "Scope": {
    "ComplianceResourceTypes": [
      "AWS::EC2::Instance"
    ]
  },
  "Source": {
    "Owner": "CUSTOM_LAMBDA",
    "SourceIdentifier": "arn:aws:lambda:us-east-1:123456789012:function:InstanceTypeCheck",
    "SourceDetails": [
      {
        "EventSource": "aws.config",
        "MessageType": "ConfigurationItemChangeNotification"
      }
    ]
  },
  "InputParameters": "{\"desiredInstanceType\":\"t2.micro\"}"
}

ComplianceResourceTypes속성의 경우 이 JSON 코드는 범위를 해당 AWS::EC2::Instance 유형의 리소스로 제한하므로 AWS Config는 규칙에 따라 EC2 인스턴스만 평가합니다. 이 규칙은 고객 관리형 규칙이므로 Owner 속성은 로 CUSTOM_LAMBDA 설정되고 SourceIdentifier 속성은 Lambda AWS 함수의 ARN으로 설정됩니다. SourceDetails 객체가 필요합니다. AWS Config가 규칙을 기준으로 리소스를 평가하기 위해 함수를 호출하면 InputParameters 속성에 지정된 파라미터가 AWS Lambda 함수에 전달됩니다.

명령이 성공하면 AWS Config는 출력을 반환하지 않습니다. 규칙 구성을 확인하려면 describe-config-rules 명령을 실행하고 규칙 이름을 지정합니다.

  • API 세부 정보는 AWS CLI 명령 참조의 PutConfig 규칙을 참조하십시오.

Python
SDK for Python(Boto3)
참고

자세한 내용은 에서 확인할 수 GitHub 있습니다. AWS 코드 예제 리포지토리에서 전체 예제를 찾고 설정 및 실행하는 방법을 배워보세요.

class ConfigWrapper:
    """
    Encapsulates AWS Config functions.
    """

    def __init__(self, config_client):
        """
        :param config_client: A Boto3 AWS Config client.
        """
        self.config_client = config_client


    def put_config_rule(self, rule_name):
        """
        Sets a configuration rule that prohibits making Amazon S3 buckets publicly
        readable.

        :param rule_name: The name to give the rule.
        """
        try:
            self.config_client.put_config_rule(
                ConfigRule={
                    "ConfigRuleName": rule_name,
                    "Description": "S3 Public Read Prohibited Bucket Rule",
                    "Scope": {
                        "ComplianceResourceTypes": [
                            "AWS::S3::Bucket",
                        ],
                    },
                    "Source": {
                        "Owner": "AWS",
                        "SourceIdentifier": "S3_BUCKET_PUBLIC_READ_PROHIBITED",
                    },
                    "InputParameters": "{}",
                    "ConfigRuleState": "ACTIVE",
                }
            )
            logger.info("Created configuration rule %s.", rule_name)
        except ClientError:
            logger.exception("Couldn't create configuration rule %s.", rule_name)
            raise

  • API에 대한 자세한 내용은 파이썬용AWS SDK의 PutConfig규칙 (Boto3) API 레퍼런스를 참조하십시오.

다음 코드 예제는 DeleteConfigRule의 사용 방법을 보여줍니다.

CLI
AWS CLI

AWS Config 규칙을 삭제하려면

다음 명령은 이름이 지정된 AWS Config 규칙을 삭제합니다. MyConfigRule 

aws configservice delete-config-rule --config-rule-name MyConfigRule
Python
SDK for Python(Boto3)
참고

자세한 내용은 에서 확인할 수 GitHub 있습니다. AWS 코드 예제 리포지토리에서 전체 예제를 찾고 설정 및 실행하는 방법을 배워보세요.

class ConfigWrapper:
    """
    Encapsulates AWS Config functions.
    """

    def __init__(self, config_client):
        """
        :param config_client: A Boto3 AWS Config client.
        """
        self.config_client = config_client


    def delete_config_rule(self, rule_name):
        """
        Delete the specified rule.

        :param rule_name: The name of the rule to delete.
        """
        try:
            self.config_client.delete_config_rule(ConfigRuleName=rule_name)
            logger.info("Deleted rule %s.", rule_name)
        except ClientError:
            logger.exception("Couldn't delete rule %s.", rule_name)
            raise

  • API에 대한 자세한 내용은 파이썬용AWS SDK의 DeleteConfig규칙 (Boto3) API 레퍼런스를 참조하십시오.

사전 평가를 사용하여 리소스를 배포하기 전에 리소스를 평가할 수 있습니다. 이를 통해 해당 지역의 계정에 설정된 사전 예방 규칙 세트를 고려하여 리소스 속성 집합이 AWS 리소스를 정의하는 데 사용되는 경우 COMPLIANT인지 NON_COMPLIANT인지를 평가할 수 있습니다.

리소스 유형 스키마는 리소스의 속성을 명시합니다. 리소스 유형 스키마는 AWS CloudFormation 레지스트리 내의 "AWS 공용 확장 “에서 또는 다음 CLI 명령을 사용하여 찾을 수 있습니다.

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

자세한 내용은 사용 설명서의 AWS CloudFormation 레지스트리를 통한 확장 관리AWS 리소스 및 속성 유형 참조를 참조하십시오. AWS CloudFormation

참고

사전 예방 규칙은 NON_COMPLIANT로 플래그가 지정된 리소스를 수정하거나 배포를 금지하지 않습니다.

사전 평가를 활성화하려면

put-config-rule 명령을 사용하고 EvaluationModes에서 PROACTIVE를 활성화합니다.

사전 예방적 평가를 활성화한 후에는 start-resource evaluation CLI 명령과 get-resource-valuation-summary CLI 명령을 사용하여 이러한 명령에 지정한 리소스가 해당 지역 계정의 사전 예방 규칙에 의해 NON_COMPLIANT로 플래그가 지정되는지 확인할 수 있습니다.

예를 들어, 먼저 start-resource-evaluation 명령을 사용합니다.

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::RESOURCE::TYPE",
                                     "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

출력이 ResourceEvaluationId를 제공합니다.

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

그런 다음 ResourceEvaluationIdget-resource-evaluation-summary와 함께 사용하여 평가 결과를 확인합니다.

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

다음과 유사한 출력 화면이 표시될 것입니다.

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
    }
}

리소스에 규정 미준수 플래그를 지정한 규칙 등 평가 결과에 대한 추가 정보를 보려면 get-compliance-details-by-resource CLI 명령을 사용하세요.

참고

사전 평가를 지원하는 관리형 규칙 목록은 평가 모드별 관리형 규칙 목록을 참조하십시오. AWS Config

사전 평가를 사용하여 리소스를 배포하기 전에 리소스를 평가할 수 있습니다. 이를 통해 해당 지역의 계정에 설정된 사전 예방 규칙 세트를 고려하여 리소스 속성 집합이 AWS 리소스를 정의하는 데 사용되는 경우 COMPLIANT인지 NON_COMPLIANT인지를 평가할 수 있습니다.

리소스 유형 스키마는 리소스의 속성을 명시합니다. 리소스 유형 스키마는 AWS CloudFormation 레지스트리 내의 "AWS 공용 확장 “에서 또는 다음 CLI 명령을 사용하여 찾을 수 있습니다.

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

자세한 내용은 사용 설명서의 AWS CloudFormation 레지스트리를 통한 확장 관리AWS 리소스 및 속성 유형 참조를 참조하십시오. AWS CloudFormation

참고

사전 예방 규칙은 NON_COMPLIANT로 플래그가 지정된 리소스를 수정하거나 배포를 금지하지 않습니다.

규칙에서 사전 평가를 활성화하려면

PutConfig규칙 작업을 사용하고 다음을 PROACTIVE EvaluationModes 활성화하십시오.

사전 평가를 활성화한 후에는 StartResource평가 GetResourceEvaluationSummaryAPI 및 API를 사용하여 해당 명령에 지정한 리소스가 해당 지역 계정의 사전 예방 규칙에 의해 NON_COMPLIANT로 표시되는지 확인할 수 있습니다. 예를 들어, API로 시작해 보세요. StartResourceEvaluation 

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::RESOURCE::TYPE",
                                     "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

출력이 ResourceEvaluationId를 제공합니다.

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

그런 다음 ResourceEvaluationId GetResourceEvaluationSummary API와 함께 를 사용하여 평가 결과를 확인합니다.

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

다음과 유사한 출력 화면이 표시될 것입니다.

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
    }
}

리소스에 NON_COMPLIANT로 플래그를 지정한 규칙 등 평가 결과에 대한 추가 정보를 보려면 Resource API를 사용하세요. GetCompliance DetailsBy

참고

사전 평가를 지원하는 관리형 규칙 목록은 평가 모드별 AWS Config 관리형 규칙 목록을 참조하십시오.

규칙 평가를 Security Hub로 전송

규칙을 추가한 후 AWS Config 규칙 평가를 에 보낼 수도 있습니다. AWS Security Hub Security Hub 간의 통합을 통해 다른 잘못된 구성 AWS Config 및 보안 문제와 함께 규칙 평가를 분류하고 수정할 수 있습니다.

규칙 평가를 Security Hub로 전송

Security Hub에 규칙 평가를 보내려면 먼저 하나 이상의 AWS Config 관리형 규칙 또는 사용자 지정 규칙을 AWS Security Hub 설정하고 AWS Config추가해야 합니다. 그런 다음 Security Hub에 규칙 평가 전송을 AWS Config 즉시 시작합니다. Security Hub는 규칙 평가를 보강하고 이를 Security Hub 조사 결과로 변환합니다.

이 통합에 대한 자세한 내용은 사용 AWS Security Hub 설명서의 사용 가능한 AWS 서비스 통합을 참조하십시오.