를 사용하여 고객 관리형 구성 레코더 AWS Config 로 시작 AWS CLI - AWS Config

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

를 사용하여 고객 관리형 구성 레코더 AWS Config 로 시작 AWS CLI

고객 관리형 구성 레코더를 생성 AWS Config 하여 시작할 수 있습니다. 를 사용하여 고객 관리형 구성 레코더를 생성하려면 AWS CLI, put-configuration-recorder put-delivery-channel및 명령을 사용합니다start-configuration-recorder.

  • put-configuration-recorder 명령은 고객 관리형 구성 레코더를 생성합니다.

  • put-delivery-channel 명령은가 S3 버킷 및 SNS 주제에 구성 정보를 AWS Config 전송하는 전송 채널을 생성합니다.

  • 는 고객 관리형 구성 레코더를 start-configuration-recorder 시작합니다. 고객 관리형 구성 레코더는 지정한 리소스 유형에 대한 구성 변경 사항을 기록하기 시작합니다.

고려 사항

S3 버킷, SNS 주제 및 IAM 역할이 필요합니다.

고객 관리형 구성 레코더를 생성하려면 S3 버킷, SNS 주제 및 정책이 연결된 IAM 역할을 사전 조건으로 생성해야 합니다. 에 대한 사전 조건을 설정하려면 사전 조건을 AWS Config참조하세요. https://docs.aws.amazon.com/config/latest/developerguide/gs-cli-prereq.html

리전별 계정당 고객 관리형 구성 레코더 1개

각에 대해 각각 하나의 고객 관리형 구성 레코더만 가질 수 AWS 계정 있습니다 AWS 리전.

리전별 계정당 전송 채널 1개

각에 대해 하나의 전송 채널 리전만 가질 수 AWS 계정 있습니다 AWS 리전.

정책 및 규정 준수 결과

에서 관리되는 IAM 정책 및 기타 정책은에 리소스의 구성 변경을 기록할 권한이 있는지 여부에 AWS Config 영향을 미칠 수 있습니다. AWS Organizations 또한 규칙은 리소스의 구성을 직접 평가하며, 규칙은 평가를 실행할 때 이러한 정책을 고려하지 않습니다. 적용 중인 정책이 사용 의도와 일치하는지 확인합니다 AWS Config.

1단계: put-configuration-recorder 실행

put-configuration-recorder 명령을 사용하여 고객 관리형 구성 레코더를 생성합니다.

이 명령은 --configuration-recorder---recording-group 필드를 사용합니다.

$ aws configservice put-configuration-recorder \ --configuration-recorder file://configurationRecorder.json \ --recording-group file://recordingGroup.json

configuration-recorder 필드

configurationRecorder.json 파일이 name, roleArn 및 구성 레코더(recordingMode)의 기본 기록 빈도를 지정합니다. 또한이 필드를 사용하여 특정 리소스 유형에 대한 기록 빈도를 재정의할 수 있습니다.

{ "name": "default", "roleARN": "arn:aws:iam::123456789012:role/config-role", "recordingMode": { "recordingFrequency": CONTINUOUS or DAILY, "recordingModeOverrides": [ { "description": "Description you provide for the override", "recordingFrequency": CONTINUOUS or DAILY, "resourceTypes": [ Comma-separated list of resource types to include in the override ] } ] } }

recording-group 필드

recordingGroup.json 파일은 기록되는 리소스 유형을 지정합니다.

{ "allSupported": boolean, "exclusionByResourceTypes": { "resourceTypes": [ Comma-separated list of resource types to exclude ] }, "includeGlobalResourceTypes": boolean, "recordingStrategy": { "useOnly": "Recording strategy for the configuration recorder" }, "resourceTypes": [ Comma-separated list of resource types to include] }

이러한 필드에 대한 자세한 내용은 AWS CLI 명령 참조put-configuration-recorder의 섹션을 참조하세요.

2단계: put-delivery-channel 명령 실행

put-delivery-channel 명령을 사용하여 전송 채널을 생성합니다.

이 명령은 --delivery-channel 필드를 사용합니다.

$ aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

delivery-channel 필드

deliveryChannel.json 파일은 다음을 지정합니다.

  • 전송 채널name의 입니다.

  • 가 구성 스냅샷을 AWS Config 전송하는 s3BucketName 입니다.

  • 가 알림을 AWS Config 보내는 snsTopicARN

  • configSnapshotDeliveryProperties가 구성 스냅샷을 AWS Config 전송하는 빈도와 주기적 규칙에 대한 평가를 호출하는 빈도를 설정하는 입니다.

{ "name": "default", "s3BucketName": "config-bucket-123456789012", "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic", "configSnapshotDeliveryProperties": { "deliveryFrequency": "Twelve_Hours" } }

이러한 필드에 대한 자세한 내용은 AWS CLI 명령 참조put-delivery-channel의 섹션을 참조하세요.

3단계: start-configuration-recorder 명령 실행

start-configuration-recorder 명령을 사용하여 시작합니다 AWS Config.

$ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName

이러한 필드에 대한 자세한 내용은 AWS CLI 명령 참조start-configuration-recorder의 섹션을 참조하세요.