AWS Config 로 시작 AWS CLI - AWS Config
고려 사항1단계: 명령 실행 put-configuration-recorder 2단계: 명령 실행 put-delivery-channel 3단계: 명령 실행 start-configuration-recorder

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Config 로 시작 AWS CLI

AWS Config 로 시작하려면 다음과 같이 put-configuration-recorderput-delivery-channel, 및 start-configuration-recorder 명령을 AWS CLI사용합니다.

  • put-configuration-recorder 명령은 지정된 리소스 구성을 기록하기 위해 새 구성 레코더를 생성합니다.

  • put-delivery-channel 명령은 구성 정보를 S3 버킷 및 SNS 주제에 전달하는 전송 채널 객체를 생성합니다.

  • 전송 채널이 생성되면 start-configuration-recorder가 선택된 리소스 구성을 기록하기 시작합니다. 기록은 AWS 계정에서 확인할 수 있습니다.

구성 레코더를 생성할 때 레코더의 이름과 구성 레코더에서 맡 AWS Config 아 사용하고 있는 IAM 역할의 Amazon 리소스 이름(ARN)을 지정할 수 있습니다. 는 “기본값” 이름을 AWS Config 자동으로 할당합니다. 구성 레코더를 생성한 후에는 이름을 변경할 수 없습니다. 구성 레코더 이름을 변경하려면 구성 레코더를 삭제한 후 원하는 이름으로 새 구성 레코더를 생성해야 합니다.

를 사용하여 AWS Config 다중 계정 다중 리전 데이터 집계를 설정하려면 명령줄 인터페이스를 사용하여 집계기 설정을 AWS CLI참조하세요. AWS 구성 항목을 기록할 각 리전에 대해 별도의 구성 레코더를 생성 AWS 계정 해야 합니다.

고려 사항

사전 조건 

AWS Config 로 설정하기 전에 S3 버킷 AWS CLI, SNS 주제 및 정책이 사전 조건으로 연결된 IAM 역할을 생성해야 합니다. 그런 다음 AWS CLI 를 사용하여 에 대한 버킷, 주제 및 역할을 지정할 수 있습니다 AWS Config. 에 대한 사전 조건을 설정하려면 사전 조건 섹션을 AWS Config참조하세요.

계정당 리전당 구성 레코더 1개

AWS 리전 당 에 대한 구성 레코더 채널은 하나만 가질 수 있으며 AWS 계정를 사용하려면 구성 레코더가 필요합니다 AWS Config.

계정당 리전당 하나의 전송 채널

마다 AWS 리전 리전당 하나의 전송 채널만 가질 수 있으며 AWS 계정를 사용하려면 전송 채널이 필요합니다 AWS Config.

1단계: 명령 실행 put-configuration-recorder

put-configuration-recorder 명령은 다음 예시와 같은 형식이어야 합니다.

$ aws configservice put-configuration-recorder \
--configuration-recorder file://configurationRecorder.json \
--recording-group file://recordingGroup.json

이 명령은 --configuration-recorder---recording-group 필드를 사용합니다.

참고

레코딩 그룹 및 구성 레코더

--recording-group 필드는 기록되는 리소스 유형을 지정합니다.

--configuration-recorder 필드는 name 구성 레코더()의 기본 기록 빈도roleArn와 및 를 지정합니다recordingMode. 이 필드를 사용하여 특정 리소스 유형의 기록 빈도를 재정의할 수도 있습니다.

put-configuration-recorder--recording-group 파라미터에 대해 다음 옵션을 사용합니다.

  • allSupported=true –글로벌 리소스 유형을 제외한 지원되는 모든 IAM 리소스 유형에 대한 구성 변경 사항을 AWS Config 기록합니다. 가 새 리소스 유형에 대한 지원을 AWS Config 추가하면 해당 유형의 리소스 기록을 AWS Config 자동으로 시작합니다.

  • includeGlobalResourceTypes=true - 이 옵션은 IAM 사용자, 그룹, 역할 및 고객 관리형 정책과 같은 글로벌 IAM 리소스 유형에만 적용되는 번들입니다. 이러한 글로벌 IAM 리소스 유형은 가 2022년 2월 이전에 사용 가능한 리전 AWS Config 에서만 기록할 수 AWS Config 있습니다. 2022년 2월 AWS Config 이후 에서 지원하는 리전에서는 글로벌 IAM 리소스 유형을 기록할 수 없습니다. 해당 리전 목록은 AWS 리소스 기록 | 글로벌 리소스 섹션을 참조하세요.

    중요

    Aurora 글로벌 클러스터는 활성화된 모든 리전에서 기록됨

    AWS::RDS::GlobalCluster 리소스 유형은 가 로 includeGlobalResourceTypes 설정되어 있더라도 구성 레코더가 활성화된 지원되는 모든 AWS Config 리전에 기록됩니다false. includeGlobalResourceTypes 옵션은 IAM 사용자, 그룹, 역할 및 고객 관리형 정책에만 적용되는 번들입니다.

    활성화된 모든 리전에서 AWS::RDS::GlobalCluster를 기록하지 않으려면 다음 기록 전략 중 하나를 사용하세요.

    1. 제외 항목 이외의 모든 현재 및 향후 리소스 유형을 기록(EXCLUSION_BY_RESOURCE_TYPES) 또는

    2. 특정 리소스 유형을 기록(INCLUSION_BY_RESOURCE_TYPES).

    자세한 내용을 알아보려면 기록할 리소스 선택을 참조하세요.

    중요

    includeGlobalResource유형 및 제외 기록 전략

    includeGlobalResourceTypes 필드는 EXCLUSION_BY_RESOURCE_TYPES 기록 전략에 영향을 미치지 않습니다. 즉, 글로벌 IAM 리소스 유형(IAM사용자, 그룹, 역할 및 고객 관리형 정책)은 includeGlobalResourceTypes가 로 설정된 exclusionByResourceTypes 경우 에 대한 제외로 자동으로 추가되지 않습니다false.

    includeGlobalResourceTypes 필드는 필드를 수정하는 데만 사용해야 합니다. AllSupported 필드의 기본값은 글로벌 리소스 유형을 제외한 지원되는 모든 IAM 리소스 유형에 대한 구성 변경을 기록하는 AllSupported 것입니다. 가 로 AllSupported 설정된 경우 글로벌 IAM 리소스 유형을 포함하려면 를 includeGlobalResourceTypes로 설정해야 true합니다true.

    EXCLUSION_BY_RESOURCE_TYPES 레코딩 전략의 글로벌 IAM 리소스 유형을 제외하려면 resourceTypes 필드에 수동으로 추가해야 합니다exclusionByResourceTypes.

    참고

    필수 및 선택 필드

    includeGlobalResourceTypestrue로 설정하려면 먼저 allSupported 필드를 true로 설정합니다.

    선택적으로 RecordingStrategyuseOnly 필드를 ALL_SUPPORTED_RESOURCE_TYPES로 설정할 수 있습니다.

    참고

    필드 재정의

    includeGlobalResourceTypes로 설정false했지만 의 resourceTypes 필드에 글로벌 IAM 리소스 유형을 나열한 경우 RecordingGroup AWS Config 는 includeGlobalResourceTypes 필드를 false로 설정했는지 여부에 관계없이 지정된 리소스 유형에 대한 구성 변경 사항을 계속 기록합니다.

    글로벌 IAM 리소스 유형(IAM 사용자, 그룹, 역할 및 고객 관리형 정책)에 대한 구성 변경 사항을 기록하지 않으려면 resourceTypes 필드를 false로 설정하는 것 외에도 includeGlobalResourceTypes 필드에 나열하지 않아야 합니다.

  • recordingStrategy - 구성 레코더의 기록 전략을 지정합니다. recordingGroup.json 파일은 AWS Config 가 기록할 리소스 유형을 지정합니다.

    • useOnly 필드를 RecordingStrategy AWS Config 로 설정하면 는 글로벌 리소스 유형을 제외하고 지원되는 모든 IAM 리소스 유형에 대한 구성 변경 사항을 ALL_SUPPORTED_RESOURCE_TYPES기록합니다. 선택적으로 allSupported 필드를 RecordingGroup로 설정할 수 있습니다true. 가 새 리소스 유형에 대한 지원을 AWS Config 추가하면 AWS Config 는 해당 유형의 리소스 기록을 자동으로 시작합니다.

    • useOnly 필드를 RecordingStrategy로 설정하면 의 resourceTypes 필드에 지정한 리소스 유형에 대해서만 구성 변경 사항을 INCLUSION_BY_RESOURCE_TYPES AWS Config 기록합니다RecordingGroup.

    • useOnly 필드를 RecordingStrategy로 설정하면 의 필드에 기록되지 않도록 지정한 리소스 유형을 제외한 지원되는 모든 리소스 유형에 대한 구성 변경 사항을 EXCLUSION_BY_RESOURCE_TYPES AWS Config 기록합니다resourceTypesExclusionByResourceTypes.

    참고

    필수 및 선택 필드

    --recording-groupallSupported 필드를 true로 설정하는 경우 recordingStrategy 필드는 선택 사항입니다.

    --recording-groupresourceTypes 필드에 리소스 유형을 나열하는 경우 recordingStrategy 필드는 선택 사항입니다.

    exclusionByResourceTypesresourceTypes 필드에서 기록에서 제외할 리소스 유형을 나열하는 경우 recordingStrategy 필드는 필수입니다.

    참고

    필드 재정의

    EXCLUSION_BY_RESOURCE_TYPES를 기록 전략으로 선택하면 exclusionByResourceTypes 필드가 요청의 다른 속성을 재정의합니다.

    예를 들어, falseincludeGlobalResourceTypes로 설정하더라도 글로벌 IAM 리소스 유형은 의 resourceTypes 필드에 예외로 특별히 나열되지 않는 한 이 옵션에 자동으로 기록됩니다exclusionByResourceTypes.

    참고

    글로벌 리소스 유형 및 리소스 제외 기록 전략

    기본적으로 EXCLUSION_BY_RESOURCE_TYPES 레코딩 전략을 선택하면 가 전역 리소스 유형을 포함하여 구성 레코더를 설정한 리전에서 새 리소스 유형에 대한 지원을 AWS Config 추가하면 해당 유형의 리소스가 자동으로 레코딩되기 AWS Config 시작합니다.

    제외로 특별히 나열되지 않는 한 AWS::RDS::GlobalCluster는 구성 레코더가 활성화된 경우 지원되는 모든 AWS Config 리전에 자동으로 기록됩니다.

    IAM 사용자, 그룹, 역할 및 고객 관리형 정책은 구성 레코더를 설정한 리전이 2022년 2월 이전에 AWS Config 사용 가능한 리전인 경우 해당 리전에 기록됩니다. 2022년 2월 AWS Config 이후 에서 지원하는 리전에서는 글로벌 IAM 리소스 유형을 기록할 수 없습니다. 해당 리전 목록은 AWS 리소스 기록 | 글로벌 리소스 섹션을 참조하세요.

    다음은 recordingGroup.json의 요청 구문입니다.

    { 
    "allSupported": boolean,
    "exclusionByResourceTypes": { 
        "resourceTypes": [ Comma-separated list of resource types to exclude ]
    },
    "includeGlobalResourceTypes": boolean,
    "recordingStrategy": { 
        "useOnly": "Recording strategy for the configuration recorder"
    },
    "resourceTypes": [ Comma-separated list of resource types to include]
}
    참고

    AWS Organizations Can Prevent Acceses에 대한 권한 부여 정책

    기존 IAM 역할을 사용하는 경우 가 리소스를 기록할 수 AWS Organizations 있는 권한을 AWS Config 갖지 못하도록 하는 권한 부여 정책이 없는지 확인합니다. 의 권한 부여 정책에 대한 자세한 내용은 AWS Organizations 사용 설명서의 에서 정책 관리를 AWS Organizations AWS Organizations참조하세요.

    IAM 역할을 재사용할 때 최소 권한 유지

    AWS Security Hub 또는 AWS Control Tower AWS Config와 같이 를 사용하는 AWS 서비스를 사용하고 IAM 역할이 이미 생성된 경우 설정 시 사용하는 IAM 역할이 기존 IAM 역할과 동일한 최소 권한을 AWS Config 유지하는지 확인합니다. 다른 AWS 서비스가 예상대로 계속 실행되도록 하려면 이렇게 해야 합니다.

    예를 들어 AWS Control Tower 에 S3 객체를 읽을 AWS Config 수 있는 IAM 역할이 있는 경우 를 설정할 때 사용하는 IAM 역할에 동일한 권한이 부여되었는지 확인합니다 AWS Config. 그렇지 않으면 AWS Control Tower 의 작동 방식을 방해할 수 있습니다.

    참고

    높은 AWS Config 평가 수

    다음 달과 비교했을 때 AWS Config를 사용한 첫 달 기록 중에 계정의 활동이 증가한 것을 확인할 수 있습니다. 초기 부트스트래핑 프로세스 중에 는 사용자가 레코드 AWS Config 하도록 선택한 계정의 모든 리소스에 대한 평가를 AWS Config 실행합니다.

    임시 워크로드를 실행하는 경우 이러한 임시 리소스 생성 및 삭제와 관련된 구성 변경 사항을 기록 AWS Config 하므로 의 활동이 증가할 수 있습니다. 임시 워크로드는 컴퓨팅 리소스를 필요할 때 로드 및 실행하는 일시적 사용입니다. 예를 들어 Amazon Elastic Compute Cloud(Amazon EC2) 스팟 인스턴스, Amazon EMR 작업 및 등이 AWS Auto Scaling있습니다. 활동 증가로 인해 임시 워크로드가 실행되지 않도록 하려면 이러한 리소스 유형이 기록되지 않도록 구성 레코더를 설정하거나 이러한 유형의 워크로드를 꺼 AWS Config 진 상태로 별도의 계정에서 실행하여 구성 기록 및 규칙 평가가 증가하지 않도록 할 수 있습니다.

    참고

    리전 가용성

    추적할 리소스 유형을 지정 AWS Config 하기 전에 리전 가용성별 리소스 범위를 확인하여 를 설정 중인 AWS 리전에서 리소스 유형이 지원되는지 확인합니다 AWS Config. 하나 이상의 리전 AWS Config 에서 에서 리소스 유형이 지원되는 경우, 를 설정하려는 리전에서 AWS Config지정된 리소스 유형이 지원되지 않더라도 에서 지원하는 모든 AWS 리전에서 해당 리소스 유형의 레코딩을 활성화할 수 있습니다 AWS Config.

put-configuration-recorder는 파라미터에 대해 다음 필드를 사용합니다.

  • name - 구성 레코더를 생성할 때 configuration recorder. AWS Config automaticly assigneds name of 'default'입니다.

  • roleARN - 구성 레코더가 맡 AWS Config 아 사용하고 있는 IAM 역할의 Amazon 리소스 이름(ARN)입니다.

  • recordingMode - 가 구성 변경을 기록하는 데 AWS Config 사용하는 기본 기록 빈도를 지정합니다. 는 연속 기록일일 기록을 AWS Config 지원합니다. 지속적인 기록을 사용하면 변경이 발생할 때마다 지속적으로 구성 변경 사항을 기록할 수 있습니다. 일일 기록을 사용하면 이전에 기록된 CI와 다른 경우에만 지난 24시간 동안의 리소스 최신 상태를 나타내는 구성 항목(CI)을 받을 수 있습니다.

    • recordingFrequency - 가 구성 변경을 기록하는 데 AWS Config 사용하는 기본 기록 빈도입니다.

      참고

      AWS Firewall Manager 는 리소스를 모니터링하기 위한 지속적인 레코딩에 따라 달라집니다. Firewall Manager를 사용하는 경우 기록 빈도를 계속으로 설정하는 것이 좋습니다.

    • recordingModeOverrides - 이 필드를 사용하여 기록 모드에 대한 재정의를 지정할 수 있습니다. recordingModeOverride 객체 배열입니다. recordingModeOverrides 배열의 각 recordingModeOverride 객체는 세 개의 필드로 구성됩니다.

      • description - 재정의에 제공하는 설명입니다.

      • recordingFrequency - 재정의에 지정된 모든 리소스 유형에 적용되는 기록 빈도입니다.

      • resourceTypes – 재정의에 AWS Config 포함할 리소스 유형을 지정하는 쉼표로 구분된 목록입니다.

참고

필수 및 선택 필드

put-configuration-recorder에 대한 recordingMode 필드는 선택 사항입니다. 기본적으로 구성 레코더의 기록 빈도는 지속적인 기록으로 설정됩니다.

참고

Limits

다음과 같은 리소스 유형에는 일일 기록이 지원되지 않습니다.

  • AWS::Config::ResourceCompliance

  • AWS::Config::ConformancePackCompliance

  • AWS::Config::ConfigurationRecorder

현재 및 향후에 지원되는 모든 리소스 유형 기록(ALL_SUPPORTED_RESOURCE_TYPES) 기록 전략의 경우 이러한 리소스 유형이 지속적인 기록으로 설정됩니다.

configurationRecorder.json 파일은 구성 레코더()의 기본 레코딩 빈도nameroleArn와 및 를 지정합니다recordingMode. 이 필드를 사용하여 특정 리소스 유형의 기록 빈도를 재정의할 수도 있습니다.

{
  "name": "default",
  "roleARN": "arn:aws:iam::123456789012:role/config-role",
  "recordingMode": {
    "recordingFrequency": CONTINUOUS or DAILY,
    "recordingModeOverrides": [ 
        { 
            "description": "Description you provide for the override",
            "recordingFrequency": CONTINUOUS or DAILY,
            "resourceTypes": [ Comma-separated list of resource types to include in the override ]
        }
    ]
  }
}

2단계: 명령 실행 put-delivery-channel

다음 코드 예제는 PutDeliveryChannel의 사용 방법을 보여 줍니다.

CLI
AWS CLI

전송 채널을 생성하려면

다음 명령은 전송 채널에 대한 설정을 JSON 코드로 제공합니다.

aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

deliveryChannel.json 파일은 전송 채널 속성을 지정합니다.

{
    "name": "default",
    "s3BucketName": "config-bucket-123456789012",
    "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
    "configSnapshotDeliveryProperties": {
        "deliveryFrequency": "Twelve_Hours"
    }
}

이 예에서는 다음 속성을 설정합니다.

name - 전송 채널의 이름입니다. 기본적으로 AWS Config는 default 새 전송 채널에 이름을 할당합니다. put-delivery-channel 명령을 사용하여 전송 채널 이름을 업데이트할 수 없습니다. 이름을 변경하는 단계는 전송 채널 이름 바꾸기를 참조하세요.s3BucketName - AWS Config가 구성 스냅샷 및 구성 기록 파일을 전달하는 Amazon S3 버킷의 이름입니다. 다른 AWS 계정에 속하는 버킷을 지정하는 경우 해당 버킷에는 AWS Config에 액세스 권한을 부여하는 정책이 있어야 합니다. 자세한 내용을 알아보려면 Amazon S3 버킷에 대한 권한을 참조하세요.

snsTopicARN - AWS Config가 구성 변경에 대한 알림을 보내는 Amazon SNS 주제의 Amazon 리소스 이름(ARN)입니다. 다른 계정에서 주제를 선택하는 경우 주제에 AWS Config에 액세스 권한을 부여하는 정책이 있어야 합니다. 자세한 내용은 Amazon SNS 주제에 대한 권한을 참조하세요.

configSnapshotDeliveryProperties - AWS Config가 구성 스냅샷을 전송하는 빈도와 주기적 Config 규칙에 대한 평가를 호출하는 빈도를 설정하는 deliveryFrequency 속성을 포함합니다.

명령이 성공하면 AWS Config는 출력을 반환하지 않습니다. 전송 채널의 설정을 확인하려면 명령을 실행합니다 describe-delivery-channels.

  • 자세한 API 내용은 명령 참조PutDeliveryChannel의 섹션을 참조하세요. AWS CLI

PowerShell
용 도구 PowerShell

예제 1: 이 예제는 기존 전송 채널의 deliveryFrequency 속성을 변경합니다.

Write-CFGDeliveryChannel -ConfigSnapshotDeliveryProperties_DeliveryFrequency TwentyFour_Hours -DeliveryChannelName default -DeliveryChannel_S3BucketName amzn-s3-demo-bucket -DeliveryChannel_S3KeyPrefix my

  • 자세한 API 내용은 Cmdlet 참조PutDeliveryChannel의 섹션을 참조하세요. AWS Tools for PowerShell

3단계: 명령 실행 start-configuration-recorder

의 켜기를 완료하려면 start-configuration-recorder 명령을 AWS Config사용합니다.

$ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName