AWS Config 작동 원리 - AWS Config

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Config 작동 원리

AWS Config AWS 계정의 AWS 리소스 구성을 자세히 볼 수 있습니다. 이러한 보기에는 리소스 간에 어떤 관계가 있는지와 리소스가 과거에 어떻게 구성되었는지도 포함되므로, 시간이 지나면서 구성과 관계가 어떻게 변하는지 확인할 수 있습니다.

AWS 리소스란 Amazon Elastic Compute Cloud (EC2) 인스턴스 AWS, 아마존 엘라스틱 블록 스토어 (EBS) 볼륨, 보안 그룹 또는 아마존 가상 사설 클라우드 (VPC) 와 같이 작업할 수 있는 엔티티입니다. 에서 지원하는 AWS Config전체 AWS 리소스 목록은 을 참조하십시오. 지원되는 리소스 유형

이미지는 작동 방식에 AWS Config 대한 높은 수준의 개요를 보여줍니다. 다양한 AWS 리소스에서 Amazon S3 버킷으로 AWS Config구성 데이터를 저장하는 정보 흐름을 보여 줍니다. 이 프로세스에는 구성 레코더, AWS Config 규칙 및 전송 채널이 포함됩니다. 목표는 AWS 환경 내의 리소스 구성을 추적하고 관리하는 것입니다.

리소스 검색

AWS Config켜면 먼저 계정에 있는 지원되는 AWS 리소스를 검색하고 각 리소스에 대한 구성 항목을 생성합니다.

AWS Config 또한 리소스 구성이 변경될 때 구성 항목을 생성하고 구성 레코더를 시작한 시점부터 리소스의 구성 항목에 대한 기록 기록을 유지합니다. 기본적으로 은 해당 지역에서 지원되는 모든 리소스에 대한 구성 항목을 AWS Config 생성합니다. 지원되는 모든 리소스에 대한 구성 항목을 만들지 않으려면 추적하려는 리소스 유형을 지정할 수 있습니다. AWS Config

AWS Config 추적할 리소스 유형을 지정하기 전에 지역별 리소스 커버리지를 확인하여 설정 중인 AWS 지역에서 리소스 유형이 지원되는지 확인하세요 AWS Config. 하나 이상의 지역에서 특정 리소스 유형을 지원하는 경우, 설정하려는 지역에서 지정된 리소스 유형이 지원되지 않더라도 에서 지원하는 모든 지역에서 AWS 해당 리소스 유형의 기록을 활성화할 수 AWS Config있습니다. AWS Config AWS Config

리소스 추적

AWS Config 계정의 각 리소스에 대해 Describe 또는 List API 호출을 호출하여 리소스의 모든 변경 사항을 추적합니다. 이 서비스는 동일한 API 호출을 사용하여 모든 관련 리소스의 구성 세부 정보를 캡처합니다.

예를 들어 VPC 보안 그룹에서 이그레스 규칙을 제거하면 보안 그룹에서 AWS Config Describe API 호출이 호출됩니다. AWS Config 그런 다음 보안 그룹과 연결된 모든 인스턴스에서 Describe API 호출을 호출합니다. 보안 그룹(리소스) 및 각 인스턴스(관련 리소스)의 업데이트된 구성은 구성 항목으로 기록되어 Amazon Simple Storage Service(S3) 버킷에 구성 스트림으로 전달됩니다.

AWS Config 또한 API에서 시작하지 않은 구성 변경 사항도 추적합니다. AWS Config 리소스 구성을 정기적으로 검사하고 변경된 구성에 대한 구성 항목을 생성합니다.

AWS Config 규칙을 사용하는 경우 는 AWS 리소스 구성을 AWS Config 지속적으로 평가하여 원하는 설정을 확인합니다. 규칙에 따라 구성 변경에 AWS Config 따라 또는 정기적으로 리소스를 평가합니다. 각 규칙은 이 규칙에 대한 평가 논리가 포함된 AWS Lambda 함수와 연결되어 있습니다. 리소스를 AWS Config 평가할 때 규칙의 AWS Lambda 함수를 호출합니다. 이 함수는 평가된 리소스의 준수 상태를 반환합니다. 리소스가 규칙 조건을 위반하는 경우 해당 리소스와 규칙을 준수하지 않는 것으로 AWS Config 플래그를 지정합니다. 리소스의 규정 준수 상태가 변경되면 Amazon SNS 주제에 알림을 AWS Config 보냅니다.

구성 항목 전달

AWS Config 다음 채널 중 하나를 통해 구성 항목을 전달할 수 있습니다.

Amazon S3 버킷

AWS Config AWS 리소스 구성의 변경 사항을 추적하고 업데이트된 구성 세부 정보를 지정한 Amazon S3 버킷으로 정기적으로 전송합니다. AWS Config 기록하는 각 리소스 유형에 대해 6시간마다 구성 기록 파일을 전송합니다. 각 구성 기록 파일에는 6시간 동안 변경된 리소스에 대한 세부 정보가 포함되어 있습니다. 각 파일에는 한 가지 유형의 리소스(예: Amazon EC2 인스턴스 또는 Amazon EBS 볼륨)가 포함되어 있습니다. 구성 변경이 없는 경우 파일을 전송하지 AWS Config 않습니다.

AWS Config AWS CLI에서 deliver-config-snapshot 명령을 사용하거나 API와 함께 스냅샷 작업을 사용할 때 Amazon S3 버킷으로 구성 스냅샷을 보냅니다. DeliverConfig AWS Config 구성 스냅샷에는 에 기록되는 모든 리소스에 대한 구성 세부 정보가 포함됩니다. AWS Config AWS 계정구성 기록 파일과 구성 스냅샷은 JSON 형식입니다.

참고

AWS Config 구성 기록 파일 및 구성 스냅샷을 지정된 S3 버킷에만 전송하고, S3 버킷의 객체에 대한 수명 주기 정책은 수정하지 AWS Config 않습니다. 수명 주기 정책을 사용하여 객체를 삭제할지 Amazon S3 Glacier에 보관할지 지정할 수 있습니다. 자세한 내용은 Amazon Simple Storage Service 사용 설명서수명 주기 구성 관리를 참조하세요. 또한 S3 Glacier에 Amazon S3 데이터 보관 블로그 게시물을 참조하세요.

Amazon SNS 주제

Amazon Simple Notification Service(SNS) 주제는 Amazon SNS가 이메일 주소 또는 클라이언트와 같은 구독 엔드포인트에 메시지(또는 알림)를 전송하는 데 사용하는 커뮤니케이션 채널입니다. 다른 유형의 Amazon SNS 알림에는 휴대폰 앱에 전송되는 푸시 알림 메시지, SMS 수신 가능한 휴대폰 및 스마트폰에 전송되는 SMS(문자 서비스) 알림, HTTP POST 요청 등이 있습니다. 최상의 결과를 얻으려면 Amazon SQS를 SNS 주제의 알림 엔드포인트로 사용한 다음 알림의 정보를 프로그래밍 방식으로 처리합니다.

AWS Config 는 알림을 전송하기 위해 지정한 Amazon SNS 주제를 사용합니다. 수신하는 알림 유형은 다음 예와 같이 메시지 본문에서 messageType 키의 값으로 표시됩니다.

"messageType": "ConfigurationHistoryDeliveryCompleted"

알림은 다음 메시지 유형 중 하나일 수 있습니다.

메시지 유형 설명
ComplianceChange알림 AWS Config 평가하는 리소스의 규정 준수 유형이 변경되었습니다. 규정 준수 유형은 리소스가 특정 AWS Config 규칙을 준수하는지 여부를 나타내며 메시지의 ComplianceType 키로 표시됩니다. 이 메시지에는 비교를 위해 newEvaluationResultoldEvaluationResult 객체가 포함되어 있습니다.
ConfigRulesEvaluationStarted AWS Config 지정된 리소스에 대해 규칙 평가를 시작했습니다.
ConfigurationSnapshotDeliveryStarted AWS Config Amazon S3 버킷에 구성 스냅샷을 전송하기 시작했습니다. Amazon S3 버킷의 이름은 메시지에서 s3Bucket 키에 제공됩니다.
ConfigurationSnapshotDeliveryCompleted AWS Config Amazon S3 버킷에 구성 스냅샷을 성공적으로 전송했습니다.
ConfigurationSnapshotDeliveryFailed AWS Config Amazon S3 버킷으로 구성 스냅샷을 전송하지 못했습니다.
ConfigurationHistoryDeliveryCompleted AWS Config Amazon S3 버킷에 구성 기록을 성공적으로 전송했습니다.
ConfigurationItemChangeNotification 리소스가 구성에서 생성, 삭제 또는 변경되었습니다. 이 메시지에는 이 변경을 위해 AWS Config 생성한 구성 항목의 세부 정보가 포함되며, 여기에는 변경 유형도 포함됩니다. 이러한 알림은 변경 후 몇 분 이내에 전달되며, 구성 스트림이라고 통칭합니다.
OversizedConfigurationItemChange알림 구성 항목 변경 알림이 Amazon SNS에서 허용하는 최대 크기를 초과한 경우 이 메시지 유형이 전달됩니다. 이 메시지에는 구성 항목의 요약이 포함됩니다. SMS 메시지를 제외한 Amazon SNS 메시지는 XML, JSON 및 형식이 지정되지 않은 텍스트를 포함하여 최대 256KB의 텍스트 데이터를 포함할 수 있습니다. 지정한 Amazon S3 버킷 위치에서 완료 알림을 볼 수 있습니다.
OversizedConfigurationItemChangeDeliveryFailed AWS Config 크기가 큰 구성 항목 변경 알림을 Amazon S3 버킷으로 전송하지 못했습니다.

알림 예는 다음과 같은 알림 AWS Config Amazon SNS 주제로 전송 문서를 참조하세요. Amazon SNS에 대한 자세한 내용은 Amazon Simple Notification Service 개발자 안내서를 참조하세요.

참고

최신 구성 변경 사항을 볼 수 없는 이유는 무엇입니까?

AWS Config 일반적으로 변경이 감지된 직후 또는 지정한 빈도에 따라 리소스에 구성 변경 사항을 기록합니다. 하지만 이는 최선의 노력을 위한 것이며 때때로 더 오래 걸릴 수 있습니다. 일정 시간이 지나도 문제가 지속되면 Amazon에서 지원하는 AWS Config 메트릭에 AWS Support문의하여 제공하십시오. CloudWatch 이러한 지표에 대한 자세한 내용은 AWS Config 사용 및 성공 지표를 참조하십시오.

액세스 제어: AWS Config

AWS Identity and Access Management Amazon Web Services (AWS) 고객이 사용자 및 사용자 권한을 관리할 수 있도록 하는 웹 서비스입니다.

액세스 권한을 제공하려면 사용자, 그룹 또는 역할에 권한을 추가하세요:

  • 대상 사용자 및 그룹 AWS IAM Identity Center:

    권한 세트를 생성합니다. AWS IAM Identity Center 사용 설명서권한 세트 생성의 지침을 따르십시오.

  • 보안 인증 공급자를 통해 IAM에서 관리되는 사용자:

    ID 페더레이션을 위한 역할을 생성합니다. IAM 사용 설명서서드 파티 자격 증명 공급자의 역할 만들기(연합)의 지침을 따르십시오.

  • IAM 사용자:

    • 사용자가 맡을 수 있는 역할을 생성합니다. IAM 사용 설명서에서 IAM 사용자의 역할 생성의 지침을 따르십시오.

    • (권장되지 않음)정책을 사용자에게 직접 연결하거나 사용자를 사용자 그룹에 추가합니다. IAM 사용 설명서에서 사용자(콘솔)에 권한 추가의 지침을 따르십시오.