Recording AWS 리소스

AWS Config 지원되는 리소스 유형이 생성, 변경 또는 삭제되는 시기를 지속적으로 감지합니다. AWS Config 이러한 이벤트를 구성 항목 (CIs) 으로 기록합니다. 사용자 지정할 수 있습니다. AWS Config 지원되는 모든 리소스 유형에 대한 구성 변경 사항을 기록하거나 자신과 관련된 지원 리소스 유형만 기록할 수 있습니다. 지원되는 리소스 유형 목록은 다음과 같습니다. AWS Config 기록할 수 있습니다. 를 참조하십시오지원되는 리소스 유형.

주제

• 고려 사항
• 리전 리소스와 글로벌 리소스의 차이점
• AWS Config 규칙 및 글로벌 리소스 유형
• 기록되지 않은 리소스
• 레코딩 리소스는 에 있습니다. AWS Config 콘솔
• 를 사용하여 리소스를 녹음하십시오. AWS CLI
• 기록 빈도
• 레코딩에서 리소스 제외
• 리소스 기록 중지

고려 사항

높은 개수 AWS Config 평가:

다음과 같이 기록하는 첫 달 동안 계정 활동이 증가한 것을 확인할 수 있습니다. AWS 다음 달과 비교할 때 Config를 설정합니다. 초기 부트스트래핑 프로세스 중에 AWS Config 선택한 계정의 모든 리소스에 대해 평가를 실행합니다. AWS Config 기록하기.

일시적 워크로드를 실행 중인 경우 다음과 같은 활동이 증가할 수 있습니다. AWS Config 이러한 임시 리소스의 생성 및 삭제와 관련된 구성 변경 사항을 기록하기 때문입니다. 임시 워크로드는 컴퓨팅 리소스를 필요할 때 로드 및 실행하는 일시적 사용입니다. Amazon Elastic Compute Cloud (AmazonEC2) 스팟 인스턴스, Amazon EMR 작업 등을 예로 들 수 있습니다. AWS Auto Scaling. 일시적 워크로드 실행으로 인한 증가된 활동을 방지하려면 이러한 리소스 유형을 기록에서 제외하도록 구성 레코더를 설정하거나 다음과 같은 별도의 계정에서 이러한 유형의 워크로드를 실행할 수 있습니다. AWS Config 구성 기록 및 규칙 평가가 증가하지 않도록 하려면 전원을 끄십시오.

리전 가용성

에 대한 리소스 유형을 지정하기 전에 AWS Config 추적하려면 지역별 리소스 커버리지 가용성을 확인하여 해당 리소스 유형이 해당 지역에서 지원되는지 확인하세요. AWS 설정한 지역 AWS Config. 에서 리소스 유형을 지원하는 경우 AWS Config 하나 이상의 지역에서 지원되는 모든 지역에서 해당 리소스 유형의 기록을 활성화할 수 있습니다. AWS Config, 지정된 리소스 유형이 다음에서 지원되지 않는 경우에도 마찬가지입니다. AWS 설정한 지역 AWS Config.

리전 리소스와 글로벌 리소스의 차이점

리전 리소스

리전 리소스는 한 리전에 한정되어 있으며 해당 리전에서만 사용할 수 있습니다. 지정된 장소에서 생성합니다. AWS 리전그러면 해당 지역에 존재합니다. 이러한 리소스를 보거나 해당 리소스와 상호 작용하려면 해당 리전으로 작업을 지시해야 합니다. 예를 들어 다음을 사용하여 Amazon EC2 인스턴스를 만들려면 AWS Management Console, 다음을 선택합니다. AWS 리전인스턴스를 만들려는 대상. 를 사용하는 경우 AWS Command Line Interface (AWS CLI) 를 사용하여 인스턴스를 만든 다음 --region 파라미터를 포함합니다. The AWS SDKs각 시스템에는 작업에서 사용하는 지역을 지정하는 고유한 동일한 메커니즘이 있습니다.

리전 리소스를 사용하는 데에는 여러 가지 이유가 있습니다. 한 가지 이유는 리소스와 리소스 액세스에 사용하는 서비스 엔드포인트가 고객과 가능한 한 가까운 곳에 위치하도록 보장하는 것입니다. 그러면 지연 시간이 최소화되어 성능이 향상됩니다. 또 다른 이유는 격리 경계를 제공하기 위해서입니다. 이를 통해 리소스의 독립적인 복사본을 여러 리전에 생성하여 부하를 분산하고 확장성을 개선할 수 있습니다. 동시에 리소스를 서로 분리하여 가용성을 높일 수 있습니다.

다르게 지정하는 경우 AWS 리전 콘솔 또는 콘솔에서 AWS CLI 명령을 실행하면 이전 지역에서 볼 수 있었던 리소스를 더 이상 보거나 상호 작용할 수 없습니다.

지역 리소스의 Amazon 리소스 이름 (ARN) 을 보면 리소스가 포함된 지역이 의 네 번째 필드로 지정됩니다ARN. 예를 들어 Amazon EC2 인스턴스는 지역 리소스입니다. 다음은 us-east-1 지역에 존재하는 Amazon ARN EC2 인스턴스의 예입니다.

arn:aws:ec2:us-east-1:123456789012:instance/i-0a6f30921424d3eee

글로벌 리소스

약간 AWS 서비스 리소스는 글로벌 리소스이므로 어디서나 리소스를 사용할 수 있습니다. 는 지정하지 않습니다. AWS 리전 글로벌 서비스 콘솔에서. 글로벌 리소스에 액세스하려면 서비스를 사용할 때 --region 파라미터를 지정하지 마세요. AWS CLI 그리고 AWS SDK작업.

글로벌 리소스는 특정 리소스의 인스턴스가 한 번에 하나만 있어야 하는 경우를 지원합니다. 이러한 경우 서로 다른 리전에 있는 복사본 간 복제 또는 동기화는 바람직하지 않습니다. 단일 글로벌 엔드포인트에 액세스하는 것은 지연 시간이 늘어날 수는 있지만, 모든 변경 사항을 리소스 소비자에게 즉시 표시할 수 있다는 점에서 허용 가능한 것으로 간주됩니다.

예를 들어 Amazon Aurora 글로벌 클러스터(AWS::RDS::GlobalCluster)는 글로벌 리소스이므로 특정 리전에 연결되지 않습니다. 즉, 리전 엔드포인트에 의존하지 않고도 글로벌 클러스터를 생성할 수 있습니다. Amazon Relational Database Service (RDSAmazon) 자체는 지역별로 구성되어 있지만 글로벌 클러스터가 시작된 특정 지역은 글로벌 클러스터에 영향을 미치지 않는다는 이점이 있습니다. 따라서 모든 리전에서 하나의 연속적인 글로벌 네트워크로 나타납니다.

글로벌 리소스의 Amazon 리소스 이름 (ARN) 에는 지역이 포함되지 않습니다. 네 번째 필드는 비어 있습니다 (예: 글로벌 클러스터의 다음 예시ARN).

arn:aws:rds::123456789012:global-cluster:test-global-cluster

중요

온보딩된 글로벌 리소스 유형 AWS Config 2022년 2월 이후에는 상업용 파티션에 대한 서비스의 홈 지역에만 기록되며, AWS GovCloud GovCloud 파티션의 경우 (미국 서부) 이러한 새 글로벌 리소스 유형의 구성 항목 (CIs) 은 해당 홈 지역에서만 볼 수 있습니다. AWS GovCloud (미국 서부).

2022년 2월 이전에 온보딩된 글로벌 리소스 유형(AWS::IAM::Group, AWS::IAM::Policy, AWS::IAM::Role, AWS::IAM::User)은 변경되지 않습니다. 다음과 같은 모든 지역에서 이러한 글로벌 IAM 리소스 기록을 활성화할 수 있습니다. AWS Config 2022년 2월 이전에 지원되었습니다. 에서 지원하는 지역에는 이러한 글로벌 IAM 리소스를 기록할 수 없습니다. AWS Config 2022년 2월 이후

글로벌 리소스 유형 | IAM 리소스

다음 IAM 리소스 유형은 글로벌 리소스입니다: IAM 사용자, 그룹, 역할, 고객 관리형 정책. 이러한 리소스 유형은 다음과 같이 기록할 수 있습니다. AWS Config 다음과 같은 지역에서 AWS Config 2022년 2월 이전에 사용할 수 있었습니다. 글로벌 IAM 리소스 유형을 기록할 수 없는 이 목록에는 아시아 태평양 (하이데라바드), 아시아 태평양 (말레이시아), 아시아 태평양 (멜버른), 캐나다 서부 (캘거리), 유럽 (스페인), 유럽 (취리히), 이스라엘 (텔아비브), 중동 () 지역이 포함됩니다. UAE

구성 항목 (CIs) 이 중복되지 않도록 하려면 글로벌 IAM 리소스 유형을 지원되는 지역 중 하나에 한 번만 기록하는 것이 좋습니다. 이렇게 하면 불필요한 평가 및 병목 현상을 방지하는 데도 도움이 됩니다. API

글로벌 리소스 유형 | 홈 리전만 해당

다음 서비스에 대한 글로벌 리소스는 다음을 통해서만 기록됩니다. AWS Config 글로벌 리소스 유형의 홈 지역: Amazon Elastic 컨테이너 레지스트리 퍼블릭, AWS Global Accelerator, 아마존 루트 53, 아마존 CloudFront, AWS WAF. 이러한 글로벌 리소스의 경우 리소스 유형의 동일한 인스턴스를 여러 리소스에서 사용할 수 있습니다. AWS 지역이지만 구성 항목 (CIs) 은 상용 파티션의 홈 지역에만 기록됩니다. AWS GovCloud (미국 서부) 의 경우 AWS GovCloud (US) 파티션.

글로벌 리소스 유형의 홈 리전
AWS Service	리소스 유형 값	홈 리전
Amazon Elastic Container Registry Public	AWS::ECR::PublicRepository	미국 동부(버지니아 북부) 리전
AWS Global Accelerator	AWS::GlobalAccelerator::Listener	US West (Oregon) Region
	AWS::GlobalAccelerator::EndpointGroup	US West (Oregon) Region
	AWS::GlobalAccelerator::Accelerator	US West (Oregon) Region
Amazon Route 53	AWS::Route53::HostedZone	미국 동부(버지니아 북부) 리전
	AWS::Route53::HealthCheck	미국 동부(버지니아 북부) 리전
아마존 CloudFront	AWS::CloudFront::Distribution	미국 동부(버지니아 북부) 리전
AWS WAF	AWS::WAFv2::WebACL	미국 동부(버지니아 북부) 리전

글로벌 리소스 유형 | Aurora 글로벌 클러스터

AWS::RDS::GlobalCluster지원되는 모든 항목에 기록되는 글로벌 리소스입니다. AWS Config 구성 레코더가 활성화된 지역. 이 글로벌 리소스 유형은 한 지역에서 이 리소스의 기록을 활성화할 경우 다음과 같은 점에서 고유합니다. AWS Config 활성화된 모든 지역에서 이 리소스 유형에 대한 구성 항목 (CIs) 을 기록합니다.

활성화된 모든 AWS::RDS::GlobalCluster 지역에서 녹화하지 않으려면 다음 기록 전략 중 하나를 사용하여 다음을 수행하십시오. AWS Config 콘솔:

• 사용자 지정 가능한 오버라이드로 모든 리소스 유형을 기록하고 선택하십시오.”AWS RDS GlobalCluster“를 선택하고 “레코딩에서 제외” 오버라이드를 선택합니다.

• 특정 리소스 유형을 기록.

활성화된 모든 AWS::RDS::GlobalCluster 지역에서 녹화하지 않으려면 다음 녹화 전략 중 하나를 API CLI /에 사용하십시오.

• 제외 항목 이외의 모든 현재 및 향후 리소스 유형을 기록(EXCLUSION_BY_RESOURCE_TYPES)

• 특정 리소스 유형을 기록(INCLUSION_BY_RESOURCE_TYPES).

AWS Config 규칙 및 글로벌 리소스 유형

2022년 2월 이전에 등록한 글로벌 IAM 리소스 유형 (AWS::IAM::Group, AWS::IAM::PolicyAWS::IAM::Role, 및AWS::IAM::User) 은 다음에서만 기록할 수 있습니다. AWS Config 다음과 같은 지역에서 AWS Config 2022년 2월 이전에 사용할 수 있었습니다. 에서 지원하는 지역에는 이러한 글로벌 IAM 리소스 유형을 기록할 수 없습니다. AWS Config 2022년 2월 이후. 해당 지역 목록은 녹화를 참조하십시오. AWS 리소스 | 글로벌 리소스.

하나 이상의 지역에 글로벌 IAM 리소스 유형을 기록하는 경우, 글로벌 IAM 리소스 유형에 대한 규정 준수를 보고하는 정기 규칙은 정기 규칙이 추가된 지역에서 글로벌 리소스 유형 기록을 활성화하지 않았더라도 해당 주기적 규칙이 추가된 모든 지역에서 평가를 실행합니다. IAM

2022년 2월 이전에 등록된 글로벌 리소스에 대한 규정 준수 보고 모범 사례

불필요한 평가를 피하려면 배포만 해야 합니다. AWS Config 이러한 글로벌 리소스를 포함하는 규칙 및 규정 준수 팩은 지원되는 지역 중 하나로 제한됩니다. 어떤 지역에서 어떤 관리형 규칙이 지원되는지에 대한 목록은 다음 목록을 참조하십시오. AWS Config 지역별 관리형 규칙 사용 가능 여부. 이는 다음에 적용됩니다. AWS Config 규칙, 조직 AWS Config 규칙 및 다른 사람이 생성한 규칙 AWS 다음과 같은 서비스 AWS Security Hub 그리고 AWS Control Tower.

2022년 2월 이전에 온보딩된 글로벌 리소스 유형을 기록하지 않는 경우, 불필요한 평가가 발생하지 않도록 다음 주기적 규칙을 활성화하지 않는 것이 좋습니다.

• access-keys-rotated

• account-part-of-organizations

• iam-password-policy

• iam-policy-in-use

• iam-root-access-key-체크

• iam-user-mfa-enabled

• iam-user-unused-credentials-체크

• mfa-enabled-for-iam-콘솔 액세스

• root-account-hardware-mfa-활성화됨

• root-account-mfa-enabled

2022년 2월 이후 합류한 글로벌 리소스에 대한 규정 준수 보고 모범 사례

온보딩된 글로벌 리소스 유형 AWS Config 2022년 2월 이후의 녹화는 상업용 파티션의 경우 서비스의 홈 지역에만 녹화됩니다. AWS GovCloud (미국 서부) 의 경우 AWS GovCloud (US) 파티션. 배포해야 합니다. AWS Config 이러한 글로벌 리소스가 포함된 규칙 및 준수 팩은 리소스 유형의 홈 지역에만 적용됩니다. 자세한 내용은 글로벌 리소스 유형의 홈 지역을 참조하십시오.

기록되지 않은 리소스

리소스가 기록되지 않은 경우, AWS Config 해당 리소스의 생성 및 삭제만 캡처하고 기타 세부 정보는 캡처하지 않으며 무료로 캡처합니다. 기록되지 않은 리소스가 생성되거나 삭제된 경우 AWS Config 알림을 보내고 리소스 세부 정보 페이지에 이벤트를 표시합니다. 기록되지 않는 리소스의 세부 정보 페이지는 대부분의 구성 세부 정보에 대해 null 값을 표시하며, 관계 및 구성 변경에 대한 정보는 제공하지 않습니다.

참고

AWS::IAM::User, AWS::IAM::Policy, AWS::IAM::Group, AWS::IAM::Role 리소스 유형은 리소스가 구성 레코더에서 기록할 리소스로 선택되어 있거나 이전에 선택된 경우에만 생성(ResourceNotRecorded) 및 삭제(ResourceDeletedNotRecorded) 상태를 캡처합니다.

참고

구성 항목 (CIs) 은 리소스 유형의 일반적인 기록 시간을 따르거나 따르지 ResourceDeletedNotRecorded 않습니다. ResourceNotRecorded 이러한 리소스 유형은 구성 레코더의 주기적 기준 설정 프로세스 중에만 기록되며, 이 빈도는 다른 리소스 유형에 비해 빈도가 낮습니다.

관계 정보는 다음과 같습니다. AWS Config 기록되지 않은 리소스의 데이터 누락으로 인해 기록된 리소스를 제공하는 데 제한이 없습니다. 기록된 리소스가 기록되지 않은 리소스와 관련이 있는 경우, 기록된 리소스의 세부 정보 페이지에 해당 관계가 제공됩니다.