구성 레코더 작업

구성 레코더는 범위 내 리소스 유형에 대한 구성 변경 사항을 구성 항목(CIs)으로 저장합니다.

구성 레코더에는 두 가지 유형이 있습니다.

유형	설명
고객 관리형 구성 레코더	관리한 구성 레코더입니다. 범위의 리소스 유형은 사용자가 설정합니다. 기본적으로 고객 관리형 구성 레코더는 AWS Config 이 실행되는 AWS 리전 에서 지원되는 모든 리소스를 기록합니다.
서비스 연결 구성 레코더	특정에 연결된 구성 레코더입니다 AWS 서비스. 범위의 리소스 유형은 연결된 서비스에 의해 설정됩니다.

주제

• 고객 관리형 구성 레코더에 대한 고려 사항

• 서비스 연결 구성 레코더에 대한 고려 사항

• 구성 레코더에 대한 드리프트 감지

• 고객 관리형 구성 레코더 시작

• 고객 관리형 구성 레코더 중지

• 고객 관리형 구성 레코더의 레코딩 빈도 변경

• 고객 관리형 구성 레코더 이름 바꾸기

• 구성 레코더 보기

• 구성 레코더 삭제

고객 관리형 구성 레코더에 대한 고려 사항

리전별 계정당 고객 관리형 구성 레코더 1개

각에 대해 하나의 고객 관리형 구성 레코더만 가질 수 AWS 계정 있습니다 AWS 리전.

기본값은 글로벌 IAM 리소스 유형을 제외한 지원되는 모든 리소스 유형을 기록하는 것입니다.

고객 관리형 구성 레코더의 기본값은 , AWS::IAM::Group, AWS::IAM::Policy AWS::IAM::Role및 글로벌 IAM 리소스 유형을 제외하고 지원되는 모든 리소스 유형을 기록하는 것입니다. 기록에서 포함하거나 제외할 리소스 유형을 지정할 AWS::IAM::User 수 있습니다.

자세한 내용은 를 사용하여 AWS 리소스 기록 AWS Config 단원을 참조하십시오.

고객 관리형 구성 레코더 사용에 대한 서비스 사용 요금이 청구됩니다.

가 고객 관리형 구성 레코더로 구성 기록을 AWS Config 시작하면 서비스 사용 요금이 부과됩니다.

요금 정보는 AWS Config 요금을 참조하세요.

AWS Systems Manager 를 사용하여 조직 전체에서 고객 관리형 구성 레코더 생성

AWS Systems Manager 빠른 설정을 사용하여 여러 조직 단위(OUs)에서 모범 AWS 사례를 AWS 리전 사용하여 고객 관리형 구성 레코더를 생성할 수 있습니다.

자세한 내용은 Systems Manager 사용 설명서의 빠른 설정을 사용하여 AWS Config 구성 레코더 생성을 참조하세요.

중요

정책 및 규정 준수 결과

에서 관리되는 IAM 정책 및 기타 정책은 AWS Config 에 리소스에 대한 구성 변경을 기록할 권한이 있는지 여부에 영향을 미칠 수 있습니다. AWS Organizations 또한 규칙은 리소스의 구성을 직접 평가하며, 규칙은 평가를 실행할 때 이러한 정책을 고려하지 않습니다. 적용 중인 정책이 사용 의도와 일치하는지 확인합니다 AWS Config.

구성 레코더가 꺼져 있으면 삭제된 리소스에 대한 오래된 평가 결과가 지속될 수 있습니다.

고객 관리형 구성 레코더가 꺼져 있으면 삭제를 포함하여 지정한 리소스의 구성에 대한 변경 사항을 추적하는 AWS Config Config의 기능이 비활성화됩니다. 즉, 고객 관리형 구성 레코더가 꺼져 있을 때 삭제되는 리소스에 대한 오래된 평가 결과가 표시될 수 있습니다. 레코딩이 켜져 있지 않으면가 삭제 이벤트를 캡처 AWS Config 할 수 없기 때문입니다.

서비스 연결 구성 레코더에 대한 고려 사항

AWS Config 서비스 연결 역할을 사용해야 합니다.

AWS Config 서비스 연결 구성 레코더에는 서비스 연결 역할이 필요합니다.

자세한 내용은 AWS Config에 대한 서비스 연결 역할 사용을 참조하십시오.

서비스 연결 구성 레코더가 항상 기록됨

서비스 연결 구성 레코더에 대한 레코딩을 중지하거나 시작할 수 없습니다. 기록을 중지하려면 서비스 연결 구성 레코더를 삭제해야 합니다.

자세한 내용은 구성 레코더 삭제를 참조하세요.

기록 범위에 따라 구성 항목의 수신 여부가 결정됩니다.

기록 범위는 구성 레코더에 연결된 서비스에 의해 설정되며 전송 채널에서 구성 항목(CIs)을 수신할지 여부를 결정합니다. 기록 범위가 내부인 경우 전송 채널에서 CIs를 수신하지 않습니다.

기록 범위에 따라 서비스 요금이 부과되는지 여부가 결정됩니다.

기록 범위는 구성 레코더에 연결된 서비스에 의해 설정되며, 범위에 있는 구성 항목(CIs 무료로 기록되는지(내부) 또는 청구 비용(PAID)에 영향을 미치는지 여부를 결정합니다.

구성 레코더에 대한 드리프트 감지

AWS::Config::ConfigurationRecorder 리소스 유형은 구성 레코더의 상태에 대한 모든 변경 사항을 추적하는 구성 레코더의 구성 항목(CI)입니다. 이 CI를 사용하여 구성 레코더의 상태가 이전 상태와 다른지, 즉 드리프트되었는지 확인할 수 있습니다.

예를 들어 이 CI는 AWS Config 가 추적하도록 설정한 리소스 유형에 대한 업데이트가 있는지, 구성 레코더를 중지 또는 시작했는지, 구성 레코더를 삭제 또는 제거했는지 추적합니다. 드리프트된 구성 레코더는 의도한 리소스 유형의 변경 사항을 정확하게 감지하지 못한다는 것을 나타냅니다. 구성 레코더가 드리프트된 경우 이로 인해 거짓 부정 또는 거짓 긍정 규정 준수 결과가 나올 수 있습니다.

AWS::Config::ConfigurationRecorder 리소스 유형은의 시스템 리소스 유형이며이 리소스 유형의 AWS Config 레코딩은 지원되는 모든 리전에서 기본적으로 활성화됩니다. AWS::Config::ConfigurationRecorder 리소스 유형 기록에는 추가 요금이 부과되지 않습니다.