AWS Config 규칙가 평가한 리소스의 규정 준수 이력 보기 - AWS Config

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

AWS Config 규칙가 평가한 리소스의 규정 준수 이력 보기

AWS Config는 AWS Config 규칙에서 평가하는 리소스의 규정 준수 상태 변경 저장을 지원합니다. 리소스 규정 준수 이력은 타임라인 형식으로 표시됩니다. 타임라인은 특정 리소스에 대해 일정 시간의 기간 동안 변경 사항을 ConfigurationItems로 캡처합니다. 규정 준수 타임라인은 구성 타임라인 옆에 있는 AWS Config 콘솔에서 사용할 수 있습니다.

AWS Config의 모든 리소스 유형을 기록하도록 수락하거나 거부할 수 있습니다. 모든 리소스 유형을 기록하도록 수락하면 AWS Config가 AWS Config 규칙에서 평가한 리소스 규정 준수 이력을 자동으로 기록하기 시작합니다. AWS Config가 구성 변경을 기록할 모든 리소스 또는 특정 유형의 리소스를 선택할 수 있습니다. 기본적으로 AWS Config는 지원되는 모든 리소스에 대한 구성 변경을 기록합니다.

AWS 콘솔에서 리소스 유형 기록

설정 페이지의 기록할 리소스 유형에서 AWS Config에 기록할 AWS 리소스 유형을 지정합니다.

  • 모든 리소스 - AWS Config가 다음 옵션을 통해 지원되는 모든 리소스를 기록합니다.

    • 이 리전 내에서 지원되는 모든 리소스 유형 기록 - AWS Config가 지원되는 모든 유형의 리전 리소스에 대한 구성 변경을 기록합니다. AWS Config에서 새 리소스 유형에 대한 지원을 추가할 경우 AWS Config는 해당 유형의 리소스를 자동으로 기록하기 시작합니다.

    • 전역 리소스 포함 - AWS Config에서 지원되는 유형의 전역 리소스와 기록하는 리소스(예: IAM 리소스)를 포괄합니다. AWS Config에서 새 전역 리소스 유형에 대한 지원을 추가할 경우 AWS Config는 해당 유형의 리소스를 자동으로 기록하기 시작합니다.

  • 특정 유형 - AWS Config가 사용자가 지정한 AWS 리소스 유형의 구성 변경만 기록합니다. Config:ResourceCompliance 리소스 유형을 선택하여 규정 준수 이력을 기록합니다.

리소스를 사용하여 규정 준수 타임라인 보기

리소스 인벤토리 페이지에서 특정 리소스를 선택하여 규정 준수 타임라인을 볼 수 있습니다.

  1. 왼쪽 탐색 창에서 리소스를 선택합니다.

  2. 리소스 인벤토리 페이지의 드롭다운에서 모든 기존 리소스를 선택하고 해당하는 경우 삭제된 리소스 포함을 선택합니다.

  3. 조회를 클릭합니다.

    이 표에는 리소스 유형의 리소스 식별자와 해당 리소스에 대한 리소스 준수 상태가 표시됩니다. 리소스 식별자는 리소스 ID 또는 리소스 이름(해당되는 경우)일 수 있습니다.

  4. 리소스 식별자 열에서 리소스를 선택합니다.

  5. 리소스 작업 드롭다운에서 규정 준수 타임라인을 선택합니다.

    규정 준수 타임라인이 표시됩니다.

    규정 준수 이력을 봅니다.
    참고

    또는 리소스 인벤토리 페이지에서 리소스 이름을 직접 클릭합니다. 리소스 세부 정보 페이지가 표시됩니다. 리소스 세부 정보 페이지에서 규정 준수 타임라인을 액세스하려면 규정 준수 타임라인 버튼을 클릭합니다.

    리소스 세부 정보 페이지

규칙을 사용하여 규정 준수 타임라인 보기

규칙 페이지에서 특정 규칙을 선택하여 규정 준수 타임라인을 볼 수 있습니다.

  1. 왼쪽 탐색 창에서 규칙을 선택합니다.

  2. 규칙 페이지에서 해당 리소스를 평가하는 규칙의 이름을 클릭합니다. 화면에 규칙이 표시되지 않을 경우 규칙 추가 버튼을 사용하여 규칙을 추가합니다.

  3. 규칙 세부 정보 페이지의 리소스 평가 테이블에서 리소스를 선택합니다.

  4. 리소스 작업 드롭다운에서 규정 준수 타임라인을 선택합니다. 규정 준수 타임라인이 표시됩니다.

리소스 규정 준수 이력 쿼리

AWS::Config::ResourceCompliance 리소스 유형을 사용하여 get-resource-config-history를 통해 리소스 규정 준수 이력을 쿼리합니다.

aws configservice get-resource-config-history --resource-type AWS::Config::ResourceCompliance --resource-id AWS::S3::Bucket/configrules-bucket

다음과 유사한 출력 화면이 표시되어야 합니다.

{ "configurationItems": [ { "configurationItemCaptureTime": 1539799966.921, "relationships": [ { "resourceType": "AWS::S3::Bucket", "resourceId": "configrules-bucket", "relationshipName": "Is associated with " } ] "tags": {}, "resourceType": "AWS::Config::ResourceCompliance", "resourceId": "AWS::S3::Bucket/configrules-bucket", "ConfigurationStateId": "1539799966921", "relatedEvents": []; "awsRegion": "us-west-2", "version": "1.3", "configurationItemMD5Hash": "", "supplementaryConfiguration": {}, "configuaration": "{\"complianceType\":\"COMPLIANT\",\"targetResourceId\":\"configrules-bucket\",\"targetResourceType\":\"AWS::S3::Bucket\",\configRuleList"\":[{\"configRuleArn\":\"arn:aws:config:us-west-2:AccountID:config-rule/config-rule-w1gogw\",\"configRuleId\":\"config-rule-w1gogw\",\"configRuleName\":\"s3-bucket-logging-enabled\",\"complianceType\":\"COMPLIANT\"}]}", "configurationItemStatus": "ResourceDiscovered", "accountId": "AccountID" } ] }