다음을 사용하여 리소스 변경을 모니터링합니다. AWS Config

AWS Control Tower는 등록된 모든 AWS Config 계정에서 이를 활성화하므로 탐지 제어를 통해 규정 준수를 모니터링하고, 리소스 변경을 기록하고, 리소스 변경 로그를 로그 아카이브 계정에 전달할 수 있습니다.

Landing Zone 버전이 3.0 이전인 경우: 등록된 계정의 경우 계정이 운영되는 모든 지역의 리소스에 대한 모든 변경 사항을 AWS Config 기록합니다. 각 변경 사항은 리소스 식별자, 지역, 각 변경 내용이 기록된 날짜, 변경 내용이 알려진 리소스와 관련이 있는지 또는 새로 발견된 리소스와 관련이 있는지 여부와 같은 정보가 포함된 구성 항목 (CI) 으로 모델링됩니다.

랜딩 존 버전이 3.0 이상인 경우: AWS Control Tower는 IAM 사용자, 그룹, 역할 및 고객 관리형 정책과 같은 글로벌 리소스에 대한 기록을 홈 지역으로만 제한합니다. 글로벌 리소스 변경 사본이 모든 지역에 저장되는 것은 아닙니다. 리소스 기록의 이러한 제한은 AWS Config 모범 사례를 준수합니다. 글로벌 리소스의 전체 목록은 AWS Config 설명서에서 확인할 수 있습니다.

• 자세한 AWS Config내용은 AWS Config 작동 방식을 참조하십시오.

• 지원할 AWS Config 수 있는 리소스 목록은 지원되는 리소스 유형을 참조하십시오.

• AWS Control Tower 환경에서 리소스 추적을 사용자 지정하는 방법에 대해 알아보려면 AWS Control Tower의 AWS Config 리소스 추적 사용자 지정이라는 제목의 블로그 게시물을 참조하십시오.

AWS Control Tower는 등록된 모든 계정에 AWS Config 전송 채널을 설정합니다. 이 전송 채널을 통해 로그 아카이브 계정에 기록된 모든 변경 사항을 기록하여 AWS Config Amazon Simple Storage Service 버킷의 폴더에 저장합니다.

등록된 계정의 AWS Config 레코더 데이터 보기

AWS Config 와 CloudWatch 통합되어 대시보드에서 AWS Config CI를 볼 수 있습니다. 자세한 내용은 Amazon CloudWatch 지표AWS Config 지원이라는 제목의 블로그 게시물을 참조하십시오.

프로그래밍 방식으로 AWS Config 데이터를 보려면 AWS CLI를 사용하거나 다른 도구를 사용할 수 있습니다. AWS

특정 리소스의 AWS Config 레코더 데이터를 쿼리하십시오.

AWS CLI를 사용하여 리소스의 최신 변경 목록을 검색할 수 있습니다.

리소스 기록 명령:

• aws configservice get-resource-config-history --resource-type RESOURCE-TYPE --resource-id RESOURCE-ID --region REGION

자세한 내용은 의 API 설명서를 참조하십시오 get-config-history.

Amazon으로 AWS Config 데이터를 시각화하세요 QuickSight

조직 AWS Config 전체에서 기록한 리소스를 시각화하고 쿼리할 수 있습니다. 자세한 내용은 Amazon Athena와 Amazon을 사용한 AWS Config 데이터 시각화를 참조하십시오. QuickSight

AWS Control AWS Config Tower에서의 문제 해결

이 섹션에서는 AWS Control AWS Config Tower와 함께 사용할 때 발생할 수 있는 몇 가지 문제에 대한 정보를 제공합니다.

높은 AWS Config 비용

워크플로에 리소스를 자주 생성, 업데이트 또는 삭제하는 프로세스가 포함되어 있거나 리소스를 많이 처리하는 경우 해당 워크플로우에서 많은 수의 CI가 생성될 수 있습니다. 비프로덕션 계정에서 이러한 프로세스를 실행하는 경우 계정 등록을 취소해 보세요. 해당 계정의 AWS Config 레코더를 수동으로 비활성화해야 할 수도 있습니다.

참고

계정을 등록 취소하면 AWS Control Tower는 해당 계정의 리소스에 대해 탐지 제어를 적용하거나 AWS Config 활동 등의 계정 이벤트를 기록할 수 없습니다.

자세한 내용은 등록된 계정 관리 취소를 참조하십시오. 레코더를 비활성화하는 방법을 알아보려면 구성 AWS Config 레코더 관리를 참조하십시오.

동일한 리소스가 여러 번 기록됩니다.

리소스가 글로벌 리소스인지 확인하세요. 버전 3.0 이전의 AWS Control Tower 랜딩 존의 AWS Config 경우, 운영 중인 각 리전에 대해 특정 글로벌 리소스를 한 번 기록할 AWS Config 수 있습니다. 예를 들어, 8개 지역에서 활성화된 경우 AWS Config 각 역할은 8번 기록됩니다.

다음 리소스는 운영 중인 각 지역에 대해 한 번씩 AWS Config 기록됩니다.

• AWS::IAM::Group

• AWS::IAM::Policy

• AWS::IAM::Role

• AWS::IAM::User

기타 글로벌 리소스는 한 번만 기록됩니다. 다음은 한 번 기록되는 리소스의 몇 가지 예입니다.

• AWS::Route53::HostedZone

• AWS::Route53::HealthCheck

• AWS::ECR::PublicRepository

• AWS::GlobalAccelerator::Listener

• AWS::GlobalAccelerator::EndpointGroup

• AWS::GlobalAccelerator::Accelerator

AWS Config 리소스를 기록하지 않았습니다.

특정 리소스는 다른 리소스와 종속성 관계가 있습니다. 이러한 관계는 직접적이거나 간접적일 수 있습니다. FAQ에서 더 이상 사용되지 않는 간접 관계 목록을 찾을 수 있습니다. AWS Config