드리프트 방지 및 알림

AWS Control Tower에서 규정 준수를 유지하는 데 도움이 되는 특정 제어를 활성화하고 특정 SNS 알림을 구독할 수 있습니다.

드리프트 모니터링 보호

AWS Control Tower는 예방적 제어를 위한 수동적 및 능동적 드리프트 모니터링 보호 방법을 제공합니다.

• 수동적 보호: SCP (예방 제어) 드리프트를 AWS Organizations 모니터링하고 기록합니다.

• 능동적 보호: AWS Control Tower 드리프트 모니터링 서비스는 예방 제어 SCP를 정기적으로 능동적으로 스캔합니다.

AWS Control Tower는 드리프트가 감지되면 SNS 메시징을 통해 알려줍니다.

드리프트 방지

일부 제어 기능은 규정 준수 보고 메커니즘의 수정을 방지합니다.

• AWS Control Tower의 AWS Config 규칙 설정 변경 금지(필수, 예방적 통제)

• AWS 컨트롤 타워에서 생성한 AWS Config 집계 권한의 삭제를 허용하지 않음(필수, 예방 관리)

• 리소스용 AWS Config AWS Control Tower에서 생성한 태그의 변경 금지(필수, 예방 관리)

• AWS Config의 구성 변경 허용 안 함(필수, 예방 관리)

예방적 제어와 달리 탐정 제어는 관련 Config AWS 규칙을 위반하는 리소스를 알려줍니다.

드리프트 및 제어 규정 준수에 대한 SNS 알림을 받으려면

Amazon SNS에서 적절한 드리프트 및 제어 규정 준수 알림을 수신하는 방법에 대한 자세한 내용은 을 참조하십시오감사 계정의 SNS가 제공하는 규정 준수 알림.

SNS 주제 게시자 및 구독자

aws-controltower-AllConfigNotifications주제:

• AWS::Config::DeliveryChannel리소스는 이 주제에 대한 구성 변경에 대한 알림을 보내도록 구성되어 있습니다.

• 전송할 AWS Config 수 있는 알림 유형은 AWS Config 설명서의 Amazon SNS 주제 섹션에 정의되어 있습니다.

• AWS::CloudTrail::Trail리소스는 로그 파일 전송 알림을 이 주제로 전송하도록 구성되어 있습니다.

• 이 주제를 구독할 수 있습니다.

aws-controltower-SecurityNotifications주제:

• 이 AWS::Events::Rule 리소스는 AWS Config 규칙 준수 변경 (SNS 알림 유형 중 하나) 에 대한 알림을 이 주제에 보내도록 구성되어 있습니다.

• aws-controltower-NotificationForwarderLambda 함수는 이 주제를 구독하고 해당 주제에 SNS 알림을 전달합니다. aws-controltower-AggregateSecurityNotifications

주제: aws-controltower-AggregateSecurityNotifications

• 이 주제는 Lambda aws-controltower-SecurityNotifications 함수에서 전달된 알림을 수신합니다.

• 또한 홈 리전에서 드리프트 알림을 수신합니다.

• AWS Control Tower가 주제를 생성하면 감사 계정 이메일 주소에 대한 구독이 추가되며 구독을 확인해야 합니다.

참고

엔드포인트 (예: 이메일 주소) 는 각 구독을 확인해야 하며, SNS는 구독이 확인될 때까지 엔드포인트로 메시지를 보내지 않습니다.