여러 계정 및 리전에서 AWS 리소스 자동 인벤토리 지정

PDF

작성자: Matej Macek(AWS)

요약

이 패턴은 여러 계정 및에 걸쳐 포괄적인 AWS 리소스 인벤토리를 유지하기 위한 자동화된 접근 방식을 간략하게 설명합니다 AWS 리전. 인프라 및 보안 엔지니어가 리소스 관리 관행을 개선할 수 있도록 설계되었습니다. 를 사용하여 리소스 변경 사항, 쿼리 AWS Config 를 위한 Amazon Athena 및 대화형 대시보드를 위한 Amazon QuickSight를 추적합니다. AWS CloudFormation 스택을 배포하여이 솔루션을 구현합니다.

이 솔루션은 Amazon Athena 및 Amazon QuickSight를 사용하여 AWS Config 데이터 시각화(블로그 게시물)에 제시된 솔루션과 유사합니다.AWS 이 패턴은 해당 솔루션을 확장하여 다음과 같은 공통 요구 사항을 해결하고 다음과 같은 주요 이점을 제공합니다.

• 규정 준수 중심 -이 접근 방식은 PCI DSS, NIST SP 800-53, ISO/IEC 27001, HIPAA, GDPR 등과 같은 정확한 자산 인벤토리를 요구하는 규제 요구 사항을 충족하는 데 도움이 될 수 있습니다.

• 사용자 지정 프레임워크 - 다양한 AWS 리소스에 대한 QuickSight 대시보드를 생성하기 위한 기반을 제공하므로 특정 요구 사항에 맞게 솔루션을 사용자 지정할 수 있습니다.

• 사용자 기반 개선 사항 -이 접근 방식은 실제 사용 사례의 피드백을 통합하고 보다 포괄적인 솔루션에 대한 요청을 해결합니다.

인프라, 보안 및 재무 팀은 동적, 다중 계정 또는 다중 리전 환경에서 가시성 및 협업 문제에 직면하는 경우가 많습니다. 이 솔루션은 이러한 문제를 해결하고 리소스 인벤토리를 생성하고 유지 관리하는 데 필요한 시간과 노력을 크게 줄이도록 설계되었습니다. 결과적으로 리소스 할당 결정을 개선하고, 위험을 식별 및 완화하고, 비용을 최적화하고, 전반적인 가시성과 협업을 개선하는 데 도움이 되는 리소스를 중앙 집중식으로 볼 수 있습니다. 이 접근 방식은 보안, 규정 준수 및 운영 목적으로 개념적 솔루션과 실제 구현 요구 간의 격차를 해소합니다.

사전 조건 및 제한 사항

사전 조건 

• 다음 활성: AWS 계정

  • 관리 계정 - 결제, 계정 생성 및 조직 전체의 액세스 제어를 위한 중앙 집중식 계정

  • 감사 계정 - 보안 모니터링, 규정 준수 검사 및 드리프트 알림을 위한 중앙 집중식 허브

  • 로그 아카이브 계정 - 수집된 데이터를 저장하고 분석하기 위한 중앙 집중식 계정

• 감사 계정에서 대상 계정 및 리전에서 구성 데이터를 수집하고 집계하는 AWS Config 집계자

• 로그 아카이브 계정에서 다음을 설정합니다.

  • AWS Config 집계자의 데이터를 저장하는 Amazon Simple Storage Service(Amazon S3) 버킷

  • Amazon QuickSight 구독

  • QuickSight와 Amazon Athena 간의 승인된 연결

  • Athena 쿼리를 통해 Amazon S3 버킷에 액세스할 수 있는 권한

• AWS Command Line Interface (AWS CLI), 설치 및 구성됨

• 다음 리소스를 프로비저닝하는 CloudFormation 스택을 배포할 수 있는 권한:

  • AWS Lambda 함수

  • Amazon S3 알림 구성

  • Athena 데이터베이스, 테이블 및 뷰

  • QuickSight 데이터 세트 및 데이터 소스

• 에서 자동화를 실행할 수 있는 권한 AWS Systems Manager

• QuickSight에 액세스할 수 있는 권한

제한 사항

• 솔루션은에 의존합니다 AWS Config.는 AWS Config 일반적으로 변경 사항이 감지된 직후 또는 지정한 빈도로 리소스에 대한 구성 변경 사항을 기록합니다. 그러나 이는 최선의 노력을 기반으로 하며 경우에 따라 더 오래 걸릴 수 있습니다.

• 이 솔루션은가 AWS Config 지원하는 리소스 유형만 추적합니다.

• 솔루션은 다른 클라우드 공급자 또는 온프레미스 환경의 리소스 인벤토리를 추적하지 않습니다.

• 일부 AWS 서비스 는 전혀 사용할 수 없습니다 AWS 리전. 리전 가용성은 AWS 설명서의 서비스 엔드포인트 및 할당량 페이지를 참조하고 서비스 링크를 선택합니다.

아키텍처

다음 다이어그램은 AWS 조직의 여러 계정에서 구성 및 규정 준수 데이터를 수집, 구성, 분석 및 시각화하는 간소화된 프로세스를 보여줍니다.

이 다이어그램은 다음 워크플로를 보여줍니다.

1. 정기적으로 AWS Config 집계자는 대상 계정 및 리전의 리소스에 대한 구성 및 규정 준수 데이터를 수집한 다음 로그 아카이브 계정의 Amazon S3 버킷에 데이터를 전송합니다.

2. Amazon S3 버킷에 새 AWS Config 데이터를 추가하면 AWS Lambda 함수가 호출됩니다.

3. Lambda 함수는 각 스냅샷 파일의 리전 및 날짜에 해당하는 값으로 키를 구성하여 데이터를 분할합니다. 이렇게 하면 구성 및 규정 준수 데이터를 AWS Glue 효율적으로 쿼리하고 처리할 수 있습니다.

4. Amazon Athena는 AWS Glue 스키마를 사용하여 Amazon S3 버킷에 저장된 데이터에 대해 SQL 쿼리를 실행합니다. 의 스키마 메타데이터 AWS Glue 를 활용하여 데이터의 구조를 이해합니다.

5. Athena의 보기는 대상 데이터 세트를 정의하고 추출합니다.

6. Amazon QuickSight의 대시보드는 데이터 세트를 시각화하고 분석하는 데 도움이 됩니다.

도구

AWS 서비스

• Amazon Athena는 표준 SQL을 사용하여 Amazon S3에 있는 데이터를 직접 분석할 수 있는 대화형 쿼리 서비스입니다.

• AWS CloudFormation는 AWS 리소스를 설정하고, 빠르고 일관되게 프로비저닝하고, AWS 계정 및 수명 주기 동안 리소스를 관리할 수 있도록 지원합니다 AWS 리전.

• AWS Config는의 리소스 AWS 계정 와 리소스 구성 방법에 대한 세부 보기를 제공합니다. 리소스가 서로 관련되는 방식과 리소스의 구성이 시간이 지남에 따라 변경된 방식을 식별하는 데 도움이 됩니다. 애 AWS Config 그리게이터는 여러 및 리전에서 AWS Config 구성 AWS 계정 및 규정 준수 데이터를 수집합니다.

• AWS Glue는 완전 관리형 추출, 변환 및 로드(ETL) 서비스입니다. 이를 통해 데이터 스토어와 데이터 스트림 간에 데이터를 안정적으로 분류, 정리, 보강하고 이동할 수 있습니다. 이 패턴은 AWS Glue 데이터 카탈로그 및 스키마 레지스트리를 사용합니다.

• AWS Lambda는 서버를 프로비저닝하거나 관리할 필요 없이 코드를 실행하는 데 도움이 되는 컴퓨팅 서비스입니다. 필요할 때만 코드를 실행하며 자동으로 확장이 가능하므로 사용한 컴퓨팅 시간만큼만 비용을 지불합니다.

• AWS Organizations는 여러을 생성하여 중앙에서 관리하는 조직에 통합하는 AWS 계정 데 도움이 되는 계정 관리 서비스입니다.

• Amazon QuickSight는 분석, 데이터 시각화 및 보고에 사용할 수 있는 클라우드급 비즈니스 인텔리전스(BI) 서비스입니다.

• Amazon Simple Storage Service(S3)는 원하는 양의 데이터를 저장, 보호 및 검색하는 데 도움이 되는 클라우드 기반 객체 스토리지 서비스입니다.

• AWS Systems Manager은 AWS 클라우드에서 실행되는 애플리케이션 및 인프라를 관리하는 데 도움을 줍니다. 애플리케이션 및 리소스 관리를 간소화하고, 운영 문제를 감지하고 해결하는 시간을 단축하며, AWS 리소스를 대규모로 안전하게 관리하는 데 도움이 됩니다. AWS Systems Manager 자동화는 많은 사용자의 일반적인 유지 관리, 배포 및 문제 해결 작업을 간소화합니다 AWS 서비스.

코드 리포지토리

이 패턴의 AWS CloudFormation 템플릿은 AWS Config 시각화 GitHub 리포지토리에서 사용할 수 있습니다. 이 CloudFormation 템플릿은 Amazon Athena와 함께 사용하도록를 설정하는 AWS Systems Manager 자동화 런북 AWS Config 을 배포합니다. 이 자동화는 지정된 Amazon S3 버킷에 연결할 준비를 하고, Amazon Athena에서 뷰를 생성하고, 대시보드 시각화 AWS Glue 를 위해 Amazon QuickSight를 구성합니다.

모범 사례

• AWS 권장 가이드의를 사용하여 안전한 다중 계정 AWS 환경 설정 및 관리 AWS Control Tower의 모범 사례를 따르는 것이 좋습니다.

• 전체 AWS 조직의 구성 및 규정 준수 데이터를 수집하는 AWS Config 집계자를 생성하는 것이 좋습니다. 자세한 내용은 AWS Config 설명서의 다중 계정 다중 리전 데이터 집계를 참조하세요.

• 이 솔루션을 배포하기 전에 Amazon S3, , AWS Config Athena 및 QuickSight에 대한 현재 요금 정보를 검토하는 것이 좋습니다.

에픽

CloudFormation 스택 배포

작업	설명	필요한 기술
CloudFormation 템플릿을 다운로드하십시오.	Config-QuickSight-Visualization-SSM-Automation.yaml CloudFormation 템플릿을 다운로드합니다.	AWS 관리자, 클라우드 관리자, DevOps 엔지니어
CloudFormation 템플릿을 수정합니다.	를 사용하고 AWS Control Tower AWS Config 에서 관리하는 경우에만이 단계를 완료합니다 AWS Control Tower. CloudFormation 템플릿을 수정해야 합니다. 관리 계정에 로그인합니다. AWS Organizations 콘솔을 엽니다. 설정(Settings) 페이지로 이동합니다. 이 페이지에는 조직 ID를 포함하여 조직에 대한 세부 정보가 표시됩니다. 조직 ID를 복사합니다. 원하는 텍스트 편집기에서 Config-QuickSight-Visualization-SSM-Automation.yaml 파일을 엽니다. 다음 줄을 찾습니다. return re.match('^AWSLogs/(\d+)/Config/([\w-]+)/(\d+)/(\d+)/(\d+)/ConfigSnapshot/[^\]+$', object_key) 이 줄을 다음으로 바꿉니다. 여기서 <ORGANIZATION_ID>는 이전에 복사한 ID입니다. return re.match('^<ORGANIZATION_ID>/AWSLogs/(\d+)/Config/([\w-]+)/(\d+)/(\d+)/(\d+)/ConfigSnapshot/[^\]+$', object_key) Config-QuickSight-Visualization-SSM-Automation.yaml 파일을 저장하고 닫습니다.	DevOps 엔지니어, AWS 관리자
CloudFormation 스택을 생성합니다.	CloudFormation 콘솔에서 스택 생성의 지침을 따릅니다. 다음 사항에 유의하세요. 템플릿 파일 업로드를 선택한 다음 다운로드한 YAML 파일을 선택합니다. 스택 이름에 Config-QuickSight-Visualization-SSM-Automation을 입력합니다. 제출을 선택합니다.	AWS 관리자, 클라우드 관리자, DevOps 엔지니어

CloudFormation 스택 배포

작업	설명	필요한 기술
CloudFormation 템플릿을 다운로드하십시오.	Config-QuickSight-Visualization-SSM-Automation.yaml CloudFormation 템플릿을 다운로드합니다.	AWS 관리자, 클라우드 관리자, DevOps 엔지니어
CloudFormation 템플릿을 수정합니다.	를 사용하고 AWS Control Tower AWS Config 에서 관리하는 경우에만이 단계를 완료합니다 AWS Control Tower. CloudFormation 템플릿을 수정해야 합니다. 관리 계정에 로그인합니다. AWS Organizations 콘솔을 엽니다. 설정(Settings) 페이지로 이동합니다. 이 페이지에는 조직 ID를 포함하여 조직에 대한 세부 정보가 표시됩니다. 조직 ID를 복사합니다. 원하는 텍스트 편집기에서 Config-QuickSight-Visualization-SSM-Automation.yaml 파일을 엽니다. 다음 줄을 찾습니다. return re.match('^AWSLogs/(\d+)/Config/([\w-]+)/(\d+)/(\d+)/(\d+)/ConfigSnapshot/[^\]+$', object_key) 이 줄을 다음으로 바꿉니다. 여기서 <ORGANIZATION_ID>는 이전에 복사한 ID입니다. return re.match('^<ORGANIZATION_ID>/AWSLogs/(\d+)/Config/([\w-]+)/(\d+)/(\d+)/(\d+)/ConfigSnapshot/[^\]+$', object_key) Config-QuickSight-Visualization-SSM-Automation.yaml 파일을 저장하고 닫습니다.	DevOps 엔지니어, AWS 관리자
CloudFormation 스택을 생성합니다.	CloudFormation 콘솔에서 스택 생성의 지침을 따릅니다. 다음 사항에 유의하세요. 템플릿 파일 업로드를 선택한 다음 다운로드한 YAML 파일을 선택합니다. 스택 이름에 Config-QuickSight-Visualization-SSM-Automation을 입력합니다. 제출을 선택합니다.	AWS 관리자, 클라우드 관리자, DevOps 엔지니어

Systems Manager에서 자동화 실행

작업	설명	필요한 기술
QuickSight 사용자 이름을 찾습니다.	QuickSight 콘솔을 엽니다. 프로필 메뉴를 엽니다. 사용자 이름을 기록해 둡니다. 나중에이 값이 필요합니다.	AWS 관리자, 클라우드 관리자, DevOps 엔지니어
전송 채널 이름과 Amazon S3 버킷 이름을 찾습니다.	에 다음 명령을 AWS CLI입력합니다. aws configservice describe-delivery-channels Amazon S3 버킷 이름과 AWS Config 전송 채널의 이름을 기록해 둡니다. 나중에 이러한 값이 필요합니다.	AWS 관리자, 클라우드 관리자, DevOps 엔지니어
Systems Manager에서 자동화를 실행합니다.	AWS Systems Manager 콘솔을 엽니다. 탐색 창에서 Documents를 선택합니다. 내 소유를 선택합니다. Config-QuickSight-Visualization 선택합니다. 자동화 실행(Execute automation)을 선택합니다. 입력 파라미터 섹션에서 다음 파라미터의 값을 입력합니다. ConfigDeliveryChannelName - AWS Config 전송 채널의 이름을 입력합니다. 이 파라미터는 필수 사항입니다. ConfigS3BucketLocation - AWS Config 구성 데이터를 저장하는 Amazon S3 버킷의 이름을 입력합니다. 이 파라미터는 필수 사항입니다. QuickSightUserName - QuickSight에 대한 관리 액세스 권한이 있는 사용자 이름을 입력합니다. 이 파라미터는 필수 사항입니다. AutomationAssumeRole - Systems Manager Automation이 사용자를 대신하여 작업을 수행할 수 있도록 허용하는 (IAM) 역할의 Amazon 리소스 이름 AWS Identity and Access Management (ARN)입니다. 이 파라미터는 선택 사항입니다. 이 파라미터를 비워 둡니다. DeleteConfigVisualization -를 선택합니다false. 실행을 선택합니다.	AWS 관리자, 클라우드 관리자, DevOps 엔지니어

Systems Manager에서 자동화 실행

작업	설명	필요한 기술
QuickSight 사용자 이름을 찾습니다.	QuickSight 콘솔을 엽니다. 프로필 메뉴를 엽니다. 사용자 이름을 기록해 둡니다. 나중에이 값이 필요합니다.	AWS 관리자, 클라우드 관리자, DevOps 엔지니어
전송 채널 이름과 Amazon S3 버킷 이름을 찾습니다.	에 다음 명령을 AWS CLI입력합니다. aws configservice describe-delivery-channels Amazon S3 버킷 이름과 AWS Config 전송 채널의 이름을 기록해 둡니다. 나중에 이러한 값이 필요합니다.	AWS 관리자, 클라우드 관리자, DevOps 엔지니어
Systems Manager에서 자동화를 실행합니다.	AWS Systems Manager 콘솔을 엽니다. 탐색 창에서 Documents를 선택합니다. 내 소유를 선택합니다. Config-QuickSight-Visualization 선택합니다. 자동화 실행(Execute automation)을 선택합니다. 입력 파라미터 섹션에서 다음 파라미터의 값을 입력합니다. ConfigDeliveryChannelName - AWS Config 전송 채널의 이름을 입력합니다. 이 파라미터는 필수 사항입니다. ConfigS3BucketLocation - AWS Config 구성 데이터를 저장하는 Amazon S3 버킷의 이름을 입력합니다. 이 파라미터는 필수 사항입니다. QuickSightUserName - QuickSight에 대한 관리 액세스 권한이 있는 사용자 이름을 입력합니다. 이 파라미터는 필수 사항입니다. AutomationAssumeRole - Systems Manager Automation이 사용자를 대신하여 작업을 수행할 수 있도록 허용하는 (IAM) 역할의 Amazon 리소스 이름 AWS Identity and Access Management (ARN)입니다. 이 파라미터는 선택 사항입니다. 이 파라미터를 비워 둡니다. DeleteConfigVisualization -를 선택합니다false. 실행을 선택합니다.	AWS 관리자, 클라우드 관리자, DevOps 엔지니어

Amazon QuickSight에서 데이터 시각화

작업	설명	필요한 기술
데이터를 새로 고칩니다.	특정 요구 사항에 따라 데이터 세트 새로 고침을 예약하려면 SPICE 데이터 새로 고침의 지침을 따릅니다.	AWS 관리자, DevOps 엔지니어, 클라우드 관리자
분석을 생성합니다.	QuickSight에서 리소스를 시각화하는 데 도움이 되는 대시보드를 생성하려면 Amazon QuickSight에서 분석 시작의 지침을 따르세요.	QuickSight 관리자
대시보드를 생성합니다.	QuickSight 분석 수정을 완료한 후 대시보드 게시의 지침에 따라 대시보드를 생성합니다. 대시보드는 다른 QuickSight 사용자와 공유할 수 있는 분석입니다. 대시보드에 대한 액세스 권한 부여의 지침에 따라 대상 QuickSight 사용자와 대시보드를 공유합니다.	QuickSight 관리자

Amazon QuickSight에서 데이터 시각화

작업	설명	필요한 기술
데이터를 새로 고칩니다.	특정 요구 사항에 따라 데이터 세트 새로 고침을 예약하려면 SPICE 데이터 새로 고침의 지침을 따릅니다.	AWS 관리자, DevOps 엔지니어, 클라우드 관리자
분석을 생성합니다.	QuickSight에서 리소스를 시각화하는 데 도움이 되는 대시보드를 생성하려면 Amazon QuickSight에서 분석 시작의 지침을 따르세요.	QuickSight 관리자
대시보드를 생성합니다.	QuickSight 분석 수정을 완료한 후 대시보드 게시의 지침에 따라 대시보드를 생성합니다. 대시보드는 다른 QuickSight 사용자와 공유할 수 있는 분석입니다. 대시보드에 대한 액세스 권한 부여의 지침에 따라 대상 QuickSight 사용자와 대시보드를 공유합니다.	QuickSight 관리자

(선택 사항)정리

작업	설명	필요한 기술
Systems Manager 자동화에서 생성한 리소스를 삭제합니다.	AWS Systems Manager 콘솔을 엽니다. 탐색 창에서 Documents를 선택합니다. 내 소유를 선택합니다. Config-QuickSight-Visualization 선택합니다. 자동화 실행(Execute automation)을 선택합니다. 입력 파라미터 섹션의 DeleteConfigVisualization 파라미터에를 입력합니다true. 실행을 선택합니다.	AWS 관리자, 클라우드 관리자, DevOps 엔지니어
CloudFormation 스택을 삭제합니다.	Config-QuickSight-Visualization-SSM-Automation 스택의 리소스를 삭제하려면 CloudFormation 콘솔에서 스택 삭제의 지침을 따릅니다.	AWS 관리자, 클라우드 관리자, DevOps 엔지니어

(선택 사항)정리

작업	설명	필요한 기술
Systems Manager 자동화에서 생성한 리소스를 삭제합니다.	AWS Systems Manager 콘솔을 엽니다. 탐색 창에서 Documents를 선택합니다. 내 소유를 선택합니다. Config-QuickSight-Visualization 선택합니다. 자동화 실행(Execute automation)을 선택합니다. 입력 파라미터 섹션의 DeleteConfigVisualization 파라미터에를 입력합니다true. 실행을 선택합니다.	AWS 관리자, 클라우드 관리자, DevOps 엔지니어
CloudFormation 스택을 삭제합니다.	Config-QuickSight-Visualization-SSM-Automation 스택의 리소스를 삭제하려면 CloudFormation 콘솔에서 스택 삭제의 지침을 따릅니다.	AWS 관리자, 클라우드 관리자, DevOps 엔지니어

문제 해결

문제	Solution
Amazon QuickSight가에 연결을 시도하고 us-east-1 AWS 리전있지만 해당 리전에서 리소스를 생성하는 것은 허용되지 않습니다.	서비스 제어 정책이이 리전에서 Amazon QuickSight에 대한 구독을 제한하고 있습니다. 서비스 제어 정책에서 대상을 수동으로 지정합니다 AWS 리전. 를 적절한 리전 식별자<REGION_ID>로 바꿉니다. https://<REGION_ID>.quicksight.aws.amazon.com/sn/start/dashboards 다음은 예제입니다. https://eu-central-1.quicksight.aws.amazon.com/sn/start/dashboards
Amazon Athena에서 다음 메시지가 표시됩니다. Before you run your first query, you need to set up a query result location in Amazon S3.	Amazon Athena의 쿼리 결과를 저장할 Amazon S3 버킷을 준비했는지 확인합니다. Amazon Athena 그런 다음 Amazon Athena 콘솔을 사용하여 쿼리 결과 위치 지정의 지침을 따릅니다.

관련 리소스

AWS 설명서

• AWS Config 설명서

• Amazon QuickSight 설명서

AWS 블로그 게시물

• 를 사용하여 AWS Config 데이터 시각화 자동화 AWS Systems Manager

• 를 사용하여 리소스 구성 변경 사항을 주기적으로 기록하는 방법 AWS Config

기타 리소스

• Amazon QuickSight 커뮤니티 학습 센터

• Amazon QuickSight 커뮤니티 갤러리