AWS Config를 사용하여 X-Ray 암호화 구성 변경 추적하기 - AWS X-Ray
Lambda 함수 트리거 생성X-Ray용 사용자 지정 AWS Config 규칙 생성결과 예Amazon SNS 알림

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Config를 사용하여 X-Ray 암호화 구성 변경 추적하기

AWS X-Ray는 AWS Config와 통합되어 X-Ray 암호화 리소스에 대한 구성 변경을 기록합니다. AWS Config을 사용하여 X-Ray 암호화 리소스를 인벤토리하고, X-Ray 구성 기록을 감사하고, 리소스 변경에 대한 알림을 보낼 수 있습니다.

AWS Config는 다음 X-Ray 암호화 리소스 변경을 이벤트로 로깅하는 것을 지원합니다.

  • 구성 변경 – 암호화 키 변경 또는 추가, 또는 기본 X-Ray 암호화 설정으로 되돌리기.

다음 지침을 사용하여 X-Ray 와 AWS Config 간 기본 연결을 생성하는 방법을 알아보십시오.

Lambda 함수 트리거 생성

사용자 지정 AWS Config 규칙을 생성하려면 사용자 지정 AWS Lambda 함수의 ARN이 필요합니다. 다음 지침을 따라 Node.js를 사용하여 XrayEncryptionConfig 리소스의 상태를 기준으로 준수 또는 미준수 값을 AWS Config로 반환하는 기본 함수를 생성합니다.

AWS::XrayEncryptionConfig 변경 트리거를 사용하여 Lambda 함수를 생성하려면

  1. Lambda 콘솔을 엽니다. 함수 생성(Create function)을 선택합니다.

  2. 블루프린트를 선택하고 블루프린트 라이브러리를 config-rule-change-triggered 블루프린트로 필터링합니다. 블루프린트의 이름에서 링크를 클릭하거나 구성을 선택하여 계속 진행합니다.

  3. 다음 필드를 정의하여 블루프린트를 구성합니다.

    • [Name]에서 이름을 입력합니다.

    • [Role]에서 [Create new role from template(s)]를 선택합니다.

    • [Role name]에 이름을 입력합니다.

    • 정책 템플릿에서 AWS Config 규칙 권한을 선택합니다.

  4. 함수 생성을 선택하여 함수를 생성한 후 AWS Lambda 콘솔에 표시합니다.

  5. 함수 코드를 편집하여 AWS::EC2::InstanceAWS::XrayEncryptionConfig로 바꿉니다. 설명 필드를 업데이트해서 이 변경 내용을 반영할 수도 있습니다.

    기본 코드

        if (configurationItem.resourceType !== 'AWS::EC2::Instance') {
        return 'NOT_APPLICABLE';
    } else if (ruleParameters.desiredInstanceType === configurationItem.configuration.instanceType) {
        return 'COMPLIANT';
    }
        return 'NON_COMPLIANT';

    업데이트된 코드

        if (configurationItem.resourceType !== 'AWS::XRay::EncryptionConfig') {
        return 'NOT_APPLICABLE';
    } else if (ruleParameters.desiredInstanceType === configurationItem.configuration.instanceType) {
        return 'COMPLIANT';
    }
        return 'NON_COMPLIANT';

  6. X-Ray에 액세스할 수 있도록 IAM 내 실행 역할에 다음을 추가합니다. 다음 권한은 X-Ray 리소스에 대한 읽기 전용 액세스를 허용합니다. 적절한 리소스에 대한 액세스 권한을 제공하지 않으면 규칙과 연결된 Lambda 함수를 평가할 때 AWS Config에서 범위를 벗어났다는 메시지가 표시됩니다.

        {
        "Sid": "Stmt1529350291539",
        "Action": [
            "xray:GetEncryptionConfig"
        ],
        "Effect": "Allow",
        "Resource": "*"
     }

X-Ray용 사용자 지정 AWS Config 규칙 생성

Lambda 함수가 생성되면 함수의 ARN을 참조하고 AWS Config 콘솔로 이동하여 사용자 지정 규칙을 생성합니다.

X-Ray용 AWS Config 규칙을 생성하려면

  1. AWS Config 콘솔의 규칙 페이지를 엽니다.

  2. 규칙 추가를 선택한 다음 사용자 지정 규칙 추가를 선택합니다.

  3. AWS Lambda 함수 ARN에서 사용하려는 Lambda 함수와 연결된 ARN을 삽입합니다.

  4. 설정할 트리거의 유형을 선택합니다.

    • 구성 변경 – 규칙의 범위와 일치하는 리소스의 구성이 변경되면 AWS Config가 평가를 트리거합니다. AWS Config가 구성 항목 변경 알림을 보내면 평가가 실행됩니다.

    • 주기적 – AWS Config는 사용자가 선택한 빈도(예: 매 24시간)로 이 규칙에 대한 평가를 실행합니다.

  5. 리소스 유형으로는 X-Ray 섹션에서 EncryptionConfig를 선택합니다.

  6. Save를 선택합니다.

AWS Config 콘솔이 규칙의 규정 준수를 즉시 평가합니다. 평가를 완료하는 데 몇 분 정도 걸릴 수 있습니다.

이제 이 규칙이 규정을 준수하므로 AWS Config가 감사 기록 컴파일을 시작할 수 있습니다. AWS Config는 타임라인 형식으로 리소스 변경을 기록합니다. 이벤트의 타임라인에 변경이 발생할 때마다 AWS Config는 전/후 형식 테이블을 생성하여 암호화 키의 JSON 표현에서 변경된 내용을 보여줍니다. EncryptionConfig와 연결된 2개의 필드 변경은 Configuration.typeConfiguration.keyID입니다.

결과 예

다음은 특정 일시에 발생한 변경을 보여주는 AWS Config 타임라인의 예입니다.

AWS Config 타임라인

다음은 AWS Config 변경 항목의 예입니다. 변경 내용이 전/후 형식으로 표시됩니다. 이 예는 기본 X-Ray 암호화 설정이 정의된 암호화 키로 변경된 것을 보여줍니다.

X-Ray 암호화 구성 변경 항목

Amazon SNS 알림

구성 변경에 대한 알림을 받으려면 AWS Config를 Amazon SNS 알림을 게시하도록 설정합니다. 자세한 내용은 이메일로 AWS Config 리소스 변경 모니터링 단원을 참조하십시오.