Amazon Config FAQ

일반

AWS Config는 보안 및 거버넌스를 위한 리소스 인벤토리, 구성 내역, 구성 변경 알림을 제공하는 완전 관리형 서비스입니다. AWS Config를 사용하면 기존 AWS 리소스를 검색하고, 서드 파티 리소스의 구성을 기록하고, 모든 세부 구성 정보가 포함된 리소스의 완전한 인벤토리를 내보내며, 특정 시점의 리소스 구성 방식을 확인할 수 있습니다. 이러한 기능에는 규정 준수 감사, 보안 분석, 리소스 변경 추적 및 문제 해결이 사용됩니다.

AWS Config 규칙은 원하는 리소스 구성을 나타내며 AWS Config에 기록된 관련 리소스의 구성 변경 사항과 비교하여 평가됩니다. 규칙을 리소스 구성과 비교하여 평가한 결과는 대시보드에서 확인할 수 있습니다. AWS Config 규칙을 사용하면 전반적인 규칙 준수 및 위험 상태를 구성 측면에서 평가하고, 시간에 따른 규칙 준수 추세를 확인하여 리소스의 규칙 미준수를 초래한 구성 변경이 무엇인지 정확히 찾아낼 수 있습니다.

적합성 팩은 AWS Config의 공통 프레임워크 및 패키징 모델을 사용하여 구축된 AWS Config 규칙과 수정 조치의 모음입니다. 위의 AWS Config 아티팩트를 패키징하면 여러 계정 및 리전에서 거버넌스 정책 및 구성 규칙 준수의 배포 및 보고 특징을 단순화하고 리소스가 규칙 미준수 상태에 있는 시간을 줄일 수 있습니다.

AWS Config를 사용하면 초기 투자 없이 리소스 구성을 손쉽게 추적할 수 있으며, 데이터 수집을 위해 에이전트를 설치하고 업데이트하거나 대용량 데이터베이스를 유지 관리하는 복잡성도 피할 수 있습니다. AWS Config를 사용하면 AWS 리소스와 연관된 모든 구성 속성에 대해 지속적으로 업데이트된 세부 정보를 볼 수 있습니다. 모든 구성이 변경되면 Amazon Simple Notification Service(SNS)를 통해 알림을 받게 됩니다.

AWS Config를 사용하면 리소스 구성 기록에 액세스할 수 있습니다. 구성 변경을 일으킨 AWS CloudTrail 이벤트와 구성 변경 사항을 연결할 수 있습니다. 이 정보를 통해 ‘변경한 사용자’, ‘변경한 IP 주소’ 등의 세부 정보에서 AWS 리소스와 관련 리소스에 대한 변경 결과에 이르기까지 전체적으로 파악할 수 있습니다. 이 정보를 사용하여 시간 경과에 따라 감사 및 규정 준수 평가에 도움이 되는 보고서를 생성할 수 있습니다.

리소스 구성을 지속적으로 평가하여 AWS 상의 보안 및 거버넌스 상태를 개선하고자 하는 AWS 고객이라면 누구나 이 기능을 활용할 수 있습니다. 리소스 구성에 대한 모범 사례를 권장하는 대규모 조직의 관리자는 이러한 규칙을 AWS Config 규칙으로 체계화하여 사용자가 자체적으로 거버넌스를 실현하도록 할 수 있습니다. 취약성을 찾아내기 위해 사용 활동과 구성을 모니터링하는 정보 보안 전문가도 AWS Config 규칙의 이점을 누릴 수 있습니다. 특정 표준(예: PCI-DSS 또는 HIPAA)을 준수해야 하는 워크로드가 있는 경우 이 기능을 사용하여 AWS 인프라 구성의 규정 준수를 평가하고 감사자를 위한 보고서를 생성할 수 있습니다. 또한 대규모 AWS 인프라 또는 자주 변경되는 구성 요소를 관리하는 운영자는 AWS Config 규칙을 문제 해결에 활용할 수 있습니다. 리소스 구성에 대한 변경 사항을 추적하고 리소스 구성에 대한 질문에 답변하며 규정 준수를 보여주고 문제를 해결하거나 보안 분석을 수행하려는 경우 AWS Config를 활성화해야 합니다.

여러 계정의 AWS 리소스 구성에 대한 규정 준수 패키지를 구축하고 배포하기 위한 프레임워크를 찾고 있다면 적합성 팩을 사용해야 합니다. 이 프레임워크는 보안, DevOps 및 기타 페르소나에 대한 사용자 지정 팩을 구축하는 데 사용될 수 있으며, 샘플 규정 준수 팩 템플릿 중 하나를 사용하여 빠르게 시작할 수 있습니다.

AWS Config 규칙 및 적합성 팩은 리소스가 고객이 지정한 구성 규칙을 준수하는지에 관한 정보를 제공합니다. 규칙 구성 방법에 따라 주기적으로 AWS Config 규칙에 대해 리소스 구성을 평가하거나 구성 변경이 감지될 때 리소스 구성을 평가합니다. 리소스가 규칙을 준수하도록 보장하거나 사용자가 규칙에 위반되는 작업을 하지 못하도록 차단하지는 않습니다. 그러나 각 AWS Config 규칙에 대해 적절한 수정 조치를 구성하여 규정 미준수 리소스를 다시 준수하도록 하는 데 사용할 수 있습니다.

AWS Config 규칙은 최종 사용자가 AWS를 사용하는 방법에 직접적인 영향을 주지 않습니다. AWS Config 규칙은 구성 변경이 완료되고 AWS Config에서 이를 기록한 후에만 리소스 구성을 평가합니다. AWS Config 규칙은 사용자가 규칙에 위반될 수 있는 구성 변경을 하지 못하도록 제한하지 않습니다. AWS에서 프로비저닝할 수 있는 것과 프로비저닝에 사용되는 구성 파라미터를 제어하려면 AWS Identity and Access Management(IAM) 정책 및 AWS Service Catalog를 각각 참조하세요.

예. AWS Config 규칙을 사전 예방 전용, 탐지 전용 또는 사전 예방 및 탐지 모드 모두로 설정할 수 있습니다. 이러한 규칙의 전체 목록은 설명서를 참조하세요.

기존 PutConfigRule API 또는 AWS Config 콘솔을 사용하여 계정의 AWS Config 규칙에 사전 예방 모드를 사용하도록 설정할 수 있습니다.

AWS Config를 사용하면 서드 파티 리소스 또는 사용자 지정 리소스 유형(예: 온프레미스 서버, 서비스형 소프트웨어[SaaS] 모니터링 도구 및 버전 제어 시스템)에 대한 구성을 기록할 수 있습니다. 이렇게 하려면 리소스 유형의 구성을 준수하고 검증하는 리소스 공급자 스키마를 만들어야 합니다. AWS CloudFormation 또는 코드형 인프라(IaC) 도구를 사용하여 사용자 지정 리소스를 등록해야 합니다.

모든 리소스 유형을 기록하도록 AWS Config를 구성한 경우 AWS CloudFormation을 통해 관리(생성, 업데이트 또는 삭제)되는 서드 파티 리소스는 AWS Config에서 구성 항목으로 자동 추적됩니다. 이에 필요한 단계를 자세히 살펴보고 어느 AWS 리전에서 사용할 수 있는지 알아보려면 AWS Config 개발자 안내서: 타사 리소스에 대한 레코드 구성을 참조하세요.

AWS CloudTrail은 계정의 사용자 API 활동을 기록하고 이러한 활동에 대한 정보에 액세스하는 데 도움이 됩니다. 호출자 자격 증명, API 호출 시간, 요청 파라미터, AWS 서비스에서 반환한 응답 요소 등 API 작업에 대한 전체 세부 정보를 가져올 수 있습니다. AWS Config는 AWS 리소스에 대한 특정 시점 구성 세부 정보를 구성 항목(CI)으로 기록합니다. CI를 사용하면 특정 시점에 ‘내 AWS 리소스는 어떤 형태입니까?’라는 질문에 대답할 수 있습니다. CloudTrail을 사용하여 ‘누가 API를 호출하여 이 리소스를 수정했습니까?’라는 질문에 대답할 수 있습니다. 예를 들어 AWS Config용 AWS Management Console을 사용하여 'Production-DB' 보안 그룹이 이전에 잘못 구성되었음을 감지할 수 있습니다. 통합 CloudTrail 정보를 사용하여 'Production-DB' 보안 그룹을 잘못 구성한 사용자를 찾아낼 수 있습니다.

AWS Config를 사용하면 다중 계정, 다중 리전 데이터 집계 기능을 통해 간편하게 여러 계정과 리전 전체의 규정 준수 상태를 모니터링할 수 있습니다. 어느 계정에나 구성 집계자를 생성하고 다른 계정의 규정 준수 세부 정보를 집계할 수 있습니다. 이 기능은 AWS Organizations에서도 활용되므로 조직 내 모든 계정의 데이터를 집계할 수 있습니다.

예. AWS Service Management Connector for ServiceNow 및 Jira Service Desk는 ServiceNow 및 Jira Service Desk 최종 사용자가 ServiceNow 및 Jira Service Desk를 통해 AWS 리소스를 기본적으로 프로비저닝 및 관리하고 운영하는 데 도움이 됩니다. ServiceNow 사용자는 AWS Service Management Connector를 사용하여 ServiceNow에서 AWS Config가 제공하는 구성 항목 보기에서 리소스를 추적할 수 있습니다. Jira Service Desk 사용자는 AWS Service Management Connector를 사용하여 발급 요청 내에서 리소스를 추적할 수 있습니다. 따라서 ServiceNow 및 Jira Service Desk 사용자는 간단하게 AWS 제품 요청 작업을 실행할 수 있고 ServiceNow 및 Jira Service Desk 관리자는 AWS 제품에 대한 거버넌스를 제어하고 감독할 수 있습니다.

AWS Service Management Connector for ServiceNow는 ServiceNow Store에서 무료로 제공됩니다. 이 새로운 기능은 AWS Service Catalog가 제공되는 모든 AWS 리전에서 사용할 수 있습니다. 자세한 내용은 설명서를 참조하세요.

AWS Service Management Connector for Jira Service Desk는 Atlassian Marketplace에서 무료로 제공됩니다. 이 새로운 기능은 AWS Service Catalog가 제공되는 모든 AWS 리전에서 사용할 수 있습니다. 자세한 내용은 설명서를 참조하세요.

시작하기

AWS Config를 가장 빨리 시작하는 방법은 AWS Management Console을 사용하는 것입니다. 몇 가지 항목을 선택하여 AWS Config를 활성화할 수 있습니다. 자세한 내용은 시작하기 설명서를 참조하세요.

AWS Management Console, AWS Command Line Interface 또는 SDK를 사용하여 현재와 이전 리소스 구성을 조회할 수 있습니다.

자세한 내용은 AWS Config 설명서를 참조하세요.

AWS Config는 계정에 대해 리전별로 활성화합니다.

예, 적절한 IAM 정책을 Amazon S3 버킷에 적용한 후 서로 다른 계정의 구성 업데이트를 하나의 Amazon Simple Storage Service(S3) 버킷으로 전송하도록 AWS Config를 설정할 수 있습니다. 또한 적절한 IAM 정책을 SNS 주제에 적용한 후 같은 리전 내에서 하나의 SNS 주제로 알림을 게시할 수 있습니다.

예. 구성 데이터를 읽기 위해 AWS Config API 작업을 사용하는 등의 모든 AWS Config API 활동을 CloudTrail에서 기록합니다.

AWS Config는 리소스에 대해 구성 항목(CI)이 기록된 시간을 타임라인에 표시합니다. 모든 시간은 협정 세계시(UTC)로 캡처됩니다. 타임라인이 관리 콘솔에서 시각화되면 서비스는 현재 시간대(필요한 경우 일광 절약 시간용으로 조정)를 사용하여 모든 시간을 타임라인 보기에 표시합니다.

리소스 구성

구성 항목(CI)은 특정 시점의 리소스 구성을 말합니다. CI는 5개 섹션으로 구성됩니다.

서로 다른 리소스 유형의 일반적인 리소스에 대한 기본 정보(예: Amazon 리소스 이름, 태그),

리소스 관련 구성 데이터(예: EC2 인스턴스 유형),

다른 리소스와의 관계 매핑(예: EC2::Volume vol-3434df43은 EC2 Instance i-3432ee3a와 '연결된 인스턴스'임),

이 상태와 관련된 AWS CloudTrail 이벤트 ID (AWS 리소스인 경우만 해당)

CI 버전 및 CI가 캡처된 시기 등 CI에 대한 정보 식별에 도움이 되는 메타데이터.

구성 항목에 대해 자세히 알아보세요.

사용자 지정 구성 항목은 서드 파티 또는 사용자 지정 리소스의 구성 항목입니다. 예를 들어 온프레미스 데이터베이스, Active Directory 서버, GitHub와 같은 버전 제어 시스템 및 Datadog와 같은 서드 파티 모니터링 도구가 있습니다.

AWS Config는 기록이 변경되면 리소스의 관계를 고려합니다. 예를 들어 새 EC2 보안 그룹이 EC2 인스턴스와 연결되면 AWS Config는 기본 리소스인 EC2 보안 그룹과 관련 리소스의 업데이트된 구성을 기록합니다(이러한 리소스가 변경된 경우).

AWS Config는 리소스 구성 변경을 감지하여 그 변경에 따른 구성 상태를 기록합니다. 리소스 구성에 여러 가지 변경 사항이 연달아 발생하면 AWS Config는 여러 변경 사항의 누적된 영향을 나타내는 가장 최근의 리소스 구성만 기록합니다. 이 상황에서 AWS Config는 구성 항목의 relatedEvents 필드에 최근 변경 사항만 표시합니다. 이는 AWS Config에서 중간 임시 상태를 기록하기를 기다리지 않고도 사용자 및 프로그램이 인프라 구성을 계속 변경하는 데 도움이 됩니다.

주기적 기록을 사용하면 환경의 변경 사항을 기록할 빈도를 결정하여 자주 변경되는 리소스의 구성 항목을 줄일 수 있습니다. 업데이트를 지속적으로 수신하는 대신, 주기적 기록을 통해 사용 사례에 맞게 24시간마다 구성 변경 사항을 수신할 수 있습니다. 

주기적 기록을 사용하면 리소스 구성에 대한 업데이트를 수신할 빈도를 결정할 수 있습니다. 이 기능을 활성화하면 AWS Config는 리소스의 구성이 변경된 경우 24시간이 지난 시점에 최신 구성만 제공하므로 구성 데이터의 빈도가 줄어들고 운영 계획 및 감사와 같은 사용 사례에서 이 데이터를 수집하는 데 드는 비용을 더 예측할 수 있습니다. 보안 및 규정 준수를 위해 리소스를 지속적으로 모니터링해야 하는 경우 연속 기록을 사용해야 합니다.

예. AWS Config는 아직 기록되지 않은 리소스 구성 변경 사항이 있는지 정기적으로 스캔하여 이러한 변경 사항을 기록합니다. 이러한 스캔을 통해 기록된 CI는 메시지에 relatedEvent 필드가 없으며 이미 기록된 상태와 다른 최신 상태만 표시됩니다.

예. AWS Config는 AWS 계정의 EC2 인스턴스 및 온프레미스 환경의 가상 머신(VM) 또는 서버 내 소프트웨어에 대한 구성 변경을 기록하는 데 도움이 됩니다. AWS Config에서 기록하는 구성 정보에는 운영 체제 업데이트, 네트워크 구성, 설치된 애플리케이션 등이 있습니다. AWS Config 규칙을 사용하면 인스턴스, VM 및 서버가 지침을 준수하는지 평가할 수 있습니다. AWS Config에서 제공하는 심층적 가시성과 지속적 모니터링 기능은 규정 준수 상태를 평가하고 운영 문제를 해결하는 데 도움이 됩니다.

AWS Config는 규정 준수 상태가 변경될 때만 알림을 전송합니다. 이전에 규정 미준수였던 리소스가 여전히 규정 미준수 상태인 경우 AWS Config는 새로운 알림을 전송하지 않습니다. 규정 준수 상태가 'compliant(규정 준수)'로 변경되면 상태 변경에 대한 알림을 받게 됩니다.

예, 콘솔에서 AWS Config '레코더 설정' 페이지로 이동하여 '리소스 유형 제외' 옵션을 선택하고 원하는 제외를 지정하여 리소스를 제외할 수 있습니다. 또는 PutConfigurationRecorder API를 통해 이 기능에 액세스할 수 있습니다. 이 API는 해당 리소스 유형에 대한 구성 레코딩을 비활성화합니다. 또한 AWS Config 규칙을 구성할 때 규칙이 지정된 리소스 유형을 평가할지 아니면 특정 태그가 있는 리소스를 평가할지 지정할 수 있습니다.

AWS Config 규칙

리소스 구성은 AWS Config의 구성 항목(CI)에 포함된 데이터에 의해 정의됩니다. AWS Config 규칙의 최초 릴리스를 사용하면 관련 규칙에서 리소스에 대한 CI를 사용할 수 있습니다. AWS Config 규칙은 다른 연결된 리소스, 업무 시간 등 기타 관련 정보와 함께 이 정보를 사용하여 리소스의 구성 규정 준수를 평가할 수 있습니다.

규칙은 리소스에 대한 원하는 구성 항목(CI)의 속성 값을 나타내며, 이러한 속성 값을 AWS Config에서 기록한 CI와 비교하여 규칙을 평가합니다. 다음과 같은 두 가지 유형의 규칙이 있습니다.

AWS 관리형 규칙: AWS 관리형 규칙은 AWS에서 사전에 구축하고 관리합니다. 시작하려면 활성화하려는 규칙을 선택한 다음 몇 가지 구성 파라미터를 제공하면 됩니다. 자세히 알아보기 »

고객 관리형 규칙: 고객 관리형 규칙은 사용자 정의 규칙으로서, 고객이 정의하고 구축합니다. AWS Lambda에서 사용자 지정 규칙의 일부로 호출될 수 있는 함수를 생성하고 이러한 함수를 계정에서 적용할 수 있습니다. 자세히 알아보기 »

AWS Config를 가장 빨리 시작하는 방법은 AWS Management Console을 사용하는 것입니다. 몇 가지 항목을 선택하여 AWS Config를 활성화할 수 있습니다. 자세한 내용은 시작하기 설명서를 참조하세요.

규칙은 일반적으로 AWS 계정 관리자가 설정합니다. 규칙은 AWS에서 제공하는 사전에 정의된 규칙 세트인 AWS 관리형 규칙 또는 고객 관리형 규칙을 활용하여 생성할 수 있습니다. AWS 관리형 규칙의 경우 규칙에 대한 업데이트는 해당 규칙을 사용하는 모든 계정에 자동으로 적용됩니다. 고객 관리형 모델에서는 고객이 규칙의 전체 복사본을 가지고 자신의 계정 내에서 규칙을 적용합니다. 이러한 규칙은 고객이 관리합니다.

기본적으로 AWS 계정에 최대 150개의 규칙을 생성할 수 있습니다. 또한 AWS Service Limits 페이지에서 계정에서 생성할 수 있는 규칙 수에 대한 한도 증가를 요청할 수 있습니다.

모든 규칙은 변경으로 트리거되는 규칙 또는 주기적인 규칙으로 설정될 수 있습니다. 변경으로 트리거되는 규칙은 지정된 리소스에 대한 구성 변경을 AWS Config가 기록할 때 적용됩니다. 또한 다음 중 하나는 반드시 지정되어야 합니다.

태그 키:(선택적 값): 태그 키:값은 지정된 태그 키:값을 갖는 리소스에 대한 구성 변경이 기록될 때 규칙 평가가 시작된다는 것을 의미합니다.

리소스 유형: 지정된 리소스 유형에 해당하는 리소스에 대한 구성 변경이 기록될 때 규칙 평가가 시작됩니다.

리소스 ID: 리소스 유형 및 리소스 ID에서 지정한 리소스에 대한 구성 변경이 기록될 때 규칙 평가가 시작됩니다.

주기적인 규칙은 지정된 주기에 따라 시작됩니다. 사용 가능한 빈도는 1시간, 3시간, 6시간, 12시간 또는 24시간입니다. 주기적인 규칙은 해당 규칙에서 사용할 수 있는 모든 리소스에 대한 현재 구성 항목(CI)의 전체 스냅샷을 포함합니다.

규칙 평가는 특정 시점에 리소스가 규칙을 준수하는지 확인합니다. 이는 규칙을 리소스 구성과 비교하여 평가한 결과입니다. AWS Config 규칙은 각 평가의 결과를 캡처하여 저장합니다. 이러한 결과는 리소스, 규칙, 평가 시간과 더불어 규칙 미준수의 원인이 되는 구성 항목(CI)에 대한 링크를 포함합니다.

리소스가 해당 리소스에 적용되는 모든 규정을 준수하는 경우 리소스가 규정을 준수하는 것이고 그렇지 않으면 규정을 준수하지 않는 것입니다. 이와 마찬가지로 규칙에서 평가하는 모든 리소스가 규칙을 준수하는 경우, 규칙이 준수되었다고 하며, 그렇지 않은 경우 규칙 미준수입니다. 일부 경우(예: 규칙에서 부적절한 권한을 사용할 수 있는 경우) 리소스에 대한 평가가 존재하지 않을 수 있으며 이는 불충분한 데이터 상태로 이어집니다. 이러한 상태는 리소스 또는 규칙의 준수 상태를 결정하는 작업에서 제외됩니다.

AWS Config 규칙 대시보드는 AWS Config에서 추적한 리소스의 개요와 리소스 및 규칙의 현재 준수 상태에 대한 요약을 제공합니다. 리소스의 규칙 준수 상태를 보면, 해당 리소스에 적용된 규칙 중 현재 준수되지 않은 규칙이 있는지 확인할 수 있습니다. 규칙의 준수 상태를 보면, 규칙이 적용되는 리소스 중 현재 규칙을 준수하지 않는 리소스가 있는지 확인할 수 있습니다. 이러한 요약 정보를 사용하여 리소스의 AWS Config 타임라인 보기를 추가로 살펴봄으로써 변경된 구성 파라미터를 확인할 수 있습니다. 이 대시보드에서는 개요에서부터 구성 변경의 규칙 준수 상태에 관한 전체 정보, 규칙 미준수를 초래한 구성 변경이 무엇인지까지 세분화하여 볼 수 있습니다.

적합성 팩

개별 AWS Config 규칙을 사용하여 하나 이상의 계정에서 리소스 구성 규칙 준수를 평가할 수 있습니다. 적합성 팩은 한 번의 선택으로 전체 조직에 배포할 수 있는 단일 개체에 대한 수정 조치와 함께 패키징 규칙의 추가적인 이점을 제공합니다. 적합성 팩은 여러 계정을 관리할 때 규정 준수 관리 및 대규모 보고를 단순화하기 위한 것입니다. 적합성 팩은 팩 수준 및 불변성에서 집계된 규정 준수 보고를 제공하도록 설계되었습니다. 이는 적합성 팩 내의 관리형 AWS Config 규칙 및 수정 문서가 조직의 개별 구성원 계정에 의해 수정되거나 삭제되지 않도록 하는 데 도움이 됩니다.

Security Hub에 PCI DSS와 같은 규정 준수 표준이 이미 있다면, 완전관리형 Security Hub 서비스가 표준을 운용하는 데 가장 쉬운 방법입니다. Amazon Detective와 Security Hub의 통합을 통해 조사 결과를 조사하고, Amazon EventBridge와 Security Hub의 통합을 사용해 자동화 또는 반자동화 방식의 수정 조치를 구성할 수 있습니다. 하지만 보안, 운용 또는 비용 최적화 확인을 포함할 수 있는 자체 규정 준수 또는 보안 표준을 결합하려는 경우에는 AWS Config 적합성 팩이 적합합니다. AWS Config 적합성 팩은 AWS Config 규칙 그룹과 관련 수정 조치를 단일 엔터티로 패키징하여 AWS Config 규칙의 관리를 단순화합니다. 이 패키징은 조직 전체에 걸친 규칙 배포와 수정 조치를 단순화합니다. 또한 규정 준수 요약이 팩 수준에서 보고될 수 있으므로, 집계 보고를 사용할 수 있게 합니다. AWS에서 제공하는 AWS Config 적합성 팩 샘플로 시작하고 적절하게 사용자 지정할 수 있습니다.

예. Security Hub와 AWS Config 적합성 팩 모두 AWS Config 및 AWS Config 규칙을 기반으로 하여 지속적인 규정 준수 모니터링을 지원합니다. 기본적인 AWS Config 규칙은 주기적으로 또는 리소스 구성 변경이 감지될 때 트리거될 수 있습니다. 이는 조직의 정책 및 지침을 기준으로 AWS 리소스 구성의 전반적인 규정 준수 여부를 지속적으로 감사하고 평가하는 데 도움이 됩니다.

가장 빠른 시작 방법은 CLI 또는 AWS Config 콘솔을 통해 샘플 템플릿 중 하나를 사용하여 적합성 팩을 만드는 것입니다. 일부 샘플 템플릿에는 S3 운영 모범 사례, Amazon DynamoDB 운영 모범 사례 및 PCI 운영 모범 사례가 포함되어 있습니다. 이러한 템플릿은 YAML로 작성되어 있습니다. 설명서 사이트에서 이러한 템플릿을 다운로드하여 선호하는 텍스트 편집기를 통해 환경에 맞게 수정할 수 있습니다. 이전에 팩에 작성한 사용자 지정 AWS Config 규칙을 추가할 수도 있습니다.

적합성 팩은 계층화된 요금제 모델을 사용하여 청구됩니다. 자세한 내용은 AWS Config 요금 페이지를 참조하세요.

다중 계정, 다중 리전 데이터 집계

AWS Config의 데이터 집계 기능은 여러 계정과 리전의 AWS Config 데이터를 단일 계정 및 단일 리전에 집계하는 데 도움이 됩니다. 다중 계정 데이터 집계는 중앙 IT 관리자가 엔터프라이즈의 여러 AWS 계정에 대한 규정 준수를 모니터링하는 데 유용합니다.

데이터 집계 기능은 여러 계정에서 규칙을 프로비저닝하는 데 사용할 수 없습니다. 규정 준수에 대한 가시성을 제공하는 보고 기능만 제공합니다. 계정과 리전에서 규칙을 프로비저닝하려면 AWS CloudFormation StackSets를 사용할 수 있습니다. 이 블로그 링크에서 자세히 알아보세요.

계정에서 AWS Config와 AWS Config 규칙이 활성화되고 계정이 집계되기 시작되면, 계정에 집계자를 생성하여 데이터 집계를 활성화할 수 있습니다. 자세히 알아보세요.

집계자는 여러 계정과 리전에서 AWS Config 데이터를 수집하는 AWS Config 리소스 유형입니다. 집계자를 사용하면 여러 계정과 리전에 대해 AWS Config에 기록된 리소스 구성과 규정 준수 데이터를 확인할 수 있습니다.

집계 보기에는 조직 전체의 총 미준수 규칙 수, 리소스 수를 기준으로 상위 5개 미준수 규칙, 미준수 규칙이 가장 많은 상위 5개 AWS 계정이 표시됩니다. 그러면 사용자가 드릴다운하여 규칙을 위반한 리소스에 대한 세부 정보와 계정에서 위반하고 있는 규칙 목록을 확인할 수 있습니다.

파일을 업로드하거나 개별적으로 계정을 입력하여 AWS Config 데이터를 집계할 계정을 지정할 수 있습니다. 이러한 계정은 어느 AWS Organizations에도 속해 있지 않으므로 각 계정에서 집계자 계정에 권한을 명시적으로 부여해야 합니다. 자세히 알아보세요.

데이터 집계 기능은 다중 리전 집계에도 유용합니다. 따라서 이 기능을 사용하여 여러 리전 전체에서 계정의 AWS Config 데이터를 집계할 수 있습니다.

다중 계정, 다중 리전 데이터 집계가 가능한 리전에 대한 자세한 내용은 AWS Config 개발자 안내서: 다중 계정 다중 리전 데이터 집계를 참조하세요.

집계자를 생성할 때 데이터를 집계할 수 있는 리전을 지정합니다. 이 목록에는 이 기능을 사용할 수 있는 리전만 표시됩니다. 또한 ‘all Regions(모든 리전)’를 선택할 수 있으며, 이 경우 다른 리전에 이 기능에 대한 지원이 추가되는 대로 자동으로 데이터를 집계합니다.

서비스 및 리전 지원

지원되는 리소스 유형의 전체 목록은 설명서를 참조하세요.

AWS Config를 사용할 수 있는 AWS 리전에 대한 자세한 내용은 AWS 리전 표를 참조하세요.

요금

AWS Config를 사용하면 계정에 기록된 구성 항목 수, 활성 AWS Config 규칙 평가 수 및 적합성 팩 평가 수에 따라 요금이 청구됩니다. 구성 항목은 AWS 계정에 있는 리소스 구성 상태의 레코드를 말합니다. AWS Config가 구성 항목을 제공할 수 있는 빈도는 연속과 주기적 두 가지가 있습니다. 연속 기록은 변경이 발생할 때마다 구성 변경 사항을 기록하고 전달합니다. 주기적 기록은 변경이 발생한 경우에만 24시간마다 한 번 구성 데이터를 제공합니다. AWS Config 규칙 평가는 AWS 계정에서 AWS Config 규칙을 통해 리소스의 규정 준수 상태를 평가하는 것을 말합니다. 적합성 팩 평가는 적합성 팩 내에서 AWS Config 규칙을 통해 리소스를 평가하는 것입니다. 자세한 내용과 예를 보려면 https://thinkwithwp.com/config/pricing/을 참조하세요.

AWS에서 제공하는 관리형 규칙 세트에서 선택하거나, Lambda 함수를 사용하여 사용자 지정 규칙을 작성할 수 있습니다. 관리형 규칙은 AWS에서 모두 관리 및 유지 보수하며 이를 실행하기 위한 Lambda 요금이 추가로 부과되지 않습니다. 관리형 규칙을 활성화하고, 필요한 파라미터를 제공한 다음, 지정된 달의 활성 AWS Config 규칙별로 단일 요금을 지불할 수 있습니다. 사용자 지정 규칙을 사용하면 규칙이 계정의 Lambda 함수로 적용될 때 완벽하게 제어할 수 있습니다. 사용자 지정 AWS Config 규칙에는 활성 규칙에 대한 월별 요금 외에도 표준 Lambda 프리 티어* 및 함수 적용 요금이 적용됩니다.

*AWS 프리 티어는 AWS 중국(베이징) 리전이나 AWS 중국(닝샤) 리전에 제공되지 않습니다.

파트너 솔루션

Splunk, ServiceNow, Evident.io, CloudCheckr, Redseal 및 RedHat CloudForms 등 APN 파트너 솔루션은 AWS Config의 데이터와 완전히 통합된 서비스를 제공합니다. 2nd Watch, Cloudnexa 등의 관리형 서비스 공급자도 AWS Config와의 통합을 발표했습니다. 또한 AWS Config 규칙의 경우 CloudHealth Technologies, Alert Logic, Trend Micro 등과 같은 파트너가 제공하는 통합 솔루션도 사용할 수 있습니다. 이러한 솔루션에는 변경 관리와 보안 분석 등의 기능이 포함되어 있으며, AWS 리소스 구성을 시각화, 모니터링 및 관리하는 데 도움이 됩니다.