AWS Config를 사용하여 구성 변경 추적 - Amazon CloudFront
CloudFront로 AWS Config 설정CloudFront 구성 기록 보기AWS Config 규칙을 사용하여 CloudFront 구성 평가

AWS Config를 사용하여 구성 변경 추적

AWS 리소스 구성을 기록하고 평가하려면 배포의 구성을 자세히 볼 수 있는 AWS Config를 사용할 수 있습니다. 여기에는 리소스가 서로 어떻게 관련되는지, 과거에 어떻게 구성되었는지가 포함되어 시간에 따른 변화를 검토할 수 있습니다.

또한 AWS Config를 사용하여 CloudFront 배포 설정 변경에 대한 구성 변경 사항을 기록할 수 있습니다. 배포 상태, 가격 등급, 오리진, 지리적 제한 설정, Lambda@Edge 구성에 대한 변경 사항을 캡처할 수 있습니다.

참고

AWS Config에서는 CloudFront 스트리밍 배포에 대한 키-값 태그를 기록하지 않습니다.

CloudFront로 AWS Config 설정

AWS Config를 설정할 때는 지원되는 모든 AWS 리소스를 기록하는 방법을 선택하거나, CloudFront의 변경 사항만 기록하는 등 지정된 리소스만 기록하도록 지정할 수 있습니다. 지원되는 CloudFront 리소스의 목록을 보려면 AWS Config 개발자 안내서에서 지원되는 리소스 유형 주제의 Amazon CloudFront 섹션을 참조하세요.

Notes

  • CloudFront 배포에 대한 구성 변경 사항을 추적하려면 미국 동부(버지니아 북부) AWS 리전의 CloudFront 콘솔에 로그인해야 합니다.

  • AWS Config에서 리소스 레코딩이 지연될 수 있습니다. AWS Config는 리소스를 검색한 후에만 리소스를 기록합니다.

Console
CloudFront로 AWS Config를 설정하려면

  1. AWS Management Console 에 로그인한 다음 AWS Config 콘솔을 엽니다.

  2. [Get Started Now]를 선택합니다.

  3. 설정 페이지의 기록할 리소스 유형에서 AWS에 기록할 AWS Config 리소스 유형을 지정합니다. CloudFront 변경 사항만 기록하고 싶은 경우에는 특정 유형을 선택한 다음, CloudFront에서 변경 사항을 추적하려는 배포 또는 스트리밍 배포를 선택합니다.

    추적할 배포를 추가 또는 변경하려면 초기 설정을 완료한 후에 왼쪽의 설정을 선택합니다.

  4. AWS Config에 필요한 추가 옵션(예: 알림 설정, 구성 정보의 위치 지정, 리소스 유형 평가를 위한 규칙 추가 등)을 지정합니다.

자세한 내용은 AWS Config 개발자 안내서콘솔을 통해 AWS Config 설정을 참조하세요.

AWS CLI

AWS CLI에 AWS Config를 설정하려면 AWS Config 개발자 안내서의 AWS CLI를 사용하여 AWS Config 설정을 참조하세요.

AWS Config API

AWS Config API를 사용하여 CloudFront에 AWS Config를 설정하려면 AWS Config API 참조의 StartConfigurationRecorder API 작업을 참조하세요.

CloudFront 구성 기록 보기

AWS Config가 배포에 구성 변경 사항을 기록하기 시작한 후에는 CloudFront에 대해 구성한 모든 배포의 구성 기록을 가져올 수 있습니다.

다음 방법을 사용하여 구성 내역을 볼 수 있습니다.

Console

기록된 리소스 각각에 대해 구성 세부 정보의 내역을 제공하는 타임라인 페이지를 볼 수 있습니다. 이 페이지를 보려면 전용 호스트 페이지의 Config 타임라인 열에서 회색 아이콘을 선택합니다.

보다 자세한 내용은 AWS Config 개발자 안내서AWS Config 콘솔에서 구성 세부 사항 보기를 참조하세요.

AWS CLI

모든 배포 목록을 얻으려면 다음 예시에서와 같이 list-discovered-resources 명령을 사용합니다.

aws configservice list-discovered-resources --resource-type AWS::CloudFront::Distribution

특정 기간 동안의 배포에 대한 구성 세부 정보를 가져오려면 get-resource-config-history 명령을 실행합니다.

보다 자세한 내용은 AWS Config 개발자 안내서CLI를 사용하여 구성 세부 정보 보기 섹션을 참조하세요.

AWS Config API

모든 배포 목록을 얻으려면 ListDiscoveredResources API 작업을 사용합니다.

특정 기간 동안의 배포에 대한 구성 세부 정보를 가져오려면 GetResourceConfigHistory API 작업을 사용합니다. 자세한 내용은 AWS Config API 참조를 참조하세요.

AWS Config 규칙을 사용하여 CloudFront 구성 평가

AWS Config 규칙을 사용하여 원하는 구성을 기준으로 구성을 평가할 수 있습니다. 예를 들어 AWS Config 규칙을 사용하면 CloudFront 리소스가 일반적인 보안 모범 사례를 준수하는지 여부를 평가할 수 있습니다. 최종 사용자 정책 HTTPS, SNI 활성화, OAC 활성화, 오리진 장애 조치 활성화, AWS WAF WebACL과 같은 관리형 규칙 또는 구성 변경 시 트리거할 AWS Shield Advanced 리소스 정책을 선택할 수 있습니다.

관리형 규칙은 선택한 빈도로 정기적으로 평가를 실행할 수 있습니다. AWS Firewall Manager는 자동 알림 및 문제 해결을 위해 AWS Config에 의존합니다. 자세한 내용은 AWS Config 개발자 안내서의 AWS Config 규칙으로 리소스 평가AWS Config 관리형 규칙 목록을 참조하세요.