원격 분석 활성화 규칙 작업 - Amazon CloudWatch
AWS Config와 활성화 규칙 통합활성화 규칙 동작 이해원격 분석 활성화 규칙 생성원격 분석 규칙 관리원격 분석 구성 문제 해결

원격 분석 활성화 규칙 작업

원격 분석 활성화 규칙을 생성하여 AWS 리소스에 대한 원격 분석 수집을 자동으로 구성할 수 있습니다. 규칙은 조직 또는 계정 전체에서 원격 분석 수집을 표준화하고 일관된 모니터링 범위를 보장하는 데 도움이 됩니다.

AWS Config와 활성화 규칙 통합

CloudWatch 원격 분석 감사 및 구성은 AWS Config와 통합되어 활성화 규칙과 일치하는 리소스를 자동으로 검색하고 원격 분석 데이터 수집에 적용합니다. 활성화 규칙을 생성하면 원격 분석 구성이 해당 AWS Config 레코더를 생성합니다. 이 레코더에는 활성화 규칙에서 정의한 특정 리소스 유형에 대한 구성 항목이 포함됩니다.

추가 비용 없이 원격 분석 구성을 활성화할 수 있습니다. 활성화 규칙을 사용하여 원격 분석을 자동으로 관리하는 경우 AWS Config에서는 활성화 규칙에서 지정한 리소스 유형에 대해 기록된 구성 항목 수에 따라 비용을 청구합니다. 자세한 내용은 AWS Config 요금을 참조하십시오.

참고

AWS Config에서 특정 리소스 유형에 대한 구성 항목 기록이 이미 활성화한 경우 요금은 다시 청구되지 않습니다.

원격 분석 구성은 AWS Config를 사용하여 다음을 수행합니다.

  • 조직 또는 계정 전체에서 리소스 검색

  • 원격 분석 구성 변경 추적

활성화 규칙 동작 이해

원격 분석 구성은 규칙을 평가하고 적용할 때 특정 패턴을 따릅니다.

활성화 규칙은 계층적 패턴에 따라 평가됩니다. 조직 규칙을 먼저 평가한 다음 조직 단위(OU)에 적용되는 규칙을 평가하고 마지막으로 개별 계정에 적용되는 규칙을 평가합니다. 조직 수준의 규칙은 조직에 필요한 기본 원격 분석을 제공합니다. OU 및 계정 수준의 규칙은 추가 원격 분석 데이터를 수집할 수 있지만 더 적은 원격 분석 데이터는 수집할 수 없습니다. 이러한 규칙이 생성되면 규칙 충돌이 발생합니다.

각 범위(조직, OU 또는 계정) 내에서 규칙은 리소스 유형, 원격 분석 유형 및 대상 구성에 따라 고유성을 유지해야 합니다. 중복 규칙은 충돌 예외를 트리거합니다. CloudWatch로의 VPC 흐름 로그에 대한 조직 수준 규칙 및 VPC 흐름 로그에 대한 OU 수준 규칙과 같이 동일한 규칙이 서로 다른 범위에 있는 경우 계층 구조에서 더 높은 규칙이 적용됩니다. 그러나 충돌하는 규칙이 여러 개인 경우 어떤 규칙도 적용되지 않습니다.

VPC 흐름 로그의 경우 원격 분석 구성은 규칙 범위와 일치하는 리소스에 대한 새 흐름 로그만 생성합니다. 현재 규칙 파라미터와 다르더라도 이전에 설정된 VPC 흐름 로그를 삭제하거나 이에 영향을 주지 않습니다. CloudWatch Logs의 경우 기존 로그 그룹이 리소스 패턴과 일치하면 기존 로그 그룹이 유지됩니다.

활성화 규칙을 업데이트하면 규칙과 일치하는 새 리소스만 업데이트된 구성을 채택하고 기존 원격 분석 설정은 기존 리소스에 대해 변경되지 않은 상태로 유지됩니다. 원격 분석 데이터의 수동 삭제로 인해 리소스가 기존 규칙을 준수하지 않는 경우 리소스가 다시 규정 준수 상태가 되면 새 활성화 규칙이 채택됩니다.

원격 분석 활성화 규칙 생성

원격 분석 활성화 규칙을 생성하는 경우 다음을 지정합니다.

  • 규칙 범위(조직, 조직 단위 또는 계정)

  • 규칙이 적용되는 리소스 유형

  • 활성화하려는 원격 분석 유형(지표, 로그 또는 트레이스)

  • 규칙이 영향을 미치는 리소스를 필터링하는 태그(선택 사항)

원격 분석 활성화 규칙을 생성하는 방법

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 원격 측정 구성을 선택합니다.

  3. 활성화 규칙 탭을 선택하세요.

  4. 규칙 추가를 선택합니다.

  5. 규칙 이름에 규칙의 이름을 입력합니다.

  6. 규칙 범위에서 다음 중 하나를 선택하세요.

    • 조직 - 규칙이 전체 AWS Organizations에 적용됨

    • 조직 단위 - 규칙이 특정 OU에 적용됨

    • 계정 - 규칙이 단일 계정에 적용됨

  7. 데이터 소스에서 구성할 AWS 서비스를 선택하세요.

  8. 원격 분석 유형에서 활성화할 원격 분석 유형을 선택하세요.

  9. 선택 사항: 태그를 추가하여 규칙이 영향을 미치는 리소스를 필터링하세요.

  10. 규칙 생성을 선택합니다.

원격 분석 규칙 관리

규칙을 생성한 후 규칙을 편집하거나 삭제할 수 있습니다. 각 규칙이 영향을 미치는 리소스를 보고 규칙 규정 준수를 모니터링할 수도 있습니다.

기존 규칙을 관리하는 방법

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 원격 측정 구성을 선택합니다.

  3. 활성화 규칙 탭을 선택하세요.

  4. 규칙을 선택하여 세부 정보를 보거나 다음 작업 중 하나를 선택하세요.

    • 편집 - 규칙 설정 수정

    • 삭제 - 규칙 제거

원격 분석 구성 문제 해결

이 섹션에서는 원격 분석 구성을 사용할 때 발생할 수 있는 일반적인 문제와 이를 해결하는 방법을 설명합니다.

규칙 충돌 및 해결

동일한 리소스에 여러 규칙이 적용되는 경우 원격 분석 구성은 다음 우선순위를 사용하여 충돌을 해결합니다.

  1. 조직 수준 규칙이 계정 수준 규칙보다 우선함

  2. 일반적인 규칙보다 더 구체적인 태그 일치가 우선함

  3. 충돌하는 규칙이 여러 개이고 어떤 규칙도 적용되지 않는 경우 먼저 충돌을 해결해야 합니다.

일반적인 문제

리소스가 검색에 나타나지 않음

다음을 확인합니다.

  • 리소스 유형이 지원됨

  • AWS Config 레코더가 활성화됨

  • 적절한 IAM 권한이 있음

규칙이 자동으로 적용되지 않음

다음을 확인합니다.

  • 규칙 범위 구성

  • 태그 필터

서비스별 고려 사항

Amazon VPC 흐름 로그

흐름 로그를 생성하는 경우:

  • 아무것도 지정되지 않은 경우 기본 패턴 /aws/vpc/vpc-id 사용

  • 고객이 생성한 기존 흐름 로그가 유지됨

  • 규칙 업데이트는 새 흐름 로그에만 영향을 줌