원격 분석 활성화 규칙 작업 - Amazon CloudWatch
AWS Config와 활성화 규칙 통합활성화 규칙 동작 이해원격 분석 활성화 규칙 생성원격 분석 규칙 관리원격 분석 구성 문제 해결

원격 분석 활성화 규칙 작업

원격 분석 활성화 규칙을 생성하여 AWS 리소스에 대한 원격 분석 수집을 자동으로 구성할 수 있습니다. 규칙은 조직 또는 계정 전체에서 원격 분석 수집을 표준화하고 일관된 모니터링 범위를 보장하는 데 도움이 됩니다.

AWS Config와 활성화 규칙 통합

CloudWatch 원격 분석 감사 및 구성은 AWS Config와 통합되어 활성화 규칙과 일치하는 리소스를 자동으로 검색하고 원격 분석 데이터 수집에 적용합니다. 활성화 규칙을 생성하면 원격 분석 구성이 해당 AWS Config 레코더를 생성합니다. 이 레코더에는 활성화 규칙에서 정의한 특정 리소스 유형에 대한 구성 항목이 포함됩니다.

Amazon CloudWatch에서는 AWS Config 내부 서비스 연결 레코더를 사용합니다. CloudWatch가 내부 서비스 연결 레코더의 일부로 사용하는 CI에 대해서는 요금이 부과되지 않습니다.

참고

사용자가 활성화 규칙을 생성할 경우, 활성화 규칙 범위에 따라 규정 미준수 리소스가 활성화되기 전에 AWS Config 구성 항목(CI)을 통해 규정 미준수 리소스(원격 분석이 활성화되지 않은 리소스)가 검색됩니다. 경우에 따라 리소스의 최초 검색을 완료하는 데 최대 24시간 정도 걸릴 수 있습니다.

원격 분석 구성은 AWS Config를 사용하여 다음을 수행합니다.

  • 조직 또는 계정 전체에서 리소스 검색

  • 원격 분석 구성 변경 추적

활성화 규칙 동작 이해

원격 분석 구성은 규칙을 평가하고 적용할 때 특정 패턴을 따릅니다.

활성화 규칙은 계층적 패턴에 따라 평가됩니다. 조직 규칙을 먼저 평가한 다음 조직 단위(OU)에 적용되는 규칙을 평가하고 마지막으로 개별 계정에 적용되는 규칙을 평가합니다. 조직 수준의 규칙은 조직에 필요한 기본 원격 분석을 제공합니다. OU 및 계정 수준의 규칙은 추가 원격 분석 데이터를 수집할 수 있지만 더 적은 원격 분석 데이터는 수집할 수 없습니다. 이러한 규칙이 생성되면 규칙 충돌이 발생합니다.

각 범위(조직, OU 또는 계정) 내에서 규칙은 리소스 유형, 원격 분석 유형 및 대상 구성에 따라 고유성을 유지해야 합니다. 중복 규칙은 충돌 예외를 트리거합니다. CloudWatch로의 VPC 흐름 로그에 대한 조직 수준 규칙 및 VPC 흐름 로그에 대한 OU 수준 규칙과 같이 동일한 규칙이 서로 다른 범위에 있는 경우 계층 구조에서 더 높은 규칙이 적용됩니다. 그러나 충돌하는 규칙이 여러 개인 경우 어떤 규칙도 적용되지 않습니다.

VPC 흐름 로그의 경우 원격 분석 구성은 규칙 범위와 일치하는 리소스에 대한 새 흐름 로그만 생성합니다. 현재 규칙 파라미터와 다르더라도 이전에 설정된 VPC 흐름 로그를 삭제하거나 이에 영향을 주지 않습니다. CloudWatch Logs의 경우 기존 로그 그룹이 리소스 패턴과 일치하면 기존 로그 그룹이 유지됩니다.

활성화 규칙을 업데이트하면 규칙과 일치하는 새 리소스만 업데이트된 구성을 채택하고 기존 원격 분석 설정은 기존 리소스에 대해 변경되지 않은 상태로 유지됩니다. 원격 분석 데이터의 수동 삭제로 인해 리소스가 기존 규칙을 준수하지 않는 경우 리소스가 다시 규정 준수 상태가 되면 새 활성화 규칙이 채택됩니다.

원격 분석 활성화 규칙 생성

원격 분석 활성화 규칙을 생성하는 경우 다음을 지정합니다.

  • 규칙 범위(조직, 조직 단위 또는 계정)

  • 규칙이 적용되는 리소스 유형

  • 활성화하려는 원격 분석 유형(지표, 로그 또는 트레이스)

  • 규칙이 영향을 미치는 리소스를 필터링하는 태그(선택 사항)

원격 분석 활성화 규칙을 생성하는 방법

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 원격 측정 구성을 선택합니다.

  3. 활성화 규칙 탭을 선택하세요.

  4. 규칙 추가를 선택합니다.

  5. 규칙 이름에 규칙의 이름을 입력합니다.

  6. 규칙 범위에서 다음 중 하나를 선택하세요.

    • 조직 - 규칙이 전체 AWS Organizations에 적용됨

    • 조직 단위 - 규칙이 특정 OU에 적용됨

    • 계정 - 규칙이 단일 계정에 적용됨

  7. 데이터 소스에서 구성할 AWS 서비스를 선택하세요.

  8. 원격 분석 유형에서 활성화할 원격 분석 유형을 선택하세요.

  9. 선택 사항: 태그를 추가하여 규칙이 영향을 미치는 리소스를 필터링하세요.

  10. 규칙 생성을 선택합니다.

원격 분석 규칙 관리

규칙을 생성한 후 규칙을 편집하거나 삭제할 수 있습니다. 각 규칙이 영향을 미치는 리소스를 보고 규칙 규정 준수를 모니터링할 수도 있습니다.

기존 규칙을 관리하는 방법

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 원격 측정 구성을 선택합니다.

  3. 활성화 규칙 탭을 선택하세요.

  4. 규칙을 선택하여 세부 정보를 보거나 다음 작업 중 하나를 선택하세요.

    • 편집 - 규칙 설정 수정

    • 삭제 - 규칙 제거

원격 분석 구성 문제 해결

이 섹션에서는 원격 분석 구성을 사용할 때 발생할 수 있는 일반적인 문제와 이를 해결하는 방법을 설명합니다.

규칙 충돌 및 해결

동일한 리소스에 여러 규칙이 적용되는 경우 원격 분석 구성은 다음 우선순위를 사용하여 충돌을 해결합니다.

  1. 조직 수준 규칙이 계정 수준 규칙보다 우선함

  2. 일반적인 규칙보다 더 구체적인 태그 일치가 우선함

  3. 충돌하는 규칙이 여러 개이고 어떤 규칙도 적용되지 않는 경우 먼저 충돌을 해결해야 합니다.

일반적인 문제

리소스가 검색에 나타나지 않음

다음을 확인합니다.

  • 리소스 유형이 지원됨

  • AWS Config 레코더가 활성화됨

  • 적절한 IAM 권한이 있음

규칙이 자동으로 적용되지 않음

다음을 확인합니다.

  • 규칙 범위 구성

  • 태그 필터

참고

사용자가 활성화 규칙을 생성할 경우, 활성화 규칙 범위에 따라 규정 미준수 리소스가 활성화되기 전에 AWS Config 구성 항목(CI)을 통해 규정 미준수 리소스(원격 분석이 활성화되지 않은 리소스)가 검색됩니다. 경우에 따라 리소스의 최초 검색을 완료하는 데 최대 24시간 정도 걸릴 수 있습니다.

서비스별 고려 사항

Amazon VPC 흐름 로그

흐름 로그를 생성하는 경우:

  • 아무것도 지정되지 않은 경우 기본 패턴 /aws/vpc/vpc-id 사용

  • 고객이 생성한 기존 흐름 로그가 유지됨

  • 규칙 업데이트는 새 흐름 로그에만 영향을 줌

  • <vpc-id>, <account-id> 매크로를 사용하여 로그 그룹을 분할할 수 있습니다.

  • CloudWatch에서는 이미 로그를 CloudWatch Logs에 수집 중인 VPC에 대해서는 흐름 로그를 생성하지 않습니다.

Amazon EKS 컨트롤 플레인 로깅

컨트롤 플레인 로깅을 활성화할 경우:

  • 기본 CloudWatch 로그 그룹 패턴인 /aws/eks/<cluster-name>/cluster를 사용합니다. Amazon EKS는 클러스터당 로그 그룹을 자동으로 생성합니다.

  • 규칙 업데이트는 새 클러스터 또는 범위가 지정된 로그 유형이 활성화되지 않은 클러스터에만 영향을 미칩니다.

  • api, audit, authenticator, controllerManager, scheduler 등 특정 로그 유형을 활성화할 수 있습니다.

AWS WAF 웹 ACL 로그

WAF 로그를 생성할 경우:

  • 기본 CloudWatch 로그 그룹 패턴을 사용하고 항상 접두사에 aws-waf-logs-를 추가합니다.

  • 규칙 업데이트는 CloudWatch Logs에 대한 로깅이 활성화되지 않은 새로운 웹 ACL 또는 기존 웹 ACL에만 영향을 미칩니다.

  • CloudWatch에서는 이미 로그를 CloudWatch Logs에 수집 중인 웹 ACL에 대해서는 로그를 활성화하지 않습니다.

Amazon Route 53 Resolver 로그

리졸버 쿼리 로깅을 활성화할 경우:

  • 지정되지 않은 경우 기본 CloudWatch 로그 그룹 패턴인 /aws/route53resolver를 사용합니다.

  • CloudWatch에서는 이미 로그를 CloudWatch Logs에 수집 중인 VPC에 대해서는 리졸버 쿼리 로그를 생성하지 않습니다.

  • 활성화 규칙은 규칙 범위에 따라 VPC에 대한 Route 53 쿼리 로깅을 구성합니다. CloudWatch에서는 Route 53 프로필 및 관련 구성을 검색하지 않습니다.

NLB 액세스 로그

액세스 로그를 활성화할 경우:

  • 지정되지 않은 경우 접두사 /aws/nlb/access-logs와 함께 기본 CloudWatch 로그 그룹 패턴을 사용합니다.

  • CloudWatch에서는 이미 로그를 CloudWatch Logs에 수집 중인 NLB에 대해서는 로그 전달을 활성화하지 않습니다.

Amazon Bedrock AgentCore 원격 분석

  • 런타임, 브라우저 도구, Code Interpreter 도구 등 사용 가능한 모든 Bedrock AgentCore 기본 요소에서 내보낸 로그와 트레이스를 둘 다 활성화합니다. 원격 분석 구성 콘솔 환경에 따라 로그 전달 규칙을 생성한 다음, 트레이스 전달 규칙을 생성합니다.

  • 트레이스 전달 규칙을 생성하면 트랜잭션 검색이 활성화되며, CloudWatch X-Ray가 상관관계가 있는 트레이스를 계정의 관리형 로그 그룹에 전송할 수 있도록 추가 권한 정책이 생성됩니다. 또한 현재 및 새로운 Bedrock AgentCore 기본 요소가 계정에 트레이스를 전달할 수 있도록 X-Ray 리소스 정책이 생성됩니다.

서비스 연결 채널을 사용하는 CloudTrail 로그

SLC 경로를 사용하여 CloudTrail 로그를 활성화할 경우:

  • 관리형 CloudWatch 로그 그룹 aws/cloudtrail/<event-types> 사용

  • 고객이 생성한 기존 CloudTrail 트레일 전달 구성은 보존됩니다.

  • CloudWatch 활성화 규칙은 서비스 연결 채널만 사용하여 로그를 수집합니다.

  • 이벤트는 로그 그룹에 대해 구성된 보존 기간을 사용합니다.

  • CloudTrail 이벤트의 경우, 활성화 마법사를 진행하는 동안 CloudWatch에 수집할 이벤트 유형을 하나 이상 선택할 수 있습니다.

  • 이벤트가 지연된 상태로 전달되고(부가 사유가 DELIVERY_DELAY로 표시됨) 이전에 더 짧은 보존 기간을 구성한 경우, 지연된 이벤트는 더 짧은 보존 기간 동안만 사용할 수 있습니다.

  • 중요: 다중 리전 배포의 경우: CloudWatch 활성화 규칙은 AWS 리전마다 별도의 구성이 필요하며 일부 리전에서는 아직 사용할 수 없습니다. 포괄적인 다중 리전 적용 범위를 위해서는 리전 가용성이 확장될 때까지 CloudTrail 트레일을 계속 사용하여 CloudWatch에 이벤트를 전송하는 것이 좋습니다.