AWS Config 구성 및 규정 준수 데이터를 수집할 수 있도록 계정에 권한 부여
승인은 애그리게이터 계정 및 리전이 AWS Config 구성 및 규정 준수 데이터를 수집할 수 있도록 부여한 권한을 의미합니다. AWS Organizations를 구성하는 소스 계정을 집계하는 경우에는 권한 부여가 필요하지 않습니다. AWS Config 콘솔 또는 AWS CLI를 사용하여 애그리게이터 계정을 승인할 수 있습니다.
고려 사항
애그리게이터는 개별 계정 애그리게이터와 조직 애그리게이터라는 두 가지 유형이 있습니다
개별 계정 애그리게이터의 경우 외부 계정과 리전, 조직 멤버 계정과 리전 양쪽 모두를 비롯하여, 포함하려는 모든 소스 계정과 리전에 대한 권한 부여가 필요합니다.
조직 애그리게이터의 경우 권한 부여가 AWS Organizations 서비스와 통합되어 있으므로, 조직 멤버 계정 리전에 대한 권한 부여는 필요하지 않습니다.
애그리게이터가 사용자를 대신하여 AWS Config를 자동으로 활성화하지는 않습니다.
소스 계정 및 리전에서 AWS Config 데이터를 생성하려면 두 가지 유형의 애그리게이터 중 하나에 대해 소스 계정 및 리전에서 AWS Config를 활성화해야 합니다.
권한 부여 추가
- Adding Authorization (Console)
-
애그리게이터 계정 및 리전이 AWS Config 구성 및 규정 준수 데이터를 수집할 수 있는 권한을 허여하는 권한 부여를 추가할 수 있습니다.
AWS Management 콘솔에 로그인하고 https://console.aws.amazon.com/config/home에서 AWS Config 콘솔을 엽니다.
-
권한 부여 페이지로 이동하여 권한 추가를 선택합니다.
-
애그리게이터 계정에 애그리게이터 계정의 12자리 계정 ID를 입력합니다.
-
애그리게이터 리전의 경우, 애그리게이터 계정이 AWS Config 구성 및 규정 준수 데이터를 수집하도록 허용되는 AWS 리전를 선택합니다.
-
권한 부여를 선택하여 선택 사항을 확인합니다.
AWS Config가 애그리게이터 계정, 리전, 권한 부여 상태를 표시합니다.
- Authorizing a Pending Request (Console)
-
기존 애그리게이터 계정의 권한 부여 요청이 보류 중인 경우 권한 부여 페이지에 요청 상태가 표시됩니다. 이 페이지에서 보류 상태의 요청을 승인할 수 있습니다.
-
권한을 부여하려는 애그리게이터 계정을 선택한 다음, 권한 부여를 선택합니다.
이 계정에서 AWS Config 데이터를 수집할 권한을 애그리게이터 계정에 부여하는 것을 확인하라는 확인 메시지가 표시됩니다.
-
권한 부여를 다시 선택하여 애그리게이터 계정에 권한을 부여할 것인지 확인합니다.
권한 상태가 권한 요청에서 권한 있음으로 바뀝니다.
권한 부여 승인 기간
개별 계정 애그리게이터에 소스 계정을 추가하려면 권한 부여 승인이 필요합니다. 보류 중인 권한 보유 승인 요청은 개별 계정 애그리게이터가 소스 계정을 추가한 후 7일 동안 제공됩니다.
- Adding Authorization (AWS CLI)
-
-
명령 프롬프트 또는 터미널 창을 엽니다.
-
다음 명령을 입력합니다.
aws configservice put-aggregation-authorization --authorized-account-id AccountID --authorized-aws-region Region
-
다음과 유사한 출력 화면이 표시되어야 합니다.
{
"AggregationAuthorization": {
"AuthorizedAccountId": "AccountID",
"AggregationAuthorizationArn": "arn:aws:config:Region:AccountID:aggregation-authorization/AccountID/Region",
"CreationTime": 1518116709.993,
"AuthorizedAwsRegion": "Region"
}
}
