기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 용 적합성 팩의 사전 조건 AWS Config
적합성 팩을 배포하기 전에 AWS Config 기록을 켭니다.
**Topics**
+ [1단계: AWS Config 레코딩 시작](#cpack-prerequisites-config-recording)
+ [2단계: 적합성 팩 유형별 추가 전제 조건](#cpack-prerequisites-config-recording)
## 1단계: AWS Config 레코딩 시작(모든 적합성 팩에 필수)
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/config/home](https://console.aws.amazon.com/config/home) AWS Config 콘솔을 엽니다.
1. 탐색 창에서 **설정**을 선택합니다.
1. 기록을 시작하려면 **기록 꺼짐**에서 **켜기**를 선택합니다. 메시지가 나타나면 **계속**을 선택합니다.
## 2단계: 적합성 팩 유형별 추가 전제 조건
### A. 문제 해결이 포함된 적합성 팩을 사용하기 위한 전제 조건
문제 해결이 포함된 샘플 템플릿을 사용하여 적합성 팩을 배포하기 전에 문제 해결 대상에 따라 자동화 수임 역할 및 기타 리소스와 같은 적절한 AWS 리소스를 생성해야 합니다.
SSM 문서를 사용하여 문제 해결에 사용하는 기존 자동화 역할이 있는 경우 해당 역할의 ARN을 직접 제공할 수 있습니다. 리소스가 있는 경우 템플릿에 해당 리소스를 제공할 수 있습니다.
**참고**
문제 해결이 포함된 적합성 팩을 조직에 배포할 때는 조직의 관리 계정 ID를 지정해야 합니다. 그렇지 않으면 조직 적합성 팩을 배포하는 동안 AWS Config 가 자동으로 관리 계정 ID를 멤버 계정 ID로 바꿉니다.
AWS Config 는 자동화 실행 역할 또는에 대한 CloudFormation 내장 함수를 지원하지 않습니다`ConfigRuleName`. 역할의 정확한 ARN을 문자열로 제공해야 하며 내장 함수 없이 전체 규칙 이름을 사용해야 합니다.
정확한 ARN을 전달하는 방법에 대한 자세한 내용은 [에 대한 적합성 팩 샘플 템플릿 AWS Config](conformancepack-sample-templates.md) 섹션을 참조하세요. 예제 템플릿을 사용하는 동안 조직의 계정 ID 및 관리 계정 ID를 업데이트합니다.
### B. 하나 이상의 사용자 지정 AWS Config 규칙과 함께 적합성 팩을 사용하기 위한 사전 조건
하나 이상의 사용자 지정 AWS Config 규칙을 사용하여 적합성 팩을 배포하기 전에 AWS Lambda 함수 및 해당 실행 역할과 같은 적절한 리소스를 생성합니다.
기존 사용자 지정 AWS Config 규칙이 있는 경우 AWS Lambda 함수`ARN`의를 직접 제공하여 해당 사용자 지정 규칙의 다른 인스턴스를 팩의 일부로 생성할 수 있습니다.
기존 사용자 지정 AWS Config 규칙이 없는 경우 AWS Lambda 함수를 생성하고 Lambda 함수의 ARN을 사용할 수 있습니다. 자세한 내용은 [AWS Config 사용자 지정 규칙](evaluate-config_develop-rules.md) 단원을 참조하십시오.
AWS Lambda 함수가 다른에 있는 경우 적절한 교차 계정 AWS Lambda 함수 권한 부여를 사용하여 AWS Config 규칙을 생성할 AWS 계정수 있습니다. 자세한 내용은 여러 블로그 게시물[에서 AWS Config 규칙을 중앙에서 관리하는 방법을 참조하세요 AWS 계정](https://aws.amazon.com/blogs/devops/how-to-centrally-manage-aws-config-rules-across-multiple-aws-accounts/).
------
#### [ Same account bucket policy ]
적합성 팩 아티팩트를 저장할 수 AWS Config 있으려면 Amazon S3 버킷을 제공하고 다음 권한을 추가해야 합니다. 버킷 이름 지정에 대한 자세한 내용은 [버킷 이름 지정 규칙](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html)을 참조하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSConfigConformsBucketPermissionsCheck",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
]
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::delivery-bucket-name"
},
{
"Sid": "AWSConfigConformsBucketDelivery",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
]
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::delivery-bucket-name/[optional] prefix/AWSLogs/AccountId/Config/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
}
]
}
```
------
------
#### [ Cross-account bucket policy ]
적합성 팩 아티팩트를 저장할 수 AWS Config 있으려면 Amazon S3 버킷을 제공하고 다음 권한을 추가해야 합니다. 버킷 이름 지정에 대한 자세한 내용은 [버킷 이름 지정 규칙](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html)을 참조하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSConfigConformsBucketPermissionsCheck",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms",
"PutConformancePack API caller user principal like arn:aws:iam::SourceAccountId:user/userName "
]
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name"
},
{
"Sid": "AWSConfigConformsBucketDelivery",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
]
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name/[optional] prefix/AWSLogs/AccountID/Config/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
},
{
"Sid": " AWSConfigConformsBucketReadAccess",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
]
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name/[optional] prefix/AWSLogs/AccountID/Config/*"
}
]
}
```
------
**참고**
교차 계정 적합성 팩을 배포할 때 전송 Amazon S3 버킷의 이름은 `awsconfigconforms`로 시작해야 합니다.
------
### C. 조직 적합성 팩의 전제 조건
입력 템플릿에 자동 문제 해결 구성이 있는 경우 템플릿에서 문제 해결에 대한 자동화 실행 역할 ARN을 지정합니다. 지정된 이름의 역할이 조직의 모든 계정(관리 및 멤버)에 존재하는지 확인합니다. `PutOrganizationConformancePack`을 호출하기 전에 모든 계정에서 이 역할을 만들어야 합니다. 이 역할을 수동으로 생성하거나 AWS CloudFormation 스택 세트를 사용하여 모든 계정에서이 역할을 생성할 수 있습니다.
템플릿이 AWS CloudFormation 내장 함수 `[Fn::ImportValue](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/intrinsic-function-reference-importvalue.html)`를 사용하여 특정 변수를 가져오는 경우 해당 변수는 해당 조직의 모든 멤버 계정에서 `[Export Value](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/outputs-section-structure.html)` 로 정의되어야 합니다.
사용자 지정 AWS Config 규칙은 [여러 블로그에서 AWS Config 규칙을 중앙에서 관리하여 적절한 권한을 설정하는 방법을 AWS 계정](https://aws.amazon.com/blogs/devops/how-to-centrally-manage-aws-config-rules-across-multiple-aws-accounts/) 참조하세요.
**조직 버킷 정책:**
적합성 팩 아티팩트를 저장할 수 AWS Config 있으려면 Amazon S3 버킷을 제공하고 다음 권한을 추가해야 합니다. 버킷 이름 지정에 대한 자세한 내용은 [버킷 이름 지정 규칙](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html)을 참조하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowGetObject",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name/*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "customer_org_id"
},
"ArnLike": {
"aws:PrincipalArn": "arn:aws:iam::*:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
}
}
},
{
"Sid": "AllowGetBucketAcl",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "customer_org_id"
},
"ArnLike": {
"aws:PrincipalArn": "arn:aws:iam::*:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
}
}
}
]
}
```
------
**참고**
조직에 적합성 팩을 배포할 때 전송 Amazon S3 버킷의 이름은 `awsconfigconforms`로 시작해야 합니다.