AWS Config 수동 설정
시작하기 워크플로를 사용하면 설치 프로세스의 모든 수동 선택 과정을 거쳐 AWS Config 콘솔을 시작할 수 있습니다. 간소화된 시작 프로세스는 원클릭 설정을 참조하세요.
시작하기를 사용하여 콘솔에서 AWS Config를 설정하려면
AWS Management 콘솔에 로그인하고 https://console.aws.amazon.com/config/home
에서 AWS Config 콘솔을 엽니다. -
Get started를 선택합니다.
설정 페이지에는 세 단계가 있습니다. 다음은 시작하기를 선택한 후의 절차에 대한 세부 설명입니다.
-
설정: AWS Config 콘솔이 리소스 및 역할을 기록하는 방식을 선택하고 구성 이력 및 구성 스냅샷 파일을 보낼 위치를 선택합니다.
-
규칙: AWS 리전 규칙을 지원하는 AWS Config에서는 이 단계에서 계정에 추가할 수 있는 초기 관리형 규칙을 구성할 수 있습니다. 설정을 마치면 AWS Config는 사용자가 선택한 규칙에 따라 AWS 리소스를 평가합니다. 설정 후 계정에서 추가 규칙을 생성하고 기존 규칙을 업데이트할 수 있습니다.
-
검토: 설정 세부 정보를 확인합니다.
1단계: 설정
기록 전략
기록 방법 섹션에서 기록 전략을 선택합니다. AWS Config로 기록할 AWS 리소스를 지정할 수 있습니다.
리소스 기록 시 고려 사항
높은 AWS Config 평가 횟수
AWS Config를 사용하여 기록하는 첫 달 동안 다음 달과 비교했을 때 계정 활동이 증가하는 것을 볼 수 있습니다. 초기 부트스트래핑 프로세스 중에 AWS Config는 사용자가 AWS Config에서 기록하도록 선택한 계정 내 모든 리소스에 대한 평가를 실행합니다.
임시 워크로드를 실행 중인 경우 AWS Config가 이러한 임시 리소스의 생성 및 삭제와 관련된 구성 변경을 기록하므로 활동이 증가할 수 있습니다. 임시 워크로드는 컴퓨팅 리소스를 필요할 때 로드 및 실행하는 일시적 사용입니다. 대표적인 예는 Amazon Elastic Compute Cloud(Amazon EC2) 스팟 인스턴스, Amazon EMR 작업, AWS Auto Scaling이 있습니다. 임시 워크로드 실행으로 인한 활동 증가를 방지하려면 구성 레코더가 이러한 리소스 유형을 기록하지 않도록 설정하거나 AWS Config가 비활성화된 별도의 계정에서 이러한 유형의 워크로드를 실행하여 구성 기록 및 규칙 평가가 증가하지 않도록 할 수 있습니다.
데이터 거버넌스
-
데이터 보존 기간에 AWS Config 데이터를 7년(2,557) 동안 유지하는 기본 보존 기간을 선택하거나 AWS Config에서 기록한 항목에 대한 사용자 지정 보존 기간을 설정합니다.
AWS Config에서는
ConfigurationItems에 대한 보존 기간을 지정하여 데이터를 삭제할 수 있습니다. 보존 기간을 지정하면, AWS Config는 이 지정된 기간 동안ConfigurationItems을 유지합니다. 최소 30일에서 최대 7년(2557일)까지 기간을 설정할 수 있습니다. AWS Config는 지정된 보존 기간 보다 오래된 데이터를 삭제합니다. -
AWS Config를 위한 IAM 역할에서 기존 AWS Config 서비스 연결 역할을 선택하거나 계정의 IAM 역할을 선택합니다.
-
서비스 연결 역할은 AWS Config에서 사전 정의하며 서비스에서 다른 AWS 서비스를 직접적으로 호출하기 위해 필요한 모든 권한을 포함합니다.
참고
권장 사항: 서비스 연결 역할 사용
서비스 연결 역할을 사용하는 것이 좋습니다. 서비스 연결 역할은 AWS Config을 예상대로 실행하는 데 필요한 모든 권한을 추가합니다.
-
또는 기존 역할 및 권한 정책 중 하나에서 IAM 역할을 선택합니다.
참고
정책 및 규정 준수 결과
IAM 정책 및 AWS Organizations에서 관리되는 기타 정책은 AWS Config에 리소스에 대한 구성 변경을 기록할 권한이 있는지 여부에 영향을 미칠 수 있습니다. 또한 규칙은 리소스의 구성을 직접 평가하며, 규칙은 평가를 실행할 때 이러한 정책을 고려하지 않습니다. 적용 중인 정책이 AWS Config 사용 의도와 일치하는지 확인합니다.
IAM 역할 재사용 시 최소 권한 유지
AWS Config를 사용하는 AWS 서비스(예: AWS Security Hub CSPM 또는 AWS Control Tower)를 사용하고 이미 IAM 역할을 생성한 경우, AWS Config 설정 시 사용하는 IAM 역할이 이미 생성된 IAM 역할과 동일한 최소 권한을 유지하는지 확인하세요. 그래야 다른 AWS 서비스가 예상대로 계속 실행될 수 있습니다.
예를 들어, AWS Control Tower에 AWS Config가 S3 객체를 읽을 수 있는 IAM 역할이 있는 경우 AWS Config 설정 시 사용하는 IAM 역할에 동일한 권한이 부여되도록 해야 합니다. 그렇지 않으면 AWS Control Tower 운영에 방해가 될 수 있습니다.
-
전달 방법
-
전달 방법에서 AWS Config가 구성 이력 및 구성 스냅샷 파일을 보낼 S3 버킷을 선택합니다.
-
버킷 생성 - S3 버킷 이름에 S3 버킷의 이름을 입력합니다.
입력하는 이름은 Amazon S3에 있는 기존 버킷 이름을 모두 통틀어 고유해야 합니다. 고유성을 유지하기 위한 한 가지 방법은 접두사(예: 조직 이름)를 포함시키는 것입니다. 버킷을 만든 후에는 버킷 이름을 변경할 수 없습니다. 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 버킷 규제 및 제한을 참조하세요.
-
계정에서 버킷 선택 - S3 버킷 이름에서 선호하는 버킷을 선택합니다.
-
다른 계정에서 버킷 선택 - S3 버킷 이름에 버킷 이름을 입력합니다.
참고
버킷 권한
다른 계정에서 버킷을 선택하는 경우, 해당 버킷에 AWS Config에 액세스 권한을 부여하는 정책이 있어야 합니다. 자세한 내용은 AWS Config 전송 채널용 Amazon S3 버킷에 대한 권한 섹션을 참조하세요.
-
-
Amazon SNS 주제에서 AWS Config가 구성 이력 전송, 구성 스냅샷 전송, 규정 준수 상태와 같은 알림을 보내도록 하려면 구성 변경 및 알림을 Amazon SNS 주제에 스트리밍을 선택합니다.
-
AWS Config가 Amazon SNS 주제로 스트리밍하도록 선택한 경우, 대상 주제를 선택합니다.
-
주제 생성 - 주제 이름에 SNS 주제의 이름을 입력합니다.
-
계정에서 주제 선택 - 주제 이름에서 원하는 주제를 선택합니다.
-
다른 계정에서 주제 선택 - 주제 ARN에 주제의 Amazon 리소스 이름(ARN)을 입력합니다. 다른 계정에서 주제를 선택하는 경우, 해당 주제에 AWS Config에 액세스 권한을 부여하는 정책이 있어야 합니다. 자세한 내용은 Amazon SNS 주제에 대한 권한 섹션을 참조하세요.
참고
Amazon SNS 주제의 리전
Amazon SNS 주제는 AWS Config를 설정하는 리전과 동일한 리전에 있어야 합니다.
-
2단계: 규칙
규칙을 지원하는 리전에서 AWS Config를 설정하는 경우, 다음을 선택합니다.
3단계: 검토
AWS Config 설정 세부 정보를 검토합니다. 돌아가서 각 섹션을 편집할 수 있습니다. AWS Config 설정을 완료하려면 확인을 선택합니다.
자세한 정보
계정에서 기존 리소스를 검색하고 리소스 구성을 파악하는 방법에 대한 자세한 내용은 리소스 검색, 규정 준수 정보 보기 및 규정 준수 기록 보기를 참조하세요.
Amazon Simple Queue Service를 사용하여 AWS 리소스를 프로그래밍 방식으로 모니터링할 수도 있습니다. 자세한 내용은 Amazon SQS를 사용하여 AWS 리소스 변경 사항 모니터링 섹션을 참조하세요.
