AWS Config를 사용한 AWS 리소스 레코딩
AWS Config이 지원되는 리소스 유형의 생성, 변경 또는 삭제되는 경우를 지속적으로 감지합니다. AWS Config는 이러한 이벤트를 구성 항목(CI)으로 기록합니다.
지원되는 모든 리소스 유형에 대한 구성 변경을 기록하거나 지원되는 리소스 유형 중 관련이 있는 유형에 대한 구성 변경만 기록하도록 AWS Config를 사용자 지정할 수 있습니다. AWS Config가 기록할 수 있는 리소스 유형의 목록은 AWS Config에 대해 지원되는 리소스 유형 섹션을 참조하세요.
고려 사항
높은 AWS Config 평가 횟수
AWS Config를 사용하여 기록하는 첫 달 동안 다음 달과 비교했을 때 계정 활동이 증가하는 것을 볼 수 있습니다. 초기 부트스트래핑 프로세스 중에 AWS Config는 사용자가 AWS Config에서 기록하도록 선택한 계정 내 모든 리소스에 대한 평가를 실행합니다.
임시 워크로드를 실행 중인 경우 AWS Config가 이러한 임시 리소스의 생성 및 삭제와 관련된 구성 변경을 기록하므로 활동이 증가할 수 있습니다. 임시 워크로드는 컴퓨팅 리소스를 필요할 때 로드 및 실행하는 일시적 사용입니다. 대표적인 예는 Amazon Elastic Compute Cloud(Amazon EC2) 스팟 인스턴스, Amazon EMR 작업, AWS Auto Scaling이 있습니다.
임시 워크로드 실행으로 인한 활동 증가를 방지하려면 고객 관리형 구성 레코더가 이러한 리소스 유형을 기록하지 않도록 설정하거나 AWS Config가 비활성화된 별도의 계정에서 이러한 유형의 워크로드를 실행하여 구성 기록 및 규칙 평가가 증가하지 않도록 할 수 있습니다.
리전 가용성
AWS Config가 추적할 리소스 유형을 지정하기 전에 리전 가용성별 리소스 적용 범위를 확인하여 AWS Config를 설정한 AWS 리전에서 해당 리소스 유형이 지원되는지 확인하세요.
AWS Config가 특정 리소스 유형을 하나 이상의 리전에서 지원하는 경우, AWS Config를 설정한 AWS 리전에서 지정된 리소스 유형이 지원되지 않더라도 AWS Config가 지원하는 모든 리전에서 해당 리소스 유형의 기록을 활성화할 수 있습니다.
리전 리소스와 글로벌 리소스의 차이점
- 리전 리소스
-
리전 리소스는 한 리전에 한정되어 있으며 해당 리전에서만 사용할 수 있습니다. 리전 리소스를 지정된 AWS 리전에 생성하면 해당 리전에 존재하게 됩니다. 이러한 리소스를 보거나 해당 리소스와 상호 작용하려면 해당 리전으로 작업을 지시해야 합니다. 예를 들어 AWS Management 콘솔을 사용하여 Amazon EC2 인스턴스를 생성하려면 인스턴스를 생성할 AWS 리전을 선택합니다. AWS Command Line Interface(AWS CLI)를 사용하여 인스턴스를 생성하는 경우
--region파라미터를 포함해야 합니다. 각 AWS SDK에는 작업에 사용할 리전을 지정하는 자체 메커니즘이 있습니다.리전 리소스를 사용하는 데에는 여러 가지 이유가 있습니다. 한 가지 이유는 리소스와 리소스 액세스에 사용하는 서비스 엔드포인트가 고객과 가능한 한 가까운 곳에 위치하도록 보장하는 것입니다. 그러면 지연 시간이 최소화되어 성능이 향상됩니다. 또 다른 이유는 격리 경계를 제공하기 위해서입니다. 이를 통해 리소스의 독립적인 복사본을 여러 리전에 생성하여 부하를 분산하고 확장성을 개선할 수 있습니다. 동시에 리소스를 서로 분리하여 가용성을 높일 수 있습니다.
콘솔이나 AWS CLI 명령에서 서로 다른 AWS 리전을 지정하면 이전 리전에서 볼 수 있었던 리소스를 더 이상 보거나 해당 리소스와 상호작용할 수 없습니다.
리전 리소스의 Amazon 리소스 이름(ARN)을 보면 해당 리소스가 포함된 리전이 ARN의 네 번째 필드로 지정되어 있습니다. 예를 들어 Amazon EC2 인스턴스는 리전 리소스입니다. 다음은
us-east-1리전의 Amazon EC2 인스턴스에 대한 ARN의 예입니다.arn:aws:ec2:us-east-1:123456789012:instance/i-0a6f30921424d3eee - 글로벌 리소스
-
일부 AWS 서비스 리소스는 글로벌 리소스이므로 어디서나 리소스를 사용할 수 있습니다. 글로벌 서비스의 콘솔에서는 AWS 리전을 지정하지 않습니다. 글로벌 리소스에 액세스하려면 서비스의 AWS CLI 및 AWS SDK 작업을 사용할 때
--region파라미터를 지정하지 마세요.글로벌 리소스는 특정 리소스의 인스턴스가 한 번에 하나만 있어야 하는 경우를 지원합니다. 이러한 경우 서로 다른 리전에 있는 복사본 간 복제 또는 동기화는 바람직하지 않습니다. 단일 글로벌 엔드포인트에 액세스하는 것은 지연 시간이 늘어날 수는 있지만, 모든 변경 사항을 리소스 소비자에게 즉시 표시할 수 있다는 점에서 허용 가능한 것으로 간주됩니다.
예를 들어 Amazon Aurora 글로벌 클러스터(
AWS::RDS::GlobalCluster)는 글로벌 리소스이므로 특정 리전에 연결되지 않습니다. 즉, 리전 엔드포인트에 의존하지 않고도 글로벌 클러스터를 생성할 수 있습니다. 그러면 Amazon Relational Database Service(RDS) 자체는 리전별로 구성되어 있지만 글로벌 클러스터가 시작된 특정 지역은 글로벌 클러스터에 영향을 미치지 않는다는 이점이 있습니다. 따라서 모든 리전에서 하나의 연속적인 글로벌 네트워크로 나타납니다.글로벌 리소스의 Amazon 리소스 이름(ARN)에는 리전이 포함되지 않습니다. 아래의 글로벌 클러스터의 ARN 예에서 볼 수 있듯이 네 번째 필드는 비어 있습니다.
arn:aws:rds::123456789012:global-cluster:test-global-cluster중요
2022년 2월 이후에 AWS Config에 온보딩된 글로벌 리소스 유형은 상용 파티션의 경우 해당 서비스의 홈 리전에서만, GovCloud 파티션의 경우 AWS GovCloud(미국 서부)에서만 기록됩니다. 이러한 새로운 글로벌 리소스 유형에 대한 구성 항목(CI)은 해당 홈 리전과 AWS GovCloud(미국 서부)에서만 볼 수 있습니다.
2022년 2월 이전에 온보딩된 글로벌 리소스 유형(
AWS::IAM::Group,AWS::IAM::Policy,AWS::IAM::Role,AWS::IAM::User)은 변경되지 않습니다. 2022년 2월 이전에 AWS Config가 지원된 모든 리전에서 이러한 글로벌 IAM 리소스 기록을 활성화할 수 있습니다. 2022년 2월 이후에 AWS Config가 지원되는 리전에서는 글로벌 IAM 리소스 유형을 기록할 수 없습니다.- 글로벌 리소스 유형 | IAM 리소스
-
다음 IAM 리소스 유형도 글로벌 리소스입니다. IAM 사용자, 그룹, 역할 및 고객 관리형 정책. 2022년 2월 이전에 AWS Config를 사용할 수 있었던 리전에서는 AWS Config가 이러한 리소스 유형을 기록할 수 있습니다. 글로벌 IAM 리소스 유형을 기록할 수 없는 목록에 아시아 태평양(하이데라바드), 아시아 태평양(말레이시아), 아시아 태평양(멜버른), 아시아 태평양(태국), 캐나다 서부(캘거리) 유럽(스페인), 유럽(취리히), 이스라엘(텔아비브), 멕시코(중부) 및 중동(UAE) 리전은 포함되지 않습니다.
구성 항목(CI) 중복을 방지하려면 한 번에 지원되는 리전 중 하나에서만 글로벌 IAM 리소스 유형을 기록하는 것이 좋습니다. 또한 이를 통해 불필요한 평가 및 API 제한을 피할 수 있습니다.
- 글로벌 리소스 유형 | 홈 리전만 해당
-
Amazon Elastic Container Registry Public, AWS Global Accelerator, Amazon Route 53, Amazon CloudFront 및 AWS WAF 서비스의 글로벌 리소스는 해당 글로벌 리소스 유형의 홈 리전에서만 AWS Config에 의해 기록됩니다. 이러한 글로벌 리소스의 경우 리소스 유형의 동일한 인스턴스를 여러 AWS 리전에서 사용할 수 있지만 구성 항목(CI)은 상용 파티션의 경우 홈 리전에만, AWS GovCloud (US) 파티션의 경우 AWS GovCloud(미국 서부)에만 기록됩니다.
글로벌 리소스 유형의 홈 리전 AWS 서비스 리소스 유형 값 홈 리전 Amazon Elastic Container Registry Public AWS::ECR::PublicRepository미국 동부(버지니아 북부) 리전 AWS Global Accelerator AWS::GlobalAccelerator::ListenerUS West (Oregon) Region AWS::GlobalAccelerator::EndpointGroupUS West (Oregon) Region AWS::GlobalAccelerator::AcceleratorUS West (Oregon) Region Amazon Route 53 AWS::Route53::HostedZone미국 동부(버지니아 북부) 리전 AWS::Route53::HealthCheck미국 동부(버지니아 북부) 리전 Amazon CloudFront AWS::CloudFront::Distribution미국 동부(버지니아 북부) 리전 AWS WAF AWS::WAFv2::WebACL미국 동부(버지니아 북부) 리전 - 글로벌 리소스 유형 | Aurora 글로벌 클러스터
-
AWS::RDS::GlobalCluster는 고객 관리형 구성 레코더가 활성화된 지원되는 모든 AWS Config 리전에서 기록되는 글로벌 리소스입니다. 이 글로벌 리소스 유형은 한 리전에서 이 리소스 기록을 활성화하면 AWS Config가 활성화된 모든 리전에서 해당 리소스 유형에 대한 구성 항목(CI)을 기록한다는 점에서 고유합니다.활성화된 모든 리전에서
AWS::RDS::GlobalCluster를 기록하지 않으려면 AWS Config 콘솔에서 다음 기록 전략 중 하나를 사용하세요.-
사용자 지정 가능한 재정의로 모든 리소스 유형 기록. ‘AWS RDS GlobalCluster’를 선택한 다음 ‘기록에서 제외’ 재정의를 선택합니다.
-
특정 리소스 유형을 기록().
활성화된 모든 리전에서
AWS::RDS::GlobalCluster를 기록하지 않으려면 API/CLI에서 다음 기록 전략 중 하나를 사용하세요.-
제외 항목 이외의 모든 현재 및 향후 리소스 유형을 기록(
EXCLUSION_BY_RESOURCE_TYPES) -
특정 리소스 유형을 기록(
INCLUSION_BY_RESOURCE_TYPES).
-
AWS Config 규칙 및 글로벌 리소스 유형
2022년 2월 이전에 온보딩된 글로벌 IAM 리소스 유형(AWS::IAM::Group, AWS::IAM::Policy, AWS::IAM::Role, AWS::IAM::User)은 2022년 2월 이전에 AWS Config을 사용할 수 있었던 리전에서만 AWS Config이 기록할 수 있습니다. 2022년 2월 이후에 AWS Config가 지원되는 리전에서는 글로벌 IAM 리소스 유형을 기록할 수 없습니다. 해당 리전 목록은 AWS 리소스 레코딩 | 글로벌 리소스 페이지를 참조하세요.
주기적 규칙을 추가했던 리전에서 글로벌 IAM 리소스 유형의 기록을 활성화하지 않았더라도, 최소 하나 이상의 리전에서 글로벌 IAM 리소스 유형을 기록하는 경우, 글로벌 IAM 리소스 유형에 대한 규정 준수를 보고하는 주기적 규칙은 주기적 규칙이 추가된 모든 리전에서 평가를 실행합니다.
2022년 2월 이전 온보딩한 글로벌 리소스에 대한 규정 준수 보고 모범 사례
불필요한 평가를 방지하려면 지원되는 리전 중 하나에만 포함된 글로벌 IAM 리소스 유형을 포함하는 AWS Config 규칙과 적합성 팩만 배포해야 합니다. 어떤 리전에서 어떤 관리형 규칙이 지원되는지 목록을 보려면 리전 가용성별 AWS Config 관리형 규칙 목록을 참조하세요. 이는 AWS Config 규칙, 조직 AWS Config 규칙 및 기타 AWS 서비스에서 생성한 규칙(예: AWS Security Hub CSPM 및 AWS Control Tower)에도 적용됩니다.
2022년 2월 이전에 온보딩된 글로벌 리소스 유형을 기록하지 않는 경우, 불필요한 평가가 발생하지 않도록 다음 주기적 규칙을 활성화하지 않는 것이 좋습니다.
2022년 2월 이후 온보딩한 글로벌 리소스에 대한 규정 준수 보고 모범 사례
2022년 2월 후에 AWS Config 기록에 온보딩된 글로벌 리소스 유형은 상용 파티션의 경우 해당 서비스의 홈 리전에만, AWS GovCloud (US) 파티션의 경우 AWS GovCloud(미국 서부)에만 기록됩니다. 리소스 유형의 홈 리전에 이러한 글로벌 리소스 범위를 포함하는 AWS Config 규칙 및 적합성 팩만 배포해야 합니다. 자세한 내용은 글로벌 리소스 유형의 홈 리전을 참조하세요.
AWS Config의 기록 빈도
AWS Config는 지속적인 기록 및 일일 기록을 지원합니다. 지속적인 기록을 사용하면 변경이 발생할 때마다 지속적으로 구성 변경 사항을 기록할 수 있습니다. 일일 기록을 사용하면 이전에 기록된 CI와 다른 경우에만 지난 24시간 동안의 리소스 최신 상태를 나타내는 구성 항목(CI)을 받을 수 있습니다. 레코딩 빈도를 변경하는 방법에 대한 단계는 레코딩 빈도 변경을 참조하세요.
지속적인 기록
지속적인 기록의 몇 가지 이점은 다음과 같습니다.
-
실시간 모니터링: 지속적인 기록을 통해 무단 변경이나 예상치 못한 변경을 즉시 탐지하여 보안 및 규정 준수 노력을 강화할 수 있습니다.
-
세부 분석: 지속적인 기록을 통해 리소스의 구성 변경 발생 시 심층 분석을 수행할 수 있으며, 이를 통해 순간의 패턴과 추세를 식별할 수 있습니다.
일일 기록
일일 기록의 몇 가지 이점은 다음과 같습니다.
-
방해 최소화: 일일 기록은 보다 관리하기 용이한 정보 흐름을 제공하며 알림 빈도와 경고 피로를 줄일 수 있습니다.
-
비용 효율성: 일일 기록은 더 낮은 빈도로 리소스에 대한 변경 사항을 기록할 수 있는 유연성을 제공하여 기록된 구성 변경 횟수와 관련된 비용을 줄일 수 있습니다.
참고
AWS Firewall Manager는 리소스를 모니터링하기 위해 지속적인 기록에 의존합니다. Firewall Manager를 사용하는 경우 기록 빈도를 계속으로 설정하는 것이 좋습니다.
기록되지 않은 리소스
기록되지 않는 리소스의 경우, AWS Config는 해당 리소스의 생성 및 삭제만 캡처할 뿐 다른 세부 정보는 캡처하지 않으며 비용이 청구되지 않습니다. 기록되지 않는 리소스가 생성되거나 삭제되는 경우, AWS Config는 알림을 보내고 해당 리소스 세부 정보 페이지에 이벤트를 표시합니다. 기록되지 않는 리소스의 세부 정보 페이지는 대부분의 구성 세부 정보에 대해 null 값을 표시하며, 관계 및 구성 변경에 대한 정보는 제공하지 않습니다.
AWS Config가 기록된 리소스에 대해 제공하는 관계 정보는 기록되지 않는 리소스에 대한 데이터가 없다고 해서 제한되지 않습니다. 기록된 리소스가 기록되지 않은 리소스와 관련이 있는 경우, 기록된 리소스의 세부 정보 페이지에 해당 관계가 제공됩니다.
IAM 리소스 유형 고려 사항
AWS::IAM::User, AWS::IAM::Policy,
AWS::IAM::Group, AWS::IAM::Role 리소스 유형은 리소스가 고객 관리형 구성 레코더에서 기록할 리소스로 선택되어 있거나 이전에 선택된 경우에만 생성(ResourceNotRecorded) 및 삭제(ResourceDeletedNotRecorded) 상태를 캡처합니다.
기록되지 않은 리소스에 대한 CI 기록 일정
ResourceNotRecorded 및 ResourceDeletedNotRecorded의 구성 항목(CI)은 리소스 유형에 대한 일반적인 기록 시간을 따르지 않습니다. 이러한 리소스 유형은 고객 관리형 구성 레코더의 주기적인 기준선 설정 프로세스 중에만 기록되며, 다른 리소스 유형보다 빈도가 낮습니다. 즉, 생성 및 삭제 알림은 생성 또는 삭제 시 전송되지 않고 기준 설정 프로세스 중에 전송됩니다.
CI 전송 및 서비스 연결 레코더 범위
서비스 연결 구성 레코더의 경우 기록 범위에 따라 전송 채널에서 구성 항목(CI)을 수신할지 여부가 결정됩니다. 기록 범위는 구성 레코더에 연결된 서비스에 의해 설정됩니다. 기록 범위가 INTERNAL인 경우 전송 채널에서 CI를 수신하지 않습니다.
