AWS Config 업데이트 - AWS Control Tower란

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Config 업데이트

  • AWS Config 및 AWS CloudTrail 전용 리소스: AWS Config 및 AWS CloudTrail은 이제 공유 리소스 대신 별도의 전용 S3 버킷 및 SNS 주제를 사용합니다. 고객은 여러 통합에 단일 또는 개별 계정을 사용할 수 있는 유연성이 제한됩니다.

    • AWS Control Tower 랜딩 존 버전 4.0으로 업그레이드할 때 기존 데이터와 S3 버킷은 이동되지 않습니다. AWS CloudTrail 통합은 접두사가 인 기존 S3 버킷을 계속 사용합니다aws-controltower-logs. 업데이트 작업 후 새 AWS Config 데이터는 AWS Control Toweraws-controltower-config가 CentralConfigBaseline에 지정된 계정에 생성하는 접두사가 있는 새 S3 버킷에 저장됩니다.

      참고

      랜딩 존 4.0에서 AWS CloudTrail 통합을 처음 활성화하면 접두사가 붙을 때마다 새 S3 버킷이 생성됩니다. aws-controltower-cloudtrail

    • 데이터 위치 변경: 이전에 공유된에서 전용 리소스로 업그레이드하는 기존 고객은 서로 다른 S3 버킷에 AWS Config 및 AWS CloudTrail 데이터를 갖게 됩니다. 설정된 고객 워크플로 및 도구는 새 버킷 위치의 데이터에 액세스하기 위해 업데이트가 필요할 수 있습니다.

    • AWS CloudTrail은 동일한 기존 버킷에 계속 남아 있지만 AWS Config 데이터는 AWS Control Tower에서 생성한 새 S3 버킷에 있습니다.

    • 고객은 서로 다른 로그를 단일 버킷으로 중앙 집중화하려는 경우 교차 버킷 복제를 설정할 수 있습니다. 자세한 내용은 S3 설명서를 참조하세요.

    • AWS Control Tower에서 관리하는 리전에서 AWS Control Tower에서 생성하지 않은 기존 AWS Config 전송 채널이 있는 계정을 등록한 경우 랜딩 존 4.0의 AWS Control Tower 구성과 일치하도록 전송 채널의 S3 버킷 이름을 AWS Config 통합 계정aws-controltower-config-logs-의 접두사가 있는 새 S3 버킷으로 업데이트합니다. 자세한 내용은 기존 AWS Config 리소스가 있는 계정 등록 단원을 참조하십시오.

  • AWS Config 랜딩 존 버전 4.0의 통합: AWS Config 통합이 활성화된 상태에서 랜딩 존 4.0으로 마이그레이션하면 고객에게 다음과 같은 변경 사항이 표시됩니다.

    1. 기존 감사 계정은에 대한 위임된 관리자로 등록됩니다 AWS Config.

    2. 서비스 연결 Config 집계자는 감사 계정(신규 고객의 경우AWS Config 중앙 집계자 계정, 기존 고객의 경우 감사 계정)에 배포됩니다. 새 집계자는 비Control Tower 관리형 계정을 포함하여 조직의 모든 AWS Config 레코더에서 데이터를 집계할 수 있습니다.

    3. 기존 집계자가 삭제됩니다 - 관리 계정의 조직 집계자(aws-controltower-ConfigAggregatorForOrganizations)와 감사 계정의 계정 집계자(aws-controltower-GuardRailsComplianceAggregator)가 삭제됩니다.

    4. 삭제된 집계자와 연결된 컨트롤은 자동으로 제거됩니다. 또한 AWS Config 규칙 및 구성 집계자는 서비스 연결 리소스이므로 서비스 제어 정책 보호가 더 이상 필요하지 않습니다.

      1. AWS Config 리소스에 대해 AWS Control Tower에서 생성한 태그에 대한 변경 허용 안 함

      2. AWS Control Tower에서 생성한 AWS Config 집계 권한 부여의 삭제 허용 안 함

      3. AWS Control Tower에서 설정한 AWS Config 규칙 변경 허용 안 함

  • 새로운 ConfigBaseline 기준: 이제 포괄적인를 요구하지 않고 탐지 제어 지원을 위한 별도의 OU가 OU ConfigBaseline 수준에서 제공됩니다AWSControlTowerBaseline. 자세한 내용은 OU 수준의 기준 유형 목록을 참조하세요. 기본 랜딩 존을 사용하는 기존 고객의 경우 이제 모든 서비스 통합은 선택 사항이며에 설명된 종속성 요구 사항에 유의해야 합니다키 변경 사항.

  • 서비스 연결 구성 집계자: AWS Config 중앙 집계자 계정의 조직 및 계정 집계자를 대체합니다.

    • AWS Config 통합이 활성화된 상태에서 랜딩 존 4.0으로 업그레이드하는 경우 고객에게 organizations:ListDelegatedAdministrators 권한이 있어야 합니다.

      
{
   "Version": "2012-10-17",		 	 	 
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
           "backup:UpdateGlobalSettings",
           "controltower:CreateLandingZone",
           "controltower:UpdateLandingZone",
           "controltower:ResetLandingZone",
           "controltower:DeleteLandingZone",
           "controltower:GetLandingZoneOperation",
           "controltower:GetLandingZone",
           "controltower:ListLandingZones",
           "controltower:ListLandingZoneOperations",
           "controltower:ListTagsForResource",
           "controltower:TagResource",
           "controltower:UntagResource",
            "servicecatalog:*",
            "organizations:*",
            "organizations:RegisterDelegatedAdministrator",
            "organizations:EnableAWSServiceAccess",
            "organizations:DeregisterDelegatedAdministrator",
            "organizations:ListDelegatedAdministrators",
            "sso:*",
            "sso-directory:*",
            "logs:*",
            "cloudformation:*",
            "kms:*",
            "iam:GetRole",
            "iam:CreateRole",
            "iam:GetSAMLProvider",
            "iam:CreateSAMLProvider",
            "iam:CreateServiceLinkedRole",
            "iam:ListRolePolicies",
            "iam:PutRolePolicy",
            "iam:ListAttachedRolePolicies",
            "iam:AttachRolePolicy",
            "iam:DeleteRole",
            "iam:DeleteRolePolicy",
            "iam:DetachRolePolicy"
         ],
         "Resource": "*"
      }
   ]
}