를 사용하여 리소스 구성 관리AWS Config - AWS Control Tower란
Control Tower 랜딩 존 4.0의 AWS Config 통합

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

를 사용하여 리소스 구성 관리AWS Config

AWS Config는AWS계정과 연결된 리소스의 세부 보기를 제공합니다. 여기에는 리소스 구성 방법, 리소스가 서로 연결되는 방법, 시간 경과에 따라 구성 및 관계가 어떻게 변경되었는지 등이 포함됩니다. 자세한 정보는 AWS Config개발자 안내서를 참조하세요.

AWS Config AWS Control Tower에서 프로비저닝한 리소스에는 aws-control-tower 및 값으로 태그가 자동으로 지정됩니다managed-by-control-tower.

가 AWS Control Tower에서 리소스를AWS Config모니터링하고 기록하는 방법과 리소스에 대한 요금을 청구하는 방법에 대한 자세한 내용은 섹션을 참조하세요를 사용하여 리소스 변경 사항 모니터링 AWS Config.

AWS Control Tower는AWS Config 규칙를 사용하여 탐지 제어를 구현합니다. 자세한 내용은 AWS Control Tower의 제어 정보를 참조하세요.

Control Tower 랜딩 존 4.0의 AWS Config 통합

서비스 연결 구성 집계자(SLCA)

AWS Control Tower는 이제 랜딩 존 4.0 이상의 일부로 서비스 연결 구성 집계자(SLCA)를 구현합니다. 이 변경 사항은 조직 전체에서 AWS Config 데이터를 집계하고 관리하는 방법이 크게 개선되었음을 나타냅니다.

주요 변경 사항

새로운 서비스 연결 Config 애그리게이터 배포

  • 서비스 연결 Config 집계자는 지정된 AWS Config 통합 계정에 배포됩니다.

  • 기존 고객의 경우 감사 계정이 됩니다.

  • 신규 고객의 경우 매니페스트의 config.accountId 필드에 지정된 계정이 됩니다.

위임된 관리자

  • AWS Config 애그리게이터 계정이 AWS Config

  • AWS Control Tower는 위임된 관리자 설정을 자동으로 구성합니다.

  • 이를 통해 조직 전체에서 AWS Config를 중앙에서 관리할 수 있습니다.

레거시 애그리게이터에서 마이그레이션

랜딩 존 4.0으로 업그레이드하는 동안:

  • 관리 계정의 조직 집계자가 제거됩니다.

  • 감사 계정의 계정 집계자가 제거됩니다.

  • 이는 AWS Config 통합 애그리게이터 계정의 새 서비스 연결 Config 애그리게이터로 대체됩니다.

향상된 데이터 집계

서비스 연결 Config Aggregator는 Config 데이터 집계를 위한 향상된 기능을 제공합니다.

  • 조직의 모든 AWS Config 레코더에서 데이터를 집계할 수 있습니다.

  • Control Tower에서 관리하지 않는 계정의 데이터 포함

  • 조직 전체의 구성 항목에 대한 포괄적인 보기를 제공합니다.

  • 향상된 데이터 경계 제어 지원

중요 고려 사항

위임된 관리자 구성

  • AWS Control Tower는 AWS Config 통합을 위해 매니페스트에 지정된 계정을 사용합니다.

  • 이 계정은 위임된 관리자로 자동 구성됩니다.

  • 이 구성에 대해 고객의 추가 작업이 필요하지 않습니다.

  • 기존 고객의 경우 랜딩 존 4.0 업그레이드 중에 이전 보안 역할 통합 계정(감사 계정)이 AWS Config 중앙 집계자 계정으로 구성됩니다.

데이터 집계 범위

  • 서비스 연결 구성 집계자는 다음에서 구성 데이터를 집계할 수 있습니다.

    • Control Tower 관리형 계정

    • 비Control Tower 관리형 계정

    • 조직에 활성 Config 레코더가 있는 모든 계정

액세스 제어

  • 집계된 데이터에 대한 액세스는 IAM 정책을 통해 관리됩니다.

  • AWS Config 중앙 애그리게이터 계정에는 집계된 모든 데이터에 대한 중앙 액세스 권한이 있습니다.

  • 멤버 계정은 개별 AWS Config 레코더를 유지 관리합니다.

모범 사례

Config 중앙 집계자 계정 선택

  • 보안 및 규정 준수 모니터링 전용 계정 선택

  • 적절한 액세스 제어가 마련되어 있는지 확인합니다.

  • 기존 감사 또는 보안 계정 사용 고려

데이터 관리

  • 집계된 구성 데이터를 정기적으로 검토

  • 적절한 보존 정책 구현

  • 계정 간 AWS Config 레코더 상태 모니터링

마이그레이션 영향

랜딩 존 4.0으로 업그레이드하는 경우:

마이그레이션 전

  • 기존 AWS Config 규칙 및 집계자 문서화

  • 현재 AWS Config 데이터 액세스 패턴 검토

  • 필요한 IAM 정책 업데이트 계획

마이그레이션 중

  • 레거시 AWS Config 애그리게이터가 자동으로 제거됩니다.

  • 서비스 연결 Config 애그리게이터가 배포됩니다.

  • 위임된 관리자가 구성됩니다.

마이그레이션 후

  • 서비스 연결 구성 집계기가 올바르게 작동하는지 확인

  • 멤버 계정에서 데이터 집계 확인

  • 필요에 따라 모니터링 및 보고 도구 업데이트