기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 를 사용하여 리소스 구성 관리AWS Config
<a name="config"></a>

AWS Config는AWS계정과 연결된 리소스의 세부 보기를 제공합니다. 여기에는 리소스 구성 방법, 리소스가 서로 연결되는 방법, 시간 경과에 따라 구성 및 관계가 어떻게 변경되었는지 등이 포함됩니다. 자세한 정보는 *[AWS Config개발자 안내서](https://docs.aws.amazon.com/config/latest/developerguide/)*를 참조하세요.

AWS Config AWS Control Tower에서 프로비저닝한 리소스에는 `aws-control-tower` 및 값으로 태그가 자동으로 지정됩니다`managed-by-control-tower`.

가 AWS Control Tower에서 리소스를AWS Config모니터링하고 기록하는 방법과 리소스에 대한 요금을 청구하는 방법에 대한 자세한 내용은 섹션을 참조하세요[를 사용하여 리소스 변경 사항 모니터링 AWS Config](monitoring-with-config.md).

AWS Control Tower는AWS Config 규칙를 사용하여 탐지 제어를 구현합니다. 자세한 내용은 [AWS Control Tower의 제어 정보](https://docs.aws.amazon.com/controltower/latest/userguide/controls.html)를 참조하세요.

## Control Tower 랜딩 존 4.0의 AWS Config 통합
<a name="w2aac50c17c11"></a>

### 서비스 연결 구성 집계자(SLCA)
<a name="w2aac50c17c11b3"></a>

 AWS Control Tower는 이제 랜딩 존 4.0 이상의 일부로 서비스 연결 구성 집계자(SLCA)를 구현합니다. 이 변경 사항은 조직 전체에서 AWS Config 데이터를 집계하고 관리하는 방법이 크게 개선되었음을 나타냅니다.

### 주요 변경 사항
<a name="w2aac50c17c11b5"></a>

**새로운 서비스 연결 Config 애그리게이터 배포**
+ 서비스 연결 Config 집계자는 지정된 AWS Config 통합 계정에 배포됩니다.
+ 기존 고객의 경우 감사 계정이 됩니다.
+ 신규 고객의 경우 매니페스트의 `config.accountId` 필드에 지정된 계정이 됩니다.

**위임된 관리자**
+ AWS Config 애그리게이터 계정이 AWS Config
+ AWS Control Tower는 위임된 관리자 설정을 자동으로 구성합니다.
+ 이를 통해 조직 전체에서 AWS Config를 중앙에서 관리할 수 있습니다.

**레거시 애그리게이터에서 마이그레이션**

랜딩 존 4.0으로 업그레이드하는 동안:
+ 관리 계정의 조직 집계자가 제거됩니다.
+ 감사 계정의 계정 집계자가 제거됩니다.
+ 이는 AWS Config 통합 애그리게이터 계정의 새 서비스 연결 Config 애그리게이터로 대체됩니다.

### 향상된 데이터 집계
<a name="w2aac50c17c11b7"></a>

서비스 연결 Config Aggregator는 Config 데이터 집계를 위한 향상된 기능을 제공합니다.
+ 조직의 모든 AWS Config 레코더에서 데이터를 집계할 수 있습니다.
+ Control Tower에서 관리하지 않는 계정의 데이터 포함
+ 조직 전체의 구성 항목에 대한 포괄적인 보기를 제공합니다.
+ 향상된 데이터 경계 제어 지원

### 중요 고려 사항
<a name="w2aac50c17c11b9"></a>

**위임된 관리자 구성**
+ AWS Control Tower는 AWS Config 통합을 위해 매니페스트에 지정된 계정을 사용합니다.
+ 이 계정은 위임된 관리자로 자동 구성됩니다.
+ 이 구성에 대해 고객의 추가 작업이 필요하지 않습니다.
+ 기존 고객의 경우 랜딩 존 4.0 업그레이드 중에 이전 보안 역할 통합 계정(감사 계정)이 AWS Config 중앙 집계자 계정으로 구성됩니다.

**데이터 집계 범위**
+ 서비스 연결 구성 집계자는 다음에서 구성 데이터를 집계할 수 있습니다.
  + Control Tower 관리형 계정
  + 비Control Tower 관리형 계정
  + 조직에 활성 Config 레코더가 있는 모든 계정

**액세스 제어**
+ 집계된 데이터에 대한 액세스는 IAM 정책을 통해 관리됩니다.
+ AWS Config 중앙 애그리게이터 계정에는 집계된 모든 데이터에 대한 중앙 액세스 권한이 있습니다.
+ 멤버 계정은 개별 AWS Config 레코더를 유지 관리합니다.

### 모범 사례
<a name="w2aac50c17c11c11"></a>

**Config 중앙 집계자 계정 선택**
+ 보안 및 규정 준수 모니터링 전용 계정 선택
+ 적절한 액세스 제어가 마련되어 있는지 확인합니다.
+ 기존 감사 또는 보안 계정 사용 고려

**데이터 관리**
+ 집계된 구성 데이터를 정기적으로 검토
+ 적절한 보존 정책 구현
+ 계정 간 AWS Config 레코더 상태 모니터링

### 마이그레이션 영향
<a name="w2aac50c17c11c13"></a>

랜딩 존 4.0으로 업그레이드하는 경우:

**마이그레이션 전**
+ 기존 AWS Config 규칙 및 집계자 문서화
+ 현재 AWS Config 데이터 액세스 패턴 검토
+ 필요한 IAM 정책 업데이트 계획

**마이그레이션 중**
+ 레거시 AWS Config 애그리게이터가 자동으로 제거됩니다.
+ 서비스 연결 Config 애그리게이터가 배포됩니다.
+ 위임된 관리자가 구성됩니다.

**마이그레이션 후**
+ 서비스 연결 구성 집계기가 올바르게 작동하는지 확인
+ 멤버 계정에서 데이터 집계 확인
+ 필요에 따라 모니터링 및 보고 도구 업데이트