요약 사전 조건 및 제한 사항 아키텍처 도구 모범 사례 에픽 문제 해결 관련 리소스

여러 계정 및 리전에서 AWS 자동으로 리소스 인벤토리 생성

Matej Macek, Amazon Web Services

요약

이 패턴은 여러 계정 및에 걸쳐 포괄적인 AWS 리소스 인벤토리를 유지하기 위한 자동화된 접근 방식을 간략하게 설명합니다 AWS 리전. 인프라 및 보안 엔지니어가 리소스 관리 관행을 개선하는 데 도움이 되도록 설계되었습니다. 를 사용하여 리소스 변경 사항, 쿼리 AWS Config 를 위한 Amazon Athena, 대화형 대시보드를 위한 Amazon Quick Sight를 추적합니다. AWS CloudFormation 스택을 배포하여이 솔루션을 구현합니다.

이 솔루션은 Amazon Athena 및 Amazon Quick Sight를 사용하여 AWS Config 데이터 시각화(블로그 게시물)에 제시된 솔루션과 유사합니다.AWS 이 패턴은 해당 솔루션을 확장하여 다음과 같은 공통 요구 사항을 해결하고 다음과 같은 주요 이점을 제공합니다.

규정 준수 중심 -이 접근 방식은 정확한 자산 인벤토리를 요구하는 PCI DSS, NIST SP 800-53, ISO/IEC 27001, HIPAA, GDPR 등과 같은 규제 요구 사항을 충족하는 데 도움이 될 수 있습니다.
사용자 지정 프레임워크 - 다양한 AWS 리소스에 대한 Quick Sight 대시보드를 생성할 수 있는 기반을 제공하므로 특정 요구 사항에 맞게 솔루션을 사용자 지정할 수 있습니다.
사용자 기반 개선 사항 -이 접근 방식은 실제 사용 사례의 피드백을 통합하고 보다 포괄적인 솔루션에 대한 요청을 처리합니다.

인프라, 보안 및 재무 팀은 동적, 다중 계정 또는 다중 리전 환경에서 가시성 및 협업 문제에 직면하는 경우가 많습니다. 이 솔루션은 이러한 문제를 해결하고 리소스 인벤토리를 생성하고 유지 관리하는 데 필요한 시간과 노력을 크게 줄이도록 설계되었습니다. 결과적으로 리소스 할당 결정을 개선하고, 리스크를 식별 및 완화하고, 비용을 최적화하고, 전반적인 가시성과 협업을 개선하는 데 도움이 되는 리소스를 중앙 집중식으로 볼 수 있습니다. 이 접근 방식은 보안, 규정 준수 및 운영 목적에 대한 개념적 솔루션과 실제 구현 니즈 간의 격차를 해소합니다.

사전 조건 및 제한 사항

사전 조건

다음 활성 : AWS 계정
- 관리 계정 - 결제, 계정 생성 및 조직 전체의 액세스 제어를 위한 중앙 집중식 계정
- 감사 계정 - 보안 모니터링, 규정 준수 검사 및 드리프트 알림을 위한 중앙 집중식 허브
- 로그 아카이브 계정 - 수집된 데이터를 저장하고 분석하기 위한 중앙 집중식 계정
감사 계정에서 대상 계정 및 리전에서 구성 데이터를 수집하고 집계하는 AWS Config 애그리게이터
로그 아카이브 계정에서 다음을 설정합니다.
- AWS Config 애그리게이터의 데이터를 저장하는 Amazon Simple Storage Service(Amazon S3) 버킷
- Amazon Quick 구독
- Quick Sight와 Amazon Athena 간의 승인된 연결
- Athena 쿼리를 통해 Amazon S3 버킷에 액세스할 수 있는 권한
AWS Command Line Interface (AWS CLI), 설치 및 구성됨
다음 리소스를 프로비저닝하는 CloudFormation 스택을 배포할 수 있는 권한:
- AWS Lambda 함수
- Amazon S3 알림 구성
- Athena 데이터베이스, 테이블 및 뷰
- Quick Sight 데이터 세트 및 데이터 소스
에서 자동화를 실행할 수 있는 권한 AWS Systems Manager
빠른 액세스 권한

제한 사항

솔루션은에 의존합니다 AWS Config.는 AWS Config 일반적으로 변경 사항이 감지된 직후 또는 지정한 빈도로 리소스에 대한 구성 변경 사항을 기록합니다. 그러나 이는 가장 이상적인 시나리오이며 경우에 따라 더 오래 걸릴 수 있습니다.
이 솔루션은가 AWS Config 지원하는 리소스 유형만 추적합니다.
이 솔루션은 다른 클라우드 공급자 또는 온프레미스 환경의 리소스 인벤토리를 추적하지 않습니다.
일부 AWS 서비스 는 전혀 사용할 수 없습니다 AWS 리전. 리전 가용성은 AWS 설명서의 서비스 엔드포인트 및 할당량 페이지를 참조하고 서비스 링크를 선택합니다.

아키텍처

다음 다이어그램은 AWS 조직의 여러 계정에서 구성 및 규정 준수 데이터를 수집, 구성, 분석 및 시각화하는 간소화된 프로세스를 보여줍니다.

이 다이어그램은 다음 워크플로를 보여줍니다.

정기적으로 AWS Config 집계자는 대상 계정 및 리전의 리소스에 대한 구성 및 규정 준수 데이터를 수집한 다음 로그 아카이브 계정의 Amazon S3 버킷으로 데이터를 전송합니다.
Amazon S3 버킷에 새 AWS Config 데이터를 추가하면 AWS Lambda 함수가 호출됩니다.
Lambda 함수는 각 스냅샷 파일의 리전 및 날짜에 해당하는 값으로 키를 구성하여 데이터를 분할합니다. 이렇게 하면 구성 및 규정 준수 데이터를 AWS Glue 효율적으로 쿼리하고 처리할 수 있습니다.
Amazon Athena는 AWS Glue 스키마를 사용하여 Amazon S3 버킷에 저장된 데이터에 대해 SQL 쿼리를 실행합니다. 의 스키마 메타데이터 AWS Glue 를 활용하여 데이터의 구조를 이해합니다.
Athena의 뷰는 대상 데이터 세트를 정의하고 추출합니다.
Quick Sight의 대시보드는 데이터 세트를 시각화하고 분석하는 데 도움이 됩니다.

도구

AWS 서비스

Amazon Athena는 표준 SQL을 사용하여 Amazon S3에 있는 데이터를 직접 분석할 수 있는 대화형 쿼리 서비스입니다.
AWS CloudFormation를 사용하면 AWS 리소스를 설정하고, 빠르고 일관되게 프로비저닝하고, AWS 계정 및의 수명 주기 동안 리소스를 관리할 수 있습니다 AWS 리전.
AWS Config는의 리소스 AWS 계정 와 리소스 구성 방식에 대한 자세한 보기를 제공합니다. 리소스가 서로 관련되는 방식과 리소스의 구성이 시간이 지남에 따라 변경된 방식을 식별하는 데 도움이 됩니다. 애 AWS Config 그리게이터는 여러 및 리전에서 AWS Config 구성 AWS 계정 및 규정 준수 데이터를 수집합니다.
AWS Glue는 완전관리형 E추출, 전환, 적재(ETL) 서비스입니다. 이를 통해 데이터 스토어와 데이터 스트림 간에 데이터를 안정적으로 분류, 정리, 보강하고 이동할 수 있습니다. 이 패턴은 AWS Glue 데이터 카탈로그 및 스키마 레지스트리를 사용합니다.
AWS Lambda는 서버를 프로비저닝하거나 관리할 필요 없이 코드를 실행하는 데 도움이 되는 컴퓨팅 서비스입니다. 필요할 때만 코드를 실행하며 자동으로 확장이 가능하므로 사용한 컴퓨팅 시간만큼만 비용을 지불합니다.
AWS Organizations는 여러을 생성하여 중앙에서 관리하는 조직 AWS 계정 으로 통합하는 데 도움이 되는 계정 관리 서비스입니다.
Amazon Quick Sight는 대화형 시각화, 대시보드 및 보고서를 통해 원시 데이터를 의미 있는 인사이트로 변환하는 데 도움이 되는 비즈니스 인텔리전스(BI) 서비스입니다. Quick Sight는 Amazon Quick의 핵심 구성 요소입니다.
Amazon Simple Storage Service(S3)는 원하는 양의 데이터를 저장, 보호 및 검색하는 데 도움이 되는 클라우드 기반 객체 스토리지 서비스입니다.
AWS Systems Manager은 AWS 클라우드에서 실행되는 애플리케이션 및 인프라를 관리하는 데 도움을 줍니다. 애플리케이션 및 리소스 관리를 간소화하고, 운영 문제를 감지하고 해결하는 시간을 단축하며, AWS 리소스를 대규모로 안전하게 관리하는 데 도움이 됩니다. AWS Systems Manager 자동화는 많은 사용자의 일반적인 유지 관리, 배포 및 문제 해결 작업을 간소화합니다 AWS 서비스.

코드 리포지토리

이 패턴의 AWS CloudFormation 템플릿은 AWS Config 시각화 GitHub 리포지토리에서 사용할 수 있습니다. 이 CloudFormation 템플릿은 Amazon Athena와 함께 AWS Config 사용하도록를 설정하는 AWS Systems Manager 자동화 실행서를 배포합니다. 이 자동화는 지정된 Amazon S3 버킷과 연결할 준비를 하고, Amazon Athena에서 뷰를 생성하고, 대시보드 시각화 AWS Glue 를 위한 Quick Sight를 구성합니다.

모범 사례

AWS 권장 가이드의를 사용하여 안전한 다중 계정 AWS 환경 설정 및 관리 AWS Control Tower의 모범 사례를 따르는 것이 좋습니다.
전체 AWS 조직에 대한 구성 및 규정 준수 데이터를 수집하는 AWS Config 집계자를 생성하는 것이 좋습니다. 자세한 내용은 AWS Config 설명서의 다중 계정 다중 리전 데이터 집계를 참조하세요.
이 솔루션을 배포하기 전에 Amazon S3, , AWS Config Athena 및 Quick에 대한 현재 요금 정보를 검토하는 것이 좋습니다.

에픽

작업	설명	필요한 기술
CloudFormation 템플릿을 다운로드하십시오.	Config-QuickSight-Visualization-SSM-Automation.yaml CloudFormation 템플릿을 다운로드합니다.	AWS 관리자, 클라우드 관리자, DevOps 엔지니어
CloudFormation 템플릿을 수정합니다.	를 사용하고 AWS Control Tower AWS Config 에서 관리하는 경우에만이 단계를 완료합니다 AWS Control Tower. CloudFormation 템플릿을 수정해야 합니다. 관리 계정에 로그인합니다. AWS Organizations 콘솔을 엽니다. 설정 페이지로 이동합니다. 이 페이지에는 조직 ID를 포함하여 조직에 대한 세부 정보가 표시됩니다. 조직 ID를 복사합니다. 원하는 텍스트 편집기에서 Config-QuickSight-Visualization-SSM-Automation.yaml 파일을 엽니다. 다음 줄을 찾습니다. `return re.match('^AWSLogs/(\d+)/Config/([\w-]+)/(\d+)/(\d+)/(\d+)/ConfigSnapshot/[^\\\]+$', object_key)` 이 줄을 다음으로 바꿉니다. 여기서 `<ORGANIZATION_ID>`는 이전에 복사한 ID입니다. `return re.match('^<ORGANIZATION_ID>/AWSLogs/(\d+)/Config/([\w-]+)/(\d+)/(\d+)/(\d+)/ConfigSnapshot/[^\\\]+$', object_key)` Config-QuickSight-Visualization-SSM-Automation.yaml 파일을 저장하고 닫습니다.	DevOps 엔지니어, AWS 관리자
CloudFormation 스택을 생성합니다.	CloudFormation 콘솔에서 스택 생성의 지침을 따릅니다. 다음 사항에 유의하세요. 템플릿 파일 업로드를 선택한 다음 다운로드한 YAML 파일을 선택합니다. 스택 이름에 `Config-QuickSight-Visualization-SSM-Automation`을 입력합니다. 제출을 선택합니다.	AWS 관리자, 클라우드 관리자, DevOps 엔지니어

작업	설명	필요한 기술
빠른 사용자 이름을 찾습니다.	Quick 콘솔을 엽니다. 프로필 메뉴를 엽니다. 사용자 이름을 기록해 둡니다. 나중에이 값이 필요합니다.	AWS 관리자, 클라우드 관리자, DevOps 엔지니어
전송 채널 이름과 Amazon S3 버킷 이름을 찾습니다.	에 다음 명령을 AWS CLI입력합니다. `aws configservice describe-delivery-channels` Amazon S3 버킷 이름과 AWS Config 전송 채널의 이름을 기록해 둡니다. 이 값은 나중에 필요합니다.	AWS 관리자, 클라우드 관리자, DevOps 엔지니어
Systems Manager에서 자동화를 실행합니다.	AWS Systems Manager Console을 엽니다. 탐색 창에서 Documents를 선택합니다. 내 소유를 선택합니다. Config-QuickSight-Visualization 선택합니다. 자동화 실행(Execute automation)을 선택합니다. 입력 파라미터 섹션에서 다음 파라미터 값을 입력합니다. `ConfigDeliveryChannelName` - AWS Config 전송 채널의 이름을 입력합니다. 이 파라미터는 필수 사항입니다. `ConfigS3BucketLocation` - AWS Config 구성 데이터를 저장하는 Amazon S3 버킷의 이름을 입력합니다. 이 파라미터는 필수 사항입니다. `QuickSightUserName` - Quick에 대한 관리 액세스 권한이 있는 사용자 이름을 입력합니다. 이 파라미터는 필수 사항입니다. `AutomationAssumeRole` - Systems Manager Automation이 사용자를 대신하여 작업을 수행할 수 있도록 허용하는 (IAM) 역할의 Amazon 리소스 이름 AWS Identity and Access Management (ARN)입니다. 이 파라미터는 선택 사항입니다. 이 파라미터를 비워 둡니다. `DeleteConfigVisualization` -를 선택합니다`false`. 실행을 선택합니다.	AWS 관리자, 클라우드 관리자, DevOps 엔지니어

작업	설명	필요한 기술
데이터를 새로 고칩니다.	특정 요구 사항에 따라 데이터 세트 새로 고침을 예약하려면 SPICE 데이터 새로 고침의 지침을 따릅니다.	AWS 관리자, DevOps 엔지니어, 클라우드 관리자
분석을 생성합니다.	Quick Sight에서 리소스를 시각화하는 데 도움이 되는 대시보드를 생성하려면 Quick Sight에서 분석 시작의 지침을 따르세요.	Quick Suite 관리자
대시보드를 생성합니다.	Quick Sight 분석 수정을 완료한 후 대시보드 게시의 지침에 따라 대시보드를 생성합니다. 대시보드는 다른 빠른 사용자와 공유할 수 있는 분석입니다. 대시보드에 대한 액세스 권한 부여의 지침에 따라 대상 빠른 사용자와 대시보드를 공유합니다.	Quick Suite 관리자

작업	설명	필요한 기술
Systems Manager 자동화에서 생성한 리소스를 삭제합니다.	AWS Systems Manager Console을 엽니다. 탐색 창에서 Documents를 선택합니다. 내 소유를 선택합니다. Config-QuickSight-Visualization 선택합니다. 자동화 실행(Execute automation)을 선택합니다. 입력 파라미터 섹션에서 `DeleteConfigVisualization` 파라미터에 대해 `true`를 입력합니다. 실행을 선택합니다.	AWS 관리자, 클라우드 관리자, DevOps 엔지니어
CloudFormation 스택을 삭제합니다.	`Config-QuickSight-Visualization-SSM-Automation` 스택의 리소스를 삭제하려면 CloudFormation 콘솔에서 스택 삭제의 지침을 따릅니다.	AWS 관리자, 클라우드 관리자, DevOps 엔지니어

문제 해결

문제 Solution

문제	Solution
Amazon Quick이에 연결을 시도하고 `us-east-1` AWS 리전있지만 해당 리전에서 리소스를 생성할 수 없습니다.	서비스 제어 정책이이 리전에서 Amazon Quick에 대한 구독을 제한하고 있습니다. 서비스 제어 정책에서 대상을 수동으로 지정합니다 AWS 리전. 를 적절한 리전 식별자`<REGION_ID>`로 바꿉니다. `https://<REGION_ID>.quicksight.aws.amazon.com/sn/start/dashboards` 다음은 예제입니다. `https://eu-central-1.quicksight.aws.amazon.com/sn/start/dashboards`
Amazon Athena에서 다음 메시지가 표시됩니다. `Before you run your first query, you need to set up a query result location in Amazon S3.`	Amazon Athena의 쿼리 결과를 저장할 Amazon S3 버킷을 준비했는지 확인합니다. Amazon Athena Amazon Athena 콘솔을 사용하여 쿼리 결과 위치 지정의 지침을 따릅니다.

Amazon Quick이에 연결을 시도하고 us-east-1 AWS 리전있지만 해당 리전에서 리소스를 생성할 수 없습니다.

서비스 제어 정책이이 리전에서 Amazon Quick에 대한 구독을 제한하고 있습니다. 서비스 제어 정책에서 대상을 수동으로 지정합니다 AWS 리전. 를 적절한 리전 식별자<REGION_ID>로 바꿉니다.


https://<REGION_ID>.quicksight.aws.amazon.com/sn/start/dashboards

다음은 예제입니다.


https://eu-central-1.quicksight.aws.amazon.com/sn/start/dashboards

Amazon Athena에서 다음 메시지가 표시됩니다.

Before you run your first query, you need to set up a query result location in Amazon S3.

Amazon Athena의 쿼리 결과를 저장할 Amazon S3 버킷을 준비했는지 확인합니다. Amazon Athena Amazon Athena 콘솔을 사용하여 쿼리 결과 위치 지정의 지침을 따릅니다.