기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 여러 계정 및 리전에서 AWS 자동으로 리소스 인벤토리 생성
<a name="automate-aws-resource-inventory"></a>

*Matej Macek, Amazon Web Services*

## 요약
<a name="automate-aws-resource-inventory-summary"></a>

이 패턴은 여러 계정 및에 걸쳐 포괄적인 AWS 리소스 인벤토리를 유지하기 위한 자동화된 접근 방식을 간략하게 설명합니다 AWS 리전. 인프라 및 보안 엔지니어가 리소스 관리 관행을 개선하는 데 도움이 되도록 설계되었습니다. 를 사용하여 리소스 변경 사항, 쿼리 AWS Config 를 위한 Amazon Athena, 대화형 대시보드를 위한 Amazon Quick Sight를 추적합니다. AWS CloudFormation 스택을 배포하여이 솔루션을 구현합니다.

이 솔루션은 [ Amazon Athena 및 Amazon Quick Sight를 사용하여 AWS Config 데이터 시각화(블로그 게시물)에 제시된 솔루션과](https://aws.amazon.com/blogs/mt/visualizing-aws-config-data-using-amazon-athena-and-amazon-quicksight/) 유사합니다.AWS 이 패턴은 해당 솔루션을 확장하여 다음과 같은 공통 요구 사항을 해결하고 다음과 같은 주요 이점을 제공합니다.
+ **규정 준수 중심** -이 접근 방식은 정확한 자산 인벤토리를 요구하는 [PCI DSS](https://www.pcisecuritystandards.org/), [NIST SP 800-53](https://csrc.nist.gov/pubs/sp/800/53/r5/upd1/final), [ISO/IEC 27001](https://www.iso.org/standard/27001), [HIPAA](https://www.hhs.gov/programs/hipaa/index.html), [GDPR](https://gdpr.eu/) 등과 같은 규제 요구 사항을 충족하는 데 도움이 될 수 있습니다.
+ **사용자 지정 프레임워크** - 다양한 AWS 리소스에 대한 Quick Sight 대시보드를 생성할 수 있는 기반을 제공하므로 특정 요구 사항에 맞게 솔루션을 사용자 지정할 수 있습니다.
+ **사용자 기반 개선 사항** -이 접근 방식은 실제 사용 사례의 피드백을 통합하고 보다 포괄적인 솔루션에 대한 요청을 처리합니다.

인프라, 보안 및 재무 팀은 동적, 다중 계정 또는 다중 리전 환경에서 가시성 및 협업 문제에 직면하는 경우가 많습니다. 이 솔루션은 이러한 문제를 해결하고 리소스 인벤토리를 생성하고 유지 관리하는 데 필요한 시간과 노력을 크게 줄이도록 설계되었습니다. 결과적으로 리소스 할당 결정을 개선하고, 리스크를 식별 및 완화하고, 비용을 최적화하고, 전반적인 가시성과 협업을 개선하는 데 도움이 되는 리소스를 중앙 집중식으로 볼 수 있습니다. 이 접근 방식은 보안, 규정 준수 및 운영 목적에 대한 개념적 솔루션과 실제 구현 니즈 간의 격차를 해소합니다.

## 사전 조건 및 제한 사항
<a name="automate-aws-resource-inventory-prereqs"></a>

**사전 조건 **
+ 다음 활성 : AWS 계정
  + *관리 계정* - 결제, 계정 생성 및 조직 전체의 액세스 제어를 위한 중앙 집중식 계정
  + *감사 계정* - 보안 모니터링, 규정 준수 검사 및 드리프트 알림을 위한 중앙 집중식 허브
  + *로그 아카이브 계정* - 수집된 데이터를 저장하고 분석하기 위한 중앙 집중식 계정
+ 감사 계정에서 대상 계정 및 리전에서 구성 데이터를 수집하고 집계하는 AWS Config [애그리게이터](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html) 
+ 로그 아카이브 계정에서 다음을 설정합니다.
  +  AWS Config 애그리게이터의 데이터를 저장하는 Amazon Simple Storage Service(Amazon S3) [버킷](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) 
  + Amazon Quick [구독](https://docs.aws.amazon.com/quicksight/latest/user/signing-up.html)
  + Quick Sight와 Amazon Athena 간의 [승인된 연결](https://docs.aws.amazon.com/quicksight/latest/user/athena.html) 
  + Athena 쿼리를 통해 Amazon S3 버킷에 액세스할 수 있는 [권한](https://docs.aws.amazon.com/athena/latest/ug/s3-permissions.html) 
+ AWS Command Line Interface (AWS CLI), [설치](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) 및 [구성](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html)됨
+ 다음 리소스를 프로비저닝하는 CloudFormation 스택을 배포할 수 있는 권한:
  +  AWS Lambda 함수
  + Amazon S3 알림 구성
  + Athena 데이터베이스, 테이블 및 뷰
  + Quick Sight 데이터 세트 및 데이터 소스
+ 에서 자동화를 실행할 수 있는 권한 AWS Systems Manager
+ 빠른 액세스 권한

**제한 사항 **
+ 솔루션은에 의존합니다 AWS Config.는 AWS Config 일반적으로 변경 사항이 감지된 직후 또는 지정한 빈도로 리소스에 대한 구성 변경 사항을 기록합니다. 그러나 이는 가장 이상적인 시나리오이며 경우에 따라 더 오래 걸릴 수 있습니다.
+ 이 솔루션은가 [AWS Config 지원하는 리소스 유형만 추적합니다](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html).
+ 이 솔루션은 다른 클라우드 공급자 또는 온프레미스 환경의 리소스 인벤토리를 추적하지 않습니다.
+ 일부 AWS 서비스 는 전혀 사용할 수 없습니다 AWS 리전. 리전 가용성은 AWS 설명서의 [서비스 엔드포인트 및 할당량](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html) 페이지를 참조하고 서비스 링크를 선택합니다.

## 아키텍처
<a name="automate-aws-resource-inventory-architecture"></a>

다음 다이어그램은 AWS 조직의 여러 계정에서 구성 및 규정 준수 데이터를 수집, 구성, 분석 및 시각화하는 간소화된 프로세스를 보여줍니다.

![\[조직 전체에서 구성 및 규정 준수 데이터를 수집하고 시각화합니다.\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/images/pattern-img/67a9667a-da19-4dcb-a2fe-62bc94a0541b/images/c9245de1-ac85-4a9e-a0c0-dbcc27a8bb5d.png)


이 다이어그램은 다음 워크플로를 보여줍니다.

1. 정기적으로 AWS Config 집계자는 대상 계정 및 리전의 리소스에 대한 구성 및 규정 준수 데이터를 수집한 다음 로그 아카이브 계정의 Amazon S3 버킷으로 데이터를 전송합니다.

1. Amazon S3 버킷에 새 AWS Config 데이터를 추가하면 AWS Lambda 함수가 호출됩니다.

1. Lambda 함수는 각 스냅샷 파일의 리전 및 날짜에 해당하는 값으로 키를 구성하여 데이터를 분할합니다. 이렇게 하면 구성 및 규정 준수 데이터를 AWS Glue 효율적으로 쿼리하고 처리할 수 있습니다.

1. Amazon Athena는 AWS Glue [스키마](https://docs.aws.amazon.com/glue/latest/dg/schema-registry.html)를 사용하여 Amazon S3 버킷에 저장된 데이터에 대해 SQL 쿼리를 실행합니다. 의 스키마 메타데이터 AWS Glue 를 활용하여 데이터의 구조를 이해합니다.

1. Athena의 [뷰는](https://docs.aws.amazon.com/athena/latest/ug/views.html) 대상 데이터 세트를 정의하고 추출합니다.

1. Quick Sight의 [대시보드는](https://docs.aws.amazon.com/quicksight/latest/user/using-dashboards.html) 데이터 세트를 시각화하고 분석하는 데 도움이 됩니다.

## 도구
<a name="automate-aws-resource-inventory-tools"></a>

**AWS 서비스**
+ [Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/what-is.html)는 표준 SQL을 사용하여 Amazon S3에 있는 데이터를 직접 분석할 수 있는 대화형 쿼리 서비스입니다.
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)를 사용하면 AWS 리소스를 설정하고, 빠르고 일관되게 프로비저닝하고, AWS 계정 및의 수명 주기 동안 리소스를 관리할 수 있습니다 AWS 리전.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)는의 리소스 AWS 계정 와 리소스 구성 방식에 대한 자세한 보기를 제공합니다. 리소스가 서로 관련되는 방식과 리소스의 구성이 시간이 지남에 따라 변경된 방식을 식별하는 데 도움이 됩니다. 애 AWS Config [그리게이터](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)는 여러 및 리전에서 AWS Config 구성 AWS 계정 및 규정 준수 데이터를 수집합니다.
+ [AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/what-is-glue.html)는 완전관리형 E추출, 전환, 적재(ETL) 서비스입니다. 이를 통해 데이터 스토어와 데이터 스트림 간에 데이터를 안정적으로 분류, 정리, 보강하고 이동할 수 있습니다. 이 패턴은 AWS Glue [데이터 카탈로그](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) 및 [스키마 레지스트리](https://docs.aws.amazon.com/glue/latest/dg/schema-registry.html)를 사용합니다.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)는 서버를 프로비저닝하거나 관리할 필요 없이 코드를 실행하는 데 도움이 되는 컴퓨팅 서비스입니다. 필요할 때만 코드를 실행하며 자동으로 확장이 가능하므로 사용한 컴퓨팅 시간만큼만 비용을 지불합니다.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)는 여러을 생성하여 중앙에서 관리하는 조직 AWS 계정 으로 통합하는 데 도움이 되는 계정 관리 서비스입니다.
+ [Amazon Quick Sight](https://docs.aws.amazon.com/quicksuite/latest/userguide/quick-bi.html)는 대화형 시각화, 대시보드 및 보고서를 통해 원시 데이터를 의미 있는 인사이트로 변환하는 데 도움이 되는 비즈니스 인텔리전스(BI) 서비스입니다. Quick Sight는 Amazon Quick의 핵심 구성 요소입니다.
+ [Amazon Simple Storage Service(S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html)는 원하는 양의 데이터를 저장, 보호 및 검색하는 데 도움이 되는 클라우드 기반 객체 스토리지 서비스입니다.
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)은 AWS 클라우드에서 실행되는 애플리케이션 및 인프라를 관리하는 데 도움을 줍니다. 애플리케이션 및 리소스 관리를 간소화하고, 운영 문제를 감지하고 해결하는 시간을 단축하며, AWS 리소스를 대규모로 안전하게 관리하는 데 도움이 됩니다. [AWS Systems Manager 자동화](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html)는 많은 사용자의 일반적인 유지 관리, 배포 및 문제 해결 작업을 간소화합니다 AWS 서비스.

**코드 리포지토리**

이 패턴의 AWS CloudFormation 템플릿은 [AWS Config 시각화](https://github.com/aws-samples/aws-management-and-governance-samples/blob/master/AWSConfig/AWS-Config-Visualization/README.md) GitHub 리포지토리에서 사용할 수 있습니다. 이 CloudFormation 템플릿은 Amazon Athena와 함께 AWS Config 사용하도록를 설정하는 AWS Systems Manager 자동화 실행서를 배포합니다. 이 자동화는 지정된 Amazon S3 버킷과 연결할 준비를 하고, Amazon Athena에서 뷰를 생성하고, 대시보드 시각화 AWS Glue 를 위한 Quick Sight를 구성합니다.

## 모범 사례
<a name="automate-aws-resource-inventory-best-practices"></a>
+  AWS 권장 가이드의를 [사용하여 안전한 다중 계정 AWS 환경 설정 및 관리 AWS Control Tower](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-aws-environment/welcome.html)의 모범 사례를 따르는 것이 좋습니다.
+ 전체 AWS 조직에 대한 구성 및 규정 준수 데이터를 수집하는 AWS Config 집계자를 생성하는 것이 좋습니다. 자세한 내용은 AWS Config 설명서의 [다중 계정 다중 리전 데이터 집계](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)를 참조하세요.
+ 이 솔루션을 배포하기 전에 [Amazon S3](https://aws.amazon.com/s3/pricing/), , [AWS Config](https://aws.amazon.com/config/pricing/) [Athena](https://aws.amazon.com/athena/pricing/) 및 [Quick](https://aws.amazon.com/quicksight/pricing/)에 대한 현재 요금 정보를 검토하는 것이 좋습니다.

## 에픽
<a name="automate-aws-resource-inventory-epics"></a>

### CloudFormation 스택 배포
<a name="deploy-the-cfnshort-stack"></a>


| 작업 | 설명 | 필요한 기술 | 
| --- | --- | --- | 
| CloudFormation 템플릿을 다운로드하십시오. | [Config-QuickSight-Visualization-SSM-Automation.yaml](https://github.com/aws-samples/aws-management-and-governance-samples/blob/master/AWSConfig/AWS-Config-Visualization/cft/Config-QuickSight-Visualization-SSM-Automation.yaml) CloudFormation 템플릿을 다운로드합니다. | AWS 관리자, 클라우드 관리자, DevOps 엔지니어 | 
| CloudFormation 템플릿을 수정합니다. | 를 사용하고 [AWS Control Tower](https://aws.amazon.com/controltower/) AWS Config 에서 관리하는 경우에만이 단계를 완료합니다 AWS Control Tower. CloudFormation 템플릿을 수정해야 합니다.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/automate-aws-resource-inventory.html) | DevOps 엔지니어, AWS 관리자 | 
| CloudFormation 스택을 생성합니다. | [CloudFormation 콘솔에서 스택 생성](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html)의 지침을 따릅니다. 다음 사항에 유의하세요.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/automate-aws-resource-inventory.html) | AWS 관리자, 클라우드 관리자, DevOps 엔지니어 | 

### Systems Manager에서 자동화 실행
<a name="run-the-automation-in-sys"></a>


| 작업 | 설명 | 필요한 기술 | 
| --- | --- | --- | 
| 빠른 사용자 이름을 찾습니다. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/automate-aws-resource-inventory.html) | AWS 관리자, 클라우드 관리자, DevOps 엔지니어 | 
| 전송 채널 이름과 Amazon S3 버킷 이름을 찾습니다. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/automate-aws-resource-inventory.html) | AWS 관리자, 클라우드 관리자, DevOps 엔지니어 | 
| Systems Manager에서 자동화를 실행합니다. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/automate-aws-resource-inventory.html) | AWS 관리자, 클라우드 관리자, DevOps 엔지니어 | 

### Quick Sight에서 데이터 시각화
<a name="visualize-data-in-qsight"></a>


| 작업 | 설명 | 필요한 기술 | 
| --- | --- | --- | 
| 데이터를 새로 고칩니다. | 특정 요구 사항에 따라 데이터 세트 새로 고침을 예약하려면 [SPICE 데이터 새로 고침](https://docs.aws.amazon.com/quicksight/latest/user/refreshing-imported-data.html)의 지침을 따릅니다. | AWS 관리자, DevOps 엔지니어, 클라우드 관리자 | 
|  분석을 생성합니다. | Quick Sight에서 리소스를 시각화하는 데 도움이 되는 대시보드를 생성하려면 [Quick Sight에서 분석 시작](https://docs.aws.amazon.com/quicksuite/latest/userguide/creating-an-analysis.html)의 지침을 따르세요. | Quick Suite 관리자 | 
| 대시보드를 생성합니다. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/automate-aws-resource-inventory.html) | Quick Suite 관리자 | 

### (선택 사항)정리
<a name="optional-clean-up"></a>


| 작업 | 설명 | 필요한 기술 | 
| --- | --- | --- | 
| Systems Manager 자동화에서 생성한 리소스를 삭제합니다. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/automate-aws-resource-inventory.html) | AWS 관리자, 클라우드 관리자, DevOps 엔지니어 | 
| CloudFormation 스택을 삭제합니다. | `Config-QuickSight-Visualization-SSM-Automation` 스택의 리소스를 삭제하려면 [ CloudFormation 콘솔에서 스택 삭제의](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html) 지침을 따릅니다. | AWS 관리자, 클라우드 관리자, DevOps 엔지니어 | 

## 문제 해결
<a name="automate-aws-resource-inventory-troubleshooting"></a>


| 문제 | Solution | 
| --- | --- | 
| Amazon Quick이에 연결을 시도하고 `us-east-1` AWS 리전있지만 해당 리전에서 리소스를 생성할 수 없습니다. | 서비스 제어 정책이이 리전에서 Amazon Quick에 대한 구독을 제한하고 있습니다. 서비스 제어 정책에서 대상을 수동으로 지정합니다 AWS 리전. 를 적절한 리전 식별자`<REGION_ID>`로 바꿉니다.<pre>https://<REGION_ID>.quicksight.aws.amazon.com/sn/start/dashboards</pre>다음은 예제입니다.<pre>https://eu-central-1.quicksight.aws.amazon.com/sn/start/dashboards</pre> | 
| Amazon Athena에서 다음 메시지가 표시됩니다.`Before you run your first query, you need to set up a query result location in Amazon S3.` | Amazon Athena의 쿼리 결과를 저장할 Amazon S3 버킷을 준비했는지 확인합니다. Amazon Athena [Amazon Athena 콘솔을 사용하여 쿼리 결과 위치 지정](https://docs.aws.amazon.com/athena/latest/ug/query-results-specify-location-console.html)의 지침을 따릅니다. | 

## 관련 리소스
<a name="automate-aws-resource-inventory-resources"></a>

**AWS 설명서**
+ [AWS Config 설명서](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ [Amazon Quick 설명서](https://docs.aws.amazon.com/quicksuite/latest/userguide/what-is.html)

**AWS 블로그 게시물**
+ [를 사용하여 AWS Config 데이터 시각화 자동화 AWS Systems Manager](https://aws.amazon.com/blogs/mt/automate-aws-config-data-visualization-with-aws-systems-manager/)
+ [를 사용하여 리소스 구성 변경을 주기적으로 기록하는 방법 AWS Config](https://aws.amazon.com/blogs/mt/how-to-record-resource-configuration-changes-periodically-with-aws-config/)

**기타 리소스**
+ [Amazon Quick Community Learning Center](https://community.amazonquicksight.com/c/learning-center/10/none)
+ [Amazon Quick Community Gallery](https://community.amazonquicksight.com/c/gallery/44)