AWS Config에서 리소스 유형 기록
AWS Config가 프라이빗 리소스 유형을 자동으로 추적하고 해당 리소스의 변경 내용을 구성 항목으로 기록하도록 지정할 수 있습니다. 이렇게 하면 이러한 프라이빗 리소스 유형에 대한 구성 기록을 볼 수 있을 뿐 아니라 AWS Config 규칙 규칙을 작성하여 구성 모범 사례를 확인할 수 있습니다. 후크 확장 프로그램에는 AWS Config가 필요합니다.
AWS Config가 프라이빗 리소스 유형을 자동으로 추적하도록 하려면 다음과 같이 하세요.
-
CloudFormation을 통해 리소스를 관리합니다. 여기에는 CloudFormation을 통한 모든 리소스 생성, 업데이트 및 삭제 작업이 포함됩니다.
참고
IAM 역할을 사용하여 스택 작업을 수행하는 경우 해당 IAM 역할에 다음 AWS Config 작업을 호출할 권한이 있어야 합니다.
-
모든 리소스 유형을 기록하도록 AWS Config를 구성합니다. 자세한 내용은 AWS Config 개발자 안내서의 Recording Configurations for Third-Party Resources using the AWS CLI를 참조하세요.
참고
AWS Config는 필수 및 쓰기 전용으로 정의된 속성을 포함하는 프라이빗 리소스의 기록을 지원하지 않습니다.
설계상, 쓰기 전용으로 정의된 리소스 속성은 AWS Config 구성 항목을 생성하는 데 사용되는 스키마에서 반환되지 않습니다. 따라서 쓰기 전용과 필수로 정의된 속성을 포함하면 필수 속성이 없으므로 구성 항목 생성에 실패합니다. 구성 항목을 생성하는 데 사용할 스키마를 보기 위해 DescribeType 작업의
schema속성을 검토할 수 있습니다.
구성 항목에 대한 자세한 내용을 알아보려면 AWS Config 개발자 안내서의 구성 항목을 참조하세요.
구성 항목에 민감한 속성이 기록되지 않도록 방지
리소스 유형에는 구성 항목의 일부로 기록하지 않으려는 암호, 시크릿 또는 기타 민감한 데이터와 같은 민감한 정보를 고려하는 속성이 포함될 수 있습니다. 구성 항목에 속성이 기록되지 않도록 하려면 리소스 유형 스키마의 writeOnlyproperties 목록에 해당 속성을 포함할 수 있습니다. writeOnlyproperties로 나열된 리소스 속성은 사용자가 지정할 수 있지만 read 또는 list 요청에 의해 반환되지 않습니다.
자세한 내용은 CloudFormation CLI User Guide의 writeOnlyProperties 섹션을 참조하세요.
