# AWS Config를 사용하여 구성 변경 추적
<a name="TrackingChanges"></a>

AWS 리소스 구성을 기록하고 평가하려면 배포의 구성을 자세히 볼 수 있는 AWS Config를 사용할 수 있습니다. 여기에는 리소스가 서로 어떻게 관련되는지, 과거에 어떻게 구성되었는지가 포함되어 시간에 따른 변화를 검토할 수 있습니다.

또한 AWS Config를 사용하여 CloudFront 배포 설정 변경에 대한 구성 변경 사항을 기록할 수 있습니다. 배포 상태, 가격 등급, 오리진, 지리적 제한 설정, Lambda@Edge 구성에 대한 변경 사항을 캡처할 수 있습니다.

**참고**  
AWS Config에서는 CloudFront 스트리밍 배포에 대한 키-값 태그를 기록하지 않습니다.

**Contents**
+ [CloudFront로 AWS Config 설정](#TrackingChangesSettings)
+ [CloudFront 구성 기록 보기](#TrackingChangesGetHistory)
+ [AWS Config 규칙을 사용하여 CloudFront 구성 평가](#cloudfront-config-rules)

## CloudFront로 AWS Config 설정
<a name="TrackingChangesSettings"></a>

AWS Config를 설정할 때는 지원되는 모든 AWS 리소스를 기록하는 방법을 선택하거나, CloudFront의 변경 사항만 기록하는 등 지정된 리소스만 기록하도록 지정할 수 있습니다. 지원되는 CloudFront 리소스의 목록을 보려면 **AWS Config 개발자 안내서에서 지원되는 리소스 유형 주제의 [Amazon CloudFront](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html#amazoncloudfront) 섹션을 참조하세요.

**참고**  
CloudFront 배포에 대한 구성 변경 사항을 추적하려면 미국 동부(버지니아 북부) AWS 리전의 CloudFront 콘솔에 로그인해야 합니다.
AWS Config에서 리소스 레코딩이 지연될 수 있습니다. AWS Config는 리소스를 검색한 후에만 리소스를 기록합니다.

------
#### [ Console ]<a name="HowToSetUpAWSConfigProcedure"></a>

**CloudFront로 AWS Config를 설정하려면**

1. AWS Management Console 에 로그인한 다음 [AWS Config 콘솔](https://console.aws.amazon.com/config/home)을 엽니다.

1. [**Get Started Now**]를 선택합니다.

1. **설정** 페이지의 **기록할 리소스 유형**에서 AWS에 기록할 AWS Config 리소스 유형을 지정합니다. CloudFront 변경 사항만 기록하고 싶은 경우에는 **특정 유형**을 선택한 다음, **CloudFront**에서 변경 사항을 추적하려는 배포 또는 스트리밍 배포를 선택합니다.

   추적할 배포를 추가 또는 변경하려면 초기 설정을 완료한 후에 왼쪽의 **설정**을 선택합니다.

1. AWS Config에 필요한 추가 옵션(예: 알림 설정, 구성 정보의 위치 지정, 리소스 유형 평가를 위한 규칙 추가 등)을 지정합니다.

자세한 내용은 *AWS Config 개발자 안내서*의 [콘솔을 통해 AWS Config 설정](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html)을 참조하세요.

------
#### [ AWS CLI ]

AWS CLI에 AWS Config를 설정하려면 **AWS Config 개발자 안내서의 [AWS CLI를 사용하여 AWS Config 설정](https://docs.aws.amazon.com/config/latest/developerguide/gs-cli.html)을 참조하세요.

------
#### [ AWS Config API ]

AWS Config API를 사용하여 CloudFront에 AWS Config를 설정하려면 **AWS Config API 참조의 [StartConfigurationRecorder](https://docs.aws.amazon.com/config/latest/APIReference/API_StartConfigurationRecorder.html) API 작업을 참조하세요.

------

## CloudFront 구성 기록 보기
<a name="TrackingChangesGetHistory"></a>

AWS Config가 배포에 구성 변경 사항을 기록하기 시작한 후에는 CloudFront에 대해 구성한 모든 배포의 구성 기록을 가져올 수 있습니다.

다음 방법을 사용하여 구성 내역을 볼 수 있습니다.

------
#### [ Console ]

기록된 리소스 각각에 대해 구성 세부 정보의 내역을 제공하는 타임라인 페이지를 볼 수 있습니다. 이 페이지를 보려면 **전용 호스트** 페이지의 **Config 타임라인** 열에서 회색 아이콘을 선택합니다.

보다 자세한 내용은 *AWS Config 개발자 가이드*의 [AWS Config 콘솔에서 구성 세부 사항 보기](https://docs.aws.amazon.com/config/latest/developerguide/view-manage-resource-console.html)를 참조하세요.

------
#### [ AWS CLI ]

모든 배포 목록을 얻으려면 다음 예시에서와 같이 [list-discovered-resources](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/configservice/list-discovered-resources.html) 명령을 사용합니다.

```
aws configservice list-discovered-resources --resource-type AWS::CloudFront::Distribution
```

특정 기간 동안의 배포에 대한 구성 세부 정보를 가져오려면 [get-resource-config-history](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/configservice/get-resource-config-history.html) 명령을 실행합니다.

보다 자세한 내용은 AWS Config 개발자 안내서**의 [CLI를 사용하여 구성 세부 정보 보기](https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html) 섹션을 참조하세요.

------
#### [ AWS Config API ]

모든 배포 목록을 얻으려면 [ListDiscoveredResources](https://docs.aws.amazon.com/config/latest/APIReference/API_ListDiscoveredResources.html) API 작업을 사용합니다.

특정 기간 동안의 배포에 대한 구성 세부 정보를 가져오려면 [GetResourceConfigHistory](https://docs.aws.amazon.com/config/latest/APIReference/API_GetResourceConfigHistory.html) API 작업을 사용합니다. 자세한 내용은 [AWS Config API 참조](https://docs.aws.amazon.com/config/latest/APIReference/)를 참조하세요.

------

## AWS Config 규칙을 사용하여 CloudFront 구성 평가
<a name="cloudfront-config-rules"></a>

AWS Config 규칙을 사용하여 원하는 구성을 기준으로 구성을 평가할 수 있습니다. 예를 들어 AWS Config 규칙을 사용하면 CloudFront 리소스가 일반적인 보안 모범 사례를 준수하는지 여부를 평가할 수 있습니다. 최종 사용자 정책 HTTPS, SNI 활성화, OAC 활성화, 오리진 장애 조치 활성화, AWS WAF WebACL과 같은 관리형 규칙 또는 구성 변경 시 트리거할 AWS Shield Advanced 리소스 정책을 선택할 수 있습니다.

관리형 규칙은 선택한 빈도로 정기적으로 평가를 실행할 수 있습니다. AWS Firewall Manager는 자동 알림 및 문제 해결을 위해 AWS Config에 의존합니다. 자세한 내용은 **AWS Config 개발자 안내서의 [AWS Config 규칙으로 리소스 평가](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) 및 [AWS Config 관리형 규칙 목록](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)을 참조하세요.