AWS Backup 콘솔을 사용하여 보고서 계획 생성 - AWS Backup

AWS Backup 콘솔을 사용하여 보고서 계획 생성

보고서에는 두 가지 유형이 있습니다. 첫 번째 유형은 지난 24시간 동안 완료된 작업과 모든 활성화된 작업을 보여주는 작업 보고서입니다. 두 번째 유형의 보고서는 규정 준수 보고서입니다. 규정 준수 보고서는 리소스 수준 또는 적용 중인 다양한 컨트롤을 모니터링할 수 있습니다. 보고서를 생성할 경우, 생성하려는 보고서 유형을 선택합니다.

계정 유형에 따라 콘솔 디스플레이가 달라질 수 있습니다. 관리 계정에만 다중 계정 기능이 표시됩니다.

백업 계획과 마찬가지로, 보고서 생성을 자동화하고 해당 보고서의 대상 Amazon S3 버킷을 정의하는 보고서 계획을 만듭니다. 보고서 계획에는 보고서를 수신할 S3 버킷이 있어야 합니다. 새 S3 버킷 설정에 대한 지침은 Amazon Simple Storage Service 사용 설명서1단계: 첫 번째 S3 버킷 생성을 참조하세요.

AWS Backup 콘솔에서 보고서 계획을 만들려면

  1. https://console.aws.amazon.com/backup에서 AWS Backup 콘솔을 엽니다.

  2. 왼쪽 탐색 창에서 보고서를 선택합니다.

  3. 보고서 계획 생성을 선택합니다.

  4. 목록에서 보고서 템플릿 중 하나를 선택합니다.

  5. 고유한 보고서 계획 이름을 입력합니다. 이름은 문자로 시작하고 문자(a~z, A~Z), 숫자(0~9) 및 밑줄(_)로 구성된 1~256자여야 합니다.

  6. (선택 사항) 보고서 계획 설명을 입력합니다.

  7. 규정 준수 보고서 템플릿은 한 계정에만 사용할 수 있습니다. 보고하려는 프레임워크를 하나 이상 선택합니다. 보고서 계획에는 최대 1,000개의 프레임워크를 추가할 수 있습니다.

    1. AWS 리전을 선택합니다.

    2. 해당 리전에서 프레임워크를 선택합니다.

    3. 프레임워크 추가를 선택합니다.

  8. (선택 사항) 보고서 계획에 태그를 추가하려면 보고서 계획에 태그 추가를 선택합니다.

  9. 관리 계정을 사용하는 경우, 이 보고서 계획에 포함할 계정을 지정할 수 있습니다. 내 계정만을 선택할 수 있습니다. 이렇게 하면 현재 로그인한 계정의 보고서만 생성됩니다. 또는 내 조직에서 하나 이상의 계정을 선택할 수 있습니다(관리 계정에서만 사용 가능).

  10. (한 리전에 대해서만 규정 준수 보고서를 만들려면 이 단계를 건너뜁니다.) 보고서에 포함할 리전을 선택할 수 있습니다. 드롭다운 메뉴를 클릭하면 사용 가능한 리전이 표시됩니다. 사용 가능한 모든 리전 또는 원하는 지역을 선택합니다.

    1. Backup Audit Manager에 새 리전을 통합할 때 새 리전 포함 확인란을 선택할 경우, 새 리전이 사용 가능해지면 보고서에 새 리전이 포함됩니다.

  11. 보고서의 파일 형식을 선택합니다. 모든 보고서를 CSV 형식으로 내보낼 수 있습니다. 또한 단일 리전에 대한 보고서를 JSON 형식으로 내보낼 수 있습니다.

  12. 드롭다운 목록을 사용하여 S3 버킷 이름을 선택합니다.

  13. (선택 사항) 버킷 접두사를 입력합니다.

    AWS Backup는 현재 계정, 현재 리전 보고서를 s3://your-bucket-name/prefix/Backup/accountID/Region/year/month/day/report-name에 전달합니다.

    AWS Backup는 교차 계정 보고서를 s3://your-bucket-name/prefix/Backup/crossaccount/Region/year/month/day/report-name에 전달합니다.

    AWS Backup는 교차 리전 보고서를 s3://your-bucket-name/prefix/Backup/accountID/crossregion/year/month/day/report-name에 전달합니다.

  14. 보고서 계획 생성을 선택합니다.

다음 단계에서는 S3 버킷이 AWS Backup에서 전송되는 보고서를 수신할 수 있도록 허용해야 합니다. 보고서 계획을 생성하면 AWS Backup Audit Manager는 사용자가 적용할 S3 버킷 액세스 정책을 자동으로 생성합니다.

고객 관리형 KMS 키를 사용하여 버킷을 암호화하는 경우 KMS 키 정책은 다음 요구 사항을 충족해야 합니다.

  • Action 속성에는 최소한 kms:GenerateDataKeykms:Decrypt가 포함되어야 합니다.

AWSServiceRolePolicyForBackupReports 정책에는 이런 권한들이 있습니다.

이 액세스 정책을 보고 S3 버킷에 적용하려면

  1. https://console.aws.amazon.com/backup에서 AWS Backup 콘솔을 엽니다.

  2. 왼쪽 탐색 창에서 보고서를 선택합니다.

  3. 보고서 계획 이름에서 해당하는 이름을 선택하여 보고서 계획을 선택합니다.

  4. 편집을 선택합니다.

  5. S3 버킷에 대한 액세스 정책 보기를 선택합니다. 이 절차의 마지막 부분에서 정책을 사용할 수도 있습니다.

  6. 권한 복사를 선택합니다.

  7. 버킷 정책 편집을 선택합니다. 백업 보고서가 처음 생성될 때까지는 S3 버킷 정책에서 참조되는 서비스 연결 역할이 아직 존재하지 않아서 “잘못된 보안 주체”라는 오류가 발생합니다.

  8. 권한을 정책에 복사합니다.

버킷 정책 샘플

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Principal":{
        "AWS":"arn:aws:iam::123456789012:role/aws-service-role/reports.backup.amazonaws.com/AWSServiceRoleForBackupReports"
      },
      "Action":"s3:PutObject",
      "Resource":[
        "arn:aws:s3:::BucketName/*"
      ],
      "Condition":{
        "StringEquals":{
          "s3:x-amz-acl":"bucket-owner-full-control"
        }
      }
    }
  ]
}

보고서를 저장하는 대상 S3 버킷을 암호화하기 위해 사용자 지정 AWS Key Management Service를 사용하는 경우 정책에 다음 작업을 포함합니다.


      "Action":[
        "kms:GenerateDataKey",
        "kms:Encrypt"
      ],  
      "Resource":[
        "*"
      ],