기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
리소스 추적 켜기
첫 번째 규정 준수 관련 프레임워크를 만들려면 우선 리소스 추적을 켜야 합니다. 이렇게 하면 AWS Config 가 AWS Backup 리소스를 추적할 수 있습니다. 리소스 추적 관리 방법에 대한 기술 설명서는 AWS Config 개발자 안내서의 콘솔 AWS Config 설정을 참조하세요.
리소스 추적을 켜면 요금이 부과됩니다. AWS Backup Audit Manager의 리소스 추적 요금 및 결제에 대한 자세한 내용은 측정, 비용 및 결제를 참조하세요.
주제
콘솔을 사용하여 리소스 추적 켜기
콘솔을 사용하여 리소스 추적 켜기
https://console.aws.amazon.com/backup
AWS Backup 콘솔을 엽니다. -
왼쪽 탐색 창의 Audit Manager 아래에서 프레임워크를 선택합니다.
-
리소스 추적 관리를 선택하여 리소스 추적을 활성화합니다.
-
AWS Config 설정으로 이동을 선택합니다.
-
기록 활성화 또는 비활성화를 선택합니다.
-
아래의 모든 리소스 유형에 대한 기록 활성화를 선택하거나, 일부 리소스 유형에 대한 기록을 활성화하도록 선택합니다. 컨트롤에 필요한 리소스 유형에 대한 내용은 AWS Backup Audit Manager 제어 및 수정을 참조하세요.
-
AWS Backup: backup plans -
AWS Backup: backup vaults -
AWS Backup: recovery points -
AWS Backup: backup selection
참고
AWS Backup Audit Manager는 모든 제어
AWS Config: resource compliance에 필요합니다. -
-
닫기를 선택하세요.
-
리소스 추적 켜기라는 문구의 파란색 배너가 리소스 추적 켜짐이라는 문구의 녹색 배너로 전환될 때까지 기다립니다.
AWS Backup 콘솔의 두 위치에서 리소스 추적을 활성화했는지, 활성화한 경우 기록 중인 리소스 유형을 확인할 수 있습니다. 왼쪽 탐색 창에서 다음 중 하나를 선택합니다.
-
프레임워크를 선택한 다음, AWS Config 레코더 상태 아래에서 텍스트를 선택합니다.
-
설정을 선택한 다음, AWS Config 레코더 상태 아래에서 텍스트를 선택합니다.
AWS Command Line Interface (AWS CLI)를 사용하여 리소스 추적 켜기
아직에 온보딩하지 않은 경우 AWS Config를 사용하여 온보딩하는 것이 더 빠를 수 있습니다 AWS CLI.
AWS CLI를 사용하여 리소스 추적을 켜려면
-
다음 명령을 입력하여 AWS Config 레코더를 이미 활성화했는지 확인합니다.
$ aws configservice describe-configuration-recorders-
다음과 같이
ConfigurationRecorders목록이 비어 있는 경우{ "ConfigurationRecorders": [] }레코더가 활성화되지 않은 상태입니다. 2단계로 계속 진행하여 레코더를 생성하세요.
-
모든 리소스에 대해 이미 기록을 활성화한 경우
ConfigurationRecorders출력은 다음과 같이 표시됩니다.{ "ConfigurationRecorders":[ { "recordingGroup":{ "allSupported":true, "resourceTypes":[ ], "includeGlobalResourceTypes":true }, "roleARN":"arn:aws:iam::[account]:role/[roleName]", "name":"default" } ] }모든 리소스를 활성화했으므로 리소스 추적이 이미 켜져 있습니다. AWS Backup Audit Manager를 사용하기 위해이 절차의 나머지 부분을 완료할 필요는 없습니다.
-
ConfigurationRecorders이 레코더가 비어 있지는 않지만 모든 리소스에 대한 기록을 활성화하지 않은 경우, 다음 명령을 사용하여 기존 레코더에 백업 리소스를 추가하세요. 그런 다음 3단계로 건너뜁니다.$ aws configservice describe-configuration-recorders { "ConfigurationRecorders":[ { "name":"default", "roleARN":"arn:aws:iam::accountId:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig", "recordingGroup":{ "allSupported":false, "includeGlobalResourceTypes":false, "resourceTypes":[ "AWS::Backup::BackupPlan", "AWS::Backup::BackupSelection", "AWS::Backup::BackupVault", "AWS::Backup::RecoveryPoint", "AWS::Config::ResourceCompliance" ] } } ] }
-
-
AWS Backup Audit Manager 리소스 유형을 사용하여 AWS Config 레코더 생성
$ aws configservice put-configuration-recorder --configuration-recorder name=default, \ roleARN=arn:aws:iam::accountId:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig \ --recording-group resourceTypes="['AWS::Backup::BackupPlan','AWS::Backup::BackupSelection', \ 'AWS::Backup::BackupVault','AWS::Backup::RecoveryPoint','AWS::Config::ResourceCompliance']" -
AWS Config 레코더를 설명합니다.
$ aws configservice describe-configuration-recorders출력을 다음 예상 출력과 비교하여 AWS Backup Audit Manager 리소스 유형이 있는지 확인합니다.
{ "ConfigurationRecorders":[ { "name":"default", "roleARN":"arn:aws:iam::accountId:role/AWSServiceRoleForConfig", "recordingGroup":{ "allSupported":false, "includeGlobalResourceTypes":false, "resourceTypes":[ "AWS::Backup::BackupPlan", "AWS::Backup::BackupSelection", "AWS::Backup::BackupVault", "AWS::Backup::RecoveryPoint", "AWS::Config::ResourceCompliance" ] } } ] } -
Amazon S3 버킷을 AWS Config 구성 파일을 저장할 대상으로 생성합니다.
$ aws s3api create-bucket --bucketamzn-s3-demo-bucket—regionus-east-1 -
policy.json을 사용하여 버킷에 액세스할 수 있는 AWS Config 권한을 부여합니다. 아래 샘플policy.json을 참조하세요.$ aws s3api put-bucket-policy --bucketamzn-s3-demo-bucket--policyfile://policy.json{ "Version":"2012-10-17", "Statement":[ { "Sid":"AWSConfigBucketPermissionsCheck", "Effect":"Allow", "Principal":{ "Service":"config.amazonaws.com" }, "Action":"s3:GetBucketAcl", "Resource":"arn:aws:s3:::amzn-s3-demo-bucket" }, { "Sid":"AWSConfigBucketExistenceCheck", "Effect":"Allow", "Principal":{ "Service":"config.amazonaws.com" }, "Action":"s3:ListBucket", "Resource":"arn:aws:s3:::amzn-s3-demo-bucket" }, { "Sid":"AWSConfigBucketDelivery", "Effect":"Allow", "Principal":{ "Service":"config.amazonaws.com" }, "Action":"s3:PutObject", "Resource":"arn:aws:s3:::amzn-s3-demo-bucket/*" } ] } -
버킷을 AWS Config 전송 채널로 구성
$ aws configservice put-delivery-channel --delivery-channel name=default,s3BucketName=amzn-s3-demo-bucket -
AWS Config 레코딩 활성화
$ aws configservice start-configuration-recorder --configuration-recorder-namedefault -
다음과 같은 방법으로
DescribeFramework출력의 마지막 줄에 있는"FrameworkStatus":"ACTIVE"를 확인합니다.$ aws backup describe-framework --framework-nametest--regionus-east-1{ "FrameworkName":"test", "FrameworkArn":"arn:aws:backup:us-east-1:accountId:framework:test-f0001b0a-0000-1111-ad3d-4444f5cc6666", "FrameworkDescription":"", "FrameworkControls":[ { "ControlName":"BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK", "ControlInputParameters":[ { "ParameterName":"requiredRetentionDays", "ParameterValue":"1" } ], "ControlScope":{ } }, { "ControlName":"BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK", "ControlInputParameters":[ { "ParameterName":"requiredFrequencyUnit", "ParameterValue":"hours" }, { "ParameterName":"requiredRetentionDays", "ParameterValue":"35" }, { "ParameterName":"requiredFrequencyValue", "ParameterValue":"1" } ], "ControlScope":{ } }, { "ControlName":"BACKUP_RESOURCES_PROTECTED_BY_BACKUP_PLAN", "ControlInputParameters":[ ], "ControlScope":{ } }, { "ControlName":"BACKUP_RECOVERY_POINT_ENCRYPTED", "ControlInputParameters":[ ], "ControlScope":{ } }, { "ControlName":"BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED", "ControlInputParameters":[ ], "ControlScope":{ } } ], "CreationTime":1633463605.233, "DeploymentStatus":"COMPLETED", "FrameworkStatus":"ACTIVE" }
AWS CloudFormation 템플릿을 사용하여 리소스 추적 켜기
리소스 추적을 켜는 AWS CloudFormation 템플릿은 에서 AWS Backup Audit Manager 사용을 AWS CloudFormation 참조하세요.
