애그리게이터 생성 - AWS Config

애그리게이터 생성

AWS Config 콘솔 또는 AWS CLI를 사용하여 애그리게이터를 생성할 수 있습니다. AWS Config 에서 개별 계정 ID 추가 또는 데이터를 집계하려는 조직 추가를 선택할 수 있습니다. AWS CLI에서 두 가지 방식으로 진행이 가능합니다.

Creating Aggregators (Console)

애그리게이터 페이지에서 데이터를 집계할 소스 계정 ID 또는 조직 및 리전을 지정하여 애그리게이터를 생성합니다.

  1. AWS Management Console에 로그인하고 https://console.aws.amazon.com/config/에서 AWS Config 콘솔을 엽니다.

  2. 집계자 페이지로 이동하여 집계자 생성을 선택합니다.

  3. 데이터 복제 허용은 AWS Config에게 소스 계정에서 집계자 계정으로 데이터를 복제할 권한을 부여합니다.

    AWS Config가 소스 계정에서 집계자 계정으로 데이터를 복제하도록 허용을 선택합니다. 집계자를 계속해서 추가하려면 이 확인란을 선택해야 합니다를 선택합니다.

  4. 집계자 이름에 집계자의 이름을 입력합니다.

    집계자 이름은 최대 64자의 영숫자로 구성된 고유한 이름이어야 합니다. 이름은 하이픈 및 밑줄을 포함할 수 있습니다.

  5. 소스 계정 선택에서 데이터를 집계할 소스로 개별 계정 ID 추가 또는 내 조직 추가를 선택합니다.

    참고

    개별 계정 ID 추가를 사용하여 소스 계정을 선택할 때는 권한 부여가 필요합니다.

    • 개별 계정 ID 추가를 선택할 경우, 집계자 계정으로 개별 계정 ID를 추가할 수 있습니다.

      1. 소스 계정 추가를 선택하여 계정 ID를 추가합니다.

      2. 쉼표로 구분된 AWS 계정 ID를 수동으로 추가하려면 AWS 계정 ID 추가를 선택합니다. 현재 계정으로부터 데이터를 집계하려면 계정의 계정 ID를 입력합니다.

        OR

        파일 업로드를 선택하여 쉼표로 구분된 AWS 계정 ID의 파일(.txt 또는 .csv)을 업로드합니다.

      3. 소스 계정 추가를 선택하여 선택 사항을 확인합니다.

    • 내 조직 추가를 선택할 경우. 조직의 모든 계정을 집계자 계정에 추가할 수 있습니다.

      참고

      사용자는 관리 계정이나 등록된 위임된 관리자에 로그인되어 있어야 하고 조직에서 모든 기능이 활성화되어 있어야 합니다. 발신자가 관리 계정인 경우 AWS Config는 EnableAwsServiceAccess API를 호출하여 AWS Config 및 AWS Organizations 간의 통합을 가능하게 합니다. 호출자가 등록된 위임 관리자인 경우 AWS Config는 ListDelegatedAdministrators API를 호출하여 호출자가 유효한 위임 관리자인지 확인합니다.

      위임된 관리자가 집계자를 생성하기 전에 관리 계정이 AWS Config 서비스 보안 주체 이름 (config.amazonaws.com)에 위임된 관리자를 등록해야 합니다. 위임된 관리자를 등록하려면 위임된 관리자 등록 문서를 참조하세요.

      AWS Config가 조직의 읽기 전용 API를 호출하도록 허용하려면 반드시 IAM 역할을 할당해야 합니다.

      1. 사용자 계정에서 역할 선택을 선택하여 기존 IAM 역할을 선택합니다.

        참고

        IAM 콘솔에서 AWSConfigRoleForOrganizations 관리형 정책을 IAM 역할에 연결합니다. 이 정책을 연결하면 AWS Config가 AWS Organizations DescribeOrganization, ListAWSServiceAccessForOrganizationListAccounts API를 호출할 수 있습니다. 기본적으로 config.amazonaws.com이 신뢰할 수 있는 엔터티로 자동 지정됩니다.

      2. 또는 역할 생성을 선택하고 IAM 역할 이름의 이름을 입력하여 IAM 역할을 생성합니다.

  6. 리전에서 데이터를 집계하려는 리전을 선택합니다.

    • AWS 리전를 하나, 여러 개 또는 모두 선택합니다.

    • 다중 계정 다중 리전 데이터 집계가 활성화되는 모든 향후 AWS 리전에서 데이터를 수집하려면 향후 AWS 리전 포함을 선택합니다.

  7. 저장을 선택합니다. AWS Config가 집계자를 표시합니다.

Creating Aggregators using Individual Accounts (AWS CLI)

  1. 명령 프롬프트 또는 터미널 창을 엽니다.

  2. 다음 명령을 입력하여 MyAggregator라는 애그리게이터를 생성합니다.

    aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"

    account-aggregation-sources에 대해 다음 중 하나를 입력합니다.

    • 데이터를 집계할 AWS 계정 계정 ID의 목록(쉼표로 구분) 계정 ID를 대괄호로 묶고 반드시 따옴표를 이스케이프 처리해야 합니다(예: "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]").

    • 쉼표로 구분된 AWS 계정 계정 ID의 JSON 파일을 업로드할 수도 있습니다. 다음 구문을 사용하여 파일을 업로드합니다. --account-aggregation-sources MyFilePath/MyFile.json

      JSON 파일은 다음 형식이어야 합니다.

    [
    {
        "AccountIds": [
            "AccountID1",
            "AccountID2",
            "AccountID3"
        ],
        "AllAwsRegions": true
    }
]

  3. 입력을 눌러 명령을 실행합니다.

    다음과 유사한 출력 화면이 표시되어야 합니다.

    {
    "ConfigurationAggregator": {
        "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
        "CreationTime": 1517942461.442,
        "ConfigurationAggregatorName": "MyAggregator",
        "AccountAggregationSources": [
            {
                "AllAwsRegions": true,
                "AccountIds": [
                    "AccountID1",
                    "AccountID2",
                    "AccountID3"
                ]
            }
        ],
        "LastUpdatedTime": 1517942461.442
    }
}
Creating Aggreagtors using AWS Organizations (AWS CLI)

이 절차를 시작하기 전에 사용자는 관리 계정 또는 등록된 위임된 관리자로 로그인되어 있어야 하고 조직에서 모든 기능이 활성화되어 있어야 합니다.

참고

위임된 관리자가 집계자를 생성하기 전에 관리 계정에서 다음 AWS Config 서비스 보안 주체 이름(config.amazonaws.com.rproxy.goskope.comconfig-multiaccountsetup.amazonaws.com)을 모두 사용하여 위임된 관리자를 등록해야 합니다. 위임된 관리자를 등록하려면 위임된 관리자 등록 문서를 참조하세요.

  1. 명령 프롬프트 또는 터미널 창을 엽니다.

  2. AWS Config 애그리게이터의 IAM 역할을 아직 생성하지 않았다면 다음 명령을 입력합니다.

    aws iam create-role --role-name OrgConfigRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"config.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}" --description "Role for organizational AWS Config aggregator"
    참고

    이 IAM 역할의 Amazon 리소스 이름(ARN)을 복사하여 AWS Config 집계자를 생성할 때 사용합니다. 응답 객체에서 ARN을 확인할 수 있습니다.

  3. IAM 역할에 정책을 연결하지 않은 경우 AWSConfigRoleForOrganizations 관리형 정책을 연결하거나 다음 명령을 입력합니다.

    aws iam create-policy --policy-name OrgConfigPolicy --policy-document '{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Action":["organizations:ListAccounts","organizations:DescribeOrganization","organizations:ListAWSServiceAccessForOrganization","organizations:ListDelegatedAdministrators"],"Resource":"*"}]}'

  4. 다음 명령을 입력하여 MyAggregator라는 애그리게이터를 생성합니다.

    aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --organization-aggregation-source "{\"RoleArn\": \"Complete-Arn\",\"AllAwsRegions\": true}"

  5. 입력을 눌러 명령을 실행합니다.

    다음과 유사한 출력 화면이 표시되어야 합니다.

    {
    "ConfigurationAggregator": {
        "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3",
        "CreationTime": 1517942461.442,
        "ConfigurationAggregatorName": "MyAggregator",
        "OrganizationAggregationSource": {
                "AllAwsRegions": true,
                "RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role"
         },
        "LastUpdatedTime": 1517942461.442
    }
}