기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # AWS Config의 애그리게이터 생성 AWS Config 콘솔 또는 AWS CLI를 사용하여 애그리게이터를 생성할 수 있습니다. AWS Config 에서 **개별 계정 ID 추가** 또는 데이터를 집계하려는 **조직 추가**를 선택할 수 있습니다. AWS CLI에서 두 가지 방식으로 진행이 가능합니다. ------ #### [ Creating Aggregators (Console) ] **애그리게이터** 페이지에서 데이터를 집계할 소스 계정 ID 또는 조직 및 리전을 지정하여 애그리게이터를 생성합니다. 1. AWS Management Console에 로그인하고 [https://console.aws.amazon.com/config/home](https://console.aws.amazon.com/config/home)에서 AWS Config 콘솔을 엽니다. 1. **애그리게이터** 페이지로 이동하여 **애그리게이터 생성**을 선택합니다. 1. **데이터 복제 허용**은 AWS Config에게 소스 계정에서 애그리게이터 계정으로 데이터를 복제할 권한을 부여합니다. **AWS Config가 소스 계정에서 애그리게이터 계정으로 데이터를 복제하도록 허용을 선택합니다. 애그리게이터를 계속해서 추가하려면 이 확인란을 선택해야 합니다**. 1. **애그리게이터 이름**에 애그리게이터의 이름을 입력합니다. 애그리게이터 이름은 최대 64자의 영숫자로 구성된 고유한 이름이어야 합니다. 이름은 하이픈 및 밑줄을 포함할 수 있습니다. 1. **소스 계정 선택**에서 데이터를 집계할 소스로 **개별 계정 ID 추가** 또는 **내 조직 추가**를 선택합니다. **참고** **개별 계정 ID 추가**를 사용하여 소스 계정을 선택할 때는 권한 부여가 필요합니다. + **개별 계정 ID 추가**를 선택할 경우, 애그리게이터 계정에 개별 계정 ID를 추가할 수 있습니다. 1. **소스 계정 추가**를 선택하여 계정 ID를 추가합니다. 1. 쉼표로 구분된 AWS 계정 ID를 수동으로 추가하려면 **AWS 계정 ID 추가**를 선택합니다. 현재 계정으로부터 데이터를 집계하려면 계정의 계정 ID를 입력합니다. OR **파일 업로드**를 선택하여 쉼표로 구분된 AWS 계정 ID의 파일(.txt 또는 .csv)을 업로드합니다. 1. **소스 계정 추가**를 선택하여 선택 사항을 확인합니다. + **내 조직 추가**를 선택할 경우. 조직의 모든 계정을 애그리게이터 계정에 추가할 수 있습니다. **참고** 사용자는 관리 계정이나 등록된 위임된 관리자에 로그인되어 있어야 하고 조직에서 모든 기능이 활성화되어 있어야 합니다. 발신자가 관리 계정인 경우 AWS Config는 `EnableAwsServiceAccess` API를 호출하여 AWS Config 및 AWS Organizations 간의 [통합을 가능하게](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) 합니다. 호출자가 등록된 위임 관리자인 경우 AWS Config는 `ListDelegatedAdministrators` API를 호출하여 호출자가 유효한 위임 관리자인지 확인합니다. 위임된 관리자가 애그리게이터를 생성하기 전에 관리 계정이 AWS Config 서비스 보안 주체 이름 (config.amazonaws.com)에 위임된 관리자를 등록해야 합니다. 위임된 관리자를 등록하려면 [에 위임된 관리자 등록 AWS Config](aggregated-register-delegated-administrator.md) 문서를 참조하세요. AWS Config가 조직의 읽기 전용 API를 호출하도록 허용하려면 반드시 IAM 역할을 할당해야 합니다. 1. **사용자 계정에서 역할 선택**을 선택하여 기존 IAM 역할을 선택합니다. **참고** IAM 콘솔에서 `AWSConfigRoleForOrganizations` 관리형 정책을 IAM 역할에 연결합니다. 이 정책을 연결하면 AWS Config가 AWS Organizations `DescribeOrganization`, `ListAWSServiceAccessForOrganization` 및 `ListAccounts` API를 호출할 수 있습니다. 기본적으로 `config.amazonaws.com`이 신뢰할 수 있는 엔터티로 자동 지정됩니다. 1. 또는 **역할 생성**을 선택하고 IAM 역할 이름의 이름을 입력하여 IAM 역할을 생성합니다. 1. **리전**에서 데이터를 집계하려는 리전을 선택합니다. + AWS 리전를 하나, 여러 개 또는 모두 선택합니다. + 다중 계정 다중 리전 데이터 집계가 활성화되는 모든 향후 AWS 리전에서 데이터를 수집하려면 **향후 AWS 리전 포함**을 선택합니다. 1. **저장**을 선택합니다. AWS Config가 애그리게이터를 표시합니다. ------ #### [ Creating Aggregators using Individual Accounts (AWS CLI) ] 1. 명령 프롬프트 또는 터미널 창을 엽니다. 1. 다음 명령을 입력하여 **MyAggregator**라는 애그리게이터를 생성합니다. ``` aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --account-aggregation-sources "[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]" ``` `account-aggregation-sources`에 대해 다음 중 하나를 입력합니다. + 데이터를 집계할 AWS 계정 계정 ID의 목록(쉼표로 구분) 계정 ID를 대괄호로 묶고 반드시 따옴표를 이스케이프 처리해야 합니다(예: `"[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"`). + 쉼표로 구분된 AWS 계정 계정 ID의 JSON 파일을 업로드할 수도 있습니다. 다음 구문을 사용하여 파일을 업로드합니다. `--account-aggregation-sources MyFilePath/MyFile.json` JSON 파일은 다음 형식이어야 합니다. ``` [ { "AccountIds": [ "AccountID1", "AccountID2", "AccountID3" ], "AllAwsRegions": true } ] ``` 1. 입력을 눌러 명령을 실행합니다. 다음과 유사한 출력 화면이 표시되어야 합니다. ``` { "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "AccountAggregationSources": [ { "AllAwsRegions": true, "AccountIds": [ "AccountID1", "AccountID2", "AccountID3" ] } ], "LastUpdatedTime": 1517942461.442 } } ``` ------ #### [ Creating Aggregators using AWS Organizations (AWS CLI) ] 이 절차를 시작하기 전에 사용자는 관리 계정 또는 등록된 위임된 관리자로 로그인되어 있어야 하고 조직에서 모든 기능이 활성화되어 있어야 합니다. **참고** 위임된 관리자가 애그리게이터를 생성하기 전에 관리 계정에서 다음 AWS Config 서비스 보안 주체 이름(`config.amazonaws.com` 및 `config-multiaccountsetup.amazonaws.com`)을 모두 사용하여 위임된 관리자를 등록해야 합니다. 위임된 관리자를 등록하려면 [에 위임된 관리자 등록 AWS Config](aggregated-register-delegated-administrator.md) 문서를 참조하세요. 1. 명령 프롬프트 또는 터미널 창을 엽니다. 1. AWS Config 애그리게이터의 IAM 역할을 아직 생성하지 않았다면 다음 명령을 입력합니다. ``` aws iam create-role --role-name OrgConfigRole --assume-role-policy-document "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Sid\":\"\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"config.amazonaws.com\"},\"Action\":\"sts:AssumeRole\"}]}" --description "Role for organizational AWS Config aggregator" ``` **참고** 이 IAM 역할의 Amazon 리소스 이름(ARN)을 복사하여 AWS Config 애그리게이터를 생성할 때 사용합니다. 응답 객체에서 ARN을 확인할 수 있습니다. 1. IAM 역할에 정책을 연결하지 않은 경우 [AWSConfigRoleForOrganizations](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigRoleForOrganizations.html) 관리형 정책을 연결하거나 다음 명령을 입력합니다. ``` aws iam create-policy --policy-name OrgConfigPolicy --policy-document '{"Version":"2012-10-17", "Statement":[{"Effect":"Allow","Action":["organizations:ListAccounts","organizations:DescribeOrganization","organizations:ListAWSServiceAccessForOrganization","organizations:ListDelegatedAdministrators"],"Resource":"*"}]}' ``` 1. 다음 명령을 입력하여 **MyAggregator**라는 애그리게이터를 생성합니다. ``` aws configservice put-configuration-aggregator --configuration-aggregator-name MyAggregator --organization-aggregation-source "{\"RoleArn\": \"Complete-Arn\",\"AllAwsRegions\": true}" ``` 1. 입력을 눌러 명령을 실행합니다. 다음과 유사한 출력 화면이 표시되어야 합니다. ``` { "ConfigurationAggregator": { "ConfigurationAggregatorArn": "arn:aws:config:Region:AccountID:config-aggregator/config-aggregator-floqpus3", "CreationTime": 1517942461.442, "ConfigurationAggregatorName": "MyAggregator", "OrganizationAggregationSource": { "AllAwsRegions": true, "RoleArn": "arn:aws:iam::account-of-role-to-assume:role/name-of-role" }, "LastUpdatedTime": 1517942461.442 } } ``` ------