기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

용 적합성 팩의 사전 조건 AWS Config

적합성 팩을 배포하기 전에 AWS Config 기록을 켭니다.

1단계: AWS Config 레코딩 시작

2단계: 해결 작업이 포함된 적합성 팩을 사용하기 위한 전제 조건

문제 해결과 함께 샘플 템플릿을 사용하여 적합성 팩을 배포하기 전에 문제 해결 대상을 기반으로 자동화 수임 역할 및 기타 리소스와 같은 적절한 AWS 리소스를 생성해야 합니다.

SSM 문서를 사용하여 문제 해결에 사용하는 기존 자동화 역할이 있는 경우 해당 역할의 ARN을 직접 제공할 수 있습니다. 리소스가 있는 경우 템플릿에 해당 리소스를 제공할 수 있습니다.

AWS Config 는 자동화 실행 역할에 대한 AWS CloudFormation 내장 함수를 지원하지 않습니다. 역할의 정확한 ARN을 문자열로 제공해야 합니다.

정확한 ARN을 전달하는 방법에 대한 자세한 내용은 에 대한 적합성 팩 샘플 템플릿 AWS Config 섹션을 참조하세요. 예제 템플릿을 사용하는 동안 조직의 계정 ID 및 관리 계정 ID를 업데이트합니다.

2단계: 하나 이상의 AWS Config 규칙과 함께 적합성 팩을 사용하기 위한 사전 조건

하나 이상의 사용자 지정 AWS Config 규칙이 있는 적합성 팩을 배포하기 전에 AWS Lambda 함수 및 해당 실행 역할과 같은 적절한 리소스를 생성합니다.

기존 사용자 지정 AWS Config 규칙이 있는 경우 AWS Lambda 함수ARN의를 직접 제공하여 팩의 일부로 해당 사용자 지정 규칙의 다른 인스턴스를 생성할 수 있습니다.

기존 사용자 지정 AWS Config 규칙이 없는 경우 AWS Lambda 함수를 생성하고 Lambda 함수의 ARN을 사용할 수 있습니다. 자세한 내용은 AWS Config 사용자 지정 규칙 단원을 참조하십시오.

AWS Lambda 함수가 다른에 있는 경우 적절한 교차 계정 AWS Lambda 함수 권한 부여를 사용하여 AWS Config 규칙을 생성할 AWS 계정수 있습니다. 자세한 내용은 여러 블로그 게시물에서 AWS Config 규칙을 중앙에서 관리하는 방법을 참조하세요 AWS 계정.

Same account bucket policy

적합성 팩 아티팩트를 저장 AWS Config 하려면 Amazon S3 버킷을 제공하고 다음 권한을 추가해야 합니다. 버킷 이름 지정에 대한 자세한 내용은 버킷 이름 지정 규칙을 참조하세요.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSConfigConformsBucketPermissionsCheck",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
            "arn:aws:iam::AccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
        ]
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::delivery-bucket-name"
    },
    {
      "Sid": "AWSConfigConformsBucketDelivery",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
            "arn:aws:iam::AccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
        ]
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::delivery-bucket-name/[optional] prefix/AWSLogs/AccountId/Config/*",
      "Condition": {
        "StringEquals": {
          "s3:x-amz-acl": "bucket-owner-full-control"
        }
      }
    }
  ]
}
        

Cross-account bucket policy

적합성 팩 아티팩트를 저장 AWS Config 하려면 Amazon S3 버킷을 제공하고 다음 권한을 추가해야 합니다. 버킷 이름 지정에 대한 자세한 내용은 버킷 이름 지정 규칙을 참조하세요.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSConfigConformsBucketPermissionsCheck",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
            "arn:aws:iam::SourceAccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms",
            "PutConformancePack API caller user principal like arn:aws:iam::SourceAccountId:user/userName "
        ]
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name"
    },
    {
      "Sid": "AWSConfigConformsBucketDelivery",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
            "arn:aws:iam::SourceAccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
        ]
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name/[optional] prefix/AWSLogs/AccountID/Config/*",
      "Condition": {
        "StringEquals": {
          "s3:x-amz-acl": "bucket-owner-full-control"
        }
      }
    },
    {
      "Sid": " AWSConfigConformsBucketReadAccess",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
            "arn:aws:iam::SourceAccountId:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
        ]
      },
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name/[optional] prefix/AWSLogs/AccountID/Config/*"
    }
  ]
}

참고

교차 계정 적합성 팩을 배포할 때 전송 Amazon S3 버킷의 이름은 awsconfigconforms로 시작해야 합니다.

2단계: 조직 적합성 팩의 전제 조건

입력 템플릿에 자동 문제 해결 구성이 있는 경우 템플릿에서 문제 해결에 대한 자동화 실행 역할 ARN을 지정합니다. 지정된 이름의 역할이 조직의 모든 계정(관리 및 멤버)에 존재하는지 확인합니다. PutOrganizationConformancePack을 호출하기 전에 모든 계정에서 이 역할을 만들어야 합니다. 이 역할을 수동으로 생성하거나 AWS CloudFormation 스택 세트를 사용하여 모든 계정에서이 역할을 생성할 수 있습니다.

템플릿이 AWS CloudFormation 내장 함수를 사용하여 특정 변수를 Fn::ImportValue가져오는 경우 해당 변수는 해당 조직의 모든 멤버 계정Export Value에서 로 정의되어야 합니다.

사용자 지정 AWS Config 규칙은 다중 블로그에서 AWS Config 규칙을 중앙에서 관리하여 적절한 권한을 설정하는 방법을 AWS 계정 참조하세요.

조직 버킷 정책:

적합성 팩 아티팩트를 저장 AWS Config 하려면 Amazon S3 버킷을 제공하고 다음 권한을 추가해야 합니다. 버킷 이름 지정에 대한 자세한 내용은 버킷 이름 지정 규칙을 참조하세요.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowGetObject",
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                 "s3:GetObject",
                 "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name/*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "customer_org_id"
                },
                "ArnLike": {
                    "aws:PrincipalArn": "arn:aws:iam::*:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
                }
            }
        },
        {
            "Sid": "AllowGetBucketAcl",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::awsconfigconforms-suffix in bucket name",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "customer_org_id"
                },
                "ArnLike": {
                    "aws:PrincipalArn": "arn:aws:iam::*:role/aws-service-role/config-conforms.amazonaws.com/AWSServiceRoleForConfigConforms"
                }
            }
        }
    ]
}