기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS Config 규칙을 사용한 리소스 평가
AWS Config 를 사용하여 AWS 리소스의 구성 설정을 평가합니다. 이상적인 구성 설정을 나타내는 AWS Config 규칙을 생성하여 이 작업을 수행합니다. 는 시작하는 데 도움이 되는 관리형 규칙이라고 하는 사용자 지정 가능한 사전 정의된 규칙을 AWS Config 제공합니다.
AWS Config 규칙 작동 방식
AWS Config 는 리소스에 발생하는 구성 변경을 계속 추적하면서 이러한 변경 사항이 규칙의 조건을 위반하는지 여부를 확인합니다. 리소스가 규칙을 준수하지 않는 경우 는 리소스와 규칙을 미준수 로 AWS Config 플래그 지정합니다. 다음은 AWS Config 규칙에 대해 가능한 평가 결과입니다.
-
COMPLIANT- 규칙이 규정 준수 검사 조건을 통과합니다. -
NON_COMPLIANT- 규칙이 규정 준수 검사 조건에 실패합니다. -
ERROR- 필수/선택적 파라미터 중 하나가 유효하지 않거나 올바른 유형이 아니거나 형식이 잘못되었습니다. -
NOT_APPLICABLE- 규칙의 논리를 적용할 수 없는 리소스를 필터링하는 데 사용되었습니다. 예를 들어 규칙은 Application Load Balanceralb-desync-mode-check만 확인하고 Network Load Balancer 및 Gateway Load Balancer는 무시합니다.
예를 들어 EC2 볼륨이 생성되면 는 볼륨을 암호화해야 하는 규칙에 따라 볼륨을 AWS Config 평가할 수 있습니다. 볼륨이 암호화되지 않은 경우 는 볼륨과 규칙을 규정 미준수로 AWS Config 플래그 지정합니다. 는 또한 모든 리소스에서 계정 전체 요구 사항을 확인할 AWS Config 수 있습니다. 예를 들어 계정의 EC2 볼륨 수가 원하는 합계 내에 있는지 또는 계정에서 로깅 AWS CloudTrail 에 를 사용하는지 여부를 확인할 AWS Config 수 있습니다.
서비스 연결 규칙
서비스 연결 규칙은 계정에서 규칙을 생성하기 위해 다른 AWS 서비스를 지원하는 고유한 유형의 관리형 AWS Config 규칙입니다. 이러한 규칙은 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함하도록 사전 정의되어 있습니다. 이러한 규칙은 규정 준수 확인을 AWS 계정 위해 AWS 서비스가 에서 권장하는 표준과 유사합니다. 자세한 내용은 서비스 연결 규칙 AWS Config 단원을 참조하십시오.
사용자 지정 규칙
사용자 지정 규칙을 생성하여 아직 기록 AWS Config 하지 않은 추가 리소스를 평가할 수도 있습니다. 자세한 내용은 AWS Config 사용자 지정 규칙 및 추가 리소스 유형 평가 단원을 참조하세요.
규정 준수 보기
AWS Config 콘솔에는 규칙 및 리소스의 규정 준수 상태가 표시됩니다. AWS 리소스가 원하는 구성을 전반적으로 준수하는 방법을 확인하고 어떤 특정 리소스가 규정을 준수하지 않는지 알아볼 수 있습니다. AWS CLI, AWS Config API및 AWS 를 사용하여 AWS Config 서비스에 규정 준수 정보를 SDKs 요청할 수도 있습니다.
AWS Config 를 사용하여 리소스 구성을 평가하면 리소스 구성이 내부 관행, 업계 지침 및 규정을 얼마나 잘 준수하는지 평가할 수 있습니다.
제한 사항
각 계정 및 기타 서비스 한도에 대한 각 리전의 최대 AWS Config 규칙 수는 AWS Config 서비스 한도 섹션을 참조하세요.
비용 고려 사항
리소스 기록과 관련된 비용에 대한 자세한 내용은 AWS Config 요금을
권장 사항: 규칙을 삭제하기 전에 리소스 규정 준수 기록 중지
계정에서 규칙을 삭제하기 전에 AWS::Config::ResourceCompliance 리소스 유형에 대한 레코딩을 중지하는 것이 좋습니다. 규칙을 삭제하면 에 대한 구성 항목(CIs)이 생성AWS::Config::ResourceCompliance되고 AWS Config 구성 레코더 비용에 영향을 미칠 수 있습니다. 많은 수의 리소스 유형을 평가하는 규칙을 삭제하는 경우 CIs 기록된 수가 급증할 수 있습니다.
모범 사례:
레코딩 중지
AWS::Config::ResourceCompliance규칙(들) 삭제
에 대한 레코딩 켜기
AWS::Config::ResourceCompliance
권장 사항: 사용자 지정 lambda 규칙에 대해 삭제된 리소스 평가를 처리하는 로직 추가
AWS Config 사용자 지정 람다 규칙을 생성할 때는 삭제된 리소스의 평가를 처리하기 위해 로직을 추가하는 것이 좋습니다.
평가 결과가 NOT_APPLICABLE로 표시되면 해당 리소스가 삭제로 표시되고 정리됩니다. 로 NOT 표시된 경우 NOT_APPLICABLE규칙이 삭제될 때까지 평가 결과는 변경되지 않으며, 이로 인해 규칙 삭제 AWS::Config::ResourceCompliance 시 에 CIs 대한 생성이 예기치 않게 급증할 수 있습니다.
삭제된 리소스에 대해 반환하도록 AWS Config 사용자 지정 람다 규칙을 설정하는 방법에 NOT_APPLICABLE 대한 자세한 내용은 사용자 AWS Config 지정 람다 규칙을 사용하여 삭제된 리소스 관리를 참조하세요.
권장 사항: 사용자 지정 lambda 규칙의 범위 내 리소스 제공
AWS Config 규칙이 하나 이상의 리소스 유형으로 범위가 지정되지 않은 경우 사용자 지정 Lambda 규칙으로 인해 Lambda 함수 호출이 많이 발생할 수 있습니다. 계정과 관련된 활동 증가를 방지하려면 사용자 지정 Lambda 규칙의 범위 내에서 리소스를 제공하는 것이 좋습니다. 리소스 유형을 선택하지 않은 경우 규칙은 계정의 모든 리소스에 대해 Lambda 함수를 간접 호출합니다.
리전 지원
현재 AWS Config 규칙 기능은 다음 AWS 리전에서 지원됩니다. 리전에서 지원되는 개별 AWS Config 규칙 목록은 리전 가용성별 AWS Config 관리형 규칙 목록 섹션을 참조하세요.
| 리전 이름 | 지역 | 엔드포인트 | 프로토콜 |
|---|---|---|---|
| 미국 동부(오하이오) | us-east-2 |
config.us-east-2.amazonaws.com config-fips.us-east-2.amazonaws.com |
HTTPS HTTPS |
| 미국 동부(버지니아 북부) | us-east-1 |
config.us-east-1.amazonaws.com config-fips.us-east-1.amazonaws.com |
HTTPS HTTPS |
| 미국 서부(캘리포니아 북부) | us-west-1 |
config.us-west-1.amazonaws.com config-fips.us-west-1.amazonaws.com |
HTTPS HTTPS |
| 미국 서부(오레곤) | us-west-2 |
config.us-west-2.amazonaws.com config-fips.us-west-2.amazonaws.com |
HTTPS HTTPS |
| 아프리카(케이프타운) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
| 아시아 태평양(홍콩) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
| 아시아 태평양(하이데라바드) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
| 아시아 태평양(자카르타) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| 아시아 태평양(말레이시아) | ap-southeast-5 | config.ap-southeast-5.amazonaws.com | HTTPS |
| 아시아 태평양(멜버른) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| 아시아 태평양(뭄바이) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| 아시아 태평양(오사카) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
| 아시아 태평양(서울) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| 아시아 태평양(싱가포르) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| 아시아 태평양(시드니) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| 아시아 태평양(도쿄) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| 캐나다(중부) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| 캐나다 서부(캘거리) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
| 유럽(프랑크푸르트) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| 유럽(아일랜드) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| 유럽(런던) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| 유럽(밀라노) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
| 유럽(파리) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| 유럽(스페인) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
| 유럽(스톡홀름) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| 유럽(취리히) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
| 이스라엘(텔아비브) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
| 중동(바레인) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
| 중동(UAE) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
| 남아메리카(상파울루) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (미국 동부) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (미국 서부) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
AWS 조직의 멤버 계정에 AWS Config 규칙 배포는 다음 리전에서 지원됩니다.
| 리전 이름 | 지역 | 엔드포인트 | 프로토콜 |
|---|---|---|---|
| 미국 동부(오하이오) | us-east-2 | config.us-east-2.amazonaws.com | HTTPS |
| 미국 동부(버지니아 북부) | us-east-1 | config.us-east-1.amazonaws.com | HTTPS |
| 미국 서부(캘리포니아 북부) | us-west-1 | config.us-west-1.amazonaws.com | HTTPS |
| 미국 서부(오레곤) | us-west-2 | config.us-west-2.amazonaws.com | HTTPS |
| 아프리카(케이프타운) | af-south-1 | config.af-south-1.amazonaws.com | HTTPS |
| 아시아 태평양(홍콩) | ap-east-1 | config.ap-east-1.amazonaws.com | HTTPS |
| 아시아 태평양(하이데라바드) | ap-south-2 | config.ap-south-2.amazonaws.com | HTTPS |
| 아시아 태평양(자카르타) | ap-southeast-3 | config.ap-southeast-3.amazonaws.com | HTTPS |
| 아시아 태평양(멜버른) | ap-southeast-4 | config.ap-southeast-4.amazonaws.com | HTTPS |
| 아시아 태평양(뭄바이) | ap-south-1 | config.ap-south-1.amazonaws.com | HTTPS |
| 아시아 태평양(오사카) | ap-northeast-3 | config.ap-northeast-3.amazonaws.com | HTTPS |
| 아시아 태평양(서울) | ap-northeast-2 | config.ap-northeast-2.amazonaws.com | HTTPS |
| 아시아 태평양(싱가포르) | ap-southeast-1 | config.ap-southeast-1.amazonaws.com | HTTPS |
| 아시아 태평양(시드니) | ap-southeast-2 | config.ap-southeast-2.amazonaws.com | HTTPS |
| 아시아 태평양(도쿄) | ap-northeast-1 | config.ap-northeast-1.amazonaws.com | HTTPS |
| 캐나다(중부) | ca-central-1 | config.ca-central-1.amazonaws.com | HTTPS |
| 캐나다 서부(캘거리) | ca-west-1 | config.ca-west-1.amazonaws.com | HTTPS |
| 유럽(프랑크푸르트) | eu-central-1 | config.eu-central-1.amazonaws.com | HTTPS |
| 유럽(아일랜드) | eu-west-1 | config.eu-west-1.amazonaws.com | HTTPS |
| 유럽(런던) | eu-west-2 | config.eu-west-2.amazonaws.com | HTTPS |
| 유럽(밀라노) | eu-south-1 | config.eu-south-1.amazonaws.com | HTTPS |
| 유럽(파리) | eu-west-3 | config.eu-west-3.amazonaws.com | HTTPS |
| 유럽(스페인) | eu-south-2 | config.eu-south-2.amazonaws.com | HTTPS |
| 유럽(스톡홀름) | eu-north-1 | config.eu-north-1.amazonaws.com | HTTPS |
| 유럽(취리히) | eu-central-2 | config.eu-central-2.amazonaws.com | HTTPS |
| 이스라엘(텔아비브) | il-central-1 | config.il-central-1.amazonaws.com | HTTPS |
| 중동(바레인) | me-south-1 | config.me-south-1.amazonaws.com | HTTPS |
| 중동(UAE) | me-central-1 | config.me-central-1.amazonaws.com | HTTPS |
| 남아메리카(상파울루) | sa-east-1 | config.sa-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (미국 동부) | us-gov-east-1 | config.us-gov-east-1.amazonaws.com | HTTPS |
| AWS GovCloud (미국 서부) | us-gov-west-1 | config.us-gov-west-1.amazonaws.com | HTTPS |
