AWS Config 규칙을 통한 리소스 평가 - AWS Config

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Config 규칙을 통한 리소스 평가

사용자 지정 규칙을 만들거나 관리형 규칙을 사용하는 경우, 해당 규칙을 기준으로 리소스를 AWS Config 평가합니다. 규칙을 기준으로 리소스에 대한 요청 시 평가를 실행할 수 있습니다. 예를 들어, 이는 사용자 지정 규칙을 생성하여 해당 AWS Config 규칙이 리소스를 올바르게 평가하고 있는지 확인하거나 AWS Lambda 함수의 평가 로직에 문제가 있는지 확인하려는 경우에 유용합니다.

  1. IAM 사용자에게 활성 액세스 키가 있는지 여부를 평가하는 사용자 지정 규칙을 작성합니다.

  2. AWS Config 사용자 지정 규칙을 기준으로 리소스를 평가합니다.

  3. 계정에 활성 액세스 키가 없는 IAM 사용자가 있습니다. 규칙이 이 리소스를 규정 미준수로 올바르게 표시하지 않습니다.

  4. 규칙을 수정한 후 평가를 다시 시작합니다.

  5. 규칙을 수정했기 때문에 규칙이 리소스를 올바르게 평가하고 IAM 사용자 리소스를 규정 미준수로 표시합니다.

계정에 규칙을 추가할 때 리소스 생성 및 관리 프로세스에서 리소스를 평가할 AWS Config 시기를 지정할 수 있습니다. 리소스 생성 및 관리 프로세스를 리소스 프로비저닝이라고 합니다. 평가 모드를 선택하여 이 프로세스에서 리소스를 평가할 시기를 지정합니다. AWS Config

규칙에 따라 리소스가 배포되기 전, 리소스가 배포된 후 또는 둘 다에서 리소스 구성을 평가할 AWS Config 수 있습니다. 리소스를 배포하기 전에 평가하는 것은 사전 평가입니다. 리소스를 배포한 이후에 평가하는 것은 탐지 평가합니다.

리소스를 배포하기 전에 평가하려면 사전 평가를 사용합니다. 이를 통해 해당 지역의 계정에 있는 사전 예방 규칙 세트를 고려하여 리소스 속성 세트를 사용하여 AWS 리소스를 정의하는 경우 이를 COMPLIANT인지 NON_COMPLIANT인지를 평가할 수 있습니다.

리소스 유형 스키마는 리소스의 속성을 명시합니다. 리소스 유형 스키마는 AWS CloudFormation 레지스트리 내의 "AWS 공용 확장 “에서 또는 다음 CLI 명령을 사용하여 찾을 수 있습니다.

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

자세한 내용은 사용 설명서의 AWS CloudFormation 레지스트리를 통한 확장 관리AWS 리소스 및 속성 유형 참조를 참조하십시오. AWS CloudFormation

참고

사전 예방 규칙은 NON_COMPLIANT로 플래그가 지정된 리소스를 수정하거나 배포를 금지하지 않습니다.

리소스 평가

사전 평가를 활성화하려면

  1. AWS Management Console 로그인하고 https://console.aws.amazon.com/config/ 에서 AWS Config 콘솔을 엽니다.

  2. AWS Management Console 메뉴에서 지역 선택기가 AWS Config 규칙을 지원하는 지역으로 설정되어 있는지 확인합니다. 지원되는 AWS 리전의 목록은 Amazon Web Services 일반 참조의 AWS Config 리전 및 엔드포인트를 참조하세요.

  3. 왼쪽 탐색 창에서 규칙을 선택합니다. 사전 평가를 지원하는 관리 규칙 목록은 평가 모드별 AWS Config 관리 규칙 목록을 참조하십시오.

  4. 업데이트하려는 규칙을 선택하고 규칙 편집을 선택합니다.

  5. 리소스를 배포하기 전에 리소스의 구성 설정에 대한 평가를 실행하려면 평가 모드에서 사전 평가 켜기를 선택합니다.

  6. 저장을 선택합니다.

참고

put-config-rule명령을 사용하여 사전 평가를 활성화하고 해당 PutConfigRule작업을 PROACTIVE EvaluationModes 활성화하거나 사용하거나 PROACTIVE 활성화할 수도 있습니다. EvaluationModes

사전 평가를 활성화한 후에는 StartResourceEvaluationAPI와 GetResourceEvaluationSummaryAPI를 사용하여 해당 명령에 지정한 리소스가 해당 지역 계정의 사전 예방 규칙에 의해 NON_COMPLIANT로 플래그가 지정되는지 확인할 수 있습니다.

예를 들어, API로 시작해 보세요. StartResourceEvaluation 

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::RESOURCE::TYPE",
                                     "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

출력이 ResourceEvaluationId를 제공합니다.

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

그런 다음 ResourceEvaluationId GetResourceEvaluationSummary API와 함께 를 사용하여 평가 결과를 확인합니다.

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

다음과 유사한 출력 화면이 표시될 것입니다.

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
    }
}

리소스에 NON_COMPLIANT로 플래그를 지정한 규칙 등 평가 결과에 대한 추가 정보를 보려면 API를 사용하세요. GetComplianceDetailsByResource

이미 배포된 리소스를 평가하려면 탐지 평가를 사용합니다. 이를 통해 기존 리소스의 구성 설정을 평가할 수 있습니다.

리소스(콘솔) 평가

  1. 에 AWS Management Console 로그인하고 https://console.aws.amazon.com/config/ 에서 콘솔을 엽니다. AWS Config

  2. AWS Management Console 메뉴에서 지역 선택기가 AWS Config 규칙을 지원하는 지역으로 설정되어 있는지 확인합니다. 지원되는 리전의 목록은 Amazon Web Services 일반 참조의 AWS Config 리전 및 엔드포인트를 참조하세요.

  3. 탐색 창에서 규칙을 선택합니다. 규칙 페이지에는 각 규칙의 이름, 관련 문제 해결 작업 및 규정 준수 상태가 표시됩니다.

  4. 표에서 규칙을 선택합니다.

  5. 작업 드롭다운 목록에서 재평가를 선택합니다.

  6. AWS Config 규칙에 따라 리소스 평가를 시작합니다.

참고

규칙을 1분에 한 번씩 재평가할 수 있습니다. 규칙에 대한 AWS Config 평가가 완료될 때까지 기다렸다가 다른 평가를 시작해야 합니다. 규칙이 업데이트 중이거나 삭제 중인 경우 동시에 평가를 실행할 수 없습니다.

리소스(CLI) 평가

  • start-config-rules-evaluation 명령을 사용합니다.

    $ aws configservice start-config-rules-evaluation --config-rule-names ConfigRuleName

    AWS Config 기록된 리소스 구성을 규칙에 따라 평가하기 시작합니다. 요청에 여러 규칙을 지정할 수도 있습니다.

    $ aws configservice start-config-rules-evaluation --config-rule-names ConfigRuleName1 ConfigRuleName2 ConfigRuleName3

리소스(API) 평가

StartConfigRulesEvaluation 작업을 사용합니다.