AWS Config 규칙을 사용하여 리소스 평가 - AWS Config

AWS Config 규칙을 사용하여 리소스 평가

사용자 지정 규칙을 만들거나 관리형 규칙을 사용하는 경우, AWS Config는 그러한 규칙을 기준으로 리소스를 평가합니다. 규칙을 기준으로 리소스에 대한 요청 시 평가를 실행할 수 있습니다. 예를 들어, 사용자 지정 규칙을 생성하고 AWS Config가 리소스를 올바르게 평가하는지 확인하거나 AWS Lambda 함수의 평가 논리에 문제가 있는지 찾고자 할 때 유용합니다.

  1. IAM 사용자에게 활성 액세스 키가 있는지 여부를 평가하는 사용자 지정 규칙을 작성합니다.

  2. AWS Config는 사용자 지정 규칙을 기준으로 리소스를 평가합니다.

  3. 계정에 활성 액세스 키가 없는 IAM 사용자가 있습니다. 규칙이 이 리소스를 규정 미준수로 올바르게 표시하지 않습니다.

  4. 규칙을 수정한 후 평가를 다시 시작합니다.

  5. 규칙을 수정했기 때문에 규칙이 리소스를 올바르게 평가하고 IAM 사용자 리소스를 규정 미준수로 표시합니다.

계정에 규칙을 추가할 때 리소스 생성 및 관리 프로세스에서 AWS Config가 리소스를 평가할 시기를 지정할 수 있습니다. 리소스 생성 및 관리 프로세스를 리소스 프로비저닝이라고 합니다. 이 프로세스에서 AWS Config가 리소스를 평가할 시기를 지정하려면 평가 모드를 선택합니다.

규칙에 따라 AWS Config는 리소스가 배포되기 전, 리소스가 배포된 후 또는 둘 다에서 리소스 구성을 평가할 수 있습니다. 리소스를 배포하기 전에 평가하는 것은 사전 평가입니다. 리소스를 배포한 이후에 평가하는 것은 탐지 평가합니다.

리소스를 배포하기 전에 평가하려면 사전 평가를 사용합니다. 이를 통해 AWS 리소스를 정의하는 데 사용되는 경우 일련의 리소스 속성이 해당 리전의 계정에 있는 사전 예방 규칙 세트에 대해 규정 준수 또는 규정 미준수를 평가할 수 있습니다.

리소스 유형 스키마는 리소스의 속성을 명시합니다. 리소스 유형 스키마는 AWS CloudFormation 레지스트리 내의 ‘AWS 퍼블릭 익스텐션’에서 또는 다음 CLI 명령을 사용하여 찾을 수 있습니다.

aws cloudformation describe-type --type-name "AWS::S3::Bucket" --type RESOURCE

자세한 내용은 AWS CloudFormation 사용 설명서의 AWS CloudFormation 레지스트리를 통한 익스텐션 관리AWS 리소스 및 속성 유형 참조를 참조하세요.

참고

사전 예방 규칙은 규정 미준수로 플래그가 지정된 리소스를 수정하거나 배포를 금지하지 않습니다.

리소스 평가

사전 평가를 활성화하려면

  1. AWS Management Console에 로그인하고 https://console.aws.amazon.com/config/에서 AWS Config 콘솔을 엽니다.

  2. AWS Management Console 메뉴에서 리전 선택기가 AWS Config 규칙을 지원하는 리전으로 설정되어 있는지 확인합니다. 지원되는 AWS 리전의 목록은 Amazon Web Services 일반 참조의 AWS Config 리전 및 엔드포인트를 참조하세요.

  3. 왼쪽 탐색 창에서 규칙을 선택합니다. 사전 평가를 지원하는 관리형 규칙의 목록은 평가 모드별 AWS Config 관리형 규칙 목록을 참조하세요.

  4. 업데이트하려는 규칙을 선택하고 규칙 편집을 선택합니다.

  5. 리소스를 배포하기 전에 리소스의 구성 설정에 대한 평가를 실행하려면 평가 모드에서 사전 평가 켜기를 선택합니다.

  6. Save(저장)를 선택합니다.

참고

또한 put-config-rule 명령을 사용하고 EvaluationModes에서 PROACTIVE를 활성화하거나 PutConfigRule 작업을 사용하고 EvaluationModes에서 PROACTIVE를 활성화하여 사전 평가를 활성화할 수도 있습니다.

사전 평가를 활성화한 후에는 StartResourceEvaluation API 및 GetResourceEvaluationSummary API를 사용하여 이러한 명령에 지정한 리소스가 해당 계정의 해당 리전 사전 예방 규칙에 따라 NON_COMPLIANT 플래그가 지정되는지 확인할 수 있습니다.

예를 들어, 먼저 StartResourceEvaluation API를 사용합니다.

aws configservice start-resource-evaluation --evaluation-mode PROACTIVE
                --resource-details '{"ResourceId":"MY_RESOURCE_ID",
                                     "ResourceType":"AWS::RESOURCE::TYPE",
                                     "ResourceConfiguration":"RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA",
                                     "ResourceConfigurationSchemaType":"CFN_RESOURCE_SCHEMA"}'

출력이 ResourceEvaluationId를 제공합니다.

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID"
}

그러면 ResourceEvaluationId를 GetResourceEvaluationSummary API와 함께 사용하여 평가 결과를 확인합니다.

aws configservice get-resource-evaluation-summary
    --resource-evaluation-id MY_RESOURCE_EVALUATION_ID

다음과 유사한 출력 화면이 표시될 것입니다.

{
    "ResourceEvaluationId": "MY_RESOURCE_EVALUATION_ID",
    "EvaluationMode": "PROACTIVE",
    "EvaluationStatus": {
        "Status": "SUCCEEDED"
    },
    "EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
    "Compliance": "COMPLIANT",
    "ResourceDetails": {
        "ResourceId": "MY_RESOURCE_ID",
        "ResourceType": "AWS::RESOURCE::TYPE",
        "ResourceConfiguration": "RESOURCE_DEFINITION_AS_PER_THE_RESOURCE_CONFIGURATION_SCHEMA"
    }
}

리소스에 규정 미준수 플래그를 지정한 규칙 등 평가 결과에 대한 추가 정보를 보려면 GetComplianceDetailsByResource API를 사용하세요.

이미 배포된 리소스를 평가하려면 탐지 평가를 사용합니다. 이를 통해 기존 리소스의 구성 설정을 평가할 수 있습니다.

리소스(콘솔) 평가

  1. AWS Management Console에 로그인하고 https://console.aws.amazon.com/config/에서 AWS Config 콘솔을 엽니다.

  2. AWS Management Console 메뉴에서 리전 선택기가 AWS Config 규칙을 지원하는 리전으로 설정되어 있는지 확인합니다. 지원되는 리전의 목록은 Amazon Web Services 일반 참조의 AWS Config 리전 및 엔드포인트를 참조하세요.

  3. 탐색 창에서 규칙을 선택합니다. 규칙 페이지에는 각 규칙의 이름, 관련 문제 해결 작업 및 규정 준수 상태가 표시됩니다.

  4. 표에서 규칙을 선택합니다.

  5. 작업 드롭다운 목록에서 재평가를 선택합니다.

  6. AWS Config가 규칙을 기준으로 리소스를 평가하기 시작합니다.

참고

분당 한 번씩 규칙을 재평가할 수 있습니다. 다른 평가를 시작하기 전에 AWS Config가 규칙에 대한 평가를 완료할 때까지 기다려야 합니다. 규칙이 업데이트 중이거나 삭제 중인 경우 동시에 평가를 실행할 수 없습니다.

리소스(CLI) 평가

  • start-config-rules-evaluation 명령을 사용합니다.

    $ aws configservice start-config-rules-evaluation --config-rule-names ConfigRuleName

    AWS Config가 규칙을 기준으로 기록된 리소스 구성을 평가하기 시작합니다. 요청에 여러 규칙을 지정할 수도 있습니다.

    $ aws configservice start-config-rules-evaluation --config-rule-names ConfigRuleName1 ConfigRuleName2 ConfigRuleName3

리소스(API) 평가

StartConfigRulesEvaluation 작업을 사용합니다.