AWS CLI를 사용한 리소스 기록
AWS CLI를 사용하여 AWS Config에서 기록하도록 할 리소스 유형을 선택할 수 있습니다. 기록 그룹에서 지정한 리소스 유형을 기록하는 구성 레코드를 만들어 이를 수행합니다. 기록 그룹에서 지원되는 모든 리소스 유형을 기록할지 아니면 특정 유형의 리소스를 포함 또는 제외할지 지정합니다.
- Record all current and future supported resource types
-
이 리전에서 현재 및 향후에 지원되는 모든 리소스 유형에 대한 구성 변경 사항을 기록하도록 AWS Config를 설정합니다. 자세한 내용은 지원되는 리소스 유형 단원을 참조하세요.
-
다음
put-configuration-recorder명령을 사용합니다.$ aws configservice put-configuration-recorder \ --configuration-recorderfile://configurationRecorder.json\ --recording-groupfile://recordingGroup.json이 명령은
--configuration-recorder및---recording-group필드를 사용합니다.참고
레코딩 그룹 및 구성 레코더
--recording-group필드는 기록되는 리소스 유형을 지정합니다.--configuration-recorder필드가name,roleArn및 구성 레코더(recordingMode)의 기본 기록 빈도를 지정합니다. 이 필드를 사용하여 특정 리소스 유형의 기록 빈도를 재정의할 수도 있습니다.-
put-configuration-recorder는 파라미터에 대해 다음 필드를 사용합니다.-
allSupported=true- AWS Config가 글로벌 IAM 리소스 유형을 제외하고 지원되는 모든 리소스 유형의 구성 변경 사항을 기록합니다. AWS Config에서 새 리소스 유형에 대한 지원을 추가할 경우 AWS Config는 해당 유형의 리소스를 자동으로 기록하기 시작합니다. -
includeGlobalResourceTypes=true- 이 옵션은 글로벌 IAM 리소스 유형(IAM 사용자, 그룹, 역할 및 고객 관리형 정책)에만 적용되는 번들입니다. 2022년 2월 이전에 AWS Config를 사용할 수 있었던 리전에서만 AWS Config가 이러한 글로벌 IAM 리소스 유형을 기록할 수 있습니다. 2022년 2월 이후에 AWS Config이 지원되는 리전에서는 글로벌 IAM 리소스 유형을 기록할 수 없습니다. 해당 리전 목록은 AWS 리소스 레코딩 | 글로벌 리소스 페이지를 참조하세요.중요
Aurora 글로벌 클러스터는 활성화된 모든 리전에서 기록됨
AWS::RDS::GlobalCluster리소스 유형은 구성 레코더가 활성화된 지원되는 모든 AWS Config 리전에서 기록되며,includeGlobalResourceTypes가true로 설정된 경우에도 마찬가지입니다.includeGlobalResourceTypes옵션은 IAM 사용자, 그룹, 역할 및 고객 관리형 정책에만 적용되는 번들입니다.활성화된 모든 리전에서
AWS::RDS::GlobalCluster를 기록하지 않으려면 다음 기록 전략 중 하나를 사용하세요.지정한 유형 이외의 모든 현재 및 향후 리소스 유형 기록(
EXCLUSION_BY_RESOURCE_TYPES) 또는특정 리소스 유형을 기록(
INCLUSION_BY_RESOURCE_TYPES).
자세한 내용은 기록할 리소스 선택 | 리전 리소스 및 글로벌 리소스를 참조하세요.
중요
includeGlobalResourceTypes 및 제외 레코딩 전략
includeGlobalResourceTypes필드는EXCLUSION_BY_RESOURCE_TYPES기록 전략에 영향을 미치지 않습니다. 즉, 글로벌 IAM 리소스 유형(IAM 사용자, 그룹, 역할 및 고객 관리형 정책)은includeGlobalResourceTypes가false로 설정된 경우exclusionByResourceTypes에 대한 제외로 자동으로 추가되지 않습니다.includeGlobalResourceTypes필드는AllSupported필드를 수정하는 데만 사용해야 합니다.AllSupported필드의 기본값은 글로벌 IAM 리소스 유형을 제외한 지원되는 모든 리소스 유형에 대한 구성 변경을 기록하는 것입니다.AllSupported가true로 설정된 경우 글로벌 IAM 리소스 유형을 포함하려면includeGlobalResourceTypes를true로 설정해야 합니다.EXCLUSION_BY_RESOURCE_TYPES기록 전략에 대한 글로벌 IAM 리소스 유형을 제외하려면exclusionByResourceTypes의resourceTypes필드에 수동으로 추가해야 합니다.참고
필수 및 선택 필드
includeGlobalResourceTypes를true로 설정하려면 먼저allSupported필드를true로 설정합니다.선택적으로
RecordingStrategy의useOnly필드를ALL_SUPPORTED_RESOURCE_TYPES로 설정할 수 있습니다.참고
필드 재정의
includeGlobalResourceTypes를false로 설정했지만 RecordingGroup의resourceTypes필드에서 글로벌 IAM 리소스 유형을 나열하는 경우 AWS Config는includeGlobalResourceTypes필드를 false로 설정했는지 여부에 관계없이 지정된 리소스 유형에 대한 구성 변경을 계속 기록합니다.글로벌 IAM 리소스 유형(IAM 사용자, 그룹, 역할 및 고객 관리형 정책)에 대한 구성 변경을 기록하지 않으려면
includeGlobalResourceTypes필드를 false로 설정해야 할 뿐만 아니라resourceTypes필드에 해당 항목을 나열하지 않아야 합니다.
recordingGroup.json파일은 AWS Config가 기록할 리소스 유형을 지정합니다.{ "allSupported": true, "recordingStrategy": { "useOnly": "ALL_SUPPORTED_RESOURCE_TYPES" }, "includeGlobalResourceTypes": true } -
-
put-configuration-recorder는 파라미터에 대해 다음 필드를 사용합니다.name- 구성 레코더의 이름입니다. AWS Config이 구성 레코더를 생성할 때 '기본값' 이름을 자동으로 할당합니다.roleARN- 구성 레코더가 AWS Config의 추측으로 사용하고 있는 IAM 역할의 Amazon 리소스 이름(ARN)입니다.recordingMode- AWS Config가 구성 변경 사항을 기록하는 데 사용하는 기본 기록 빈도를 지정합니다. AWS Config는 지속적인 기록 및 일일 기록을 지원합니다. 지속적인 기록을 사용하면 변경이 발생할 때마다 지속적으로 구성 변경 사항을 기록할 수 있습니다. 일일 기록을 사용하면 이전에 기록된 CI와 다른 경우에만 지난 24시간 동안의 리소스 최신 상태를 나타내는 구성 항목(CI)을 받을 수 있습니다.-
recordingFrequency- AWS Config이 구성 변경 사항을 기록하는 데 사용하는 기본 기록 빈도입니다.참고
AWS Firewall Manager는 리소스를 모니터링하기 위해 지속적인 기록에 의존합니다. Firewall Manager를 사용하는 경우 기록 빈도를 계속으로 설정하는 것이 좋습니다.
-
recordingModeOverrides- 이 필드를 사용하여 기록 모드에 대한 재정의를 지정할 수 있습니다.recordingModeOverride객체 배열입니다.recordingModeOverrides배열의 각recordingModeOverride객체는 세 개의 필드로 구성됩니다.description- 재정의에 제공하는 설명입니다.recordingFrequency- 재정의에 지정된 모든 리소스 유형에 적용되는 기록 빈도입니다.resourceTypes- AWS Config가 재정의에 포함할 리소스 유형을 지정하는 쉼표로 구분된 목록입니다.
-
참고
필수 및 선택 필드
put-configuration-recorder에 대한recordingMode필드는 선택 사항입니다. 기본적으로 구성 레코더의 기록 빈도는 지속적인 기록으로 설정됩니다.참고
Limits
다음과 같은 리소스 유형에는 일일 기록이 지원되지 않습니다.
AWS::Config::ResourceComplianceAWS::Config::ConformancePackComplianceAWS::Config::ConfigurationRecorder
현재 및 향후에 지원되는 모든 리소스 유형 기록(
ALL_SUPPORTED_RESOURCE_TYPES) 기록 전략의 경우 이러한 리소스 유형이 지속적인 기록으로 설정됩니다.configurationRecorder.json파일이name,roleArn및 구성 레코더(recordingMode)의 기본 기록 빈도를 지정합니다. 이 필드를 사용하여 특정 리소스 유형의 기록 빈도를 재정의할 수도 있습니다.{ "name": "default", "roleARN": "arn:aws:iam::123456789012:role/config-role", "recordingMode": { "recordingFrequency":CONTINUOUSorDAILY, "recordingModeOverrides": [ { "description": "Description you provide for the override", "recordingFrequency":CONTINUOUSorDAILY, "resourceTypes": [Comma-separated list of resource types to include in the override] } ] } }
-
-
(선택 사항) 구성 레코더에 원하는 설정이 있는지 확인하려면 다음
describe-configuration-recorders명령을 사용합니다.$ aws configservice describe-configuration-recorders다음은 응답의 예입니다.
{ "ConfigurationRecorders": [ { "name": "default" "recordingGroup": { "allSupported": true, "exclusionByResourceTypes": { "resourceTypes": [] }, "includeGlobalResourceTypes": true, "recordingStrategy": { "useOnly": "ALL_SUPPORTED_RESOURCE_TYPES" }, "resourceTypes": [], }, "recordingMode": { "recordingFrequency":CONTINUOUSorDAILY, "recordingModeOverrides": [ { "description": "Description you provide for the override, "recordingFrequency":CONTINUOUSorDAILY, "resourceTypes": [Comma-separated list of resource types to include in the override] } ] }, "roleARN": "arn:aws:iam::123456789012:role/config-role" } ] }
-
- Record all current and future supported resources types excluding the types you specify
-
사용자가 기록에서 제외하도록 지정한 리소스 유형을 제외하고 글로벌 리소스 유형을 포함한 현재 및 향후 지원되는 모든 리소스 유형에 대한 구성 변경을 기록하도록 AWS Config를 설정합니다. 리소스 유형에 대한 기록을 중지하도록 선택하면 이미 기록된 구성 항목은 변경되지 않습니다. 자세한 내용은 지원되는 리소스 유형 단원을 참조하세요.
이 명령은
--configuration-recorder및---recording-group필드를 사용합니다.$ aws configservice put-configuration-recorder \ --configuration-recorderfile://configurationRecorder.json\ --recording-groupfile://recordingGroup.json참고
레코딩 그룹 및 구성 레코더
--recording-group필드는 기록되는 리소스 유형을 지정합니다.--configuration-recorder필드가name,roleArn및 구성 레코더(recordingMode)의 기본 기록 빈도를 지정합니다. 이 필드를 사용하여 특정 리소스 유형의 기록 빈도를 재정의할 수도 있습니다.-
다음 예제와 같이
put-configuration-recorder명령을 사용한 후,exclusionByResourceTypes의resourceTypes필드를 통해 하나 이상의 제외할 리소스 유형을 전달합니다.-
recordingGroup.json파일은 AWS Config가 기록할 리소스 유형을 지정합니다.{ "allSupported": false, "exclusionByResourceTypes": { "resourceTypes": [ "AWS::Redshift::ClusterSnapshot", "AWS::RDS::DBClusterSnapshot", "AWS::CloudFront::StreamingDistribution" ] }, "includeGlobalResourceTypes": false, "recordingStrategy": { "useOnly": "EXCLUSION_BY_RESOURCE_TYPES" }, }기록에서 제외할 리소스 유형을 지정하기 전에
--recording-group파라미터의allSupported및includeGlobalResourceTypes필드를false로 설정하거나 생략해야 합니다.RecordingStrategy의useOnly필드를EXCLUSION_BY_RESOURCE_TYPES로 설정해야 합니다.
참고
필드 재정의
EXCLUSION_BY_RESOURCE_TYPES를 기록 전략으로 선택하면exclusionByResourceTypes필드가 요청의 다른 속성을 재정의합니다.예를 들어
includeGlobalResourceTypes를 false로 설정하더라도 글로벌 IAM 리소스 유형은exclusionByResourceTypes의resourceTypes필드에 제외 항목으로 특별히 나열되지 않은 한 이 옵션에서 계속 자동으로 기록됩니다.참고
글로벌 리소스 유형 및 리소스 제외 기록 전략
기본적으로
EXCLUSION_BY_RESOURCE_TYPES기록 전략을 선택하면 AWS Config가 구성 레코더를 설정한 리전에 글로벌 리소스 유형을 포함하여 새 리소스 유형을 추가로 지원하면 AWS Config는 해당 유형의 리소스를 자동으로 기록하기 시작합니다.특별히 제외 항목으로 나열되지 않은 한
AWS::RDS::GlobalCluster는 구성 레코더가 활성화된 모든 지원되는 AWS Config 리전에서 자동으로 기록됩니다.IAM 사용자, 그룹, 역할 및 고객 관리형 정책은 구성 레코더를 설정한 리전(2022년 2월 이전에 AWS Config를 사용할 수 있었던 리전인 경우)에서 기록됩니다. 2022년 2월 이후에 AWS Config이 지원되는 리전에서는 글로벌 IAM 리소스 유형을 기록할 수 없습니다. 해당 리전 목록은 AWS 리소스 레코딩 | 글로벌 리소스 페이지를 참조하세요.
-
put-configuration-recorder는 파라미터에 대해 다음 필드를 사용합니다.name- 구성 레코더의 이름입니다. AWS Config이 구성 레코더를 생성할 때 '기본값' 이름을 자동으로 할당합니다.roleARN- 구성 레코더가 AWS Config의 추측으로 사용하고 있는 IAM 역할의 Amazon 리소스 이름(ARN)입니다.recordingMode- AWS Config가 구성 변경 사항을 기록하는 데 사용하는 기본 기록 빈도를 지정합니다. AWS Config는 지속적인 기록 및 일일 기록을 지원합니다. 지속적인 기록을 사용하면 변경이 발생할 때마다 지속적으로 구성 변경 사항을 기록할 수 있습니다. 일일 기록을 사용하면 이전에 기록된 CI와 다른 경우에만 지난 24시간 동안의 리소스 최신 상태를 나타내는 구성 항목(CI)을 받을 수 있습니다.-
recordingFrequency- AWS Config이 구성 변경 사항을 기록하는 데 사용하는 기본 기록 빈도입니다.참고
AWS Firewall Manager는 리소스를 모니터링하기 위해 지속적인 기록에 의존합니다. Firewall Manager를 사용하는 경우 기록 빈도를 계속으로 설정하는 것이 좋습니다.
-
recordingModeOverrides- 이 필드를 사용하여 기록 모드에 대한 재정의를 지정할 수 있습니다.recordingModeOverride객체 배열입니다.recordingModeOverrides배열의 각recordingModeOverride객체는 세 개의 필드로 구성됩니다.description- 재정의에 제공하는 설명입니다.recordingFrequency- 재정의에 지정된 모든 리소스 유형에 적용되는 기록 빈도입니다.resourceTypes- AWS Config가 재정의에 포함할 리소스 유형을 지정하는 쉼표로 구분된 목록입니다.
-
참고
필수 및 선택 필드
put-configuration-recorder에 대한recordingMode필드는 선택 사항입니다. 기본적으로 구성 레코더의 기록 빈도는 지속적인 기록으로 설정됩니다.참고
Limits
다음과 같은 리소스 유형에는 일일 기록이 지원되지 않습니다.
AWS::Config::ResourceComplianceAWS::Config::ConformancePackComplianceAWS::Config::ConfigurationRecorder
현재 및 향후에 지원되는 모든 리소스 유형 기록(
ALL_SUPPORTED_RESOURCE_TYPES) 기록 전략의 경우 이러한 리소스 유형이 지속적인 기록으로 설정됩니다.configurationRecorder.json파일이name,roleArn및 구성 레코더(recordingMode)의 기본 기록 빈도를 지정합니다. 이 필드를 사용하여 특정 리소스 유형의 기록 빈도를 재정의할 수도 있습니다.{ "name": "default", "roleARN": "arn:aws:iam::123456789012:role/config-role", "recordingMode": { "recordingFrequency":CONTINUOUSorDAILY, "recordingModeOverrides": [ { "description": "Description you provide for the override", "recordingFrequency":CONTINUOUSorDAILY, "resourceTypes": [Comma-separated list of resource types to include in the override] } ] } }
-
-
(선택 사항) 구성 레코더에 원하는 설정이 있는지 확인하려면 다음
describe-configuration-recorders명령을 사용합니다.$aws configservice describe-configuration-recorders다음은 응답의 예입니다.
{ "ConfigurationRecorders": [ { "name": "default", "recordingGroup": { "allSupported": false, "exclusionByResourceTypes": { "resourceTypes": [ "AWS::Redshift::ClusterSnapshot", "AWS::RDS::DBClusterSnapshot", "AWS::CloudFront::StreamingDistribution" ] }, "includeGlobalResourceTypes": false, "recordingStrategy": { "useOnly": "EXCLUSION_BY_RESOURCE_TYPES" }, "resourceTypes": [], }, "recordingMode": { "recordingFrequency":CONTINUOUSorDAILY, "recordingModeOverrides": [ { "description": "Description you provide for the override, "recordingFrequency":CONTINUOUSorDAILY, "resourceTypes": [Comma-separated list of resource types to include in the override] } ] }, "roleARN": "arn:aws:iam::123456789012:role/config-role" } ] }
-
- Record specific resource types
-
사용자가 지정한 리소스 유형에 대한 구성 변경만 기록하도록 AWS Config를 설정합니다. 리소스 유형에 대한 기록을 중지하도록 선택하면 이미 기록된 구성 항목은 변경되지 않습니다.
이 명령은
--configuration-recorder및---recording-group필드를 사용합니다.$ aws configservice put-configuration-recorder \ --configuration-recorderfile://configurationRecorder.json\ --recording-groupfile://recordingGroup.json참고
레코딩 그룹 및 구성 레코더
--recording-group필드는 기록되는 리소스 유형을 지정합니다.--configuration-recorder필드가name,roleArn및 구성 레코더(recordingMode)의 기본 기록 빈도를 지정합니다. 이 필드를 사용하여 특정 리소스 유형의 기록 빈도를 재정의할 수도 있습니다.-
다음 예제와 같이
put-configuration-recorder명령을 사용한 후,recordingGroup의resourceTypes필드를 통해 하나 이상의 리소스 유형을 전달합니다.-
recordingGroup.json파일은 AWS Config가 기록할 리소스 유형을 지정합니다.{ "allSupported": false, "recordingStrategy": { "useOnly": "INCLUSION_BY_RESOURCE_TYPES" }, "includeGlobalResourceTypes": false, "resourceTypes": [ "AWS::EC2::EIP", "AWS::EC2::Instance", "AWS::EC2::NetworkAcl", "AWS::EC2::SecurityGroup", "AWS::CloudTrail::Trail", "AWS::EC2::Volume", "AWS::EC2::VPC", "AWS::IAM::User", "AWS::IAM::Policy" ] }참고
필수 및 선택 필드
기록에 포함할 리소스 유형을 지정하려면 먼저
allSupported및includeGlobalResourceTypes필드를false로 설정하거나 생략해야 합니다.--recording-group의resourceTypes필드에 리소스 유형을 나열하는 경우recordingStrategy필드는 선택 사항입니다.참고
리전 가용성
AWS Config가 추적할 리소스 유형을 지정하기 전에 리전 가용성별 리소스 적용 범위를 확인하여 AWS Config를 설정한 AWS 리전에서 해당 리소스 유형이 지원되는지 확인하세요. AWS Config가 특정 리소스 유형을 하나 이상의 리전에서 지원하는 경우, AWS Config를 설정한 AWS 리전에서 지정된 리소스 유형이 지원되지 않더라도 AWS Config가 지원하는 모든 리전에서 해당 리소스 유형의 기록을 활성화할 수 있습니다.
-
put-configuration-recorder는 파라미터에 대해 다음 필드를 사용합니다.name- 구성 레코더의 이름입니다. AWS Config이 구성 레코더를 생성할 때 '기본값' 이름을 자동으로 할당합니다.roleARN- 구성 레코더가 AWS Config의 추측으로 사용하고 있는 IAM 역할의 Amazon 리소스 이름(ARN)입니다.recordingMode- AWS Config가 구성 변경 사항을 기록하는 데 사용하는 기본 기록 빈도를 지정합니다. AWS Config는 지속적인 기록 및 일일 기록을 지원합니다. 지속적인 기록을 사용하면 변경이 발생할 때마다 지속적으로 구성 변경 사항을 기록할 수 있습니다. 일일 기록을 사용하면 이전에 기록된 CI와 다른 경우에만 지난 24시간 동안의 리소스 최신 상태를 나타내는 구성 항목(CI)을 받을 수 있습니다.-
recordingFrequency- AWS Config이 구성 변경 사항을 기록하는 데 사용하는 기본 기록 빈도입니다.참고
AWS Firewall Manager는 리소스를 모니터링하기 위해 지속적인 기록에 의존합니다. Firewall Manager를 사용하는 경우 기록 빈도를 계속으로 설정하는 것이 좋습니다.
-
recordingModeOverrides- 이 필드를 사용하여 기록 모드에 대한 재정의를 지정할 수 있습니다.recordingModeOverride객체 배열입니다.recordingModeOverrides배열의 각recordingModeOverride객체는 세 개의 필드로 구성됩니다.description- 재정의에 제공하는 설명입니다.recordingFrequency- 재정의에 지정된 모든 리소스 유형에 적용되는 기록 빈도입니다.resourceTypes- AWS Config가 재정의에 포함할 리소스 유형을 지정하는 쉼표로 구분된 목록입니다.
-
참고
필수 및 선택 필드
put-configuration-recorder에 대한recordingMode필드는 선택 사항입니다. 기본적으로 구성 레코더의 기록 빈도는 지속적인 기록으로 설정됩니다.참고
Limits
다음과 같은 리소스 유형에는 일일 기록이 지원되지 않습니다.
AWS::Config::ResourceComplianceAWS::Config::ConformancePackComplianceAWS::Config::ConfigurationRecorder
현재 및 향후에 지원되는 모든 리소스 유형 기록(
ALL_SUPPORTED_RESOURCE_TYPES) 기록 전략의 경우 이러한 리소스 유형이 지속적인 기록으로 설정됩니다.configurationRecorder.json파일이name,roleArn및 구성 레코더(recordingMode)의 기본 기록 빈도를 지정합니다. 이 필드를 사용하여 특정 리소스 유형의 기록 빈도를 재정의할 수도 있습니다.{ "name": "default", "roleARN": "arn:aws:iam::123456789012:role/config-role", "recordingMode": { "recordingFrequency":CONTINUOUSorDAILY, "recordingModeOverrides": [ { "description": "Description you provide for the override", "recordingFrequency":CONTINUOUSorDAILY, "resourceTypes": [Comma-separated list of resource types to include in the override] } ] } }
-
-
(선택 사항) 구성 레코더에 원하는 설정이 있는지 확인하려면 다음
describe-configuration-recorders명령을 사용합니다.$aws configservice describe-configuration-recorders다음은 응답의 예입니다.
{ "ConfigurationRecorders": [ { "name": "default", "recordingGroup": { "allSupported": false, "exclusionByResourceTypes": { "resourceTypes": [] }, "includeGlobalResourceTypes": false "recordingStrategy": { "useOnly": "INCLUSION_BY_RESOURCE_TYPES" }, "resourceTypes": [ "AWS::EC2::EIP", "AWS::EC2::Instance", "AWS::EC2::NetworkAcl", "AWS::EC2::SecurityGroup", "AWS::CloudTrail::Trail", "AWS::EC2::Volume", "AWS::EC2::VPC", "AWS::IAM::User", "AWS::IAM::Policy" ] }, "recordingMode": { "recordingFrequency":CONTINUOUSorDAILY, "recordingModeOverrides": [ { "description": "Description you provide for the override, "recordingFrequency":CONTINUOUSorDAILY, "resourceTypes": [Comma-separated list of resource types to include in the override] } ] }, "roleARN": "arn:aws:iam::123456789012:role/config-role" } ] }
-
