를 사용하여 AWS 리소스 기록 AWS Config - AWS Config
고려 사항리전 및 글로벌 리소스AWS Config 규칙 및 글로벌 리소스 유형레코딩 빈도기록되지 않은 리소스

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

를 사용하여 AWS 리소스 기록 AWS Config

AWS Config 는 지원되는 리소스 유형이 생성, 변경 또는 삭제되는 시기를 지속적으로 감지합니다.는 이러한 이벤트를 구성 항목(CIs)으로 AWS Config 기록합니다.

지원되는 모든 리소스 유형 또는 사용자와 관련된 지원되는 리소스 유형에 대해서만 구성 변경을 기록 AWS Config 하도록를 사용자 지정할 수 있습니다. 에서 기록할 AWS Config 수 있는 지원되는 리소스 유형의 목록은 섹션을 참조하세요에 대해 지원되는 리소스 유형 AWS Config.

주제

고려 사항

높은 AWS Config 평가 수

다음 달과 비교할 때 AWS Config를 사용하여 처음 한 달을 기록하는 동안 계정에서 활동이 증가하는 것을 확인할 수 있습니다. 초기 부트스트래핑 프로세스 중에는 사용자가 레코드 AWS Config 하도록 선택한 계정의 모든 리소스에 대한 평가를 AWS Config 실행합니다.

임시 워크로드를 실행하는 경우 이러한 임시 리소스 생성 및 삭제와 관련된 구성 변경을 기록 AWS Config 하므로의 활동이 증가할 수 있습니다. 임시 워크로드는 컴퓨팅 리소스를 필요할 때 로드 및 실행하는 일시적 사용입니다. 대표적인 예는 Amazon Elastic Compute Cloud(Amazon EC2) 스팟 인스턴스, Amazon EMR 작업, AWS Auto Scaling이 있습니다.

활동 증가로 인해 임시 워크로드가 실행되지 않도록 하려면 이러한 리소스 유형이 기록되지 않도록 고객 관리형 구성 레코더를 설정하거나, 구성 기록 및 규칙 평가가 증가하지 않도록가 꺼 AWS Config 진 별도의 계정에서 이러한 유형의 워크로드를 실행할 수 있습니다.

리전 가용성

추적할 리소스 유형을 지정 AWS Config 하기 전에 리전 가용성별 리소스 범위를 확인하여 설정한 AWS 리전에서 리소스 유형이 지원되는지 확인합니다 AWS Config.

리소스 유형이 하나 이상의 리전 AWS Config 에서에서 지원되는 경우, 설정한 리전에서 AWS Config지정된 리소스 유형이 지원되지 않더라도에서 지원하는 모든 AWS 리전에서 해당 리소스 유형의 기록을 활성화할 수 있습니다 AWS Config.

리전 리소스와 글로벌 리소스의 차이점

리전 리소스

리전 리소스는 한 리전에 한정되어 있으며 해당 리전에서만 사용할 수 있습니다. 지정된에서 생성한 AWS 리전다음 해당 리전에 존재합니다. 이러한 리소스를 보거나 해당 리소스와 상호 작용하려면 해당 리전으로 작업을 지시해야 합니다. 예를 들어를 사용하여 Amazon EC2 인스턴스를 생성하려면 인스턴스를 생성할를 AWS Management Console선택합니다 AWS 리전. AWS Command Line Interface (AWS CLI)를 사용하여 인스턴스를 생성하는 경우 --region 파라미터를 포함합니다. AWS SDKs에는 각각 작업이 사용하는 리전을 지정하는 것과 동등한 자체 메커니즘이 있습니다.

리전 리소스를 사용하는 데에는 여러 가지 이유가 있습니다. 한 가지 이유는 리소스와 리소스 액세스에 사용하는 서비스 엔드포인트가 고객과 가능한 한 가까운 곳에 위치하도록 보장하는 것입니다. 그러면 지연 시간이 최소화되어 성능이 향상됩니다. 또 다른 이유는 격리 경계를 제공하기 위해서입니다. 이를 통해 리소스의 독립적인 복사본을 여러 리전에 생성하여 부하를 분산하고 확장성을 개선할 수 있습니다. 동시에 리소스를 서로 분리하여 가용성을 높일 수 있습니다.

콘솔 또는 AWS CLI 명령 AWS 리전 에서 다른를 지정하면 더 이상 이전 리전에서 볼 수 있는 리소스를 보거나 상호 작용할 수 없습니다.

리전 리소스의 Amazon 리소스 이름(ARN)을 보면 해당 리소스가 포함된 리전이 ARN의 네 번째 필드로 지정되어 있습니다. 예를 들어 Amazon EC2 인스턴스는 리전 리소스입니다. 다음은 us-east-1 리전의 Amazon EC2 인스턴스에 대한 ARN의 예입니다.

arn:aws:ec2:us-east-1:123456789012:instance/i-0a6f30921424d3eee
글로벌 리소스

일부 AWS 서비스 리소스는 글로벌 리소스이므로 어디서나 리소스를 사용할 수 있습니다. 글로벌 서비스의 콘솔에서는 AWS 리전 을 지정하지 않습니다. 글로벌 리소스에 액세스하려면 서비스 AWS CLI 및 AWS SDK 작업을 사용할 때 --region 파라미터를 지정하지 않습니다.

글로벌 리소스는 특정 리소스의 인스턴스가 한 번에 하나만 있어야 하는 경우를 지원합니다. 이러한 경우 서로 다른 리전에 있는 복사본 간 복제 또는 동기화는 바람직하지 않습니다. 단일 글로벌 엔드포인트에 액세스하는 것은 지연 시간이 늘어날 수는 있지만, 모든 변경 사항을 리소스 소비자에게 즉시 표시할 수 있다는 점에서 허용 가능한 것으로 간주됩니다.

예를 들어 Amazon Aurora 글로벌 클러스터(AWS::RDS::GlobalCluster)는 글로벌 리소스이므로 특정 리전에 연결되지 않습니다. 즉, 리전 엔드포인트에 의존하지 않고도 글로벌 클러스터를 생성할 수 있습니다. 그러면 Amazon Relational Database Service(RDS) 자체는 리전별로 구성되어 있지만 글로벌 클러스터가 시작된 특정 지역은 글로벌 클러스터에 영향을 미치지 않는다는 이점이 있습니다. 따라서 모든 리전에서 하나의 연속적인 글로벌 네트워크로 나타납니다.

글로벌 리소스의 Amazon 리소스 이름(ARN)에는 리전이 포함되지 않습니다. 아래의 글로벌 클러스터의 ARN 예에서 볼 수 있듯이 네 번째 필드는 비어 있습니다.

arn:aws:rds::123456789012:global-cluster:test-global-cluster
중요

2022년 2월 AWS Config 이후에 온보딩된 글로벌 리소스 유형은 상용 파티션의 경우 서비스의 홈 리전에, GovCloud AWS 파티션의 경우 GovCloud(미국 서부)에만 기록됩니다. 이러한 새 글로벌 리소스 유형에 대한 구성 항목(CIs)은 홈 리전 및 AWS GovCloud(미국 서부)에서만 볼 수 있습니다.

2022년 2월 이전에 온보딩된 글로벌 리소스 유형(AWS::IAM::Group, AWS::IAM::Policy, AWS::IAM::Role, AWS::IAM::User)은 변경되지 않습니다. 가 2022년 2월 이전에 AWS Config 지원되는 모든 리전에서 이러한 글로벌 IAM 리소스의 기록을 활성화할 수 있습니다. 이러한 글로벌 IAM 리소스는 2022년 2월 AWS Config 이후에서 지원하는 리전에 기록할 수 없습니다.

글로벌 리소스 유형 | IAM 리소스

다음 IAM 리소스 유형도 글로벌 리소스입니다. IAM 사용자, 그룹, 역할 및 고객 관리형 정책. 이러한 리소스 유형은가 2022년 2월 이전에 사용 가능한 리전에서에 의해 AWS Config 기록될 수 AWS Config 있습니다. 글로벌 IAM 리소스 유형을 기록할 수 없는이 목록에는 아시아 태평양(하이데라바드), 아시아 태평양(말레이시아), 아시아 태평양(멜버른), 아시아 태평양(태국), 캐나다 서부(캘거리), 유럽(스페인), 유럽(취리히), 이스라엘(텔아비브), 멕시코(중부), 중동(UAE) 리전이 포함됩니다.

구성 항목(CI) 중복을 방지하려면 한 번에 지원되는 리전 중 하나에서만 글로벌 IAM 리소스 유형을 기록하는 것이 좋습니다. 또한 이를 통해 불필요한 평가 및 API 제한을 피할 수 있습니다.

글로벌 리소스 유형 | 홈 리전만 해당

다음 서비스에 대한 글로벌 리소스는 Amazon Elastic Container Registry Public,, Amazon Route 53 AWS Global Accelerator, Amazon CloudFront 및 글로벌 리소스 유형의 홈 리전에서만 AWS Config 에 의해 기록됩니다 AWS WAF. 이러한 글로벌 리소스의 경우 리소스 유형의 동일한 인스턴스를 여러 AWS 리전에서 사용할 수 있지만 구성 항목(CIs)은 상용 파티션의 홈 리전 또는 AWS GovCloud (US) 파티션의 AWS GovCloud(미국 서부)에만 기록됩니다.

글로벌 리소스 유형의 홈 리전
AWS 서비스 리소스 유형 값 홈 리전
Amazon Elastic Container Registry Public AWS::ECR::PublicRepository 미국 동부(버지니아 북부) 리전
AWS Global Accelerator AWS::GlobalAccelerator::Listener US West (Oregon) Region
AWS::GlobalAccelerator::EndpointGroup US West (Oregon) Region
AWS::GlobalAccelerator::Accelerator US West (Oregon) Region
Amazon Route 53 AWS::Route53::HostedZone 미국 동부(버지니아 북부) 리전
AWS::Route53::HealthCheck 미국 동부(버지니아 북부) 리전
Amazon CloudFront AWS::CloudFront::Distribution 미국 동부(버지니아 북부) 리전
AWS WAF AWS::WAFv2::WebACL 미국 동부(버지니아 북부) 리전
글로벌 리소스 유형 | Aurora 글로벌 클러스터

AWS::RDS::GlobalCluster는 고객 관리형 구성 레코더가 활성화된 지원되는 모든 AWS Config 리전에 기록되는 글로벌 리소스입니다. 이 글로벌 리소스 유형은 한 리전에서이 리소스의 레코딩을 활성화하면이 리소스 유형에 대한 구성 항목(CIs 활성화된 모든 리전에서 AWS Config 기록된다는 점에서 고유합니다.

활성화된 모든 리전에서 AWS::RDS::GlobalCluster를 기록하지 않으려면 AWS Config 콘솔에서 다음 기록 전략 중 하나를 사용하세요.

  • 사용자 지정 가능한 재정의를 사용하여 모든 리소스 유형을 기록하고 "AWS RDS GlobalCluster"를 선택한 다음 "레코딩에서 제외"를 선택합니다.

  • 특정 리소스 유형을 기록.

활성화된 모든 리전에서 AWS::RDS::GlobalCluster를 기록하지 않으려면 API/CLI에서 다음 기록 전략 중 하나를 사용하세요.

  • 제외 항목 이외의 모든 현재 및 향후 리소스 유형을 기록(EXCLUSION_BY_RESOURCE_TYPES)

  • 특정 리소스 유형을 기록(INCLUSION_BY_RESOURCE_TYPES).

AWS Config 규칙 및 글로벌 리소스 유형

2022년 2월 이전에 온보딩된 글로벌 IAM 리소스 유형(AWS::IAM::Group, AWS::IAM::Role, 및 AWS::IAM::User)은 AWS::IAM::Policy가 2022년 2월 이전에 사용 가능한 리전에서만 AWS Config 에 의해 기록될 수 AWS Config 있습니다. 이러한 글로벌 IAM 리소스 유형은 2022년 2월 AWS Config 이후에서 지원하는 리전에서는 기록할 수 없습니다. 해당 리전 목록은 AWS 리소스 레코딩 | 글로벌 리소스 페이지를 참조하세요.

주기적 규칙을 추가했던 리전에서 글로벌 IAM 리소스 유형의 기록을 활성화하지 않았더라도, 최소 하나 이상의 리전에서 글로벌 IAM 리소스 유형을 기록하는 경우, 글로벌 IAM 리소스 유형에 대한 규정 준수를 보고하는 주기적 규칙은 주기적 규칙이 추가된 모든 리전에서 평가를 실행합니다.

2022년 2월 이전 온보딩한 글로벌 리소스에 대한 규정 준수 보고 모범 사례

불필요한 평가를 방지하려면 이러한 글로벌 리소스가 범위에 있는 AWS Config 규칙 및 적합성 팩만 지원되는 리전 중 하나에 배포해야 합니다. 어떤 리전에서 어떤 관리형 규칙이 지원되는지 목록을 보려면 리전 가용성별 AWS Config 관리형 규칙 목록을 참조하세요. 이는 AWS Config 규칙, 조직 AWS Config 규칙 및 AWS Security Hub 및와 같은 다른 AWS 서비스에서 생성한 규칙에도 적용됩니다 AWS Control Tower.

2022년 2월 이전에 온보딩된 글로벌 리소스 유형을 기록하지 않는 경우, 불필요한 평가가 발생하지 않도록 다음 주기적 규칙을 활성화하지 않는 것이 좋습니다.

2022년 2월 이후 온보딩한 글로벌 리소스에 대한 규정 준수 보고 모범 사례

2022년 2월 이후에 AWS Config 녹음에 온보딩된 글로벌 리소스 유형은 상용 파티션의 경우 서비스의 홈 리전에, AWS GovCloud (US) 파티션의 경우 AWS GovCloud(미국 서부)에만 기록됩니다. 이러한 글로벌 리소스가 범위에 있는 AWS Config 규칙 및 적합성 팩은 리소스 유형의 홈 리전에만 배포해야 합니다. 자세한 내용은 글로벌 리소스 유형의 홈 리전을 참조하세요.

에 대한 레코딩 빈도 AWS Config

AWS Config 는 연속 레코딩일일 레코딩을 지원합니다. 지속적인 기록을 사용하면 변경이 발생할 때마다 지속적으로 구성 변경 사항을 기록할 수 있습니다. 일일 기록을 사용하면 이전에 기록된 CI와 다른 경우에만 지난 24시간 동안의 리소스 최신 상태를 나타내는 구성 항목(CI)을 받을 수 있습니다. 레코딩 빈도를 변경하는 방법에 대한 단계는 레코딩 빈도 변경을 참조하세요.

지속적인 기록

지속적인 기록의 몇 가지 이점은 다음과 같습니다.

  • 실시간 모니터링: 지속적인 기록을 통해 무단 변경이나 예상치 못한 변경을 즉시 탐지하여 보안 및 규정 준수 노력을 강화할 수 있습니다.

  • 세부 분석: 지속적인 기록을 통해 리소스의 구성 변경 발생 시 심층 분석을 수행할 수 있으며, 이를 통해 순간의 패턴과 추세를 식별할 수 있습니다.

일일 기록

일일 기록의 몇 가지 이점은 다음과 같습니다.

  • 방해 최소화: 일일 기록은 보다 관리하기 용이한 정보 흐름을 제공하며 알림 빈도와 경고 피로를 줄일 수 있습니다.

  • 비용 효율성: 일일 기록은 더 낮은 빈도로 리소스에 대한 변경 사항을 기록할 수 있는 유연성을 제공하여 기록된 구성 변경 횟수와 관련된 비용을 줄일 수 있습니다.

참고

AWS Firewall Manager 는 리소스를 모니터링하기 위해 지속적인 레코딩에 의존합니다. Firewall Manager를 사용하는 경우 기록 빈도를 계속으로 설정하는 것이 좋습니다.

기록되지 않은 리소스

리소스가 기록되지 않은 경우는 해당 리소스의 생성 및 삭제만 AWS Config 캡처하고 다른 세부 정보는 캡처하지 않습니다. 기록되지 않은 리소스가 생성되거나 삭제되면가 알림을 AWS Config 보내고 리소스 세부 정보 페이지에 이벤트를 표시합니다. 기록되지 않는 리소스의 세부 정보 페이지는 대부분의 구성 세부 정보에 대해 null 값을 표시하며, 관계 및 구성 변경에 대한 정보는 제공하지 않습니다.

참고

AWS::IAM::User, AWS::IAM::Policy AWS::IAM::Group, AWS::IAM::Role 리소스 유형은 리소스가 고객 관리형 구성 레코더에 기록할 리소스로 선택되었거나 이전에 선택된 경우에만 생성(ResourceNotRecorded) 및 삭제(ResourceDeletedNotRecorded) 상태만 캡처합니다.

참고

ResourceNotRecordedResourceDeletedNotRecorded의 구성 항목(CI)은 리소스 유형에 대한 일반적인 기록 시간을 따르지 않습니다. 이러한 리소스 유형은 고객 관리형 구성 레코더의 주기적 기준선 설정 프로세스 중에만 기록되며, 다른 리소스 유형보다 빈도가 낮습니다.

참고

서비스 연결 구성 레코더의 경우 기록 범위에 따라 전송 채널에서 구성 항목(CIs)을 수신할지 여부가 결정됩니다. 레코딩 범위는 구성 레코더에 연결된 서비스에 의해 설정됩니다. 기록 범위가 내부인 경우 전송 채널에서 CIs를 수신하지 않습니다.

가 기록된 리소스에 AWS Config 대해 제공하는 관계 정보는 기록되지 않은 리소스에 대한 데이터 누락으로 인해 제한되지 않습니다. 기록된 리소스가 기록되지 않은 리소스와 관련이 있는 경우, 기록된 리소스의 세부 정보 페이지에 해당 관계가 제공됩니다.