를 사용하여 리소스 변경 사항 모니터링 AWS Config - AWS Control Tower
등록된 계정의 AWS Config 레코더 데이터 보기AWS Control Tower AWS Config 문제 해결

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

를 사용하여 리소스 변경 사항 모니터링 AWS Config

AWS Control Tower는 등록된 모든 계정 AWS Config 에서를 활성화하므로 탐지 제어를 통해 규정 준수를 모니터링하고, 리소스 변경을 기록하고, 리소스 변경 로그를 로그 아카이브 계정으로 전달할 수 있습니다.

랜딩 영역 버전이 3.0 이전인 경우: 등록된 계정의 경우는 계정이 운영되는 모든 리전에 대해 리소스에 대한 모든 변경 사항을 AWS Config 기록합니다. 각 변경 사항은 구성 항목(CI)으로 모델링되며, 여기에는 리소스 식별자, 리전, 각 변경 사항이 기록된 날짜, 변경 사항이 알려진 리소스와 관련이 있는지 아니면 새로 발견된 리소스와 관련이 있는지와 같은 정보가 포함됩니다.

랜딩 영역 버전이 3.0 이상인 경우: Control Tower는 IAM 사용자, 그룹, 역할 및 고객 관리형 정책과 같은 글로벌 리소스에 대한 기록을 홈 리전으로만 제한합니다. AWS 글로벌 리소스 변경 사항의 사본이 모든 리전에 저장되지는 않습니다. 리소스 기록의 이러한 제한은 AWS Config 모범 사례를 준수합니다. 글로벌 리소스의 전체 목록은 AWS Config 설명서에서 확인할 수 있습니다.

AWS Control Tower는 등록된 모든 계정에 AWS Config 전송 채널을 설정합니다. 이 전송 채널을 통해 AWS Config 가 로그 아카이브 계정에 기록한 모든 변경 사항을 로그하며, 여기서 Amazon Simple Storage Service 버킷의 폴더에 저장됩니다.

등록된 계정의 AWS Config 레코더 데이터 보기

AWS Config 는 대시보드에서 볼 AWS Config CIs 수 CloudWatch 있도록와 통합됩니다. 자세한 내용은 AWS Config Amazon CloudWatch 지표 지원 블로그 게시물을 참조하세요.

프로그래밍 방식으로 AWS Config 데이터를 보거나 로 작업 AWS CLI하거나 다른 AWS 도구를 활용할 수 있습니다.

특정 리소스에 대한 AWS Config 레코더 데이터 쿼리

를 AWS CLI 사용하여 리소스에 대한 최신 변경 사항 목록을 검색할 수 있습니다.

리소스 기록 명령:

  • aws configservice get-resource-config-history --resource-type RESOURCE-TYPE --resource-id RESOURCE-ID --region REGION

자세한 내용은 에 대한 API 설명서를 get-config-history참조하세요.

Amazon을 사용하여 AWS Config 데이터 시각화 QuickSight

조직 AWS Config 전체에서에서 기록한 리소스를 시각화하고 쿼리할 수 있습니다. 자세한 내용은 Amazon Athena 및 Amazon을 사용하여 AWS Config 데이터 시각화를 QuickSight 참조하세요.

AWS Control Tower AWS Config 문제 해결

이 섹션에서는 AWS Control Tower와 AWS Config 함께를 사용할 때 발생할 수 있는 몇 가지 문제에 대한 정보를 제공합니다.

높은 AWS Config 비용

워크플로에 리소스를 자주 생성, 업데이트 또는 삭제하는 프로세스가 포함되어 있거나 리소스를 대량으로 처리하는 경우 해당 워크플로는 많은 수의를 생성할 수 있습니다CIs. 비프로덕션 계정에서 이러한 프로세스를 실행하는 경우 계정 등록을 취소하는 것이 좋습니다. 해당 계정의 AWS Config 레코더를 수동으로 비활성화해야 할 수 있습니다.

참고

계정을 등록 취소한 후에는 AWS Control Tower가 해당 계정의 리소스에 대해 AWS Config 활동과 같은 탐지 제어 또는 로그 계정 이벤트를 적용할 수 없습니다.

자세한 내용은 등록된 계정의 관리 중지를 참조하세요. AWS Config 레코더를 비활성화하는 방법을 알아보려면 구성 레코더 관리를 참조하세요.

동일한 리소스가 여러 번 기록됨

리소스가 글로벌 리소스인지 확인합니다. 버전 3.0 이전의 AWS Control Tower 랜딩 영역의 경우 AWS Config 가 운영 중인 각 리전에 대해 특정 글로벌 리소스를 한 번 기록할 AWS Config 수 있습니다. 예를 들어,가 8개 리전에서 AWS Config 활성화된 경우 각 역할은 8회 기록됩니다.

가 운영 중인 각 리전에 대해 다음 리소스 AWS Config 가 한 번 기록됩니다.

  • AWS::IAM::Group

  • AWS::IAM::Policy

  • AWS::IAM::Role

  • AWS::IAM::User

다른 글로벌 리소스는 한 번만 기록됩니다. 다음은 한 번 기록되는 리소스의 몇 가지 예입니다.

  • AWS::Route53::HostedZone

  • AWS::Route53::HealthCheck

  • AWS::ECR::PublicRepository

  • AWS::GlobalAccelerator::Listener

  • AWS::GlobalAccelerator::EndpointGroup

  • AWS::GlobalAccelerator::Accelerator

AWS Config 리소스를 기록하지 않음

특정 리소스는 다른 리소스와 종속 관계에 있습니다. 이러한 관계는 직접 또는 간접일 수 있습니다. 에서 더 이상 사용되지 않는 간접 관계 목록을 찾을 수 있습니다 AWS Config FAQ.