AWS Config 및 AWS Organizations - AWS Organizations
서비스 연결 역할신뢰할 수 있는 액세스 활성화신뢰할 수 있는 액세스 비활성화

AWS Config 및 AWS Organizations

AWS Config의 다중 계정, 다중 리전 데이터 집계 기능을 사용하면 다중 계정 및 AWS 리전의 AWS Config 데이터를 단일 계정으로 집계할 수 있습니다. 다중 계정, 다중 리전 데이터 집계는 중앙 IT 관리자가 엔터프라이즈에서 여러 AWS 계정의 규정 준수를 모니터링하는 데 유용합니다. 집계자는 다중 소스 계정 및 리전의 AWS Config 데이터를 수집하는 AWS Config의 리소스 유형입니다. 집계된 AWS Config 데이터를 보려는 리전에서 집계자를 생성합니다. 집계를 생성할 때 개별 계정 ID 추가 또는 사용자 조직 추가 중에서 하나를 선택할 수 있습니다. AWS Config에 대한 자세한 내용은 AWS Config 개발자 안내서 섹션을 참조하세요.

AWS Config API를 사용하여 조직의 모든 AWS 계정에 걸쳐 AWS Config 규칙을 관리할 수도 있습니다. 자세한 내용은 AWS Config 개발자 안내서조직의 모든 계정에서 AWS Config 규칙 활성화를 참조하세요.

다음 정보는 AWS Config와 AWS Organizations를 통합하는 데 도움을 줍니다.

통합 활성화 시 서비스 연결 역할 생성

신뢰할 수 있는 액세스를 활성화하면 다음 서비스 연결 역할이 조직의 계정에 생성됩니다. 이 역할을 통해 AWS Config는 계정 내에서 지원되는 작업을 수행할 수 있습니다.

  • AWSServiceRoleForConfig

이 역할은 조직에서 AWS Config를 활성화할 때 다중 계정 집계자를 생성하여 생성됩니다. AWS Config는 역할을 선택하거나 생성하고 이름을 제공하도록 요청합니다. 자동으로 생성된 이름은 없습니다.

AWS Config와 Organizations 간의 신뢰할 수 있는 액세스를 비활성화하거나 조직에서 멤버 계정을 제거한 경우에만 이 역할을 삭제하거나 수정할 수 있습니다.

AWS Config와 상호 신뢰할 수 있는 액세스 활성화

신뢰할 수 있는 액세스를 활성화하는 데 필요한 권한에 관한 내용은 신뢰할 수 있는 액세스를 활성화하는 데 필요한 권한 단원을 참조하세요.

AWS Config 콘솔 또는 AWS Organizations 콘솔을 사용하여 신뢰할 수 있는 액세스를 활성화할 수 있습니다.

중요

가능하면 항상 AWS Config 콘솔 또는 도구를 사용하여 Organizations 통합을 활성화할 것을 적극 권장합니다. 이렇게 하면 AWS Config가 서비스에 필요한 리소스 생성 등 모든 필수 구성을 수행합니다. AWS Config에서 제공하는 도구를 사용하여 통합을 활성화할 수 없는 경우에만 다음 단계를 진행합니다. 자세한 내용은 이 메모를 참조하십시오.

AWS Config 콘솔 또는 도구를 사용하여 신뢰할 수 있는 액세스를 활성화할 수 있다면 이 단계를 완료할 필요가 없습니다.

AWS Config 콘솔을 사용하여 신뢰할 수 있는 액세스를 활성화하려면

AWS Config를 사용하여 AWS Organizations에 대한 신뢰할 수 있는 액세스를 활성화하려면 다중 계정 집계자를 생성하고 조직을 추가합니다. 다중 계정 집계자를 구성하는 방법에 대한 자세한 내용은 AWS Config 개발자 안내서집계자 생성을 참조하세요.

AWS Organizations 콘솔을 사용하거나, AWS CLI 명령을 실행하거나, AWS SDK 중 하나에서 API 작업을 호출하여 신뢰할 수 있는 액세스를 활성화할 수 있습니다.

AWS Management Console
Organizations 콘솔을 사용하여 신뢰할 수 있는 서비스 액세스를 활성화하려면

  1. AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.

  2. 탐색 창에서 서비스를 선택합니다.

  3. 서비스 목록에서 AWS Config를 선택합니다.

  4. 신뢰할 수 있는 액세스 활성화를 선택합니다.

  5. AWS Config에 대한 신뢰할 수 있는 액세스 활성화 대화 상자에서 활성화를 입력하여 확인한 다음 신뢰할 수 있는 액세스 활성화를 선택합니다.

  6. 본인이 AWS Organizations에서만 관리자인 경우 AWS Config의 관리자에게 콘솔에서 해당 서비스를 활성화하여 AWS Organizations와 연동할 수 있다고 알립니다.

AWS CLI, AWS API
Organizations CLI/SDK를 사용하여 신뢰할 수 있는 서비스 액세스를 활성화하려면

다음 AWS CLI 명령 또는 API 작업을 사용하면 신뢰할 수 있는 서비스 액세스를 활성화할 수 있습니다.

  • AWS CLI: enable-aws-service-access

    다음 명령을 실행하면 Organizations와 상호 신뢰할 수 있는 서비스로 AWS Config를 활성화할 수 있습니다.

    $ aws organizations enable-aws-service-access \ 
    --service-principal config.amazonaws.com

    이 명령은 성공 시 출력을 생성하지 않습니다.

  • AWS API: EnableAWSServiceAccess

AWS Config와 상호 신뢰할 수 있는 액세스 비활성화

신뢰할 수 있는 액세스를 비활성화하는 데 필요한 권한에 관한 내용은 신뢰할 수 있는 액세스를 비활성화하는 데 필요한 권한 단원을 참조하세요.

신뢰할 수 있는 액세스는 Organizations 도구로만 비활성화할 수 있습니다.

Organizations AWS CLI 명령을 실행하거나, AWS SDK 중 하나에서 Organizations API 작업을 호출하여 신뢰할 수 있는 액세스를 비활성화할 수 있습니다.

AWS CLI, AWS API
Organizations CLI/SDK를 사용하여 신뢰할 수 있는 서비스 액세스를 비활성화하려면

다음 AWS CLI 명령 또는 API 작업을 사용하여 신뢰할 수 있는 서비스 액세스를 비활성화할 수 있습니다.

  • AWS CLI: disable-aws-service-access

    다음 명령을 실행하면 Organizations와 상호 신뢰할 수 있는 서비스로서 AWS Config를 비활성화할 수 있습니다.

    $ aws organizations disable-aws-service-access \
    --service-principal config.amazonaws.com

    이 명령은 성공 시 출력을 생성하지 않습니다.

  • AWS API: DisableAWSServiceAccess