AWSSupport-SetupConfig - AWS Systems Manager 자동화 런북 참조

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWSSupport-SetupConfig

설명

AWSSupport-SetupConfig 실행서는 AWS Identity and Access Management (IAM) 서비스 연결 역할, AWS Config 기반 구성 레코더, AWS Config가 구성 스냅샷과 구성 기록 파일을 전송하는 Amazon Simple Storage Service(Amazon S3) 버킷이 포함된 전송 채널을 생성합니다. AggregatorAccountIdAggregatorAccountRegion 파라미터의 값을 지정하면, 실행서는 또한 데이터 집계에 대한 권한을 생성하여 여러 개의 AWS 계정와 AWS 리전에서 AWS Config 구성 및 규정 준수 데이터를 수집합니다. 여러 계정 및 리전의 데이터를 집계하는 것에 대해 자세히 알아보려면 AWS Config 개발자 안내서다중 계정 다중 리전 데이터 집계를 참조하세요.

이 자동화 실행(콘솔)

문서 유형

자동화

소유자

Amazon

플랫폼

Linux, macOS, Windows

파라미터

  • AutomationAssumeRole

    유형: 문자열

    설명: (선택 사항) 사용자를 대신하여 Systems Manager Automation을 통해 작업을 수행할 수 있도록 허용하는 AWS Identity and Access Management(IAM) 역할의 Amazon 리소스 이름(ARN)입니다. 역할을 지정하지 않은 경우, Systems Manager Automation에서는 이 실행서를 시작하는 사용자의 권한을 사용합니다.

  • AggregatorAccountId

    유형: 문자열

    설명: (선택 사항) 복수의 계정 및 AWS 리전으로부터 AWS Config 구성 및 규정 준수 데이터를 집계하기 위해 추가할 집계자 AWS 계정의 ID입니다. 이 계정은 집계자가 소스 계정을 승인하는 데도 사용됩니다.

  • AggregatorAccountRegion

    유형: 문자열

    설명: (선택 사항) 복수의 계정 및 리전으로부터 AWS Config 구성 및 규정 준수 데이터를 집계하기 위해 추가할 집계자의 리전입니다.

  • IncludeGlobalResourcesRegion

    유형: 문자열

    기본값: us-east-1

    설명: (필수) 각 리전에 글로벌 리소스 데이터가 기록되지 않도록 하려면 글로벌 리소스 데이터를 기록할 리전 한 개를 지정하세요.

  • 파티션

    유형: 문자열

    기본값: aws

    설명: (필수) AWS Config 구성 및 규정 준수 데이터를 수집하려는 파티션입니다.

  • S3BucketName

    유형: 문자열

    기본값: aws-config-delivery-channel

    설명: (선택 사항) 전송 채널용으로 생성된 Amazon S3 버킷에 적용할 이름입니다. 이름 끝에 계정 ID가 추가됩니다.

필수 IAM 권한

실행서를 성공적으로 사용하려면 AutomationAssumeRole 파라미터에 다음 작업이 필요합니다.

  • ssm:StartAutomationExecution

  • ssm:GetAutomationExecution

  • config:DescribeConfigurationRecorders

  • config:DescribeDeliveryChannels

  • config:PutAggregationAuthorization

  • config:PutConfigurationRecorder

  • config:PutDeliveryChannel

  • config:StartConfigurationRecorder

  • iam:CreateServiceLinkedRole

  • iam:PassRole

  • s3:CreateBucket

  • s3:ListAllMyBuckets

  • s3:PutBucketPolicy

문서 단계

  • aws:executeScript - AWS Config에 대한 서비스 연결 IAM 역할이 아직 존재하지 않는 경우 생성합니다.

  • aws:executeScript - 구성 레코더가 아직 존재하지 않는 경우 생성합니다.

  • aws:executeScript - 전송 채널에서 사용할 Amazon S3 버킷이 아직 존재하지 않는 경우 생성합니다.

  • aws:executeScript - 실행서에서 생성한 리소스를 사용하여 전송 채널을 생성합니다.

  • aws:executeAwsApi - 구성 레코더를 시작합니다.

  • aws:executeScript - AggregatorAccountIdAggregatorAccountRegion 파라미터 값을 지정한 경우 다중 계정 및 다중 리전 데이터 집계에 대한 승인이 구성됩니다.