AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.
AWS Config 전송 채널을 다시 생성하려면 어떻게 해야 합니까?
AWS Config 전송 채널을 삭제했는데 채널을 다시 만들고 싶습니다.
간략한 설명
AWS Config 콘솔을 사용하여 AWS Config를 설정할 때 설정 프로세스가 AWS 리소스를 구성하도록 안내합니다. 리소스는 전송 채널에 알림을 전송하도록 구성됩니다. AWS Config 설정에는 다음 리소스 구성이 포함됩니다.
- Amazon Simple Storage Service(Amazon S3) 버킷
- Amazon Simple Notification Service(SNS) 주제
- AWS Identity and Access Management(IAM) 역할
- 기록할 리소스 유형
AWS Command Line Interface(AWS CLI) delete-delivery-channel 명령을 사용하여 AWS Config 전송 채널을 삭제하면 구성 레코더가 비활성화됩니다. 구성 레코더를 활성화하려고 하면 다음과 같은 오류가 발생합니다.
"구성 레코더를 시작하는 데 전송 채널을 사용할 수 없습니다."
참고: AWS Config 콘솔을 사용하여 전송 채널을 다시 생성할 수는 없습니다.
해결 방법
**참고:AWS CLI 명령을 실행할 때 오류가 발생하면, **AWS CLI 오류 문제 해결을 참조하세요. 또한 최신 AWS CLI 버전을 사용하고 있는지 확인하십시오.
다음 단계를 완료하여 AWS Config 전송 채널을 수동으로 다시 생성하고 구성 레코더를 활성화합니다.
참고: 삭제된 AWS Config 전송 채널과 연결된 Amazon S3 버킷, S3 주제 및 IAM 역할을 삭제하지 않은 경우 이 단계를 건너뛰어도 됩니다.
Amazon S3 버킷 생성
다음 단계를 완료하십시오.
- AWS Config 서비스와 동일한 AWS 리전에서 Amazon S3 콘솔을 엽니다.
- 탐색 창에서 버킷 생성을 선택합니다.
- 버킷 이름에 S3 버킷의 이름을 입력한 다음 버킷 생성을 선택합니다.
- S3 버킷에서 방금 생성한 S3 버킷을 선택합니다.
- 권한을 선택한 다음 버킷 정책을 선택합니다.
- 다음 예시 버킷 정책을 입력한 다음 저장을 선택합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSConfigBucketPermissionsCheck", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::targetBucketName", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID" } } }, { "Sid": "AWSConfigBucketExistenceCheck", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::targetBucketName", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID" } } }, { "Sid": "AWSConfigBucketDelivery", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::targetBucketName/[optional] prefix/AWSLogs/sourceAccountID/Config/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "AWS:SourceAccount": "sourceAccountID" } } } ] }
SNS 주제 생성
다음 단계를 완료하십시오.
- AWS Config 서비스와 동일한 리전에서 Amazon SNS 콘솔을 엽니다.
- 탐색 창에서 주제를 선택한 다음 주제 생성을 선택합니다.
- 이름에 SNS 주제의 이름을 입력합니다. 그럼 다음 주제 생성을 선택합니다.
- 구독 생성을 선택합니다.
- 프로토콜에서 이메일을 선택합니다.
- 엔드포인트에 이 SNS 주제와 연결하려는 이메일 주소를 입력한 다음 구독 생성을 선택합니다.
- 이메일에서 구독을 확인한 다음 구독 확인을 선택합니다.
구독을 확인하면 구독 확인됨! 메시지가 표시됩니다.
참고: SNS 주제를 사용하려면 필요한 권한이 있어야 합니다.
IAM 역할 생성
다음 단계를 완료하십시오.
-
IAM 콘솔을 엽니다.
-
역할을 선택하고 역할 생성을 선택합니다.
-
신뢰할 수 있는 엔터티 유형 선택에서 AWS 서비스를 선택합니다.
-
다른 AWS 서비스의 사용 사례에서 구성을 선택합니다.
-
사용 사례 선택에서 구성 - 사용자 지정을 선택한 후 다음: 권한을 선택합니다.
-
다음을 선택하고 역할 이름을 입력한 다음 역할 생성을 선택합니다.
-
생성한 역할을 선택하고 인라인 정책 생성을 선택한 다음 JSON 탭을 선택합니다.
-
다음 예시 정책을 입력합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:PutObjectAcl" ], "Resource": [ "arn:aws:s3:::arn:aws:s3:::targetBucketName/[optional] prefix/AWSLogs/sourceAccountID-WithoutHyphens/*" ], "Condition": { "StringLike": { "s3:x-amz-acl": "bucket-owner-full-control" } } }, { "Effect": "Allow", "Action": [ "s3:GetBucketAcl" ], "Resource": "arn:aws:s3:::targetBucketName" }, { "Effect": "Allow", "Action": "sns:Publish", "Resource": "arn:aws:sns:region:account_number:targetTopicName" } ] } -
정책 이름에 이름을 입력한 다음 정책 생성을 선택합니다.
KMS 키 생성
AWS Config에서 Amazon S3 버킷으로 전송한 객체에는 AWS Key Management Service(AWS KMS) 기반 암호화를 사용하는 것이 좋습니다. AWS Config 서비스와 동일한 리전에 KMS 키를 생성합니다.
다음 단계를 완료하십시오.
- AWS KMS 콘솔을 엽니다.
- 탐색 창에서 고객 관리형 키를 선택한 다음 키 생성을 선택합니다.
- 키 유형에서 대칭을 선택하여 대칭 암호화 KMS 키를 생성합니다.
- 키 사용에서 암호화 및 해독 옵션을 선택한 후 다음을 선택합니다.
- KMS 키의 별칭을 입력합니다. 그리고 다음을 선택합니다.
참고: 별칭 이름은 **aws/**로 시작할 수 없습니다. - KMS 키를 관리할 수 있는 IAM 사용자 및 역할을 선택합니다. 그리고 다음을 선택합니다.
- 암호화 작업에서 키를 사용할 수 있는 IAM 사용자 및 역할을 선택합니다. 그리고 다음을 선택합니다.
- 마침을 선택하여 KMS 키를 생성합니다.
- 탐색 창에서 고객 관리형 키를 선택합니다. 그런 다음 고객 관리형 키에서 방금 생성한 키를 선택합니다.
- 키 정책 탭에서 정책 보기로 전환을 선택합니다. 그리고 편집을 선택합니다.
- AWS Config를 위한 사용자 지정 IAM 역할을 사용하는 경우 다음 정책 설명을 추가 키 정책 설명으로 입력합니다. 변경 사항 저장을 선택합니다.
{ "Statement": [ { "Sid": "AWSConfigKMSPolicy", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Effect": "Allow", "Resource": "myKMSKeyARN", "Principal": { "AWS": [ "arn:aws:iam:account_id:role/my-config-role-name" ] } } ] }
또는 AWS Config를 위한 서비스 연결 역할(SLR)을 사용하는 경우 다음 정책 설명을 사용하여 KMS 키 정책을 업데이트합니다.
{ "Statement": [ { "Sid": "AWSConfigKMSPolicy", "Effect": "Allow", "Principal": { "Service": "config.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "myKMSKeyARN", "Condition": { "StringEquals": { "AWS:SourceAccount": "sourceAccountID" } } } ] }
전송 채널 생성
다음 단계를 완료하십시오.
-
다음 예시 템플릿을 텍스트 편집기에 입력한 다음 JSON 파일로 저장합니다.
{ "name": "default", "s3BucketName": "targetBucketName", "s3KeyPrefix": "Optionalprefix", "snsTopicARN": "arn:aws:sns:region:account_ID:targetTopicName", "s3KmsKeyArn": "arn:aws:kms:region:account_ID:KmsKey", "configSnapshotDeliveryProperties": { "deliveryFrequency": "Twelve_Hours" } }참고: S3 버킷 정책에서 PutObject를 기본 접두사 대신 특정 접두사로 제한하는 경우 s3KeyPrefix를 제공해야 합니다. 사용 사례에 맞게 deliveryFrequency 값을 변경하십시오. 암호화를 활성화하지 않도록 선택한 경우 JSON 파일에서 s3KmsKeyArn 값을 생략합니다.
-
put-delivery-channel AWS CLI 명령을 실행합니다.
$ aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json -
전송 채널이 생성되었는지 확인하려면 describe-delivery-channels AWS CLI 명령을 실행합니다.
$ aws configservice describe-delivery-channels
구성 레코더 시작
다음 단계를 완료하십시오.
- AWS Config 콘솔을 엽니다.
- 탐색 창에서 설정을 선택합니다.
- 기록 꺼짐에서 켜기를 선택한 다음, 계속을 선택합니다. 또는 start-configuration-recorder AWS CLI 명령을 실행합니다.
$ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName
자세한 내용은 구성 레코더 관리 및 AWS Config 규칙을 사용한 리소스 평가를 참조하십시오.
관련 정보
- 언어
- 한국어
