AWS Config Rules 업데이트 – 멀티 계정 및 리전 기반 규정 준수 데이터 집계 기능 출시
과거에도 논의했듯이 섬세한 AWS 고객은 틀림없이 여러 AWS 계정을 제어하고 계실 것입니다. 이 중 일부는 기업 인수의 결과로 인한 것이거나 부서 단위로 실행된 클라우드 컴퓨팅 도입의 부산물일 수 있습니다. 또는 개발자, 프로젝트 또는 부서를 서로 격리하기 위해 여러 계정을 생성하기도 합니다. AWS에서는 이 방식을 모범 사례로 적극 권장하며 다양한 AWS 서비스에서 계정 간 기능을 통해 이를 지원할 뿐 아니라 여러 계정에 대한 정책 기반 관리를 위한 AWS Organizations을 제공합니다 또한 이러한 고객 중 상당수는 AWS Config를 적극 활용하고 Config Rules(자체 버전 및 Config에서 제공하는 버전)를 사용하여 AWS 리소스의 규정 준수를 확인합니다.
멀티 계정 및 리전에 걸친 데이터 집계
오늘 AWS는 멀티 계정 및 리전에 걸쳐 Config Rules가 생산하는 규정 준수 데이터를 집계하는 기능을 추가하여 Config Rules를 더욱 유용하게 만듭니다. 이렇게 집계된 데이터는 단일 대시보드에서 볼 수 있으므로 거버넌스와 규정 준수를 개선하는 데 많은 도움이 될 수 있습니다. 그 뿐 아니라 집계 기능과 대시보드는 모든 AWS Config 사용자에게 별도 요금 없이 무료로 제공됩니다!
이 기능을 설정하는 방법을 보여드리기 전에 먼저 몇 가지 용어에 대한 정의를 살펴보겠습니다.
Aggregator(집계기) – 새로운 Config 리소스로서 집계될 규정 준수 데이터의 소스(계정 및 리전)을 식별합니다. 여러 집계기가 동시에 사용될 수 있으므로 거버넌스와 규정 준수 모델을 세밀하게 조정할 수 있습니다.
Aggregator account(집계기 계정) – 하나 이상의 집계기를 소유하는 AWS 계정입니다.
Source account(소스 계정) – 집계된 규정 준수 데이터를 보유하고 있는 AWS 계정입니다.
Aggregated view(집계 보기) – 해당 집계기의 준수 및 비준수 규칙을 표시하는 대시보드입니다.
각 요소는 다음과 같은 구조로 연계되어 있습니다.
집계 설정
AWS Config 데이터에 대한 집계를 설정해 보겠습니다! 첫 번째 단계는 집계기 계정에서 수행합니다. Config 콘솔을 열고 Aggregated View(집계 보기) 섹션을 찾아 Aggregators(집계기)를 클릭합니다.
집계기 목록을 검토하고 Add aggregator(집계기 추가)를 클릭하여 새 집계기를 만듭니다.
소스 계정에서 데이터를 복제하기 위한 AWS Config 권한을 부여하고 수집기 이름(MyAgg)을 입력합니다.
다음으로 소스 계정을 선택합니다. 여기에서는 세 가지 옵션이 있습니다. 계정 ID를 수동으로 추가하거나, 쉼표로 구분된 목록을 포함하는 파일을 업로드하거나, AWS Organization에 계정을 추가할 수 있습니다.
Add source accounts(소스 계정 추가)를 클릭하여 계정을 수동으로 추가하겠습니다. ID를 입력하고 Add source accounts(소스 계정 추가)를 클릭합니다.
다음으로 현재 리전 및 미래 리전을 선택하는 옵션에서 원하는 리전을 선택한 다음 Save(저장)을 클릭하여 계속 진행합니다.
다음 단계는 소스 계정에서 수행합니다. Config 콘솔에 승인 요청이 나타납니다.
계정을 승인합니다.
CloudFormation StackSets를 사용하면 모든 소스 계정에 걸쳐 프로그램적으로 승인을 수행할 수 있습니다. 참고로 AWS Organization의 모든 계정을 집계하는 경우에는 승인 단계가 필요하지 않습니다.
소스 계정에서 가져온 규정 준수 데이터가 집계기 계정으로 유입되기 시작하고 보통 2~5분 내에 콘솔에 표시됩니다.
보시는 바와 같이 다양한 필터링 옵션이 있습니다! 특정 리전 또는 계정 보기에 집중할 수 있으며 어느 규칙 또는 계정에 가장 많은 문제가 발생했는지 확인할 수 있습니다. 예를 들어, 서버 측 암호화를 사용하지 않는 버킷을 모두 표시할 수 있습니다.
또한 준수 및 비준수 리소스를 모두 표시하여 특정 계정의 전반적인 규정 준수 상황을 볼 수도 있습니다.
정식 출시
본 새로운 기능은 현재 미국 동부(버지니아 북부), 미국 동부(오하이오), 미국 서부(오레곤), 미국 서부(캘리포니아 북부), EU(아일랜드), EU(프랑크푸르트), 아시아 태평양(도쿄), 아시아 태평양(시드니) 및 아시아 태평양(싱가포르) 리전에서 무료로 제공되며 지금 바로 사용을 시작하실 수 있습니다. Config 및 Config Rules의 사용에는 일반적인 요금이 부과됩니다.
AWS Config이 다중 계정, 다중 리전 데이터 집계 기능을 사용하면 중앙 계정에서 모든 계정에 대한 규정 준수 상태를 볼 수 있습니다. 이 기능을 사용하려면 이미 Config 및 Config Rules가 모든 계정에 활성화되어 있어야 합니다(CloudFormation StackSets을 사용하면 여러 계정에 걸쳐 Config Rules를 배포 및 구축할 수 있습니다).
— Jeff;
Source: AWS Config Rules 업데이트 – 멀티 계정 및 리전 기반 규정 준수 데이터 집계 기능 출시