기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 를 사용하여 리소스 변경 사항 모니터링 AWS Config
AWS Control Tower는 등록된 모든 계정 AWS Config 에서를 활성화하므로 탐지 제어를 통해 규정 준수를 모니터링하고, 리소스 변경을 기록하고, 리소스 변경 로그를 로그 아카이브 계정에 전달할 수 있습니다.
**랜딩 존 버전이 3.0 이전인 경우**: 등록된 계정의 경우는 계정이 작동하는 모든 리전에 대해 리소스에 대한 모든 변경 사항을 AWS Config 기록합니다. 각 변경 사항은 구성 항목(CI)으로 모델링되며, 여기에는 리소스 식별자, 리전, 각 변경 사항이 기록된 날짜, 변경 사항이 알려진 리소스와 관련이 있는지 아니면 새로 발견된 리소스와 관련이 있는지와 같은 정보가 포함됩니다.
**랜딩 존 버전이 3.0 이상인 경우**: AWS Control Tower는 IAM 사용자, 그룹, 역할 및 고객 관리형 정책과 같은 글로벌 리소스에 대한 기록을 홈 리전으로만 제한합니다. 글로벌 리소스 변경 사항의 사본이 모든 리전에 저장되지는 않습니다. 리소스 기록의 이러한 제한은 AWS Config [모범 사례를](https://aws.amazon.com//blogs/mt/aws-config-best-practices/) 준수합니다. [글로벌 리소스의 전체 목록은](https://docs.aws.amazon.com//config/latest/developerguide/select-resources.html) AWS Config 설명서에서 확인할 수 있습니다.
+ 에 대해 자세히 알아보려면 [AWS Config 작동 방식을](https://docs.aws.amazon.com//config/latest/developerguide/how-does-config-work.html) AWS Config참조하세요.
+ 에서 지원할 AWS Config 수 있는 리소스 목록은 [지원되는 리소스 유형을 참조하세요](https://docs.aws.amazon.com//config/latest/developerguide/resource-config-reference.html).
+ AWS Control Tower 환경에서 리소스 추적을 사용자 지정하는 방법에 대한 자세한 내용은 [AWS Control Tower에서 AWS Config 리소스 추적 사용자 지정](https://aws.amazon.com/blogs//mt/customize-aws-config-resource-tracking-in-aws-control-tower-environment)이라는 블로그 게시물을 참조하세요.
AWS Control Tower는 등록된 모든 계정에 AWS Config 전송 채널을 설정합니다. 이 전송 채널을 통해 AWS Config 가 로그 아카이브 계정에 기록한 모든 변경 사항을 기록하며, 여기서 Amazon Simple Storage Service 버킷의 폴더에 저장됩니다.
# AWS Control Tower에서 AWS Config 비용 관리
이 섹션에서는가 AWS Control Tower 계정의 리소스 변경 사항을 AWS Config 기록하고 청구하는 방법을 설명합니다. 이 정보는 AWS Control Tower를 사용할 AWS Config때 관련 비용을 관리하는 방법을 이해하는 데 도움이 될 수 있습니다. AWS Control Tower는 추가 비용을 부과하지 않습니다.
**참고**
**랜딩 존 버전이 3.0 이상인 경우: AWS Control Tower는** IAM 사용자, 그룹, 역할 및 고객 관리형 정책과 같은 글로벌 리소스에 대한 AWS Config 기록을 홈 리전으로만 제한합니다. 따라서 이 섹션의 일부 정보는 랜딩 존에 적용되지 않을 수 있습니다.
AWS Config 는 계정이 작동하는 각 리전의 각 리소스에 대한 각 변경 사항을 구성 항목(CI)으로 기록하도록 설계되었습니다.는 생성하는 각 구성 항목에 대해 AWS Config 요금을 청구합니다.
** AWS Config 의 작동 방식**
AWS Config 는 각 리전의 리소스를 별도로 기록합니다. IAM 역할과 같은 일부 글로벌 리소스는 리전당 한 번 기록됩니다. 예를 들어 5개 리전에서 운영 중인 등록된 계정에서 새 IAM 역할을 생성하는 경우는 각 리전에 대해 하나씩 5개의 CIs AWS Config 생성합니다. Route 53 호스팅 영역과 같은 기타 글로벌 리소스는 모든 리전에서 한 번만 기록됩니다. 예를 들어 등록된 계정에서 새 Route 53 호스팅 영역을 생성하는 경우 AWS Config 는 해당 계정에 대해 선택한 리전 수에 관계없이 하나의 CI를 생성합니다. 이러한 유형의 리소스를 구분하는 데 도움이 되는 목록은 [동일한 리소스가 여러 번 기록됨](monitoring-with-config.md#duplicate-configuration-items) 섹션을 참조하세요.
**참고**
AWS Control Tower와 함께 작동하면 AWS Config리전이 AWS Control Tower에 의해 관리되거나 관리되지 않을 수 있으며, 계정이 해당 리전에서 작동하는 경우 변경 사항을 AWS Config 계속 기록합니다.
**AWS Config 는 리소스에서 두 가지 유형의 관계를 감지합니다.**
AWS Config 는 리소스 간의 *직접* 관계와 *간접* 관계를 구분합니다. 리소스가 다른 리소스의 **설명** API 직접 호출에 반환되면 해당 리소스는 직접 관계로 기록됩니다. 다른 리소스와 직접 관계로 리소스를 변경하는 경우는 두 리소스 모두에 대해 CI를 생성하지 AWS Config 않습니다.
예를 들어 Amazon EC2 인스턴스를 생성하고 API에서 네트워크 인터페이스를 생성해야 하는 경우 AWS Config 는 Amazon EC2 인스턴스가 네트워크 인터페이스와 직접 관계가 있다고 간주합니다. 따라서는 하나의 CI만 AWS Config 생성합니다.
AWS Config 는 *간접* 관계인 리소스 관계에 대해 별도의 변경 사항을 기록합니다. 예를 들어, 보안 그룹을 생성하고 보안 그룹의 일부인 연결된 Amazon EC2 인스턴스를 추가하는 경우 두 개의 CIs를 AWS Config 생성합니다.
직접 및 간접 관계에 대한 자세한 내용은 [What is a direct and an indirect relationship with respect to a resource?](https://docs.aws.amazon.com//config/latest/developerguide/faq.html#faq-0) 섹션을 참조하세요.
AWS Config 설명서에서 [리소스 관계 목록을](https://docs.aws.amazon.com//config/latest/developerguide/resource-config-reference.html) 찾을 수 있습니다.
## 등록된 계정의 AWS Config 레코더 데이터 보기
AWS Config 는 CloudWatch와 통합되어 대시보드에서 AWS Config CIs를 볼 수 있습니다. 자세한 내용은 [AWS Config supports Amazon CloudWatch metrics](https://aws.amazon.com/about-aws/whats-new/2022/05/aws-config-supports-amazon-cloudwatch-metrics)라는 제목의 블로그 게시물을 참조하세요.
프로그래밍 방식으로 AWS Config 데이터를 보거나 CLI로 작업 AWS 하거나 다른 AWS 도구를 활용할 수 있습니다.
### 특정 리소스에 대한 AWS Config 레코더 데이터 쿼리
AWS CLI를 사용하여 리소스에 대한 최신 변경 사항 목록을 검색할 수 있습니다.
**리소스 기록 명령:**
+ `aws configservice get-resource-config-history --resource-type RESOURCE-TYPE --resource-id RESOURCE-ID --region REGION`
자세한 내용은 [`get-config-history`에 대한 API 설명서](https://docs.aws.amazon.com//cli/latest/reference/configservice/get-resource-config-history.html)를 참조하세요.
### 빠른 AWS Config 데이터 시각화
조직 전체에서에서 기록한 리소스를 시각화하고 쿼리할 수 AWS Config 있습니다. 자세한 내용은 [Config Resource Compliance Dashboard](https://catalog.workshops.aws/awscid/en-US/dashboards/additional/config-resource-compliance-dashboard) 및 [Visualizing AWS Config data using Amazon Athena and Quick](https://aws.amazon.com/blogs/mt/visualizing-aws-config-data-using-amazon-athena-and-amazon-quicksight/)을 참조하세요.
## AWS Control Tower AWS Config 의 문제 해결
이 섹션에서는 AWS Control Tower와 AWS Config 함께를 사용할 때 발생할 수 있는 몇 가지 문제에 대한 정보를 제공합니다.
### 높은 AWS Config 비용
워크플로에 리소스를 자주 생성, 업데이트 또는 삭제하는 프로세스가 포함되어 있거나 리소스를 대량으로 처리하는 경우 해당 워크플로는 많은 수의 CI를 생성할 수 있습니다. 비프로덕션 계정에서 이러한 프로세스를 실행하는 경우 계정 등록을 취소하는 것이 좋습니다. 해당 계정의 AWS Config 레코더를 수동으로 비활성화해야 할 수 있습니다.
**참고**
계정을 등록 취소한 후에는 AWS Control Tower가 해당 계정의 리소스에 대해 AWS Config 활동과 같은 탐지 제어 또는 로그 계정 이벤트를 적용할 수 없습니다.
자세한 내용은 [등록된 계정의 관리 중지](https://docs.aws.amazon.com//controltower/latest/userguide/unmanage-account.html)를 참조하세요. AWS Config 레코더를 비활성화하는 방법을 알아보려면 [구성 레코더 관리를 참조하세요](https://docs.aws.amazon.com//config/latest/developerguide/stop-start-recorder.html).
### 동일한 리소스가 여러 번 기록됨
리소스가 [글로벌 리소스](https://docs.aws.amazon.com//config/latest/developerguide/select-resources.html)인지 확인합니다. 버전 3.0 이전의 AWS Control Tower 랜딩 존의 경우 AWS Config 가 운영 중인 각 리전에 대해 특정 글로벌 리소스를 한 번 기록할 AWS Config 수 있습니다. 예를 들어 8개 리전에서 AWS Config 가 활성화된 경우 각 역할은 8회 기록됩니다.
**가 운영 중인 각 리전에 대해 다음 리소스 AWS Config 가 한 번 기록됩니다.**
+ `AWS::IAM::Group`
+ `AWS::IAM::Policy`
+ `AWS::IAM::Role`
+ `AWS::IAM::User`
**다른 글로벌 리소스는 한 번만 기록됩니다. 다음은 한 번 기록되는 리소스의 몇 가지 예입니다.**
+ `AWS::Route53::HostedZone`
+ `AWS::Route53::HealthCheck`
+ `AWS::ECR::PublicRepository`
+ `AWS::GlobalAccelerator::Listener`
+ `AWS::GlobalAccelerator::EndpointGroup`
+ `AWS::GlobalAccelerator::Accelerator`
### AWS Config 가 리소스를 기록하지 않음
특정 리소스는 다른 리소스와 종속 관계에 있습니다. 이러한 관계는 *직접* 또는 *간접*일 수 있습니다. [AWS Config FAQ에서 더 이상 사용되지 않는 간접 관계 목록을 찾을 수 있습니다](https://docs.aws.amazon.com//config/latest/developerguide/faq.html#faq-2).