AWS Config Rules 평가판

AWS Config Rules의 경우, 계정의 활성 규칙 수를 기준으로 요금이 부과됩니다. AWS 리소스가 규칙과 비교될 때마다 결과가 평가 결과로서 기록됩니다. 규칙을 AWS 리소스가 변경될 때 또는 매시간이나 매일 같이 주기적으로 평가하도록 선택할 수 있습니다. 활성 규칙은 한 달에 한 번 이상 평가된 규칙을 말합니다.

Config Rules의 요금은 다음과 같습니다.

     매월 활성 규칙당 2 USD입니다.

어떤 활성 규칙의 경우에도 월별 요금 이외의 추가 요금이 계정에 부과되지 않습니다.

     평가 20,000건

사용하지 않은 평가 건수는 누적되지 않습니다. 규칙에 대한 추가 평가가 필요한 경우, 다음과 같은 추가 평가 요금이 부과됩니다.

     평가 1,000건당 0.10 USD

구성 스냅샷과 구성 기록 파일이 선택한 Amazon S3 버킷의 사용자에게 전송되고 구성 변경 알림이 Amazon Simple Notification Service(SNS)를 통해 전송됩니다. Amazon S3 및 Amazon SNS 사용에 대한 표준 요금제가 적용됩니다. 고객이 관리하는 규칙은 AWS Lambda를 사용해 작성하며, AWS Lambda에 대한 표준 요금제가 적용됩니다.

달리 명시하지 않는 한 요금에는 VAT, GST, 해당 판매세를 포함한 관련 조세 공과가 포함되지 않습니다. 자세한 내용은 Config Rules 요금 FAQ »를 참조하십시오.

구성 규칙이란 무엇입니까?
구성 규칙은 원하는 리소스 구성을 나타내며, AWS Config에서 기록한 관련 리소스의 구성 변경과 비교하여 평가됩니다. 규칙을 리소스의 구성과 비교하여 평가한 결과는 대시보드에서 확인할 수 있습니다. Config Rules를 사용하면 전반적인 규칙 준수 및 위험 상태를 구성 측면에서 평가하고, 시간에 따른 규칙 준수 추세를 확인하여 리소스의 규칙 미준수를 초래한 구성 변경이 무엇인지 정확히 찾아낼 수 있습니다.

Config Rules는 누가 사용해야 합니까?
리소스 구성을 지속적으로 평가하여 AWS상의 보안 및 거버넌스 상태를 개선하고자 하는 AWS 고객이라면 누구나 이 기능을 활용할 수 있습니다. 리소스 구성에 대한 모범 사례를 권장하는 대규모 조직의 관리자는 이러한 규칙을 Config Rules로 체계화하여 사용자가 자체적으로 가버넌스를 실현하도록 할 수 있습니다. 취약성을 찾아내기 위해 사용 활동 및 구성을 모니터링하는 정보 보안 전문가도 Config Rules의 혜택을 누릴 수 있습니다. 특정 표준(예: PCI-DSS 또는 HIPAA)을 준수해야 하는 워크로드가 있는 고객은 이 기능을 사용하여 AWS 인프라 구성의 표준 준수를 평가하고 감사자를 위한 보고서를 생성할 수 있습니다. 또한, 대규모 AWS 인프라 또는 자주 변경되는 구성 요소를 관리하는 운영자는 Config Rules를 문제 해결에 활용할 수 있습니다.

Config Ruels는 구성이 규칙을 미준수하는 일이 발생하지 않도록 보장합니까?
Config Rules는 리소스가 고객이 지정한 구성 규칙을 준수하는지에 관한 정보를 제공합니다. Config Rules는 리소스에 대해 업데이트된 구성 항목(CI)을 AWS Config 내에서 사용할 수 있게 되는 즉시 규칙을 평가합니다. 리소스가 규칙을 준수하도록 보장하거나 사용자가 규칙에 위반되는 작업을 하지 못하도록 차단하지는 않습니다. 또한, Config Rules는 규칙 미준수 리소스를 규칙을 준수하도록 자동으로 되돌리지 않습니다.

Config Rules는 사용자가 규칙에 위반되는 작업을 하지 못하도록 차단합니까?
Config Rules는 최종 사용자가 AWS를 사용하는 방법에 직접적인 영향을 주지 않습니다. 구성 변경이 완료되고 AWS Config에서 이를 기록한 후에야 리소스 구성을 평가합니다. Config Rules는 사용자가 규칙에 위반될 수 있는 구성 변경을 하지 못하도록 제한하지 않습니다. 사용자가 AWS에서 프로비저닝할 수 있는 것과 프로비저닝에 사용할 수 있는 구성 파라미터를 제어하려면, AWS Identity and Access Management(IAM) 정책 및 AWS Service Catalog를 각각 참조하십시오.

리소스를 프로비저닝하기 전에 규칙을 평가할 수 있습니까?
Config Rules는 AWS Config에서 리소스에 대한구성 항목(CI)을 기록한 후에 규칙을 평가합니다. 리소스를 프로비저닝하기 전 또는 리소스에 대한 구성 변경이 완료되기 전에는 규칙을 평가하지 않습니다.

리소스의 구성이란 무엇입니까?
리소스의 구성은 AWS Config의 구성 항목(CI)에 포함된 데이터에 의해 정의됩니다. Config Rules의 최초 릴리스를 사용하면 관련 규칙에서 리소스에 대한 CI를 사용할 수 있습니다. Config Rules에서는 다른 연결된 리소스, 업무 시간 등 기타 관련 정보와 함께 이 정보를 사용하여 리소스 구성의 규칙 준수 여부를 평가할 수 있습니다.

규칙이란 무엇입니까?
규칙은 리소스에 대한 원하는 구성 항목(CI)의 속성 값을 나타내며, 이러한 속성 값을 AWS Config에서 기록한 CI와 비교하여 규칙을 평가합니다. 다음과 같은 두 가지 유형의 규칙이 있습니다.

• AWS 관리형 규칙: AWS 관리형 규칙은 AWS에서 사전에 구축하고 관리합니다. 시작하려면 활성화하려는 규칙을 선택한 다음, 몇 가지 구성 파라미터를 제공하기만 하면 됩니다. 자세히 알아보기 »
• 고객 관리형 규칙: 고객 관리형 규칙은 사용자 지정 규칙으로서, 고객이 정의하고 구축합니다. AWS Lambda에서 사용자 지정 규칙의 일부로서 호출될 수 있는 함수를 생성하고 이러한 함수를 계정에서 실행할 수 있습니다. 자세히 알아보기 »

규칙은 어떻게 생성됩니까?
규칙은 일반적으로 AWS 계정 관리자가 설정합니다. 규칙은 AWS에서 제공하는 사전에 정의된 규칙 세트인 AWS 관리형 규칙 또는 고객 관리형 규칙을 활용하여 생성할 수 있습니다. AWS 관리형 규칙의 경우, 규칙에 대한 업데이트는 해당 규칙을 사용하는 모든 계정에 자동으로 적용됩니다. 고객 관리형 모델의 경우, 고객은 규칙의 전체 복사본을 보유하고 계정 내에서 규칙을 실행합니다. 이러한 규칙은 고객이 관리합니다.

규칙은 어떻게 평가합니까?
모든 규칙은 변경으로 트리거되는 규칙 또는 주기적인 규칙으로 설정될 수 있습니다. 변경으로 트리거되는 규칙은 지정된 리소스에 대한 구성 변경을 AWS Config가 기록할 때 실행됩니다. 또한, 다음 중 하나는 반드시 지정되어야 합니다.

• 태그 키:(선택적 값): 태그 키:값은 지정된 태그 키:값을 갖는 리소스에 대한 구성 변경이 기록될 때 규칙 평가가 트리거된다는 것을 의미합니다.
• 리소스 유형: 지정된 리소스 유형에 해당하는 리소스에 대한 구성 변경이 기록될 때 규칙 평가가 트리거됩니다.
• 리소스 ID: 리소스 유형 및 리소스 ID에서 지정한 리소스에 대한 구성 변경이 기록될 때 규칙 평가가 트리거됩니다.

주기적인 규칙은 지정된 주기에 따라 트리거됩니다. 사용 가능한 주기는 1시간, 3시간, 6시간, 12시간 또는 24시간입니다. 주기적인 규칙은 해당 규칙에서 사용할 수 있는 모든 리소스에 대한 현재 구성 항목(CI)의 전체 스냅샷을 포함합니다.

평가란 무엇입니까?
규칙 평가는 특정 시점에 리소스가 규칙을 준수하는지 확인합니다. 이는 규칙을 리소스의 구성과 비교하여 평가한 결과입니다. Config Rules는 각 평가의 결과를 캡처하여 저장합니다. 이러한 결과는 리소스, 규칙, 평가 시간과 더불어 규칙 미준수의 원인이 되는 구성 항목(CI)에 대한 링크를 포함합니다.

규칙 준수란 무엇입니까?
리소스가 리소스에 적용되는 모든 규칙을 준수하는 경우, 리소스가 규칙을 준수한다고 하며, 그렇지 않은 경우를 규칙을 미준수한다고 합니다. 이와 마찬가지로 규칙에서 평가하는 모든 리소스가 규칙을 준수하는 경우, 규칙이 준수되었다고 하며, 그렇지 않은 경우를 규칙이 미준수되었다고 합니다. 일부의 경우(예: 규칙에서 부적절한 권한을 사용할 수 있는 경우), 리소스에 대한 평가가 존재하지 않을 수 있으며 이는 불충분한 데이터 상태로 이어집니다. 이러한 상태는 리소스 또는 규칙의 준수 상태를 결정하는 작업에서 제외됩니다.

Config Rules 대시보드에서는 어떤 정보를 제공합니까?
Config Rules 대시보드는 AWS Config에서 추적한 리소스의 개요와 리소스 및 규칙의 현재 준수 상태에 대한 요약을 제공합니다. 리소스의 규칙 준수 상태를 보면, 해당 리소스에 적용된 규칙 중 현재 준수되지 않은 규칙이 있는지 확인할 수 있습니다. 규칙의 준수 상태를 보면, 규칙이 적용되는 리소스 중 현재 규칙을 준수하는 않는 리소스가 있는지 확인할 수 있습니다. 이러한 요약 정보를 사용하여 리소스의 Config 타임라인 보기를 자세히 살펴봄으로써 변경된 구성 파라미터를 확인할 수 있습니다. 대시보드에서는 개요에서부터 구성 변경의 규칙 준수 상태에 관한 전체 정보, 규칙 미준수를 초래한 구성 변경이 무엇인지까지 세분화하여 볼 수 있습니다.

요금에는 AWS Lambda 함수에 대한 비용이 포함되어 있습니까?
AWS에서 제공하는 관리형 규칙 세트에서 선택하거나, AWS Lambda 함수를 사용해 사용자 지정 규칙을 작성할 수 있습니다. 관리형 규칙은 AWS에서 모두 관리 및 유지 보수하며 이를 실행하기 위한 AWS Lambda 요금이 추가로 부과되지 않습니다. 관리형 규칙을 활성화하고, 필요한 파라미터를 제공한 다음, AWS Config 규칙별로 단일 요금을 지불하면 됩니다. 반면에 고객 관리형 규칙은 이러한 규칙을 고객 계정에서 AWS Lambda 함수로 실행함으로써 고객이 규칙에 대한 모든 제어권을 갖게 됩니다. 고객 관리형 규칙에는 활성 규칙에 대한 월별 요금과 더불어 표준 AWS Lambda 프리 티어 및 함수 실행 요금이 적용됩니다.

활성 규칙이란 무엇입니까?
결제 주기(한 달) 동안 최소 1회 이상 평가가 기록된 규칙을 활성 규칙이라고 합니다. AWS 리소스를 규칙과 비교하고 AWS Config에서 결과를 기록하면 한 번의 평가가 성공적으로 기록됩니다.

공유 할당량이란 무엇입니까?
매월 활성 규칙당 20,000건의 평가 할당량을 받게 됩니다. 예를 들어, 3개의 Config Rules이 있는 경우 계정당 60,000건의 평가 할당량을 받습니다. 해당 할당량은 원하는 데로 규칙별로 배분할 수 있습니다.

사용하지 않은 평가 건수를 다음 달로 이월할 수 있습니까?
사용하지 않은 평가 건수는 종료되며 결제 주기마다 재설정됩니다.

AWS Config Rules에 대한 요금의 예를 들어줄 수 있습니까?
요금 예 1:
AWS Config는 각 AWS 리소스 및 구성 변경을 구성 항목(CI)으로 기록합니다. 매월 7,000개의 CI를 기록하고, 5개의 활성 규칙(주기적인 규칙 2개 및 변경으로 트리거된 규칙 3개)을 생성하며, 매일 총 150건의 평가를 보고한다고 가정해보겠습니다.

AWS Config 비용: 7,000 * 0.003 USD = 21.00 USD
5개의 활성 규칙 비용 = 5 * 2.00 USD = 10.00 USD

     평가 결과 할당량 = 5 * 20,000 = 100,000
     사용한 평가 결과 수 = 평가 150건 * 30일 = 매월 평가 4,500건
     평가 결과에 대한 추가 요금 = 0.0 USD

총 월별 AWS Config 요금 = 31.00 USD

요금 예 2:
매월 50,000개의 CI를 기록하고, 2개의 활성 규칙을 생성하며, 각 규칙을 모든 CI에 대해 평가하고, 매번 결과를 보고한다고 가정해 보겠습니다.

AWS Config 비용: 50,000 * 0.003 USD = 150.00 USD
2개의 활성 규칙 비용 = 2 * 2.00 USD = 4.00 USD

     평가 결과 할당량 = 2 * 20,000 = 40,000
     사용한 평가 결과 수 = 2 * 50,000 = 100,000
     평가 결과에 대한 추가 요금 = (100,000 – 40,000) = 60,000 * 0.0001 = 6.00 USD

총 월별 AWS Config 요금 = 150.00 USD + 4.00 USD + 6.00 USD = 160.00 USD