AWS Health사용 설명서

AWS Health 사용 설명서

AWS Health: 사용 설명서Copyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.

AWS Health 사용 설명서

Table of ContentsWhat is AWS 상태? ............................................................................................................................ 1

AWS 상태를 처음 사용하십니까? .................................................................................................. 1에서 지원되는 작업AWS 상태 ....................................................................................................... 1AWS 상태 API에 액세스 .............................................................................................................. 3

엔드포인트 ........................................................................................................................ 3AWS 상태 API 요청에 서명 .................................................................................................. 3

Getting started with the Personal Health Dashboard ................................................................................ 4Dashboard ................................................................................................................................. 4Event log ................................................................................................................................... 4

Events types ...................................................................................................................... 5Event details pane .............................................................................................................. 5

Integrations ................................................................................................................................ 5AWS Organizations ............................................................................................................. 5Amazon CloudWatch Events ................................................................................................ 6

Alerts for AWS 상태 events .......................................................................................................... 7AWS 상태 API 시작하기 ...................................................................................................................... 8

샘플 Java 코드 ........................................................................................................................... 91단계: 자격 증명 초기화 ...................................................................................................... 92단계: AWS 상태 API 클라이언트 초기화 ............................................................................... 93단계: AWS 상태 API 작업을 사용하여 이벤트 정보 가져오기 .................................................... 9

보안 ................................................................................................................................................ 12데이터 보호 .............................................................................................................................. 12

데이터 암호화 .................................................................................................................. 13인터네트워크 트래픽 개인 정보 보호 .................................................................................... 13

ID 및 액세스 관리 ..................................................................................................................... 13Audience ......................................................................................................................... 14자격 증명을 통한 인증 ....................................................................................................... 14정책을 사용하여 액세스 관리 .............................................................................................. 16에서 AWS 상태를 사용하는 방법IAM ................................................................................... 17자격 증명 기반 정책 예제 ................................................................................................... 20문제 해결 ......................................................................................................................... 27Using service-linked roles ................................................................................................... 29

의 로깅 및 모니터링AWS 상태 .................................................................................................... 30규정 준수 확인 ......................................................................................................................... 31복원성 ..................................................................................................................................... 31인프라 보안 .............................................................................................................................. 31구성 및 취약성 분석 .................................................................................................................. 32보안 모범 사례 ......................................................................................................................... 32

AWS 상태 사용자에게 가능한 최소 사용 권한 부여 ................................................................. 32Personal Health Dashboard 보기 ......................................................................................... 32Amazon Chime 또는 Slack과 AWS 상태 통합 ........................................................................ 32AWS 상태 이벤트 모니터링 ................................................................................................ 32

집계 AWS 상태 이벤트 ...................................................................................................................... 33Prerequisites ............................................................................................................................ 33조직 보기 활성화 ...................................................................................................................... 33조직 보기 이벤트 보기 ............................................................................................................... 35AWS 상태 조직 보기 API 작업 .................................................................................................... 35조직 보기 사용 안 함 ................................................................................................................. 36

모니터 AWS 상태 이벤트 CloudWatch 이벤트 ....................................................................................... 38에 대한 CloudWatch 이벤트 규칙 생성AWS 상태 ........................................................................... 38EC2 인스턴스에 대한 작업 자동화 ............................................................................................... 43

모니터링AWS 상태 .......................................................................................................................... 47AWS CloudTrail를 사용하여 AWS 상태 API 호출 로깅 .................................................................... 47

CloudTrail의 AWS 상태 정보 .............................................................................................. 47

iii

AWS Health 사용 설명서

예제: AWS 상태 로그 파일 항목 .......................................................................................... 48문서 기록 ......................................................................................................................................... 50

이전 업데이트 .......................................................................................................................... 50AWS Glossary .................................................................................................................................. 51....................................................................................................................................................... lii

iv

AWS Health 사용 설명서AWS 상태를 처음 사용하십니까?

What is AWS 상태?AWS Health 리소스 성능 및 사용 가능 여부에 대한 지속적인 가시성 제공 AWS 서비스 및 계정. 사용할 수있습니다. AWS 상태 events 서비스 및 리소스 변경이 실행되는 애플리케이션에 어떤 영향을 미칠 수 있는지알아보기 위해 AWS. AWS 상태 진행 중인 이벤트를 관리하는 데 도움이 되는 적절하고 시기 적절한 정보를제공합니다. AWS 상태 또한 예정된 활동을 파악하고 준비하는 데 도움이 됩니다. 이 서비스는 AWS 리소스의 상태가 변경되면 경보 및 알림을 트리거하므로, 사용자는 이벤트 정보와 지침을 거의 즉각적으로 파악하고 문제를 신속하게 해결할 수 있습니다.

모든 고객은 AWS 상태 API로 구동되는 Personal Health Dashboard(PHD)를 사용할 수 있습니다. 이 대시보드는 설정이 필요하지 않으며, 인증된 AWS 사용자 (p. 13)가 바로 사용할 수 있습니다. 서비스 하이라이트에 대한 자세한 내용은 AWS Personal Health Dashboard 세부 정보 페이지 를 참고하십시오.

또한 비즈니스 또는 엔터프라이즈 지원 플랜이 있는 AWS Support 고객은 AWS 상태 API를 사용하여 사내시스템 및 타사 시스템에 통합할 수 있습니다.

주제• AWS 상태를 처음 사용하십니까? (p. 1)• 에서 지원되는 작업AWS 상태 (p. 1)• AWS 상태 API에 액세스 (p. 3)

AWS 상태를 처음 사용하십니까?AWS 상태를 처음 사용하시는 경우 먼저 다음 단원을 읽어 보십시오.

• What is AWS 상태? (p. 1) - 이 단원에서는 기본 데이터 모델, 이 모델이 지원하는 작업, 이 서비스와상호 작용하는 데 사용할 수 있는 AWS SDK를 설명합니다.

• Getting started with the AWS Personal Health Dashboard (p. 4) - Personal Health Dashboard 단원에서는 Personal Health Dashboard를 사용하여 이벤트 및 그 이벤트가 적용되는 엔터티를 확인하고 고급 필터링을 수행하는 방법을 설명합니다.

• AWS 상태 API 시작하기 (p. 8) - AWS 상태 API 단원에서는 이벤트 및 엔터티에 대한 정보를 검색하는작업을 설명합니다.

AWS 상태는 Personal Health Dashboard라는 콘솔을 모든 고객에게 제공합니다. 대시보드를 설정하기 위해코드를 작성하거나 작업을 수행할 필요는 없습니다. 비즈니스 또는 엔터프라이즈 지원 플랜이 있는 경우, 대시보드의 정보에 프로그래밍 방식으로 액세스할 수 있습니다. AWS Command Line Interface(AWS CLI)를사용하거나 코드를 작성하여 요청을 할 수 있습니다(REST API를 직접 사용하거나 AWS SDK 사용).

AWS 상태과(와) AWS CLI을(를) 함께 사용하는 방법에 대한 자세한 내용은 AWS 상태에 대한 AWS CLI 참조 단원을 참조하십시오. AWS CLI 설치에 대한 지침은 AWS Command Line Interface 설치를 참조하십시오.

에서 지원되는 작업AWS 상태AWS 상태에서 AWS 계정에 영향을 주는 이벤트 관련 정보를 얻을 수 있는 작업은 다음과 같습니다.

• 에서 지원되는 이벤트 유형AWS 상태.• 지정된 필터 기준에 맞는 하나 이상의 이벤트에 대한 정보• 하나 이상의 이벤트가 영향을 미치는 엔터티에 대한 정보

1

AWS Health 사용 설명서에서 지원되는 작업AWS 상태

• 지정된 필터 기준에 맞는 범주별 이벤트 또는 엔터티 수

모든 작업은 변경을 허용하지 않습니다. 즉 데이터를 검색하나 수정하지는 않습니다. 다음 단원에서는 AWS상태 작업에 대해서 간략하게 살펴보겠습니다.

이벤트 유형

The 이벤트 유형 설명 작업은 선택적 필터와 일치하는 이벤트 유형을 검색합니다. 이벤트 유형은 이벤트의AWS 서비스, 이벤트 유형 코드 및 범주 등을 정의해 놓은 템플릿입니다. 이벤트 유형과 이벤트는 객체 지향프로그래밍의 클래스 및 객체와 유사합니다. 지원되는 이벤트 유형 수 AWS 상태 시간이 지남에 따라 성장합니다.

Events

The 이벤트 설명 작업에 관련된 이벤트에 대한 요약 정보를 검색합니다. AWS 계정. 이벤트는 다음과 관련이있을 수 있습니다. AWS 운영 문제, 예정된 변경 사항 AWS 인프라 또는 보안 및 청구 알림. The 이벤트 세부정보 작업에서는 하나 이상의 이벤트에 대한 자세한 정보를 검색합니다. AWS 서비스, 지역, 가용성 영역, 이벤트 시작 및 종료 시간 및 텍스트 설명.

영향을 받는 엔터티

The 서술된 단체 작업은 하나 이상의 이벤트에 의해 영향을 받는 엔터티에 대한 정보를 검색합니다. 결과는다음과 같은 추가 기준에 의해 필터링될 수 있습니다. 예를 들어, 상태가 지정될 수 있습니다. AWS 자원.

Aggregation

The 이벤트 집계 작업은 각 이벤트 유형 범주에 있는 이벤트의 카운트를 검색하여 선택적으로 다른 기준에의해 필터링됩니다. The 설명합니다집계 작업은 하나 이상의 지정된 이벤트에 의해 영향을 받는 엔터티(리소스)의 수를 검색합니다.

AWS Organizations 및 조직 보기

DescribeEventsForOrganization

다음에 대해 설명하겠습니다.Organization 이벤트 전반에 걸쳐 이벤트에 대한 요약 정보를 AWSOrganizations지정된 필터 기준을 충족합니다.

DescribeAffectedAccountsForOrganization

서술한Organization 목록 반환 AWS 계정 AWS Organizations 제공된 이벤트의 영향을 받습니다.

DescribeEventDetailsForOrganization

다음에 대한 설명세부사항Organization 하나 이상의 계좌에 대해 하나 이상의 지정된 이벤트에 대한 자세한정보를 반환합니다. AWS Organizations.

DescribeAffectedEntitiesForOrganization

서술한Organization 필터 기준에 따라 조직 내 하나 이상의 계좌에 의해 영향을 받은 조직 목록을 반환합니다.

EnableHealthServiceAccessForOrganization

EnableHealthServiceAccessForOrganization 운영은 AWS 상태 서비스 허가 AWS Organizations 고객을 대신하여 마스터 계정 조직 내.

DisableHealthServiceAccessForOrganization

disablehealthserviceaccess용Organization 운영 취소 AWS 상태 상호 작용할 수 있는 AWS Organizations 을(를) 대신하여 을(를) 대신하여 을(를) 대신하여 을(를

2

AWS Health 사용 설명서AWS 상태 API에 액세스

DescribeHealthServiceStatusForOrganization

건강서비스전문의에 대해Organization 작동에 대한 상태 정보 제공 AWS 상태 조직과의 협력을 위해

이러한 작업에 대한 자세한 내용은 단원을 참조하십시오.AWS Health API 참조.

AWS 상태 API에 액세스AWS 상태는 전송 방법으로 HTTPS를, 메시지 직렬화 형식으로 JavaScript Object Notation(JSON)을 사용하는 RESTful 웹 서비스입니다. 애플리케이션 코드는 AWS 상태 웹 서비스 API로 직접 요청할 수 있습니다.REST API를 직접 사용하는 경우 요청에 서명하고 이를 인증하기 위해 필요한 코드를 작성해야 합니다. API에 대한 자세한 내용은 AWS Health API 참조 단원을 참조하십시오.

Note

AWS 상태 API를 사용하려면 비즈니스 또는 엔터프라이즈 지원 플랜 이 있어야 합니다.

AWS 상태 REST API 호출을 래핑하는 AWS SDK를 사용하여 애플리케이션 개발을 간소화할 수 있습니다.자격 증명을 제공하면 이러한 라이브러리에서 인증 및 서명 요청을 처리합니다.

AWS 상태는 AWS Management 콘솔에서 모든 AWS 고객이 사용할 수 있는 Personal Health Dashboard를제공합니다. Personal Health Dashboard를 사용하여 이벤트 및 해당 엔터티를 확인하고 검색할 수 있습니다.

엔드포인트AWS 상태에는 단일 글로벌 엔드포인트: https://health.us-east-1.amazonaws.com 이 있습니다.

API에서 지원하는 필터를 사용하여 특정 AWS 리전의 이벤트를 볼 수 있습니다. 모든 서비스용 AWS 엔드포인트 및 리전에 대한 자세한 내용은 AWS General Reference에서 AWS 리전 및 엔드포인트를 참조하십시오.

AWS 상태 API 요청에 서명액세스 키 ID와 보안 액세스 키를 사용하여 요청에 서명해야 합니다. AWS 상태에 정기적으로 액세스할 경우AWS 루트 계정의 자격 증명을 사용하지 않는 것이 좋습니다. 그 대신 IAM 사용자의 자격 증명을 사용하면됩니다.

API 요청에 서명하려면 AWS 서명 버전 4를 사용하는 것이 좋습니다. 자세한 내용은 AWS GeneralReference의 AWS API 요청에 서명 단원을 참조하십시오.

3

AWS Health 사용 설명서Dashboard

Getting started with the AWSPersonal Health Dashboard

AWS Personal Health Dashboard를 사용하여 AWS 서비스 또는 계정에 영향을 줄 수 있는 AWS 상태 이벤트에 대해 알아볼 수 있습니다. 이 Personal Health Dashboard에는 최근 이벤트와 예정된 이벤트를 범주별로 보여 주는 대시보드 및 지난 90일간의 모든 이벤트를 보여 주는 전체 이벤트 로그와 같은 두 가지 방법으로 정보가 표시됩니다.

Personal Health Dashboard를 보려면

1. AWS Management 콘솔에 로그인하고 https://phd.aws.amazon.com/phd/home에서 Personal HealthDashboard를 엽니다.

2. 최근 및 예정된 이벤트를 보려면 Dashboard(대시보드)를 선택하고, 지난 90일간의 모든 이벤트를 보려면 Event log(이벤트 로그)를 선택합니다.

주제• Dashboard (p. 4)• Event log (p. 4)• Integrations (p. 5)• Alerts for AWS 상태 events (p. 7)

DashboardPersonal Health Dashboard는 미해결 문제, 예약된 변경, 기타 알림이라는 세 그룹으로 문제를 정리합니다.기본적으로 미해결 문제 및 기타 알림은 시작 시간이 최근 7일 이내인 문제로만 제한됩니다. 예약된 변경 그룹에는 진행 중이거나 예정된 항목이 포함됩니다.

대시보드 목록에서 이벤트를 선택하면, Event Details(이벤트 세부 정보) 창에 해당 이벤트에 대한 정보 및 해당 이벤트의 영향을 받는 리소스에 대한 정보가 표시됩니다. 자세한 정보는 Event details pane (p. 5) 단원을 참조하십시오.

필터 목록에서 옵션을 선택하여 그룹에 표시되는 항목을 필터링할 수 있습니다. 예를 들어, 가용 영역, 리전,이벤트 종료 시간 또는 마지막 업데이트 시간, AWS 서비스 등을 기준으로 결과 범위를 좁힐 수 있습니다.

대시보드에 표시되는 최근 이벤트가 아닌, 계정에 적용되는 모든 이벤트를 보려면 해당 목록 위의 See allissues(모든 문제 보기)를 선택하여 Event log (p. 4)를 표시합니다.

Note

현재 Personal Health Dashboard에 표시되는 이벤트에 대한 알림은 삭제할 수 없습니다. AWS 서비스로 이벤트가 해결되면 대시보드 보기에서 알림이 제거됩니다.

Event logPersonal Health Dashboard의 Event log(이벤트 로그) 페이지에는 계정에 적용되는 모든 AWS 상태 이벤트가 표시됩니다. 열 레이아웃 및 동작은 대시보드와 유사하지만, 로그 페이지에는 [Status] 및 [Event category]필터 옵션과 열이 추가되어 있습니다.

4

AWS Health 사용 설명서Events types

Event log(이벤트 로그) 목록에서 이벤트를 선택하면, Event details(이벤트 세부 정보) 창에 해당 이벤트에 대한 정보 및 해당 이벤트의 영향을 받는 리소스 정보가 표시됩니다. 자세한 정보는 Event detailspane (p. 5) 단원을 참조하십시오.

필터 목록에서 옵션을 선택하여 항목을 필터링할 수 있습니다. 예를 들어, 상태(종료됨, 미해결 또는 예정됨),이벤트 범주(문제, 알림 또는 예약된 변경), 가용 영역, 리전, 이벤트 종료 시간 또는 마지막 업데이트 시간,AWS 서비스 등을 기준으로 결과 범위를 좁힐 수 있습니다.

Events types다음과 같은 두 가지 유형의 AWS 상태 이벤트가 있습니다.

• Public events are service events that aren't specific to an AWS account. For example, if there is an issuewith Amazon Elastic Compute Cloud (Amazon EC2) in an AWS Region, AWS 상태 provides informationabout the event, even if you don't use services or resources in that Region.

• Account-specific events are specific to your AWS account or an account in your organization. Forexample, if there's an issue with an Amazon EC2 instance in a Region that you use, AWS 상태 providesinformation about the event and the affected resources in the account.

다음 옵션을 사용하여 이벤트가 공개 또는 계정 관련 이벤트인지 확인합니다.

• Personal Health Dashboard의 이벤트 로그 페이지에서 영향을 받는 리소스 탭을 선택합니다. 리소스가 있는 이벤트는 계정에 따라 다릅니다. 리소스가 없는 이벤트는 공개되며 계정에 한정되지 않습니다.

• AWS 상태 API를 사용하여 eventScopeCode 파라미터를 반환합니다. 이벤트는 PUBLIC,ACCOUNT_SPECIFIC 또는 NONE 값을 가질 수 있습니다. 자세한 내용은 AWS Health API 참조의DescribeEventDetails 작업을 참조하십시오.

Event details paneEvent details(이벤트 세부 정보) 창에는 두 개의 탭이 있습니다. [Details] 탭에는 이벤트에 대한 텍스트 설명과 이벤트 관련 데이터가 표시됩니다(이벤트 이름, 상태, 리전 및 가용 영역, 시작 시간, 종료 시간, 범주 등).[Affected resources] 탭에는 이벤트의 영향을 받는 AWS 리소스에 대한 다음과 같은 정보가 표시됩니다.

• The resource ID (for example, an Amazon EBS volume ID such as vol-a1b2c34f) or AmazonResource Name (ARN), if available or relevant.

필터 목록에서 옵션을 선택하여 리소스 목록에 표시되는 항목을 필터링할 수 있습니다. 리소스 ID 또는 ARN을 기준으로 결과 범위를 좁힐 수 있습니다.

Integrations탐색 페이지의 Integrations(통합) 섹션에는 AWS 상태에서 사용하도록 설정할 수 있는 서비스가 나열됩니다.AWS 상태는 다음 서비스와 통합됩니다.

AWS Organizations조직에 속한 모든 계정의 AWS 상태 이벤트를 볼 수 있습니다. 조직에 표시되는 이벤트에 대한 중앙 집중식보기가 제공됩니다. 이러한 이벤트를 사용하여 리소스, 서비스 및 애플리케이션의 변경 사항을 모니터링할수 있습니다.

5

AWS Health 사용 설명서Amazon CloudWatch Events

자세한 정보는 조직 보기를 사용하여 계정 간 AWS 상태 이벤트 집계 (p. 33) 단원을 참조하십시오.

Amazon CloudWatch EventsAmazon CloudWatch Events는 AWS 상태 이벤트의 변경 사항을 감지하고 이에 대응하는 데 사용합니다.AWS 계정에서 발생하는 특정 AWS 상태 이벤트를 모니터링한 다음 알림을 받거나 이벤트가 변경될 때 조치를 취하도록 규칙을 설정할 수 있습니다.

Set up CloudWatch Events(CloudWatch 이벤트 설정)를 선택하여 CloudWatch 이벤트 콘솔로 이동할 수 있습니다. 자세한 정보는 모니터 AWS 상태 이벤트 Amazon CloudWatch Events (p. 38) 단원을 참조하십시오.

6

AWS Health 사용 설명서Alerts for AWS 상태 events

Alerts for AWS 상태 eventsPersonal Health Dashboard에는 콘솔 탐색 표시줄에 Alerts(알림) 메뉴가 있는 종 모양 아이콘이 있습니다.이 기능은 각 범주의 대시보드에 나타나는 최근 AWS 상태 이벤트 수를 표시합니다. 이 종 모양 아이콘은Amazon Elastic Compute Cloud(Amazon EC2), Amazon Relational Database Service(Amazon RDS), AWSIdentity and Access Management(IAM) 및 AWS Trusted Advisor 등의 여러 AWS 콘솔에 있습니다.

종 모양 아이콘을 선택하여 계정이 최근 이벤트의 영향을 받는지 확인합니다. 그런 다음 이벤트를 선택하고Personal Health Dashboard로 이동하여 자세한 내용을 볼 수 있습니다.

7

AWS Health 사용 설명서

AWS 상태 API 시작하기AWS 상태 API를 통해 Personal Health Dashboard에 표시되는 AWS 상태 정보에 프로그래밍 방식으로 액세스할 수 있습니다. 다음 API 작업을 사용하여 AWS 리소스에 영향을 주는 이벤트에 대한 정보를 얻을 수 있습니다.

• DescribeEvents: 이벤트에 대한 요약 정보입니다.• DescribeEventDetails: 하나 이상의 이벤트에 대한 세부 정보입니다.• DescribeAffectedEntities: 하나 이상의 이벤트가 해당되는 AWS 리소스에 대한 정보입니다.

또한 다음 작업은 이벤트 유형 및 이벤트 요약 수 또는 영향을 받는 엔터티에 대한 정보를 제공합니다.

• DescribeEventTypes: AWS Health가 추적하는 이벤트 종류에 대한 정보• DescribeEventAggregates: 지정한 조건을 충족하는 이벤트 수입니다.• DescribeEntityAggregates: 지정한 기준을 충족하는 해당 엔터티 수입니다.

Organizational View

AWS 상태에서 Organizational View를 활성화하면 이러한 API 작업을 사용하여 AWS Organizations의 조직전체에 있는 모든 계정에서 AWS 리소스에 영향을 미치는 이벤트에 대한 정보를 얻을 수 있습니다.

• DescribeEventsForOrganization: 조직의 계정 전체에서 이벤트에 대한 요약 정보를 제공합니다.• DescribeAffectedAccountsForOrganization는 제공된 이벤트의 영향을 받는 AWS Organizations의 계정 목

록을 반환합니다.• DescribeEventDetailsForOrganization: 하나 이상의 계정에 대해 지정된 하나 이상의 이벤트에 대한 자세

한 정보를 반환합니다.• DescribeAffectedEntitiesForOrganization는 필터 조건에 따라 조직의 AWS Organizations에 있는 하나 이

상의 계정에 대한 하나 이상의 이벤트에 의해 영향을 받는 엔터티 목록을 반환합니다.• EnableHealthServiceAccessForOrganization: 이 작업을 호출하면 AWS Organizations으로 AWS 상태를

활성화합니다.• DisableHealthServiceAccessForOrganization: 이 작업을 호출하면 AWS Organizations으로 AWS 상태를

작업할 수 없습니다.• DescribeHealthServiceStatusForOrganization: 이 작업은 조직 작업의 AWS 상태를 활성화 또는 비활성화

하는 방법에 대한 정보를 제공합니다.

Health API를 사용하려면 AWS Support의 비즈니스 또는 엔터프라이즈 지원 플랜이 필요합니다. 비즈니스 또는 엔터프라이즈 지원 플랜이 없는 계정에서 Health API를 호출하면SubscriptionRequiredException이 발생합니다.

AWS 상태 API에 대한 자세한 설명은 AWS Health API 참조 단원을 참조하십시오.

서비스 엔드포인트

AWS 상태 API의 엔드포인트는 다음과 같습니다.

• https://health.us-east-1.amazonaws.com

AWS 상태 서비스에는 미국 동부(버지니아 북부) 리전에 있는 엔드포인트 하나뿐이며, 이 엔드포인트에서 모든 리전에 이벤트 데이터를 제공합니다. 쿼리 결과를 필터링하여 하나 이상의 리전에 영향을 주는 이벤트에대한 정보를 얻을 수 있지만, 쿼리는 항상 상태로 보내야 합니다. us-east-1 엔드포인트.

8

AWS Health 사용 설명서샘플 Java 코드

Java 코드 예

다음 주제 (p. 9)에서는 Java용 AWS SDK에서 AWS 상태 API를 사용하는 방법을 보여줍니다.

AWS 상태 API용 샘플 Java 코드다음 Java 코드 예제에서는 AWS 상태 클라이언트를 시작하고 이벤트 및 엔터티에 대한 정보를 검색하는 방법을 보여줍니다.

1단계: 자격 증명 초기화AWS 상태 API와 통신하려면 유효한 자격 증명이 필요합니다. AWS 계정과 연결된 모든 IAM 사용자의 키 페어를 사용할 수 있습니다.

AWSCredentials 인스턴스를 만들고 초기화합니다.

AWSCredentials credentials = null;try { credentials = new ProfileCredentialsProvider("default").getCredentials();} catch (Exception e) {throw new AmazonClientException( "Cannot load the credentials from the credential profiles file. " + "Please make sure that your credentials file is at the correct " + "location (/home/username/.aws/credentials), and is in valid format.", e);}

2단계: AWS 상태 API 클라이언트 초기화이전 단계에서 초기화한 자격 증명 객체를 사용하여 AWS 상태 클라이언트를 만듭니다.

import com.amazonaws.services.health.AWSHealthClient;

AWSHealth awsHealthClient = new AWSHealthClient(credentials);

3단계: AWS 상태 API 작업을 사용하여 이벤트 정보 가져오기DescribeEvents

import com.amazonaws.services.health.model.DescribeEventsRequest;import com.amazonaws.services.health.model.DescribeEventsResult;import com.amazonaws.services.health.model.Event;import com.amazonaws.services.health.model.EventFilter;

DescribeEventsRequest request = new DescribeEventsRequest();

EventFilter filter = new EventFilter();// Filter on any field from the supported AWS Health EventFilter model. // Here is an example for Region us-east-1 events from the EC2 service.filter.setServices(singletonList("EC2");filter.setRegions(singletonList("us-east-1"));request.setFilter(filter);

DescribeEventsResult response = awsHealthClient.describeEvents(request);

9

AWS Health 사용 설명서3단계: AWS 상태 API 작업을 사용하여 이벤트 정보 가져오기

List<Event> resultEvents = response.getEvents();

Event currentEvent = null;for (Event event : resultEvents) { // Display result event data; here is a subset. System.out.println(event.getArn()); System.out.println(event.getService()); System.out.println(event.getRegion()); System.out.println(event.getAvailabilityZone()); System.out.println(event.getStartTime()); System.out.println(event.getEndTime()); }

DescribeEventAggregates

import com.amazonaws.services.health.model.DescribeEventAggregatesRequest;import com.amazonaws.services.health.model.DescribeEventAggregatesResult;import com.amazonaws.services.health.model.EventAggregate;import com.amazonaws.services.health.model.EventFilter;

DescribeEventAggregatesRequest request = new DescribeEventAggregatesRequest();// set the aggregation fieldrequest.setAggregateField("eventTypeCategory");

// filter more on result if neededEventFilter filter = new EventFilter();filter.setRegions(singleton("us-east-1"));request.setFilter(filter);

DescribeEventAggregatesResult response = awsHealthClient.describeEventAggregates(request);

// print event count for each eventTypeCategoryfor (EventAggregate aggregate: response.getEventAggregates()) { System.out.println("Event Category:" + aggregate.getAggregateValue()); System.out.println("Event Count:" + aggregate.getCount()); }

DescribeEventDetails

import com.amazonaws.services.health.model.DescribeEventDetailsRequest;import com.amazonaws.services.health.model.DescribeEventDetailsResult;import com.amazonaws.services.health.model.Event;import com.amazonaws.services.health.model.EventDetails;

DescribeEventDetailsRequest describeEventDetailsRequest = new DescribeEventDetailsRequest();// set event ARN and local value

describeEventDetailsRequest.setEventArns(singletonList("arn:aws:health:us-east-1::event/service/eventTypeCode/eventId"));describeEventDetailsRequest.setLocale("en-US");filter.setEventArnsDescribeEventDetailsResult describeEventDetailsResult = awsHealthClient.describeEventDetails(request);EventDetails eventDetail = describeEventDetailsResult.getSuccessfulSet().get(0);

// check event-related fieldsEvent event = eventDetail.getEvent();System.out.println(event.getService());System.out.println(event.getRegion());System.out.println(event.getAvailabilityZone());System.out.println(event.getStartTime());

10

AWS Health 사용 설명서3단계: AWS 상태 API 작업을 사용하여 이벤트 정보 가져오기

System.out.println(event.getEndTime());

// print out event descriptionSystem.out.println(eventDetail.getEventDescription().getLatestDescription());

DescribeAffectedEntities

import com.amazonaws.services.health.model.AffectedEntity;import com.amazonaws.services.health.model.DateTimeRange;import com.amazonaws.services.health.model.DescribeAffectedEntitiesRequest;import com.amdescribeEventDetailsRequestazonaws.services.health.model.DescribeAffectedEntitiesResult;

DescribeAffectedEntitiesRequest request = new DescribeAffectedEntitiesRequest();EntityFilter filter = new EntityFilter();

filter.setEventArns(singletonList("arn:aws:health:us-east-1::event/service/eventTypeCode/eventId"));

DescribeAffectedEntitiesResult response = awsHealthClient.describeAffectedEntities(request);

for (AffectedEntity affectedEntity: response.getEntities()) { System.out.println(affectedEntity.getEntityValue()); System.out.println(affectedEntity.getAwsAccountId()); System.out.println(affectedEntity.getEntityArn()); }

DescribeEntityAggregates

import com.amazonaws.services.health.model.DescribeEntityAggregatesRequest;import com.amazonaws.services.health.model.DescribeEntityAggregatesResult;import com.amazonaws.services.health.model.EntityAggregate;

DescribeEntityAggregatesRequest request = new DescribeEntityAggregatesRequest();

request.setEventArns(singletonList("arn:aws:health:us-east-1::event/service/eventTypeCode/eventId"));

DescribeEntityAggregatesResult response = awsHealthClient.describeEntityAggregates(request);

for (EntityAggregate entityAggregate : response.getEntityAggregates()) { System.out.println(entityAggregate.getEventArn()); System.out.println(entityAggregate.getCount()); }

11

AWS Health 사용 설명서데이터 보호

AWS 상태의 보안AWS에서는 클라우드 보안을 가장 중요하게 생각합니다. AWS 고객은 보안에 가장 보안에 민감한 조직의 요구 사항에 부합하도록 구축된 데이터 센터 및 네트워크 아키텍처의 혜택을 누릴 수 있습니다.

보안은 AWS와 귀하의 공동 책임입니다. 공동 책임 모델은 이 사항을 클라우드의 보안 및 클라우드 내 보안으로 설명합니다.

• 클라우드의 보안 – AWS는 AWS 클라우드에서 AWS 서비스를 실행하는 인프라를 보호합니다. AWS는 또한 안전하게 사용할 수 있는 서비스를 제공합니다. 타사 감사자는 AWS 규정 준수 프로그램의 일환으로 보안 효과를 정기적으로 테스트하고 검증합니다. AWS 상태에 적용되는 규정 준수 프로그램에 대한 자세한내용은 규정 준수 프로그램 제공 범위 내 AWS 서비스를 참조하십시오.

• 클라우드 내 보안 – 귀하의 책임은 귀하가 사용하는 AWS 서비스에 의해 결정됩니다. 또한 귀하는 데이터의 민감도, 회사 요구 사항, 관련 법률 및 규정을 비롯한 기타 요소에 대해서도 책임이 있습니다.

이 설명서는 AWS 상태 사용 시 책임 분담 모델을 적용하는 방법을 이해하는 데 도움이 됩니다. 다음 항목에서는 보안 및 규정 준수 목표를 충족하도록 AWS 상태를 구성하는 방법을 보여줍니다. 또한 AWS 상태 리소스를 모니터링하고 보호하는 데 도움이 되는 다른 AWS 서비스를 사용하는 방법을 배우게 됩니다.

주제• 의 데이터 보호AWS 상태 (p. 12)• 의 자격 증명 및 액세스 관리AWS 상태 (p. 13)• 의 로깅 및 모니터링AWS 상태 (p. 30)• AWS 상태의 규정 준수 확인 (p. 31)• AWS 상태의 복원성 (p. 31)• AWS 상태의 인프라 보안 (p. 31)• AWS 상태에서 구성 및 취약성 분석 (p. 32)• AWS 상태의 보안 모범 사례 (p. 32)

의 데이터 보호AWS 상태AWS 상태 준수 AWS 공유 책임 모델, 데이터 보호를 위한 규정 및 지침을 포함합니다. AWS 글로벌 인프라스트럭처를 보호하는 데 필요한 AWS 서비스. AWS 은 고객 콘텐츠 및 개인 데이터 처리를 위한 보안 구성 제어를 포함하여 이 인프라에서 호스팅되는 데이터에 대한 제어를 유지합니다. AWS 데이터 컨트롤러 또는 데이터 프로세서로서 활동하는 고객 및 APN 파트너는 AWS 클라우드.

데이터 보호 목적을 위해 AWS 계정 자격 증명으로 개별 사용자 계정을 AWS Identity and AccessManagement (IAM), 따라서 각 사용자에게 업무 수행에 필요한 권한만 부여됩니다. 또한 다음과 같은 방법으로 데이터를 보호하는 것이 좋습니다.

• 각 계정마다 멀티 팩터 인증(MFA)을 사용합니다.• SSL/TLS를 사용하여 AWS 리소스와 통신합니다.

• 로 API 및 사용자 활동 로깅을 설정합니다.AWS CloudTrail.• 사용 AWS 암호화 솔루션은 AWS 서비스.• ()에 저장된 개인 데이터를 검색하고 보호하는 데 도움이 되는 고급 관리형 보안 서비스(예: Amazon

Macie)를 사용합니다.Amazon S3.

12

AWS Health 사용 설명서데이터 암호화

• 다음과 같은 위협 탐지 서비스를 사용합니다. Amazon GuardDuty악성 활동 및 무단 동작을 감지하여AWS 계정 및 작업 부하.

고객 계정 번호와 같은 민감한 식별 정보를 자유로운 필드에 이름 필드. 여기에는 AWS 상태 또는 기타 AWS콘솔, API, AWS CLI, 또는 AWS 스펙. 입력한 모든 데이터 AWS 상태 또는 진단 로그에 포함될 수 있는 다른서비스가 있습니다. 외부 서버에 URL을 제공할 때 해당 서버에 대한 요청을 검증하기 위해 자격 증명 정보를URL에 포함시키지 마십시오.

데이터 보호에 대한 자세한 내용은 AWS 공동 책임 모델 및 GDPR 블로그 게시물 AWS 보안 블로그.

데이터 암호화다음 정보를 참조하십시오. AWS 상태 데이터 암호화

데이터 암호화는 데이터 전송 중 데이터 보호를 의미합니다(서비스가 서비스에서 AWS 저장 시(저장된 상태에서) AWS 서비스). 전송 계층 보안(TLS)을 사용하여 전송 중인 데이터를 보호하거나 클라이언트 측 암호화를 사용하여 유휴 상태인 데이터를 보호할 수 있습니다.

AWS 상태는 이벤트의 이메일 주소 또는 고객 이름과 같은 개인 식별 정보(PII)를 기록하지 않습니다.

저장된 암호화모든 데이터는 AWS 상태 저장 시 암호화됩니다.

전송 중 데이터 암호화모든 데이터는 AWS 상태 은(는) 바인드에서 암호화됩니다.

키 관리AWS 상태는 AWS 클라우드에서 암호화된 데이터에 대해 고객 관리형 암호화 키를 지원하지 않습니다.

인터네트워크 트래픽 개인 정보 보호다음 정보를 참조하십시오. AWS 상태 교통 사생활 보호와 협력합니다.

활성화할 수 있습니다. AWS 상태 일하기 위해 AWS Organizations개별 이벤트에서 이벤트를 볼 수 있습니다. AWS 귀하의 조직의 일부입니다. 이 기능은 운영 문제, 예약된 유지 관리, 계정 알림 등 모든 AWS 상태이벤트를 중앙 집중식으로 표시합니다.

이렇게 하려면 조직의 마스터 계정 이 기능은 AWS Management 콘솔 또는EnableHealthServiceAccessForOrganization API 작업.

자세한 정보는 단원을 참조하십시오.조직 보기를 사용하여 계정 간 AWS 상태 이벤트 집계 (p. 33).

의 자격 증명 및 액세스 관리AWS 상태AWS Identity and Access Management(IAM)는 관리자가 AWS 리소스에 대한 액세스를 안전하게 제어할 수있도록 지원하는 AWS 서비스입니다. IAM 관리자는 AWS 상태 리소스를 사용하기 위해 인증(로그인) 및 권한 부여(권한 있음)할 수 있는 사람을 제어합니다. IAM은 추가 비용 없이 사용할 수 있는 AWS 서비스입니다.

주제• Audience (p. 14)• 자격 증명을 통한 인증 (p. 14)

13

AWS Health 사용 설명서Audience

• 정책을 사용하여 액세스 관리 (p. 16)• 에서 AWS 상태를 사용하는 방법IAM (p. 17)• AWS 상태 자격 증명 기반 정책 예제 (p. 20)• 문제 해결 AWS 상태 ID 및 액세스 (p. 27)• Using service-linked roles for AWS 상태 (p. 29)

AudienceAWS Identity and Access Management(IAM) 사용 방법은 AWS 상태에서 하는 작업에 따라 달라집니다.

서비스 사용자 – AWS 상태 서비스를 사용하여 작업을 수행하는 경우 필요한 자격 증명과 권한을 관리자가제공합니다. 더 많은 AWS 상태 기능을 사용하여 작업을 수행하게 되면 추가 권한이 필요할 수 있습니다. 액세스 권한 관리 방식을 이해하면 적절한 권한을 관리자에게 요청할 수 있습니다. AWS 상태의 기능에 액세스할 수 없는 경우 문제 해결 AWS 상태 ID 및 액세스 (p. 27) 단원을 참조하십시오.

서비스 관리자 – 회사에서 AWS 상태 리소스를 책임지고 있는 경우 AWS 상태에 대한 전체 액세스를 가지고있을 것입니다. 서비스 관리자는 직원이 액세스해야 하는 AWS 상태 기능과 리소스를 결정합니다. 그런 다음 IAM 관리자에게 요청을 제출하여 서비스 사용자의 권한을 변경합니다. 이 페이지의 정보를 검토하여 IAM의 기본 개념을 이해하십시오. 회사가 AWS 상태에서 IAM을 사용하는 방법에 대해 자세히 알아보려면 에서AWS 상태를 사용하는 방법IAM (p. 17) 단원을 참조하십시오.

IAM 관리자 – IAM 관리자는 AWS 상태에 대한 액세스 권한을 관리할 수 있는 정책을 작성하는 방법에 대해자세히 알아보고 싶을 수 있습니다. IAM에서 사용할 수 있는 예제 AWS 상태 자격 증명 기반 정책을 보려면AWS 상태 자격 증명 기반 정책 예제 (p. 20) 단원을 참조하십시오.

자격 증명을 통한 인증인증은 ID 자격 증명을 사용하여 AWS에 로그인하는 방식입니다. AWS Management 콘솔을 사용하여 로그인하는 방법에 대한 자세한 내용은 IAM 사용 설명서의 IAM 콘솔 및 로그인 페이지를 참조하십시오.

AWS 계정 루트 사용자, class="non-printable-char non-printable-space"> IAM class="non-printable-charnon-printable-space"> 사용자로서 class="non-printable-char non-printable-space"> 또는 class="non-printable-char non-printable-space"> IAM class="non-printable-char non-printable-space"> 역할을class="non-printable-char non-printable-space"> 수임하여 class="non-printable-char non-printable-space">인증(AWS에 class="non-printable-char non-printable-space"> 로그인)되어야 class="non-printable-charnon-printable-space"> 합니다. 회사의 싱글 사인온(SSO) 인증을 사용하거나 Google 또는 Facebook을 사용하여 로그인할 수도 있습니다. 이러한 경우 관리자는 이전에 IAM 역할을 사용하여 자격 증명 연동을 설정한것입니다. 다른 회사의 자격 증명을 사용하여 AWS에 액세스하면 간접적으로 역할을 가정하는 것입니다.

AWS Management 콘솔에 직접 로그인하려면 루트 사용자 이메일이나 IAM 사용자 이름과 비밀번호를 사용하십시오. 루트 사용자 또는 IAM 사용자 액세스 키를 사용하여 프로그래밍 방식으로 AWS에 액세스할 수있습니다. AWS는 자격 증명을 사용하여 암호화 방식으로 요청에 서명할 수 있는 SDK 및 명령줄 도구를 제공합니다. AWS 도구를 사용하지 않는 경우 요청에 직접 서명해야 합니다. 이렇게 하려면 인바운드 API 요청을 인증하기 위한 프로토콜인 서명 버전 4를 사용합니다. 요청 인증에 대한 자세한 정보는 AWS GeneralReference의 서명 버전 4 서명 프로세스 단원을 참조하십시오.

사용하는 인증 방법에 상관 없이 추가 보안 정보를 제공해야 할 수도 있습니다. 예를 들어, AWS는 멀티 팩터인증(MFA)을 사용하여 계정의 보안을 강화하는 것을 권장합니다. 자세한 내용은 IAM 사용 설명서의 AWS에서 Multi-Factor Authentication(MFA) 사용을 참조하십시오.

AWS 계정 루트 사용자AWS 계정을 처음 생성할 때는 해당 계정의 모든 AWS 서비스 및 리소스에 대한 완전한 액세스 권한이 있는SSO(Single Sign-In) ID로 시작합니다. 이 자격 증명은 AWS 계정 루트 사용자라고 하며, 계정을 생성할 때사용한 이메일 주소와 암호로 로그인하여 액세스합니다. 일상적인 작업은 물론 관리 작업에도 루트 사용자를

14

AWS Health 사용 설명서자격 증명을 통한 인증

사용하지 않는 것이 좋습니다. 대신 IAM 사용자를 처음 생성할 때만 루트 사용자를 사용하는 모범 사례를 준수하십시오. 그런 다음 루트 사용자 자격 증명을 안전하게 보관해 두고 몇 가지 계정 및 서비스 관리 작업을수행할 때만 해당 자격 증명을 사용합니다.

IAM 사용자 및 그룹IAM 사용자는 단일 개인 또는 애플리케이션에 대한 특정 권한을 가지고 있는 AWS 계정 내 ID입니다. IAM 사용자에게는 사용자 이름과 암호 또는 액세스 키 세트와 같은 장기 자격 증명이 있을 수 있습니다. 액세스 키를 생성하는 방법을 알아보려면 IAM 사용 설명서의 IAM 사용자의 액세스 키 관리를 참조하십시오. IAM 사용자의 액세스 키를 생성할 때는 키 페어를 보고 안전하게 저장해야 합니다. 향후에 보안 액세스 키를 복구할수 없습니다. 그 대신 새 액세스 키 페어를 생성해야 합니다.

IAM 그룹은 IAM 사용자 컬렉션을 지정하는 ID입니다. 그룹으로 로그인할 수 없습니다. 그룹을 사용하여 여러 사용자의 권한을 한 번에 지정할 수 있습니다. 그룹을 사용하면 대규모 사용자 집합의 권한을 더 쉽게 관리할 수 있습니다. 예를 들어, IAMAdmins이라는 그룹이 있고 이 그룹에 IAM 리소스를 관리할 권한을 부여할수 있습니다.

사용자는 역할과 다릅니다. 사용자는 한 사람 또는 애플리케이션과 고유하게 연결되지만, 역할은 해당 역할이 필요한 사람이라면 누구나 수임할 수 있습니다. 사용자는 영구적인 장기 자격 증명을 가지고 있지만, 역할은 임시 자격 증명만 제공합니다. 자세한 내용은 IAM 사용 설명서의 IAM사용자(역할 대신)를 생성하는 경우를 참조하십시오.

IAM 역할IAM 역할은 특정 권한을 가지고 있는 AWS 계정 내 ID입니다. 이 역할은 IAM 사용자와 비슷하지만, 특정 개인과 연결되지 않습니다. 역할을 전환하여 AWS Management 콘솔에서 IAM 역할을 임시로 수임할 수 있습니다. AWS CLI 또는 AWS API 작업을 호출하거나 사용자 지정 URL을 사용하여 역할을 수임할 수 있습니다.역할 사용 방법에 대한 자세한 내용은 IAM 사용 설명서의 IAM 역할 사용을 참조하십시오.

임시 자격 증명이 있는 IAM 역할은 다음과 같은 상황에서 유용합니다.

• 임시 IAM 사용자 권한 – IAM 사용자는 IAM 역할을 수임하여 특정 작업에 대한 다른 권한을 임시로 받을 수있습니다.

• 연합된 사용자 액세스 – IAM 사용자를 생성하는 대신 AWS Directory Service의 기존 ID, 엔터프라이즈 사용자 디렉터리 또는 웹 ID 공급자를 사용할 수 있습니다. 이 사용자를 연합된 사용자라고 합니다. AWS에서는 ID 공급자를 통해 액세스가 요청되면 연합된 사용자에게 역할을 할당합니다. 연합된 사용자에 대한자세한 내용은 IAM 사용 설명서의 연합된 사용자 및 역할을 참조하십시오.

• 교차 계정 액세스 – IAM 역할을 사용하여 다른 계정의 사용자(신뢰할 수 있는 보안 주체)가 내 계정의 리소스에 액세스하도록 할 수 있습니다. 역할은 교차 계정 액세스를 부여하는 기본적인 방법입니다. 그러나 일부 AWS 서비스를 사용하면 역할을 프록시로 사용하는 대신 리소스에 정책을 직접 연결할 수 있습니다. 교차 계정 액세스를 위한 역할과 리소스 기반 정책의 차이점을 알아보려면 IAM 사용 설명서의 IAM 역할과리소스 기반 정책의 차이를 참조하십시오.

• AWS 서비스 액세스 – 서비스 역할은 서비스가 사용자를 대신하여 사용자 계정에서 작업을 수행하기 위해수임하는 IAM 역할입니다. 일부 AWS 서비스 환경을 설정할 때 서비스에서 맡을 역할을 정의해야 합니다.이 서비스 역할에는 서비스가 AWS 리소스에 액세스하는 데 필요한 모든 권한이 포함되어야 합니다. 서비스 역할은 서비스마다 다르지만 해당 서비스에 대한 문서화된 요구 사항을 충족하는 한 대부분의 경우 권한을 선택할 수 있습니다. 서비스 역할은 해당 계정 내 액세스 권한만 제공하며 다른 계정의 서비스에 대한액세스 권한을 부여하는 데 사용될 수 없습니다. IAM 내에서 서비스 역할을 생성, 수정 및 삭제할 수 있습니다. 예를 들어 Amazon Redshift에서 사용자 대신 Amazon S3 버킷에 액세스하도록 허용하는 역할을 생성한 후 해당 버킷에 있는 데이터를 Amazon Redshift 클러스터로 로드할 수 있습니다. 자세한 내용은 IAM사용 설명서의 AWS 서비스에 대한 권한을 위임할 역할 생성을 참조하십시오.

• Amazon EC2에서 실행 중인 애플리케이션 – IAM 역할을 사용하여 EC2 인스턴스에서 실행되고 AWS CLI또는 AWS API 요청을 수행하는 애플리케이션의 임시 자격 증명을 관리할 수 있습니다. 이는 EC2 인스턴스 내에 액세스 키를 저장할 때 권장되는 방법입니다. EC2 인스턴스에 AWS 역할을 할당하고 해당 역할을모든 애플리케이션에서 사용할 수 있도록 하려면 인스턴스에 연결된 인스턴스 프로파일을 생성합니다. 인스턴스 프로파일에는 역할이 포함되어 있으며 EC2 인스턴스에서 실행되는 프로그램이 임시 자격 증명을

15

AWS Health 사용 설명서정책을 사용하여 액세스 관리

얻을 수 있습니다. 자세한 내용은 IAM 사용 설명서의 IAM 역할을 사용하여 Amazon EC2 인스턴스에서 실행되는 애플리케이션에 권한 부여를 참조하십시오.

IAM 역할을 사용할지 여부를 알아보려면 IAM 사용 설명서의 사용자 대신 IAM 역할을 생성해야 하는 경우를참조하십시오.

정책을 사용하여 액세스 관리정책을 생성하고 IAM 자격 증명 또는 AWS 리소스에 연결하여 AWS 액세스를 제어합니다. 정책은 자격 증명이나 리소스와 연결될 때 해당 권한을 정의하는 AWS의 객체입니다. AWS는 엔터티(루트 사용자, IAM 사용자 또는 IAM 역할)가 요청을 보낼 때 이러한 정책을 평가합니다. 정책에서 권한은 요청이 허용되거나 거부되는지 여부를 결정합니다. 대부분의 정책은 AWS에 JSON 문서로서 저장됩니다. JSON 정책 문서의 구조와콘텐츠에 대한 자세한 내용은 IAM 사용 설명서의 JSON 정책 개요를 참조하십시오.

IAM 관리자는 AWS 리소스에 액세스할 수 있는 사람과 해당 리소스에 대해 수행할 수 있는 작업을 지정할 수있습니다. 모든 IAM 엔터티(사용자 또는 역할)는 처음에는 권한이 없습니다. 다시 말해, 기본적으로 사용자는아무 작업도 수행할 수 없으며, 자신의 암호를 변경할 수도 없습니다. 사용자에게 작업을 수행할 권한을 부여하기 위해 관리자는 사용자에게 권한 정책을 연결해야 합니다. 또한 관리자는 의도한 권한을 가지고 있는 그룹에 사용자를 추가할 수 있습니다. 관리자가 그룹에 권한을 부여하면 그룹의 모든 사용자가 해당 권한을 받습니다.

IAM 정책은 작업을 실행하기 위한 방법과 상관없이 작업을 정의합니다. 예를 들어, iam:GetRole 작업을허용하는 정책이 있다고 가정합니다. 해당 정책이 있는 사용자는 AWS Management 콘솔, AWS CLI 또는AWS API에서 역할 정보를 가져올 수 있습니다.

자격 증명 기반 정책자격 증명 기반 정책은 IAM 사용자, 역할 또는 그룹과 같은 자격 증명에 연결할 수 있는 JSON 권한 정책 문서입니다. 이러한 정책은 자격 증명이 수행할 수 있는 작업, 대상 리소스 및 이에 관한 조건을 제어합니다. 자격 증명 기반 정책을 생성하는 방법을 알아보려면 IAM 사용 설명서의 IAM 정책 생성을 참조하십시오.

자격 증명 기반 정책은 인라인 정책 또는 관리형 정책으로 한층 더 분류할 수 있습니다. 인라인 정책은 단일사용자, 그룹 또는 역할에 직접 포함됩니다. 관리형 정책은 AWS 계정에 속한 다수의 사용자, 그룹 및 역할에게 독립적으로 추가할 수 있는 정책입니다. 관리형 정책에는 AWS 관리형 정책과 고객 관리형 정책이 포함되어 있습니다. 관리형 정책 또는 인라인 정책을 선택하는 방법을 알아보려면 IAM 사용 설명서의 관리형 정책과 인라인 정책의 선택을 참조하십시오.

리소스 기반 정책리소스 기반 정책은 Amazon S3 버킷과 같은 리소스에 연결하는 JSON 정책 문서입니다. 서비스 관리자는이러한 정책을 사용하여 지정된 보안 주체(계정 멤버, 사용자 또는 역할)가 해당 리소스에 대해 수행할 수 있는 작업과 어떤 조건에서 수행할 수 있는지를 정의할 수 있습니다. 리소스 기반 정책은 인라인 정책입니다.관리형 리소스 기반 정책은 없습니다.

AWS 상태는 리소스 기반 조건을 지원합니다. 사용자가 볼 수 있는 AWS 상태 이벤트를 지정할 수 있습니다.예를 들어, IAM 사용자 액세스 권한 Amazon EC2 이벤트 Personal Health Dashboard.

자세한 정보는 단원을 참조하십시오.Resources (p. 18).

액세스 제어 목록ACL(액세스 제어 목록)은 리소스에 액세스할 수 있는 권한을 가진 보안 주체(계정 멤버, 사용자 또는 역할)를제어하는 정책의 유형입니다. ACL은 리소스 기반 정책과 유사하지만 JSON 정책 문서 형식을 사용하지 않습니다. Amazon S3, AWS WAF 및 Amazon VPC는 ACL을 지원하는 서비스의 예입니다. ACL에 대한 자세한정보는 Amazon Simple Storage Service 개발자 가이드의 ACL(액세스 제어 목록) 개요 단원을 참조하십시오.

16

AWS Health 사용 설명서에서 AWS 상태를 사용하는 방법IAM

AWS 상태는 ACL을 지원하지 않습니다.

기타 정책 유형AWS는 비교적 일반적이지 않은 추가 정책 유형을 지원합니다. 이러한 정책 유형은 더 일반적인 정책 유형에따라 사용자에게 부여되는 최대 권한을 설정할 수 있습니다.

• 권한 경계 – 권한 경계는 자격 증명 기반 정책에 따라 IAM 엔터티(IAM 사용자 또는 역할)에 부여할 수 있는최대 권한을 설정하는 고급 기능입니다. 엔터티에 대한 권한 경계를 설정할 수 있습니다. 그 결과로 얻는권한은 엔터티의 자격 증명 기반 정책의 교차와 그 권한 경계입니다. Principal 필드에서 사용자나 역할을 보안 주체로 지정하는 리소스 기반 정책은 권한 경계를 통해 제한되지 않습니다. 이러한 정책 중 하나에포함된 명시적 거부는 허용을 재정의합니다. 권한 경계에 대한 자세한 내용은 IAM 사용 설명서의 IAM 엔터티에 대한 권한 경계를 참조하십시오.

• 서비스 제어 정책(SCP) – SCP는 AWS Organizations에서 조직 또는 조직 단위(OU)에 최대 권한을 지정하는 JSON 정책입니다. AWS Organizations는 기업이 소유하는 여러 개의 AWS 계정을 그룹화하고 중앙에서 관리하기 위한 서비스입니다. 조직에서 모든 기능을 활성화할 경우 서비스 제어 정책(SCP)을 임의의또는 모든 계정에 적용할 수 있습니다. SCP는 각 AWS 계정 루트 사용자를 비롯하여 멤버 계정의 엔터티에 대한 권한을 제한합니다. 조직 및 SCP에 대한 자세한 내용은 AWS Organizations 사용 설명서의 SCP의 작동 방식 단원을 참조하십시오.

• 세션 정책 – 세션 정책은 역할 또는 연합된 사용자에 대해 임시 세션을 프로그래밍 방식으로 생성할 때 파라미터로 전달하는 고급 정책입니다. 결과적으로 얻는 세션의 권한은 사용자 또는 역할의 자격 증명 기반정책의 교차와 세션 정책입니다. 또한 권한을 리소스 기반 정책에서 가져올 수도 있습니다. 이러한 정책 중하나에 포함된 명시적 거부는 허용을 재정의합니다. 자세한 내용은 IAM 사용 설명서의 세션 정책을 참조하십시오.

여러 정책 유형여러 정책 유형이 요청에 적용되는 경우 결과 권한은 이해하기가 더 복잡합니다. 여러 정책 유형이 관련될 때AWS가 요청을 허용할지 여부를 결정하는 방법을 알아보려면 IAM 사용 설명서의 정책 평가 로직을 참조하십시오.

에서 AWS 상태를 사용하는 방법IAM사용하기 전에 IAM 액세스 권한을 AWS 상태, 여러분은 IAM 사용할 수 있는 기능 AWS 상태. 자세한 내용을보려면 AWS 상태 기타 AWS IAM과 함께 작동하며, AWS 근무 중인 서비스 IAM in the IAM 사용 설명서.

주제• AWS 상태 자격 증명 기반 정책 (p. 17)• AWS 상태 리소스 기반 정책 (p. 19)• 에 기반한 승인 AWS 상태 태그 (p. 20)• AWS 상태 IAM 역할 (p. 20)

AWS 상태 자격 증명 기반 정책With IAM ID 기반 정책에 따라 허용되는 동작 및 리소스를 비롯하여 작업을 허용 또는 거부하는 조건을 지정할 수 있습니다. AWS 상태 특정 동작, 리소스 및 조건 키를 지원합니다. JSON 정책에서 사용하는 모든 요소에 대해 알아보려면 다음을 참조하십시오. IAM JSON 정책 요소 참조 in the IAM 사용 설명서.

Actions

IAM 자격 증명 기반 정책의 Action 요소는 정책에 따라 허용되거나 거부되는 특정 작업에 대해 설명합니다.일반적으로 정책 작업의 이름은 연결된 AWS API 작업의 이름과 동일합니다. 이 작업은 연결된 작업을 수행할 수 있는 권한을 부여하기 위한 정책에서 사용됩니다.

17

AWS Health 사용 설명서에서 AWS 상태를 사용하는 방법IAM

의 정책 작업은 작업 앞에 AWS 상태 접두사를 사용합니다. health:. 예를 들어, 특정 이벤트에 대한 자세한정보를 볼 수 있는 권한을 부여하려면 이벤트 세부 정보 API 작업, heath:DescribeEventDetails 정책을 참조하십시오.

정책 내역서에는 Action 또는 NotAction 요소. AWS 상태 에서는 이 서비스에서 수행할 수 있는 작업을설명하는 자체 동작 세트를 정의합니다.

명령문 하나에 여러 작업을 지정하려면 다음과 같이 쉼표로 구분합니다.

"Action": [ "health:action1", "health:action2"

와일드카드(*)를 사용하여 여러 작업을 지정할 수 있습니다. 예를 들어, Describe라는 단어로 시작하는 모든 작업을 지정하려면 다음 작업을 포함합니다.

"Action": "health:Describe*"

목록을 보려면 AWS 상태 , AWS 상태에서 정의한 작업 in the IAM 사용 설명서.

ResourcesResource 요소는 작업이 적용되는 객체를 지정합니다. 문에는 Resource 또는 NotResource 요소가 반드시 추가되어야 합니다. ARN을 사용하거나 문이 모든 리소스에 적용됨을 표시하는 와일드카드(*)룰 사용하여리소스를 지정합니다.

An AWS 상태 이벤트에는 다음 Amazon Resource Name(ARN) 형식이 있습니다.

arn:${Partition}:health:*::event/service/event-type-code/event-ID

예를 들어, EC2_INSTANCE_RETIREMENT_SCHEDULED_ABC123-DEF456 이벤트를 문에 지정하려면 다음ARN을 사용합니다.

"Resource": "arn:aws:health:*::event/EC2/EC2_INSTANCE_RETIREMENT_SCHEDULED/EC2_INSTANCE_RETIREMENT_SCHEDULED_ABC123-DEF456"

모두 지정하려면 AWS 상태 이벤트 Amazon EC2 특정 계정에 속하는 와일드카드(*)를 사용합니다.

"Resource": "arn:aws:health:*::event/EC2/*/*"

아랍의 형식에 대한 자세한 내용은 아마존 자원 이름(arns) 및 AWS 서비스 네임스페이스.

일부 AWS 상태 작업은 특정 리소스에 대해 수행할 수 없습니다. 이러한 경우 와일드카드(*)를 사용해야 합니다.

"Resource": "*"

AWS 상태 API 작업에는 여러 리소스가 관여할 수 있습니다. 예를 들어, 이벤트 설명 작업은 지정된 필터 기준을 충족하는 이벤트에 대한 정보를 반환합니다. 즉, IAM 사용자에게 이 이벤트를 볼 수 있는 권한이 있어야합니다.

단일 명령문에서 여러 리소스를 지정하려면 ARN을 쉼표로 구분합니다.

"Resource": [

18

AWS Health 사용 설명서에서 AWS 상태를 사용하는 방법IAM

"resource1", "resource2"

AWS 상태 건강 이벤트에 대한 리소스 수준 사용 권한만 지원 서술된 단체 and 이벤트 세부 정보 API 작업.자세한 정보는 단원을 참조하십시오.리소스 및 작업 기반 조건 (p. 26).

목록을 보려면 AWS 상태 리소스 유형과 아픔을 AWS 상태에서 정의한 리소스 in the IAM 사용 설명서. 각 리소스의 ARN을 지정할 수 있는 작업을 알아보려면 단원을 참조하십시오.AWS 상태에서 정의한 작업.

조건 키Condition 요소(또는 Condition 블록)를 사용하면 정책이 발효되는 조건을 지정할 수 있습니다.Condition 요소는 선택 사항입니다. 같음, 미만 등 조건 연산자를 사용하여 정책의 조건을 요청의 값과 일치시키는 조건식을 생성할 수 있습니다.

한 문에서 여러 Condition 요소를 지정하거나 단일 Condition 요소에서 여러 키를 지정하는 경우 AWS는 논리적 AND 작업을 사용하여 평가합니다. 단일 조건 키의 여러 값을 지정하는 경우 AWS는 논리적 OR 작업을 사용하여 조건을 평가합니다. 문의 권한을 부여하기 전에 모든 조건을 충족해야 합니다.

조건을 지정할 때 자리 표시자 변수를 사용할 수도 있습니다. 예를 들어, IAM 사용자에게 IAM 사용자 이름으로 태그가 지정된 경우에만 리소스에 액세스할 수 있는 권한을 부여할 수 있습니다. 자세한 내용은 IAM 사용설명서의 IAM 정책 요소: 변수 및 태그 단원을 참조하십시오.

AWS 상태에서는 자체 조건 키 세트를 정의하고 일부 전역 조건 키 사용도 지원합니다. 모든 것을 보려면AWS 글로벌 상태 키, 참조 AWS 글로벌 조건 컨텍스트 키 in the IAM 사용 설명서.

The 서술된 단체 and 이벤트 세부 정보 API 운영 지원 health:eventTypeCode and health:service조건 키.

목록을 보려면 AWS 상태 상태 키, 참조 AWS 상태의 조건 키 in the IAM 사용 설명서. 조건 키를 사용할 수 있는 작업과 리소스를 알아보려면 단원을 참조하십시오.AWS 상태에서 정의한 작업.

Examples

자격 증명 기반 정책의 예를 보려면 AWS 상태 단원을 참조하십시오.AWS 상태 자격 증명 기반 정책 예제 (p. 20).

AWS 상태 리소스 기반 정책리소스 기반 정책은 지정된 책임자가 수행할 수 있는 작업을 지정하는 JSON 정책 문서입니다. AWS 상태 자원 및 조건 하에서 AWS 상태 는 건강 이벤트에 대한 리소스 기반 권한 정책을 지원합니다. 리소스 기반 정책을 사용하여 리소스별로 다른 계정에 사용 권한을 부여할 수 있습니다. 또한 리소스 기반 정책을 사용하여AWS 서비스 이용 AWS 상태 이벤트.

계정 간 액세스를 설정하려면 전체 계정을 지정하거나 IAM 다른 계정으로 자원 기반 정책에 있는 원금. 리소스 기반 정책에 교차 계정 보안 주체를 추가하는 것은 신뢰 관계 설정의 절반밖에 되지 않는다는 것을 유념하십시오. 보안 주체와 리소스가 다른 AWS 계정에 있는 경우 보안 주체 엔터티가 리소스에 액세스할 권한도부여해야 합니다. 엔터티에 자격 증명 기반 정책을 연결하여 권한을 부여합니다. 하지만 리소스 기반 정책이동일 계정의 보안 주체에 액세스를 부여하는 경우 추가 자격 증명 기반 정책이 필요하지 않습니다. 자세한 내용은 방법 IAM 역할 - 리소스 기반 정책 in the IAM 사용 설명서.

AWS 상태 은(는) 서술된 단체 and 이벤트 세부 정보 API 작업. 정책에 이러한 작업을 지정하여 AWS 상태 이벤트에 대한 작업을 수행할 수 있는 보안 주체 엔터티(계정, 사용자, 역할 및 연동 사용자)를 정의할 수 있습니다.

Examples

19

AWS Health 사용 설명서자격 증명 기반 정책 예제

리소스 기반 정책의 예제는 AWS 상태 단원을 참조하십시오.리소스 및 작업 기반 조건 (p. 26).

에 기반한 승인 AWS 상태 태그AWS 상태는 리소스 태그 지정 또는 태그 기반 리소스 제어를 지원하지 않습니다.

AWS 상태 IAM 역할An IAM 역할 귀하의 AWS 특정 권한이 있는 계정.

에서 임시 자격 증명 사용AWS 상태

임시 자격 증명을 사용하여 페더레이션을 통해 로그인하거나, IAM 역할을 수임하거나, 교차 계정 역할을 수임할 수 있습니다. 임시 보안 자격 증명은 AWS STS 다음과 같은 API 작업 가정 또는 휴가.

AWS 상태은 임시 자격 증명 사용을 지원합니다.

서비스 연결 역할

서비스 연결 역할 허용 AWS 서비스를 사용하여 귀하를 대신하여 조치를 완료할 수 있는 다른 서비스의 리소스에 액세스할 수 있습니다. 서비스 연결 역할은 IAM 계정에 나타나고, 서비스가 소유합니다. An IAM 관리자는 서비스 링크된 역할에 대한 권한을 표시하지만 편집할 수 없습니다.

AWS 상태는 서비스 연결 역할이 와 통합되도록 지원합니다.AWS Organizations. 이 역할은Health_organizationsservicerolepolicy, AWS 상태 다른 사람의 건강 이벤트에 AWS 조직 내 계정.

사용 가능한 EnableHealthServiceAccessForOrganization 작업을 수행합니다. 하지만 이 기능을 비활성화하려면 먼저 disablehealthserviceaccessfororganization 작업. 그러면 다음을 통해 역할을 삭제할 수 있습니다.IAM 콘솔, IAM API, 또는 AWS Command Line Interface (AWS CLI) ). 자세한 내용은 서비스 연계 역할 사용in the IAM 사용 설명서.

자세한 정보는 단원을 참조하십시오.조직 보기를 사용하여 계정 간 AWS 상태 이벤트 집계 (p. 33).

서비스 역할

이 기능은 서비스가 서비스 역할 을(를) 대신하여 을(를) 대신하여 을 이 역할을 사용하면 서비스는 다른 서비스의 리소스에 액세스해 사용자를 대신해 작업을 완료할 수 있습니다. 서비스 역할은 IAM 계정에 나타나고,해당 계정이 소유합니다. 즉, IAM 관리자가 이 역할에 대한 권한을 변경할 수 있습니다. 그러나 권한을 변경하면 서비스의 기능이 손상될 수 있습니다.

AWS 상태은 서비스 역할을 지원하지 않습니다.

AWS 상태 자격 증명 기반 정책 예제기본적으로 IAM 사용자 및 역할은 생성 또는 수정할 권한이 없습니다. AWS 상태 자원. 또한 AWSManagement 콘솔, AWS CLI, 또는 AWS API An IAM 관리자는 IAM 사용자에게 필요한 특정 리소스에 대해특정 API 작업을 수행할 수 있도록 사용자 및 역할을 허용하는 정책. 그런 다음 관리자는 해당 권한이 필요한IAM 사용자 또는 그룹에 이러한 정책을 연결해야 합니다.

생성 방법 IAM 이러한 예제를 사용하여 ID 기반 정책을 JSON 탭에서 정책 만들기 in the IAM 사용 설명서.

주제• 정책 모범 사례 (p. 21)• 사용 AWS 상태 콘솔 (p. 21)• 사용자가 자신이 권한을 볼 수 있도록 허용 (p. 22)• 액세스 Personal Health Dashboard 그리고 AWS 상태 API (p. 23)

20

AWS Health 사용 설명서자격 증명 기반 정책 예제

• 리소스 및 작업 기반 조건 (p. 26)

정책 모범 사례자격 증명 기반 정책은 매우 강력합니다. 이 정책은 계정에서 사용자가 AWS 상태 리소스를 생성, 액세스 또는 삭제할 수 있는지 여부를 결정합니다. 이 작업으로 인해 AWS 계정에 비용이 발생할 수 있습니다. 자격 증명 기반 정책을 생성하거나 편집할 때는 다음 지침과 권장 사항을 따르십시오.

• AWS 관리형 정책을 사용하여 시작하기 – AWS 상태 사용을 빠르게 시작하려면 AWS 관리형 정책을 사용하여 필요한 권한을 직원에게 부여합니다. 이 정책은 이미 계정에서 사용할 수 있으며 AWS에 의해 유지관리 및 업데이트됩니다. 자세한 내용은 IAM 사용 설명서의 AWS 관리형 정책으로 권한 사용 시작하기를참조하십시오.

• 최소 권한 부여 – 사용자 지정 정책을 생성할 때는 작업을 수행하는 데 필요한 권한만 부여합니다. 최소한의 권한 조합으로 시작하여 필요에 따라 추가 권한을 부여합니다. 처음부터 권한을 많이 부여한 후 나중에줄이는 방법보다 이 방법이 안전합니다. 자세한 내용은 IAM 사용 설명서의 최소 권한 부여를 참조하십시오.

• 중요한 작업에 대해 MFA 활성화 – 보안을 강화하기 위해 IAM 사용자가 중요한 리소스 또는 API 작업에 액세스하려면 멀티 팩터 인증(MFA)을 사용해야 합니다. 자세한 내용은 IAM 사용 설명서의 AWS에서 Multi-Factor Authentication(MFA) 사용하기를 참조하십시오.

• 보안 강화를 위해 정책 조건 사용 – 실제로 가능한 경우, 자격 증명 기반 정책이 리소스에 대한 액세스를 허용하는 조건을 정의합니다. 예를 들어 요청을 할 수 있는 IP 주소의 범위를 지정하도록 조건을 작성할 수있습니다. 지정된 날짜 또는 시간 범위 내에서만 요청을 허용하거나, SSL 또는 MFA를 사용해야 하는 조건을 작성할 수도 있습니다. 자세한 내용은 IAM 사용 설명서의 IAM JSON 정책 요소: 조건을 참조하십시오.

사용 AWS 상태 콘솔에 액세스하려면 AWS 상태 콘솔을 사용해야 합니다. 이러한 권한은 다음 사항을 열거하고 볼 수 있도록 해줍니다. AWS 상태 리소스 AWS 계정. 최소 필수 권한보다 더 제한적인 자격 증명 기반 정책을 만들면 콘솔이해당 정책에 연결된 개체(IAM 사용자 또는 역할)에 대해 의도대로 작동하지 않습니다.

이러한 조직이 AWS 상태 콘솔을 사용하여 AWS 정책, 시의석세스.

이 정책은 엔터티에 다음에 대한 모든 액세스 권한을 부여합니다.

• Personal Health Dashboard의 AWS Management 콘솔• AWS 상태 API 작업 및 알림• 의 조직 내 모든 계정에 AWS 상태를 활성화 또는 비활성화하기 위한 액세스AWS Organizations

Example : AWSHealthFullAccess

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "health.amazonaws.com" } }

21

AWS Health 사용 설명서자격 증명 기반 정책 예제

}, { "Effect": "Allow", "Action": [ "health:*", "organizations:ListAccounts" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "health.amazonaws.com" } } } ]}

Note

또한 AWS 역할, Health_OrganizationsServiceRolePolicy 그래서 AWS 상태 조직 내 다른 계정에 대한 이벤트를 볼 수 있습니다. 자세한 정보는 단원을 참조하십시오.Using service-linkedroles for AWS 상태 (p. 29).

통화만 하는 사용자에 대해 최소 콘솔 권한을 허용할 필요가 없습니다. AWS CLI 또는 AWS API 그 대신, 수행하려는 API 작업과 일치하는 작업에만 액세스할 수 있도록 합니다.

자세한 내용은 사용자에게 권한 추가 in the IAM 사용 설명서.

사용자가 자신이 권한을 볼 수 있도록 허용이 예제는 IAM 사용자가 자신의 사용자 자격 증명에 연결된 인라인 및 관리형 정책을 볼 수 있도록 허용하는정책을 생성하는 방법을 보여 줍니다. 이 정책에는 콘솔에서 또는 AWS CLI나 AWS API를 사용하여 프로그래밍 방식으로 이 작업을 완료할 수 있는 권한이 포함됩니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies",

22

AWS Health 사용 설명서자격 증명 기반 정책 예제

"iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ]}

액세스 Personal Health Dashboard 그리고 AWS 상태 APIThe Personal Health Dashboard 이(가) 모두 AWS 계정. 한편, AWS 상태 API는 비즈니스 또는 엔터프라이즈 지원 플랜이 있는 계정에서만 사용할 수 있습니다. 자세한 정보는 단원을 참조하십시오.AWS Support.

사용할 수 있습니다. IAM 개체(사용자, 그룹 또는 역할)를 생성한 다음 해당 엔터티 권한을 부여하여Personal Health Dashboard 그리고 AWS 상태 API

기본적으로 IAM 사용자가 Personal Health Dashboard 또는 AWS 상태 API 사용자는 사용자의 계정에 액세스할 수 있습니다. AWS 상태 정보를 연결하여 IAM 정책을 단일 사용자, 사용자 그룹 또는 역할 에 대한 정책자세한 내용은 ID(사용자, 그룹 및 역할) and IAM 정책 개요.

만든 후 IAM 사용자에게 개별 암호를 제공할 수 있습니다. 그러면 해당 사용자는 계정별 로그인 페이지에서계정에 로그인하여 AWS 상태 정보를 볼 수 있습니다. 자세한 내용은 사용자 계정에 로그인 방법.

Note

An IAM 사용자에게 보기 권한이 있는 사용자 Personal Health Dashboard 모든 통신에 걸쳐 건강 정보에 대한 읽기 전용 액세스 AWS 계정 상의 서비스가 포함되나 이에 국한되지 않습니다. AWS 다음과 같은 리소스 ID Amazon EC2 인스턴스 ID, EC2 인스턴스 IP 주소 및 일반 보안 알림.예를 들어, IAM 정책에 따라 Personal Health Dashboard 그리고 AWS 상태 API, 그 다음에 정책이적용되는 사용자 또는 역할은 AWS 서비스 및 관련 자원(다른 경우에도 IAM 정책에 액세스할 수 없습니다.

에 대해 두 가지 API 그룹을 사용할 수 있습니다.AWS 상태.

• 개별 계좌 – 다음과 같은 작업을 사용할 수 있습니다. 이벤트 설명 and 이벤트 세부 정보 정보를 얻기 위해AWS 상태 을(를) 계정으로 사고.

• 조직 계정 – 다음과 같은 작업을 사용할 수 있습니다. 설명행사조직 and 이벤트 설명서조직 정보를 얻기 위해 AWS 상태 귀하의 조직 일부인 계좌의 이벤트.

사용 가능한 API 작업에 대한 자세한 내용은 단원을 참조하십시오.AWS Health API 참조.

개별 작업

설정을 Action 요소의 요소 IAM 정책 health:Describe*. 이를 통해 Personal Health Dashboard andAWS 상태. AWS 상태 에 따라 이벤트에 대한 액세스 제어 지원 eventTypeCode 및 서비스.

: 액세스 설명

이 정책 선언문은 Personal Health Dashboard 그리고 Describe* AWS 상태 API 작업. 예를 들어, IAM 이정책을 사용하는 사용자는 Personal Health Dashboard in the AWS Management 콘솔 그리고 AWS 상태DescribeEvents API 작업.

Example : 액세스 설명

{ "Version": "2012-10-17",

23

AWS Health 사용 설명서자격 증명 기반 정책 예제

"Statement": [ { "Effect": "Allow", "Action": [ "health:Describe*" ], "Resource": "*" }]}

액세스 거부

이 정책 선언문은 Personal Health Dashboard 그리고 AWS 상태 API An IAM 이 정책이 있는 사용자는Personal Health Dashboard in the AWS Management 콘솔 전화를 걸 수 없습니다 AWS 상태 API 작업.

Example : 액세스 거부

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "health:*" ], "Resource": "*" }]}

조직 보기

조직의 보기를 AWS 상태님, AWS 상태 API 작업 AWS Organizations. The Action 요소의 요소 IAM 정책에는 다음 권한이 포함되어야 합니다.

• iam:CreateServiceLinkedRole

• organizations:EnableAWSServiceAccess

• organizations:DisableAWSServiceAccess

• organizations:ListAccounts

각 API에 필요한 정확한 권한을 확인하려면 다음으로 정의된 조치 AWS 상태 청구 및 알림 in the IAM 사용설명서.

Note

귀하는 마스터 계정 조직의 AWS 상태 청구 AWS Organizations. 자세한 정보는 단원을 참조하십시오.조직 보기를 사용하여 계정 간 AWS 상태 이벤트 집계 (p. 33).

허용 AWS 상태 조직 API 액세스

다음 정책 문은 모든 AWS 상태 조직 API 작업에 대한 액세스 권한을 부여합니다.

Example : 허용 AWS 상태 조직 보기 액세스

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow",

24

AWS Health 사용 설명서자격 증명 기반 정책 예제

"Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "health.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "health:*", "organizations:ListAccounts" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*" } ]}

거부 AWS 상태 조직 API 액세스

이 정책 선언문은 AWS Organizations API 운영, 그러나 AWS 상태 개별 계좌의 API 작업.

Example : 거부 AWS 상태 조직 보기 액세스

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "health:*" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "health.amazonaws.com" } } }, { "Effect": "Deny", "Action": [ "organizations:ListAccounts" ], "Resource": "*" },

25

AWS Health 사용 설명서자격 증명 기반 정책 예제

{ "Effect": "Deny", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*" } ]}

Note

이미 사용 권한을 부여할 사용자 또는 그룹이 IAM 정책을 AWS 상태-해당 정책에 대한 특정 정책 명세서.

리소스 및 작업 기반 조건AWS 상태 지원 IAM 조건 for the 서술된 단체 and 이벤트 세부 정보 API 작업. 이를 통해 AWS 상태 API가사용자, 그룹 또는 역할로 보내는 이벤트를 제한할 수 있습니다.

그렇게 하려면, Condition 블록 IAM 정책을 설정하거나 Resource 요소. 사용할 수 있습니다. 문자열 조건특정 상황에 따라 액세스를 제한하기 위해 AWS 상태 이벤트 필드.

AWS 상태는 다음 필드를 지원합니다.

• eventTypeCode

• service

Example : 작업 기반 조건

이 정책 선언문은 Personal Health Dashboard 그리고 AWS 상태 Describe* API 운영, 그러나 AWS 상태관련된 이벤트 Amazon EC2.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "health:Describe*", "Resource": "*" }, { "Effect": "Deny", "Action": [ "health:DescribeAffectedEntities", "health:DescribeEventDetails" ], "Resource": "*", "Condition": { "StringEquals": { "health:service": "EC2" } } } ]}

Example : 리소스 기반 조건

다음 정책은 효과는 동일하지만 Resource 요소를 대신 사용합니다.

26

AWS Health 사용 설명서문제 해결

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "health:Describe*" ], "Resource": "*", }, { "Effect": "Deny", "Action": [ "health:DescribeEventDetails", "health:DescribeAffectedEntities" ], "Resource": "arn:aws:health:*::event/EC2/*/*", }]}

Example : eventTypeCode 조건

이 정책 선언문은 Personal Health Dashboard 그리고 AWS 상태 Describe* API 운영, 그러나 AWS 상태이벤트 eventTypeCode 매치 AWS_EC2_*.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "health:Describe*", "Resource": "*" }, { "Effect": "Deny", "Action": [ "health:DescribeAffectedEntities", "health:DescribeEventDetails" ], "Resource": "*", "Condition": { "StringLike": { "health:eventTypeCode": "AWS_EC2_*" } } } ]}

Important

귀하가 서술된 단체 and 이벤트 세부 정보 작업에 대한 권한이 없습니다. AWS 상태 이벤트,AccessDeniedException 오류가 나타납니다. 자세한 정보는 단원을 참조하십시오.문제 해결AWS 상태 ID 및 액세스 (p. 27).

문제 해결 AWS 상태 ID 및 액세스다음 정보를 사용하여 작업할 때 발생할 수 있는 일반적인 문제를 진단하고 수정합니다. AWS 상태 and IAM.

주제

27

AWS Health 사용 설명서문제 해결

• 에서 작업을 수행할 권한이 없음AWS 상태 (p. 28)• iam:PassRole을 수행하도록 인증되지 않음 (p. 28)• 액세스 키를 보아야 합니다. (p. 28)• 관리자이며 다른 사용자가 에 액세스하도록 허용하려고 함AWS 상태 (p. 29)• 나는 내 외부의 사람들이 AWS 계정 액세스 AWS 상태 자원 (p. 29)

에서 작업을 수행할 권한이 없음AWS 상태만약 AWS Management 콘솔 작업을 수행할 권한이 없으므로 관리자에게 문의하여 도움을 받아야 합니다.관리자는 사용자 이름과 암호를 제공한 사람입니다.

The AccessDeniedException 사용자가 사용할 권한이 없는 경우 오류가 나타납니다. Personal HealthDashboard 또는 AWS 상태 API 작업.

이 경우 사용자의 관리자는 사용자에게 액세스를 허용하도록 정책을 업데이트해야 합니다.

The AWS 상태 API는 AWS Support. 귀하가 AWS 상태 비즈니스 또는 엔터프라이즈 지원 계획이 없는 계정의 API가 반환됩니다. SubscriptionRequiredException.

iam:PassRole을 수행하도록 인증되지 않음iam:PassRole 작업을 수행할 권한이 없다는 오류가 수신되면 관리자에게 문의하여 도움을 받아야 합니다.관리자는 사용자 이름과 암호를 제공한 사람입니다. 역할을 AWS 상태로 전달하도록 허용하는 정책을 업데이트하라고 관리자에게 요청합니다.

일부 AWS 서비스에서는 새 서비스 역할 또는 서비스 연결 역할을 생성하는 대신, 해당 서비스에 기존 역할을 전달할 수 있습니다. 이렇게 하려면 사용자가 서비스에 역할을 전달할 수 있는 권한을 가지고 있어야 합니다.

다음 예제 오류는 marymajor라는 IAM 사용자가 콘솔을 사용하여 AWS 상태에서 작업을 수행하려고 하는경우에 발생합니다. 하지만 작업을 수행하려면 서비스에 서비스 역할이 부여한 권한이 있어야 합니다. Mary는 서비스에 역할을 전달할 수 있는 권한을 가지고 있지 않습니다.

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

이 경우 Mary는 iam:PassRole 작업을 수행하도록 허용하는 정책을 업데이트하라고 관리자에게 요청합니다.

액세스 키를 보아야 합니다.IAM 사용자 액세스 키를 생성한 후에는 언제든지 액세스 키 ID를 볼 수 있습니다. 하지만 보안 액세스 키는다시 볼 수 없습니다. 보안 액세스 키를 잃어버린 경우 새로운 액세스 키 페어를 생성해야 합니다.

액세스 키는 액세스 키 ID(예: AKIAIOSFODNN7EXAMPLE)와 보안 액세스 키(예: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY)의 2가지 부분으로 구성됩니다. 사용자 이름 및 암호와 같이 액세스 키ID와 보안 액세스 키를 함께 사용하여 요청을 인증해야 합니다. 사용자 이름과 암호를 관리하는 것처럼 안전하게 액세스 키를 관리합니다.

Important

정식 사용자 ID를 찾는 데 도움이 된다고 하더라도 액세스 키를 제3자에게 제공하지 마십시오. 이로인해 다른 사람에게 계정에 대한 영구 액세스를 제공하게 될 수 있습니다.

액세스 키 페어를 생성할 때는 액세스 키 ID와 보안 액세스 키를 안전한 위치에 저장하라는 메시지가 나타납니다. 보안 액세스 키는 생성할 때만 사용할 수 있습니다. 하지만 보안 액세스 키를 잃어버린 경우 새로운 액세스 키를 IAM 사용자에게 추가할 수 있습니다. 최대 두 개의 액세스 키를 가질 수 있습니다. 이미 두 개가 있

28

AWS Health 사용 설명서Using service-linked roles

는 경우 새로 생성하려면 먼저 키 페어 하나를 삭제해야 합니다. 지침을 보려면 IAM 사용 설명서의 액세스 키관리를 참조하십시오.

관리자이며 다른 사용자가 에 액세스하도록 허용하려고 함AWS상태다른 사용자가 AWS 상태에 액세스하도록 허용하려면 액세스 권한이 필요한 사용자나 애플리케이션에 대한IAM 엔터티(사용자 또는 역할)를 생성해야 합니다. 다른 사용자들은 해당 엔터티에 대한 자격 증명을 사용해AWS에 액세스합니다. 그런 다음 AWS 상태에서 다른 사용자에게 올바른 권한을 부여하는 정책을 엔터티에연결해야 합니다.

즉시 시작하려면 IAM 사용 설명서의 첫 번째 IAM 위임 사용자 및 그룹 생성을 참조하십시오.

나는 내 외부의 사람들이 AWS 계정 액세스 AWS 상태 자원다른 계정의 사용자 또는 조직 외부의 사람이 리소스에 액세스하는 데 사용할 수 있는 역할을 생성할 수 있습니다. 역할을 수임할 신뢰할 수 있는 사람을 지정할 수 있습니다. 리소스 기반 정책 또는 ACL(액세스 제어 목록)을 지원하는 서비스의 경우 이러한 정책을 사용하여 다른 사람에게 리소스에 대한 액세스 권한을 부여할수 있습니다.

자세히 알아보려면 다음을 참조하십시오.

• AWS 상태에서 이러한 기능을 지원하는지 여부를 알아보려면 에서 AWS 상태를 사용하는 방법IAM (p. 17) 단원을 참조하십시오.

• 소유하고 있는 AWS 계정의 리소스에 대한 액세스 권한을 제공하는 방법을 알아보려면 IAM 사용 설명서의 자신이 소유한 다른 AWS 계정의 IAM 사용자에 대한 액세스 권한 제공을 참조하십시오

• 리소스에 대한 액세스 권한을 제3자 AWS 계정에게 제공하는 방법을 알아보려면 IAM 사용 설명서의 제3자가 소유한 AWS 계정에게 액세스 권한 제공을 참조하십시오.

• 자격 증명 연동을 통해 액세스 권한을 제공하는 방법을 알아보려면 IAM 사용 설명서의 외부에서 인증된사용자에게 액세스 권한 제공(자격 증명 연동)을 참조하십시오.

• 교차 계정 액세스를 위한 역할과 리소스 기반 정책 사용의 차이점을 알아보려면 IAM 사용 설명서의 IAM역할과 리소스 기반 정책의 차이를 참조하십시오.

Using service-linked roles for AWS 상태AWS 상태에서는 AWS Identity and Access Management(IAM) 서비스 연결 역할을 사용합니다. 서비스 연결 역할은 AWS 상태에 직접 연결된 고유한 유형의 IAM 역할입니다. 서비스 연결 역할은 AWS 상태에서 사전 정의하며 서비스에서 다른 AWS 서비스를 자동으로 호출하기 위해 필요한 모든 권한을 포함합니다.

서비스 연결 역할을 통해 AWS 상태 설정이 쉬워지는데 필요한 권한을 수동으로 추가할 필요가 없기 때문입니다. AWS 상태에서 서비스 연결 역할 권한을 정의하므로, 달리 정의되지 않은 한 AWS 상태에서만 해당 역할을 맡을 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며, 이 권한 정책은 다른 IAM 개체에 연결할 수 없습니다.

Service-linked role permissions for AWS 상태AWS 상태에서는 Health_OrganizationsServiceRolePolicy라는 이름의 서비스 연결 역할을 사용합니다.

이 서비스 연결 역할은 health.amazonaws.com 서비스에 해당 역할을 맡깁니다.

이 역할은 다음 권한 정책을 사용하여 AWS 상태가 AWS Organizations의 계정을 나열하도록 허용합니다.

{

29

AWS Health 사용 설명서의 로깅 및 모니터링AWS 상태

"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "organizations:ListAccounts", "Resource": "*" }, { "Sid": "ListAWSServiceAccessForOrganization0", "Effect": "Allow", "Action": "organizations:ListAWSServiceAccessForOrganization", "Resource": "*" } ]}

Creating a service-linked role for AWS 상태서비스 연결 역할은 수동으로 생성할 필요가 없습니다. EnableHealthServiceAccessForOrganization 작업을호출하면 AWS 상태에서 자동으로 계정에 서비스 연결 역할을 생성합니다.

Editing a service-linked role for AWS 상태AWS 상태에서는 서비스 연결 역할을 편집하도록 허용하지 않습니다. 서비스 연결 역할을 생성한 후에는 다양한 엔터티가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 그러나 IAM를 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 서비스 링크된 역할 편집 in the IAM 사용 설명서.

Deleting a service-linked role for AWS 상태이 역할을 삭제하려면 먼저 DisableHealthServiceAccessForOrganization 작업을 호출해야 합니다. 그런 다음 IAM 콘솔, IAM API 또는 AWS Command Line Interface(AWS CLI)를 통해 역할을 삭제할 수 있습니다. 자세한 내용은 서비스 연계 역할 사용 in the IAM 사용 설명서.

의 로깅 및 모니터링AWS 상태모니터링은 신뢰성, 가용성 및 성능을 유지하는 데 있어 중요한 부분입니다. AWS 상태 그리고 AWS 솔루션.AWS 다음 모니터링 도구를 통해 감시할 수 있습니다. AWS 상태, 무언가가 잘못된 경우 보고, 적절한 경우조치를 취합니다.

• Amazon CloudWatch 모니터링 AWS 리소스 및 응용 프로그램 AWS 실시간. 지표를 수집 및 추적하고, 사용자 지정 대시보드를 생성할 수 있으며, 지정된 지표가 지정한 임계값에 도달하면 사용자에게 알리거나조치를 취하도록 경보를 설정할 수 있습니다. 예를 들어, CloudWatch CPU 사용률 또는 기타 메트릭 추적Amazon Elastic Compute Cloud (Amazon EC2) 인스턴스를 인스턴스하고 필요한 경우 자동으로 새 인스턴스를 시작합니다. 자세한 정보는 를 참조하십시오.Amazon CloudWatch 사용 설명서.

• Amazon CloudWatch Events 의 변화를 설명하는 시스템 이벤트의 거의 실시간 스트림 제공 AWS 자원.CloudWatch 이벤트 자동화된 이벤트 중심 컴퓨팅을 지원합니다. 특정 이벤트를 감시하고 이러한 이벤트가 발생할 때 다른 AWS 서비스에서 자동화된 작업을 트리거하는 규칙을 작성할 수 있습니다. 자세한 정보는 를 참조하십시오.Amazon CloudWatch Events 사용 설명서.

• AWS CloudTrail API 전화 및 관련 이벤트를 AWS 로그 파일을 Amazon Simple Storage Service (AmazonS3을(를) 지정하는 버킷을 선택합니다. 어떤 사용자 및 계정이 AWS를 호출했는지, 어떤 소스 IP 주소에호출이 이루어졌는지, 언제 호출이 발생했는지 확인할 수 있습니다. 자세한 정보는 를 참조하십시오.AWSCloudTrail User Guide.

자세한 정보는 단원을 참조하십시오. 모니터링AWS 상태 (p. 47).

30

AWS Health 사용 설명서규정 준수 확인

AWS 상태의 규정 준수 확인타사 감사자는 여러 AWS 규정 준수 프로그램의 일환으로 AWS 상태의 보안 및 규정 준수를 평가합니다. 여기에는 SOC, PCI, FedRAMP, HIPAA 등이 포함됩니다.

특정 규정 준수 프로그램의 범위 내에 있는 AWS 서비스 목록은 규정 준수 프로그램 제공 범위 내 AWS 서비스를 참조하십시오. 일반적인 내용은 AWS 규정 준수 프로그램을 참조하십시오.

AWS Artifact를 사용하여 타사 감사 보고서를 다운로드할 수 있습니다. 자세한 내용은 AWS 아티팩트에서 보고서 다운로드를 참조하십시오.

AWS 상태 사용 시 규정 준수 책임은 데이터의 민감도, 회사의 규정 준수 목표 및 관련 법률과 규정에 따라 결정됩니다. AWS에서는 규정 준수를 지원할 다음과 같은 리소스를 제공합니다.

• 보안 및 규정 준수 빠른 시작 안내서 – 이 배포 가이드에서는 아키텍처 고려 사항에 대해 설명하고 보안 및규정 준수에 중점을 둔 기본 AWS 환경을 배포하기 위한 단계를 제공합니다.

• HIPAA 보안 및 규정 준수 기술 백서 설계 – 이 백서는 기업에서 AWS를 사용하여 HIPAA를 준수하는 애플리케이션을 만드는 방법을 설명합니다.

• AWS 규정 준수 리소스 – 이 워크북 및 안내서 모음은 귀사가 속한 업계 및 위치에 적용될 수 있습니다.• AWS Config 개발자 안내서의 규칙을 사용하여 리소스 평가 – 이 AWS Config 서비스는 리소스 구성이 내

부 사례, 업계 지침, 규정을 얼마나 잘 준수하는지 평가합니다.• AWS Security Hub – 이 AWS 제품으로 보안 업계 표준 및 모범 사례 규정 준수 여부를 확인하는 데 도움이

되는 AWS 내 보안 상태에 대한 포괄적인 관점을 제공합니다.

AWS 상태의 복원성AWS 글로벌 인프라는 AWS 리전 및 가용 영역을 중심으로 구축됩니다. AWS 리전에서는 물리적으로 분리되고 격리된 다수의 가용 영역을 제공하며 이러한 가용 영역은 짧은 지연 시간, 높은 처리량 및 높은 중복성을 갖춘 네트워크에 연결되어 있습니다. 가용 영역을 사용하면 중단 없이 영역 간에 자동으로 장애 조치가 이루어지는 애플리케이션 및 데이터베이스를 설계하고 운영할 수 있습니다. 가용 영역은 기존의 단일 또는 다중 데이터 센터 인프라보다 가용성, 내결함성, 확장성이 뛰어납니다.

AWS 상태 이벤트는 여러 가용 영역에 걸쳐 저장 및 복제됩니다. 이 방식을 통해 Personal Health Dashboard또는 AWS 상태 API 작업에서 해당 이벤트에 액세스할 수 있습니다. AWS 상태 이벤트가 발생한 날로부터 최대 90일까지 이벤트를 볼 수 있습니다.

AWS 리전 및 가용 영역에 대한 자세한 내용은 AWS 글로벌 인프라를 참조하십시오.

AWS 상태의 인프라 보안관리형 서비스인 AWS 상태는 Amazon Web Services: 보안 프로세스 개요 백서에 설명된 AWS 글로벌 네트워크 보안 절차로 보호됩니다.

AWS에서 게시한 API 호출을 사용하여 네트워크를 통해 AWS 상태에 액세스합니다. 클라이언트가 TLS(전송 계층 보안) 1.0 이상을 지원해야 합니다. TLS 1.2 이상을 권장합니다. 클라이언트는 Ephemeral Diffie-Hellman(DHE) 또는 Elliptic Curve Ephemeral Diffie-Hellman(ECDHE)과 같은 PFS(전달 완전 보안, PerfectForward Secrecy)가 포함된 암호 제품군도 지원해야 합니다. Java 7 이상의 최신 시스템은 대부분 이러한 모드를 지원합니다.

또한 요청은 액세스 키 ID 및 IAM 주체와 관련된 보안 액세스 키를 사용하여 서명해야 합니다. 또는 AWSSecurity Token Service(AWS STS)를 사용하여 임시 보안 자격 증명을 생성하여 요청에 서명할 수 있습니다.

31

AWS Health 사용 설명서구성 및 취약성 분석

AWS 상태에서 구성 및 취약성 분석구성 및 IT 제어는 AWS와 고객 간의 공동 책임입니다. 자세한 내용은 AWS 공동 책임 모델을 참조하십시오.

AWS 상태의 보안 모범 사례AWS 상태로 작업할 때 다음 모범 사례를 참조하십시오.

AWS 상태 사용자에게 가능한 최소 사용 권한 부여사용자 및 그룹에 최소 액세스 정책 권한을 사용하여 최소 권한의 원칙을 따릅니다. 예를 들어, AWS Identityand Access Management(IAM) 사용자에게 Personal Health Dashboard에 대한 액세스를 허용할 수 있지만동일한 사용자가 AWS Organizations에 대한 액세스를 활성화 또는 비활성화하는 것은 허용하지 않을 수 있습니다.

자세한 내용은 AWS 상태 자격 증명 기반 정책 예제 (p. 20) 단원을 참조하십시오.

Personal Health Dashboard 보기Personal Health Dashboard를 수시로 검토하여 계정 또는 애플리케이션에 영향을 줄 수 있는 이벤트를 확인합니다. 예를 들어 업데이트해야 하는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스와 같은 리소스에 대한 이벤트 알림을 받을 수 있습니다.

자세한 내용은 Getting started with the AWS Personal Health Dashboard (p. 4) 단원을 참조하십시오.

Amazon Chime 또는 Slack과 AWS 상태 통합채팅 도구와 AWS 상태를 통합할 수 있습니다. 이 통합을 통해 팀에서 실시간으로 AWS 상태 이벤트에 대한알림을 받을 수 있습니다. 자세한 내용은 GitHub의 AWS 상태 도구를 참조하십시오.

AWS 상태 이벤트 모니터링Amazon CloudWatch Events와 AWS 상태를 통합하여 특정 이벤트에 대한 규칙을 생성할 수 있습니다.CloudWatch 이벤트에서 규칙과 일치하는 이벤트를 감지하면 알림이 표시되어 조치를 취할 수 있습니다.CloudWatch 이벤트 이벤트는 리전별로 다르므로 애플리케이션 또는 인프라가 상주하는 리전에서 이 서비스를 구성해야 합니다.

경우에 따라 AWS 상태 이벤트의 리전을 확인할 수 없습니다. 이러한 상황이 발생하면 기본적으로 미국 동부(버지니아 북부) 지역에 이벤트가 표시됩니다. 이 리전에서 CloudWatch 이벤트를 설정하여 이러한 이벤트를모니터링할 수 있습니다.

자세한 내용은 모니터 AWS 상태 이벤트 Amazon CloudWatch Events (p. 38) 단원을 참조하십시오.

32

AWS Health 사용 설명서Prerequisites

조직 보기를 사용하여 계정 간 AWS상태 이벤트 집계

기본적으로 AWS 상태 을(를) 볼 수 있습니다. AWS 상태 한 번의 AWS 계정. 사용하는 경우 AWSOrganizations을 통해 AWS 상태 조직 전반에 걸쳐 중앙에서 이벤트를 개최합니다. 이 기능을 사용하면 단일계정 작업과 동일한 정보에 액세스할 수 있습니다. 필터를 사용하여 특정 AWS 리전, 계정 및 서비스의 이벤트를 볼 수 있습니다.

실시간으로 AWS 상태 이벤트를 집계하여 운영 이벤트의 영향을 받는 조직의 계정을 식별하거나 보안 취약성에 대한 알림을 받을 수 있습니다. 또한 조직 전체의 리소스 유지 관리 이벤트를 사전 예방적으로 관리하고자동화할 수 있습니다. 이 기능을 사용하여 코드 변경 또는 업데이트가 필요한 AWS 서비스의 예정된 변경사항에 대한 최신 정보를 얻을 수 있습니다.

조직 이벤트는 삭제되기 최대 90일 전까지 볼 수 있습니다. 비즈니스 또는 엔터프라이즈 지원 플랜을 보유한경우, 무료로 이 기능을 사용할 수 있습니다.

주제• Prerequisites (p. 33)• 조직 보기 활성화 (p. 33)• 조직 보기 이벤트 보기 (p. 35)• AWS 상태 조직 보기 API 작업 (p. 35)• 조직 보기 사용 안 함 (p. 36)

Prerequisites조직 보기에 AWS 상태 API를 사용하기 전에 다음을 수행해야 합니다.

• 조직의 일원이 되는 모든 기능 활성화되었습니다.• A 비즈니스 또는 엔터프라이즈 지원 계획.• 로그인 AWS Identity and Access Management (IAM사용자에게 IAM 조직의 루트 사용자(권장되지 않음)

로 로그인하거나 마스터 계정. 자세한 내용은 잠금을 해제하세요 AWS 계정 루트 사용자 액세스 키 in theIAM 사용 설명서.

• 반드시 마스터 계정 IAM 정책 보조금 액세스 AWS 상태 API 작업. 을(를) 참조하십시오.허용 AWS 상태 조직 API 액세스 (p. 24).

조직 보기 활성화조직 보기만을 사용하여 조직의 뷰만 enablehealthserviceaccess에Organization API 작업.

사용 가능한 AWS Command Line Interface (AWS CLI) 또는 이 작업을 호출하기 위한 고유 코드를 사용합니다.

Note

귀하는 미국 동부(버지니아 북부) 지역 끝점.

33

AWS Health 사용 설명서조직 보기 활성화

Example

다음 AWS CLI 명령을 사용하면 AWS 계정. 이 명령을 사용하여 마스터 계정 또는 필수 권한과 함께 역할을맡을 수 있는 계정에서

aws health enable-health-service-access-for-organization --region us-east-1

다음 코드 예는 enablehealthserviceaccess에Organization API 작업.

Python

import boto3

client = boto3.client('health')

response = client.enable_health_service_access_for_organization()

print(response)

Java

다음 예제에서는 버전 Java 2.0용 AWS SDK를 사용할 수 있습니다.

import software.amazon.awssdk.services.health.HealthClient;import software.amazon.awssdk.services.health.HealthClientBuilder; import software.amazon.awssdk.services.health.model.ConcurrentModificationException;import software.amazon.awssdk.services.health.model.EnableHealthServiceAccessForOrganizationRequest;import software.amazon.awssdk.services.health.model.EnableHealthServiceAccessForOrganizationResponse;import software.amazon.awssdk.services.health.model.DescribeHealthServiceStatusForOrganizationRequest;import software.amazon.awssdk.services.health.model.DescribeHealthServiceStatusForOrganizationResponse; import software.amazon.awssdk.auth.credentials.DefaultCredentialsProvider; import software.amazon.awssdk.regions.Region; public class EnableHealthServiceAccessDemo { public static void main(String[] args) { HealthClient client = HealthClient.builder() .region(Region.US_EAST_1) .credentialsProvider( DefaultCredentialsProvider.builder().build() ) .build(); try { DescribeHealthServiceStatusForOrganizationResponse statusResponse = client.describeHealthServiceStatusForOrganization( DescribeHealthServiceStatusForOrganizationRequest.builder().build() ); String status = statusResponse.healthServiceAccessStatusForOrganization(); if ("ENABLED".equals(status)) { System.out.println("EnableHealthServiceAccessForOrganization already enabled!"); return; }

34

AWS Health 사용 설명서조직 보기 이벤트 보기

client.enableHealthServiceAccessForOrganization( EnableHealthServiceAccessForOrganizationRequest.builder().build() ); System.out.println("EnableHealthServiceAccessForOrganization is in progress"); } catch (ConcurrentModificationException cme) { System.out.println("EnableHealthServiceAccessForOrganization is already in progress. Wait for the action to complete before trying again."); } catch (Exception e) { System.out.println("EnableHealthServiceAccessForOrganization FAILED: " + e); } }}

자세한 내용은 AWS Java 2.0 개발자 안내서 SDK.

이 기능을 활성화하면 AWSServiceRoleForHealth_Organizations 서비스 연결 역할 (SLR)Health_OrganizationsServiceRolePolicy 정책이 마스터 계정 조직 내.

Note

이 기능을 활성화하는 작업은 비동기 프로세스이며 완료하는 데 시간이 걸립니다. 귀하는 건강서비스전문의에 대해Organization 작업을 수행합니다.

조직 보기 이벤트 보기이 기능을 사용하면 AWS 상태에서 조직의 계정에 영향을 주는 이벤트를 기록하기 시작합니다. 계정이 조직에 가입하면 AWS 상태에서 계정을 기관 보기에 자동으로 추가합니다. 계정이 조직에서 벗어나면 해당 계정의 새 이벤트가 더 이상 조직 보기에 로깅되지 않습니다. 그러나 기존 이벤트는 그대로 유지되며 최대 90일제한까지 쿼리할 수 있습니다.

Important

AWS 상태는 조직 보기를 사용하도록 설정하기 전에 조직에서 발생한 이벤트를 기록하지 않습니다.

사용 가능한 AWS 상태 조직 보기에서 이벤트를 반환하는 API 작업.

Example : 조직 보기 이벤트 설명

다음 AWS CLI 명령이 다음에 대한 건강 이벤트를 반환합니다. AWS 계정을 선택합니다.

aws health describe-events-for-organization --region us-east-1

다른 AWS 상태 API 작업에 대한 내용은 다음 섹션을 참조하십시오.

AWS 상태 조직 보기 API 작업다음 AWS 상태 API 작업을 사용하여 조직 보기를 활성화할 수 있습니다.

• 다음에 대해 설명하겠습니다.Organization – 조직 전체의 이벤트에 대한 요약 정보를 반환합니다.• 서술한Organization – 목록 반환 AWS 지정된 이벤트의 영향을 받는 계정입니다.• 다음에 대한 설명세부사항Organization – 조직 내 하나 이상의 계좌에 대해 지정된 이벤트에 대한 자세한

정보를 반환합니다.

35

AWS Health 사용 설명서조직 보기 사용 안 함

• 서술한Organization – 조직 내 하나 이상의 계좌에 대해 하나 이상의 이벤트가 영향을 받은 법인 목록을 반환합니다.

다음 작업을 사용하여 활성화 또는 비활성화할 수 있습니다. AWS 상태 작업하는 것을 조직:

• EnableHealthServiceAccessForOrganization – 교부금 AWS 상태 상호 작용할 수 있는 조직 SLR을 마스터계정 조직 내.

• disablehealthserviceaccess용Organization – 다음에 대한 허가 철회 AWS 상태 상호작용하기 위해 조직.• 건강서비스전문의에 대해Organization – 다음에 대한 상태 정보를 반환합니다. AWS 상태 이(가) 귀하의

조직에 대해 활성화되었습니다.

이러한 API 작업을 호출하려면 비즈니스 또는 엔터프라이즈 지원 플랜이 있어야 합니다. 귀하가DescribeEventForOrganization and DescribeAffectedAccountsForOrganization 최소한 비즈니스 지원 계획이 있는 계정에서 운영되며, 개별 계정의 지원 수준에 관계없이 조직의 모든 계좌에 대한 정보를 반환할 수 있습니다. 다음 예시를 참조하십시오.

Example 예: 비즈니스 및 개발자 지원 계획이 있는 계정을 보유한 조직

• 조직에 세 개의 계정이 있습니다. The 마스터 계정 에는 비즈니스 지원 계획이 있으며 다른 두 계정은 개발자 지원 계획을 가지고 있습니다.

• 귀하는 DescribeEventForOrganization API 작동 마스터 계정 또는 필수 권한과 함께 역할을 맡을수 있는 계정에서

• AWS 상태는 세 계정의 정보를 반환합니다.

귀하가 DescribeEventDetailsForOrganization andDescribeAffectedEntitiesForOrganization 최소한 비즈니스 지원 계획이 있는 계정의 API 작업은비즈니스 또는 엔터프라이즈 지원 수준 계획이 있는 조직의 계정에 대한 정보만 반환할 수 있습니다.

Example 예: 엔터프라이즈, 비즈니스 및 개발자 지원 계획이 있는 계정을 보유한 조직

• 조직에 다섯 개의 계정이 있습니다. The 마스터 계정 에는 엔터프라이즈 지원 계획이 있고, 두 계정은 비즈니스 지원 계획을 가지고 있으며, 두 계정은 개발자 지원 계획을 가지고 있습니다.

• 귀하는 DescribeEventDetailsForOrganization API 작동 마스터 계정.• AWS 상태는 엔터프라이즈 또는 비즈니스 지원 플랜이 있는 계정에 대한 정보만 반환합니다. 개발자 지원

플랜이 있는 계정은 응답의 failedSet에 표시됩니다.

조직 보기 사용 안 함다음을 사용하여 조직 보기를 비활성화할 수 있습니다. disablehealthserviceaccess용Organization API 작업.

Example

다음 AWS CLI 명령을 사용하면 계정에서 이 기능을 비활성화할 수 있습니다.

aws health disable-health-service-access-for-organization --region us-east-1

Note

또한 조직 disableawsserviceaccess API 작업. 이 작업을 호출한 후 AWS 상태에서는 조직의 다른모든 계정에 대한 이벤트 집계를 중지합니다. 귀하가 AWS 상태 조직 보기를 위한 API 작업, AWS상태 오류가 발생했습니다. AWS 상태 계속해서 AWS 계정.

36

AWS Health 사용 설명서조직 보기 사용 안 함

이 기능을 비활성화하면 AWS 상태에서 더 이상 조직의 이벤트를 집계하지 않습니다. 그러나 SLR은 마스터계정 이를 통해 IAM 콘솔, IAM API, 또는 AWS CLI. 자세한 내용은 서비스 연결 역할 삭제 in the IAM 사용 설명서.

37

AWS Health 사용 설명서에 대한 CloudWatch 이벤트 규칙 생성AWS 상태

모니터 AWS 상태 이벤트 AmazonCloudWatch Events

사용할 수 있습니다. Amazon CloudWatch Events 감지하고 대응하기 위해 AWS 상태 이벤트. 그런 다음, 여러분이 만든 규칙에 따라 CloudWatch 이벤트 이벤트가 규칙에서 지정한 값과 일치할 때 하나 이상의 대상 작업을 호출합니다. 이벤트 유형에 따라 알림을 보내거나, 이벤트 정보를 캡처하거나, 교정 작업을 수행하거나,이벤트를 시작하거나, 기타 작업을 수행할 수 있습니다.

사용할 때 다음 유형의 타겟을 선택할 수 있습니다. CloudWatch 이벤트 여러분이 AWS 상태 워크플로:

• AWS Lambda 함수.• Amazon Kinesis Data Streams• Amazon Simple Queue Service (Amazon SQS) 큐• 기본 제공 대상(CloudWatch 경보 작업)• Amazon Simple Notification Service (Amazon SNS) 주제

예를 들어, Lambda 슬랙 채널에 알림을 전달하는 기능을 AWS 상태 이벤트가 발생합니다. 또는 Lambda andCloudWatch 이벤트 사용자 지정 텍스트 또는 SMS 알림을 Amazon SNS 언제 AWS 상태 이벤트가 발생합니다.

자동화와 사용자 지정 경고 샘플에 대해 AWS 상태 이벤트, AWS 상태 도구 github.

전용 AWS 상태 특정 이벤트와 관련된 AWS 계정 및 리소스 게시 CloudWatch 이벤트. 여기에는 다음과 같은 이벤트가 포함됩니다. Amazon Elastic Block Store (Amazon EBS) 볼륨 손실, Amazon Elastic ComputeCloud (Amazon EC2) 인스턴스 매장 드라이브 성능이 저하되고 모든 예약된 변경 이벤트가 적용됩니다.

반대로 서비스 상태 대시보드 이벤트는 서비스의 지역 가용성에 대한 공개 정보를 제공합니다. 이러한 이벤트는 AWS 계정을 통해 CloudWatch 이벤트.

다음 옵션을 사용하여 이벤트가 공개 또는 계정 관련 이벤트인지 확인합니다.

• Personal Health Dashboard의 이벤트 로그 페이지에서 영향을 받는 리소스 탭을 선택합니다. 리소스가 있는 이벤트는 계정에 따라 다릅니다. 리소스가 없는 이벤트는 공개되며 계정에 한정되지 않습니다.

• AWS 상태 API를 사용하여 eventScopeCode 파라미터를 반환합니다. 이벤트는 PUBLIC,ACCOUNT_SPECIFIC 또는 NONE 값을 가질 수 있습니다. 자세한 내용은 AWS Health API 참조의DescribeEventDetails 작업을 참조하십시오.

Important

에 나타나는 이벤트 Personal Health Dashboard 지역별. 예를 들어, AWS 상태 리소스에 영향을 주는 이벤트(예: Amazon EC2 인스턴스) 미국 동부(오하이오) 리전을(를) 구성해야 합니다.CloudWatch 이벤트 해당 이벤트에 대해 알림을 받기 위해 동일한 지역에서 해당 지역의

주제• 에 대한 CloudWatch 이벤트 규칙 생성AWS 상태 (p. 38)• EC2 인스턴스에 대한 작업 자동화 (p. 43)

에 대한 CloudWatch 이벤트 규칙 생성AWS 상태귀하는 CloudWatch 이벤트 에 대한 알림 획득 규칙 AWS 상태 의 이벤트. 이벤트 규칙을 생성하기 전에AWS 상태다음을 수행해야 합니다.

38

AWS Health 사용 설명서에 대한 CloudWatch 이벤트 규칙 생성AWS 상태

• 의 이벤트, 규칙 및 대상을 익힙니다.CloudWatch 이벤트. 자세한 내용은 무엇을 Amazon CloudWatchEvents? in the Amazon CloudWatch Events 사용 설명서 and 신규 CloudWatch 이벤트 – 변경 사항에 대한 변경 사항 추적 및 대응 AWS 자원.

• 이벤트 규칙에 사용할 대상을 만듭니다.

을(를) 생성하려면 CloudWatch 이벤트 규칙 AWS 상태

1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.2. 변경하려면 AWS 지역, 지역 선택기 의 오른쪽 상단 모서리에 있습니다. 추적할 지역 선택 AWS 상태 이

벤트.3. 탐색 창에서 아래 이벤트, 선택 규칙.4. 선택 규칙 생성, 그리고 그 다음에 이벤트 소스, , 서비스 이름, 선택 건강.5. 대상 이벤트 유형, 다음 옵션 중 하나를 선택합니다.

• 선택 모든 이벤트 모든 항목에 적용되는 규칙을 AWS 서비스. 이 규칙은 모든 이벤트를 모니터링합니다. AWS 상태. 이 옵션을 선택하는 경우 이벤트 유형 범주 또는 이벤트 유형 코드를 지정할 수 없습니다.

• 선택 특정 건강 이벤트, 특정 서비스에서 서비스 이름을 선택한 다음 목록에서 서비스 이름을 선택합니다. 이렇게 하면 하나의 서비스 중 하나에만 이벤트를 모니터링하는 규칙이 생성됩니다. 예를들어, EC2 그래서 CloudWatch 이벤트 모니터만 Amazon EC2 이벤트. 서비스를 여러 개 선택할 수는 없습니다.

Tip

모두 모니터링하려면 AWS 상태 특정 서비스를 위한 이벤트 이벤트 유형 범주 and 모든 자원.이렇게 하면 AWS 상태 새로운 이벤트 유형 코드를 포함한 이벤트는 지정된 서비스에 대한 것입니다. 규칙의 경우 참조 모두 Amazon EC2 이벤트 (p. 39).

6. 특정 서비스를 선택한 경우 다음 옵션 중 하나를 선택합니다.• 선택 이벤트 유형 범주 모든 이벤트 유형 범주에 적용되는 규칙을 만듭니다.• 선택 특정 이벤트 유형 범주 목록에서 값을 선택합니다. 이는 다음과 같은 하나의 이벤트 유형 범주

에만 적용되는 규칙을 생성합니다. 스케줄변경. 범주를 여러 개 선택할 수는 없습니다.7. 특정 서비스 및 이벤트 유형 범주를 선택한 경우 이벤트 유형 코드에 대해 다음 옵션 중 하나를 선택합니

다.• 선택 이벤트 유형 코드 모든 이벤트 유형 코드에 적용되는 규칙을 만듭니다.• 선택 특정 이벤트 유형 코드 목록에서 하나 이상의 값을 선택합니다. 이는 특정 이벤트 유

형 코드에만 적용되는 규칙을 생성합니다. 예를 들어, AWS_EC2_인스턴스_중지_예정 andAWS_EC2_PERSISTENT_INSTANCE_RETIREMENT_예정된님, 귀하의 계정에서 이 이벤트에만규칙이 적용됩니다.

8. 영향을 받는 리소스에 대해 다음 옵션 중 하나를 선택합니다.• 선택 모든 자원 모든 리소스에 적용되는 규칙을 만듭니다.• 선택 특정 자원 하나 이상의 리소스 ID를 입력합니다. 예를 들어, Amazon EC2 인스턴스 ID 예: i-

EXAMPLEa1b2c3de4 이 리소스에만 영향을 미치는 이벤트를 모니터링하려면9. 규칙 설정 요건을 충족시키기 위해 규칙 설정을 검토합니다.10. 에서 타겟 영역, 선택 목표 추가*.11. 에서 대상 유형 선택 목록에서 이 규칙과 함께 사용하기 위해 준비한 타겟의 유형을 선택한 다음 해당 유

형에 필요한 추가 옵션을 구성합니다.12. 선택 세부 정보 구성.13. On 규칙 세부 정보 구성 해당 규칙에 대한 이름과 설명을 입력한 다음 주 확인란을 선택하여 규칙을 만

든 후 규칙을 활성화합니다.14. 선택 규칙 생성.

39

AWS Health 사용 설명서에 대한 CloudWatch 이벤트 규칙 생성AWS 상태

Example : 모든 규칙 Amazon EC2 이벤트

다음 예는 규칙을 만들어 줍니다. CloudWatch 이벤트 모두 모니터링 Amazon EC2 이벤트 유형 범주, 이벤트코드 및 리소스를 포함한 이벤트.

Example : 특정 규칙 Amazon EC2 이벤트

다음 예는 규칙을 만들어 줍니다. CloudWatch 이벤트 다음을 모니터링합니다.

40

AWS Health 사용 설명서에 대한 CloudWatch 이벤트 규칙 생성AWS 상태

• The Amazon EC2 서비스• The 스케줄변경 이벤트 유형 범주• 이벤트 유형 코드 AWS_EC2_INSTANCE_TERMINATION_SCHEDULED and

AWS_EC2_INSTANCE_RETIREMENT_예정된• 인스턴스 i-EXAMPLEa1b2c3de4 ID

41

AWS Health 사용 설명서에 대한 CloudWatch 이벤트 규칙 생성AWS 상태

42

AWS Health 사용 설명서EC2 인스턴스에 대한 작업 자동화

EC2 인스턴스에 대한 작업 자동화EC2 인스턴스에 대한 새로운 예약 이벤트에 응하여 작업을 자동화할 수 있습니다. 예를 들어, CloudWatch이벤트 EC2 예정된 이벤트에 대한 규칙 AWS 상태 서비스. 그런 다음 이러한 규칙은 다음과 같은 대상을 트리거할 수 있습니다. AWS 시스템 관리자 자동화 문서를 사용하여 작업을 자동화합니다. 에서 더 많은 옵션을 찾을 수 있습니다. Cloudwatch Events로 Amazon EC2 자동화.

예를 들어, Amazon EC2 인스턴스 은퇴 이벤트는 Amazon Elastic Block Store (Amazon EBS) 지원되는 EC2인스턴스는 중지 및 인스턴스를 자동화하여 이러한 작업을 수동으로 수행할 필요가 없도록 할 수 있습니다.

만료 예약된 EBS 지원 EC2 인스턴스의 중지 및 시작을 자동화하려면

1. 오픈을 CloudWatch 콘솔을 사용하여 CloudWatch 이벤트 규칙:

1. 으로 이동합니다.https://console.aws.amazon.com/cloudwatch/.2. 아래 이벤트, 선택 규칙.

2. 이벤트 패턴 미리 보기를 편집한 후 다음 입력을 제공합니다.

Example

{ "source": [ "aws.health" ], "detail-type": [ "AWS Health Event" ], "detail": { "service": [ "EC2" ], "eventTypeCategory": [ "scheduledChange" ], "eventTypeCode": [ "AWS_EC2_INSTANCE_RETIREMENT_SCHEDULED" ] }}

콘솔에 다음 필드가 나타나야 합니다.

• 대상 서비스 이름, AWS 상태• 대상 이벤트 유형, 특정 건강 이벤트• The Amazon EC2 서비스• The 스케줄변경 이벤트 유형 범주• The AWS_EC2_INSTANCE_RETIREMENT_예정된 이벤트 유형 코드• 모든 자원

43

AWS Health 사용 설명서EC2 인스턴스에 대한 작업 자동화

3. 선택 저장.4. 추가 시스템 관리자 자동화 문서 타겟. 선택 목표 추가*를 선택한 다음 SSM 자동화에 나와 있습니다.

44

AWS Health 사용 설명서EC2 인스턴스에 대한 작업 자동화

Example

5. 선택 AWS-restartec2인스턴스 시스템 관리자 목록에서 문서를 참조하십시오.6. 아래와 같이 입력 변압기를 구성하십시오. {"Instances":"$.resources"} inputpathsmap과

{"InstanceId": <Instances>} 현재 입력 템플릿.7. 기존 선택 AWS Identity and Access Management (IAM) 역할을 수행한 다음 SSM 자동화 문서를 실행

할 권한이 있는 새 항목을 생성합니다.

만약 여러분이 IAM 필요한 EC2 및 시스템 관리자 권한을 생성한 후 역할을 생성합니다.

을(를) 생성하려면 IAM EC2와 시스템 관리자 권한

1. 필수 설정 IAM 사용 권한 CloudWatch 이벤트 창조하여 IAM 정책. 그런 다음 정책을 IAM 역할CloudWatch. 이 예제에서는 IAM 역할 AutomationCWRole. 다음은 이러한 IAM 정책.

Example

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances", "ec2:DescribeInstanceStatus"

45

AWS Health 사용 설명서EC2 인스턴스에 대한 작업 자동화

], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "ssm:*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "sns:Publish" ], "Resource": [ "arn:aws:sns:*:*:Automation*" ] }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::<AccountId>:role/AutomationCWRole" } ]}

2. 역할 Amazon 리소스 이름(ARN)을 계정 ID와 역할 이름으로 업데이트해야 합니다. 또한events.amazonaws.com and ssm.amazonaws.com 신뢰할 수 있는 엔터티로 구성된 IAM 역할을 합니다.

Example

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "ssm.amazonaws.com", "events.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ]}

46

AWS Health 사용 설명서AWS CloudTrail를 사용하여 AWS 상태 API 호출 로깅

모니터링AWS 상태모니터링은 신뢰성, 가용성 및 성능을 유지하는 데 있어 중요한 부분입니다. AWS 상태 그리고 AWS 솔루션.AWS 다음 모니터링 도구를 통해 감시할 수 있습니다. AWS 상태, 무언가가 잘못된 경우 보고, 적절한 경우조치를 취합니다.

• Amazon CloudWatch 모니터링 AWS 리소스 및 응용 프로그램 AWS 실시간. 지표를 수집 및 추적하고, 사용자 지정 대시보드를 생성할 수 있으며, 지정된 지표가 지정한 임계값에 도달하면 사용자에게 알리거나조치를 취하도록 경보를 설정할 수 있습니다. 자세한 정보는 를 참조하십시오.Amazon CloudWatch 사용설명서.

사용할 수 있습니다. Amazon CloudWatch Events 이에 대해 AWS 상태 서비스 및 리소스에 영향을 미칠 수 있는 이벤트. 예를 들어, AWS 상태 이벤트에 대한 Amazon EC2 이 알림을 사용하여 조치를 취하고필요한 경우 리소스를 업데이트하거나 교체할 수 있습니다. 자세한 정보는 단원을 참조하십시오.모니터AWS 상태 이벤트 Amazon CloudWatch Events (p. 38).

• AWS CloudTrail API 전화 및 관련 이벤트를 AWS 로그 파일을 Amazon S3 지정한 버킷을 선택합니다. 어떤 사용자 및 계정이 AWS를 호출했는지, 어떤 소스 IP 주소에 호출이 이루어졌는지, 언제 호출이 발생했는지 확인할 수 있습니다. 자세한 정보는 를 참조하십시오.AWS CloudTrail User Guide.

주제• AWS CloudTrail를 사용하여 AWS 상태 API 호출 로깅 (p. 47)

AWS CloudTrail를 사용하여 AWS 상태 API 호출 로깅

AWS 상태은 AWS 상태에서 사용자, 역할 또는 AWS 서비스가 수행한 작업에 대한 레코드를 제공하는 서비스인 AWS CloudTrail과 통합됩니다. CloudTrail은 AWS 상태에 대한 API 호출을 이벤트로 캡처합니다. 캡처되는 호출에는 AWS 상태 콘솔로부터의 호출과 AWS 상태 API 작업에 대한 코드 호출이 포함됩니다. 추적을 생성하면 AWS 상태 이벤트를 비롯하여 CloudTrail 이벤트를 Amazon S3 버킷으로 지속적으로 배포할 수있습니다. 추적을 구성하지 않은 경우 이벤트 기록에서 CloudTrail 콘솔의 최신 이벤트를 볼 수도 있습니다.CloudTrail에서 수집하는 정보를 사용하여 AWS 상태에 수행된 요청, 요청이 수행된 IP 주소, 요청을 수행한사람, 요청이 수행된 시간 및 추가 세부 정보를 확인할 수 있습니다.

그 구성 및 활성화 방법을 포함하여 CloudTrail에 대한 자세한 내용은 AWS CloudTrail User Guide를 참조하십시오.

CloudTrail의 AWS 상태 정보CloudTrail은 계정 생성 시 AWS 계정에서 활성화됩니다. 지원되는 이벤트 활동이 AWS 상태에서 이루어지면 해당 활동이 이벤트 이력의 다른 AWS 서비스 이벤트와 함께 CloudTrail 이벤트에 기록됩니다. AWS 계정에서 최신 이벤트를 확인, 검색 및 다운로드할 수 있습니다. 자세한 내용은 CloudTrail 이벤트 기록에서 이벤트 보기를 참조하십시오.

AWS 상태 이벤트를 비롯하여 AWS 계정의 이벤트 기록을 보유하려면 추적을 생성하십시오. 추적은CloudTrail이 Amazon S3 버킷으로 로그 파일을 전송할 수 있도록 합니다. 콘솔에서 추적을 생성하면 기본적으로 모든 AWS 리전에 추적이 적용됩니다. 추적은 AWS 파티션에 있는 모든 리전의 이벤트를 로깅하고 지정한 Amazon S3 버킷으로 로그 파일을 전송합니다. 또는 CloudTrail 로그에서 수집된 이벤트 데이터를 추가분석 및 처리하도록 다른 AWS 서비스를 구성할 수 있습니다. 자세한 정보는 다음을 참조하십시오.

• 추적 생성 개요

47

AWS Health 사용 설명서예제: AWS 상태 로그 파일 항목

• CloudTrail 지원 서비스 및 통합• CloudTrail에 대한 Amazon SNS 알림 구성• 여러 리전에서 CloudTrail 로그 파일 받기 및 여러 계정에서 CloudTrail 로그 파일 받기

DescribeEventAggregates 작업을 제외한 모든 AWS 상태 작업이 CloudTrail에서 로깅되고 AWSHealth API 참조에 문서화됩니다. 예를 들어, DescribeEvents, DescribeEventDetails 및DescribeAffectedEntities 작업을 호출하면 CloudTrail 로그 파일에 항목이 생성됩니다.

AWS 상태은 CloudTrail 로그 파일의 이벤트로 다음 작업의 로깅을 지원합니다.

• 요청을 루트로 했는지, IAM 자격 증명으로 했는지 여부• 역할 또는 연합된 사용자에 대한 임시 보안 자격 증명을 사용하여 요청이 생성되었는지 여부• 다른 AWS 서비스에서 요청했는지 여부

자세한 정보는 CloudTrail userIdentity 요소를 참조하십시오.

원하는 만큼 오래 Amazon S3 버킷에 로그 파일을 저장할 수 있습니다. 또한 Amazon S3 수명 주기 규칙을정의하여 로그 파일을 자동으로 보관하거나 삭제할 수도 있습니다. 기본적으로 로그 파일은 Amazon S3 서버 측 암호화(SSE)를 통해 암호화됩니다.

새 로그 파일이 전달되면 Amazon SNS 알림이 게시되도록 CloudTrail을 구성하여 로그 파일 전송 시 알림을받을 수 있습니다. 자세한 내용은 CloudTrail에 대한 Amazon SNS 알림 구성을 참조하십시오.

또한 여러 AWS 리전 및 여러 AWS 계정의 AWS 상태 로그 파일을 하나의 Amazon S3 버킷으로 통합할 수도있습니다.

자세한 내용은 여러 리전에서 CloudTrail 로그 파일 받기와 여러 계정에서 CloudTrail 로그 파일 받기를 참조하십시오.

예제: AWS 상태 로그 파일 항목추적은 지정한 Amazon S3 버킷에 이벤트를 로그 파일로 제공할 수 있도록 해 주는 구성입니다. CloudTrail로그 파일에는 하나 이상의 로그 항목이 포함됩니다. 이벤트는 어떤 소스로부터의 단일 요청을 나타내며 요청된 작업, 작업 날짜와 시간, 요청 파라미터 등에 대한 정보가 포함되어 있습니다. CloudTrail 로그 파일은 퍼블릭 API 호출의 주문 스택 추적이 아니므로 특정 순서로 표시되지 않습니다.

다음 예제는 DescribeEntityAggregates 작업을 보여주는 CloudTrail 로그 항목입니다.

{ "Records": [ { "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:user/JaneDoe", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "JaneDoe", "sessionContext": {"attributes": { "mfaAuthenticated": "false", "creationDate": "2016-11-21T07:06:15Z" }}, "invokedBy": "AWS Internal" }, "eventTime": "2016-11-21T07:06:28Z", "eventSource": "health.amazonaws.com", "eventName": "DescribeEntityAggregates",

48

AWS Health 사용 설명서예제: AWS 상태 로그 파일 항목

"awsRegion": "us-east-1", "sourceIPAddress": "203.0.113.0", "userAgent": "AWS Internal", "requestParameters": {"eventArns": ["arn:aws:health:us-east-1::event/EBS/EBS_LOST_VOLUME/EBS_LOST_VOLUME_123"]}, "responseElements": null, "requestID": "05b299bc-afb9-11e6-8ef4-c34387f40bd4", "eventID": "e4deb9dc-dbc2-4bdb-8515-73e8abcbc29b", "eventType": "AwsApiCall", "recipientAccountId": "111122223333" } ], ...}

49

AWS Health 사용 설명서이전 업데이트

문서 기록AWS 상태다음 표는 본 릴리스 관련 설명서를 소개합니다.AWS 상태.

• API 버전 2016-08-04• 최신 문서 업데이트: 2020년 8월 28일

다음 표는 중요한 업데이트에 대해 설명합니다. AWS 상태 문서, 2020년 8월 28일부터. 업데이트에 대한 알림을 수신하려면 RSS 피드를 구독할 수 있습니다.

update-history-change update-history-description update-history-date

업데이트 AWS Health 사용 설명서 (p. 50)

조직 업데이트를 업데이트하고RSS 피드 추가를 추가하여 최신업데이트를 구독할 수 있습니다.AWS 상태 문서.

August 28, 2020

이전 업데이트변경 사항 설명 날짜

예제를 포함하도록 조직 보기 항목이 업데이트되었습니다.

을(를) 참조하십시오.조직 보기를사용하여 계정 간 AWS 상태 이벤트 집계 (p. 33).

2020년 6월 3일

보안 및 AWS 상태 사용 시 보안 고려 사항에 대한 정보가 추가되었습니다.AWS 상태.을(를) 참조하십시오.AWS 상태의보안 (p. 12).

5월 5, 2020년

의 모든 계정에서 집계된 이벤트의 조직 보기를 사용하는 방법을설명하는 새 단원이 추가되었습니다.AWS Organizations.

을(를) 참조하십시오.조직 보기를사용하여 계정 간 AWS 상태 이벤트 집계 (p. 33).

2019년 12월 18일

'리소스 및 작업 기반 조건'이라는새로운 단원을 추가하여 AWS 상태 API가 판매한 이벤트 제한을설명합니다.

을(를) 참조하십시오.의 자격 증명및 액세스 관리AWS 상태 (p. 13).

2018년 8월 2일

다음에 대한 가시성 추가 AWS 상태 정보.

을(를) 참조하십시오.의 자격 증명및 액세스 관리AWS 상태 (p. 13).

2017년 8월 16일

서비스 릴리스. AWS 상태 릴리스 2016년 1월 12일

50

AWS Health 사용 설명서

AWS GlossaryFor the latest AWS terminology, see the AWS Glossary in the AWS General Reference.

51

AWS Health 사용 설명서

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여제공합니다.

lii