◇ 공부 기록용으로 작성하였으니 틀린점, 피드백 주시면 감사하겠습니다 ◇
Assess, audit, and evaluate configurations of your resources
AWS Config
AWS Config는 AWS 리소스의 설정을 관리하고 기록 및 평가하는 서비스이다. (특히 감사용 또는 리소스의 변경사항 확인용으로 사용된다)
AWS 리소스의 설정이 언제 변경되었는지를 기록하며, 변경 사항이 규칙을 준수하지 않는 경우 "미준 (Noncompliant)"로 기록된다.
AWS Config는 리소스가 생성된 이후는 감지할 수 있지만, 사전 차단 기능이 없다.
⇒ 사후 조치 가능✅, 사전 예방이 불가능❌
AWS Config를 활성화하면 아래와 같은 다양한 AWS 리소스의 설정 상태를 감사(audit)할 수 있다.
[예시]:
- Security Group의 설정이 변경되었을 때
- 새로운 S3 버킷이 생성되었을 때
- S3의 버전 관리(versioning)가 활성화되어 있는지 확인
- S3 버킷에 대해 public으로 쓰기 액세스가 허용되지 않았는지 확인
Rule을 준수하지 않는 리소스는 다음과 같이 열거된다. Noncompliant
📜 Rule 생성
규칙을 생성할 때는 1)AWS에서 제공하는 규칙을 커스터마이징하거나, 2)Lambda 함수를 사용하여 독자적인 규칙을 추가할 수 있다.
예를 들어, AWS 리소스에 대해 용도나 환경 등의 관리를 위해 태그를 부여하고 있는 경우, AWS Config의 "required-tags" 규칙을 사용하여 태그가 빠진 곳이 없는지 확인할 수 있다.
EC2, ELB, RDS, Redshift, S3 등의 리소스를 지원한다.
📩 SNS Notifications (SNS 알림)
Config에서는 지정된 리소스에 설정 변경이 있을 경우 SNS를 통해 알림을 받을 수 있도록 설정할 수 있다.
규칙을 준수하지 않는 리소스가 있을 경우 알림을 받으려면 Amazon EventBridge와 연동해야한다.
규칙에 미준수가 된 것을 트리거로 하는 EventBridge의 이벤트 규칙을 생성하고, SNS를 통해 알림을 받을 수 있도록 설정한다.
