◇ 공부 기록용으로 작성하였으니 틀린점, 피드백 주시면 감사하겠습니다 ◇
Assess, audit, and evaluate configurations of your resources
AWS Config
AWS Config는 AWS 리소스의 설정을 관리하고 기록 및 평가하는 서비스이다. (특히 감사용 또는 리소스의 변경사항 확인용으로 사용된다)
AWS 리소스의 설정이 언제 변경되었는지를 기록하며, 변경 사항이 규칙을 준수하지 않는 경우 "미준수(Noncompliant)"로 기록된다.
AWS Config를 활성화하면 아래와 같은 다양한 AWS 리소스의 설정 상태를 감사(audit)할 수 있다.
[예시]:
- Security Group의 설정이 변경되었을 때
- 새로운 S3 버킷이 생성되었을 때
- S3의 버전 관리(versioning)가 활성화되어 있는지 확인
- S3 버킷에 대해 public으로 쓰기 액세스가 허용되지 않았는지 확인
Rule을 준수하지 않는 리소스는 다음과 같이 열거된다. Noncompliant
📜 Rule 생성
규칙을 생성할 때는 1)AWS에서 제공하는 규칙을 커스터마이징하거나, 2)Lambda 함수를 사용하여 독자적인 규칙을 추가할 수 있다.
예를 들어, AWS 리소스에 대해 용도나 환경 등의 관리를 위해 태그를 부여하고 있는 경우, AWS Config의 "required-tags" 규칙을 사용하여 태그가 빠진 곳이 없는지 확인할 수 있다.
EC2, ELB, RDS, Redshift, S3 등의 리소스를 지원한다.
📩 SNS Notifications (SNS 알림)
Config에서는 지정된 리소스에 설정 변경이 있을 경우 SNS를 통해 알림을 받을 수 있도록 설정할 수 있다.
규칙을 준수하지 않는 리소스가 있을 경우 알림을 받으려면 Amazon EventBridge와 연동해야한다.
규칙에 미준수가 된 것을 트리거로 하는 EventBridge의 이벤트 규칙을 생성하고, SNS를 통해 알림을 받을 수 있도록 설정한다.
