AWS Config ?

Config

• Config 는 AWS 내 리소스에 대한 감사와 규정 준수 여부를 기록할 수 있게 해주는 서비스이다.
• 설정된 규칙에 기반해 구성과 구성의 시간에 따른 변화를 기록할 수 있으며 이를 통해 필요할 경우 인프라를 빠르게 롤백하고 문제점을 찾아낼 수 있다.
• Config 로 해결할 수 있는 질문 : 
  1. " 보안 그룹에 제한되지 않은 SSH 접근이 있나? " 
  2. " 버킷에 공용 액세스가 있나?"
  3. " 시간이 지나며 변화한 ALB 구성이 있나? "
• 이럴 경우 규칙이 규정을 준수하든 아니든 변화가 생길 때마다 SNS 알림을 받을 수 있다.
• Config 는 리전별 서비스이기 때문에 모든 리전별로 구성해야 하며 데이터를 중앙화 하기 위해 리전과 계정 간 데이터를 통합할 수 있다.
• 또한 모든 리소스의 구성을 S3 에 저장해 나중에 분석할 수도 있다.
• Config 에는 어떤 규칙이 적용될까?
  1. AWS 관리형 Config 규칙 : 75 종의 규칙이 있으며, 스스로 Config 규칙을 만들어도 된다. 그런 경우 Lambda 를 이용해 스스로 규칙을 정의해야한다.
• 구성의 개요와 리소스 규정 준수 여부는 Config 규칙을 통해 알 수 있다.
• 보안 그룹은 규정 미준수 상태이다. 그리고 리소스 구성도 시간별로 볼 수 있는데, 언제, 누가 변경했는지 등을 볼 수 있다. -> 이걸 CloudTrail 과 연결해 리소스에 대한 API 호출을 볼 수 있다.

Config Resource

 

 

 

• Config 내에서 행동을 차단할 수는 없지만 SSM 자동화 문서를 이용해서 규정을 준수하지 않는 리소스를 수정할 수 있다.
• 가령 IAM 액세스 키의 만료 여부를 모니터링 한다고 할 때,
  1. 키가 90 일 이상 보관된 경우 이는 규정을 준수하지 않은 상태이다.
  - > 규정 미준수를 예방하지는 못하지만, 리소스가 규정을 미준수할 때마다 수정 작업을 트리거 할 수 있다는 것이다.
  RevokeUnusedIAM UserCredentials 라는 이름의 SSM 문서가 있고 이걸 이용한다고 하면, 그리고 이게 리소스에 적용된다고 하면 이 경우 SSM 문서가 IAM 액세스 키를 비활성화한다.
• 만약 계속 스크립트를 하고 싶다면 람다 함수를 실행하는 문서를 생성하여 원하는 작업을 수행할 수도 있다.
• 수정 작업은 재시도 될 수 있다.

Config Remediations

 

• Config 의 알림에서는 EventBridge 를 사용해 리소스가 규정을 미준수했을 때마다 알림을 보낼 수 있다.
  -> 예를 들어 보안 그룹으을 모니터링하다가 규정 미준수 상태가 됐다면, EventBridge 에서 이벤트를 트리거 해서 원하는 리소스에 넘길 수 있는 것 이다.

 

 

 

•  또는 모든 구성 변경과 모든 리소스의 규정 준수 여부 알림을 Config 에서 SNS 로 보낼 수도 있다.