AWS Config

목차

• 정의
• AWS Config 규칙
• 리소스 인벤토리
• Demo - AWS Config를 활용하여 그룹에 속하지 않은 유저 알람

 

정의

• AWS 리소스의 설정과 상태를 모니터링하는 서비스
•  
•  
  • AWS 리소스의 상태 및 상태 변경사항을 저장
  • AWS 리소스가 특정 상태가 유지되도록 규칙 생성 가능
  • AWS 계정에서 사용중인 모든 리소스 인벤토리 생성 가능
• 리전 단위: 각 리전별로 활성화가 필요함
  • 단 애그리게이터(Aggregator)를 사용하면 여러 계정과 리전에 걸쳐 리소스 데이터 수집 및 규칙 구성 가능

 

AWS Config 규칙

• AWS 리소스의 이상적인 구성 상태를 정의
  • 예: 특정 Tag가 지정되어 있어야 함. EC2 인스턴스가 특정 AMI로만 실행되어야 함 등
• 지정한 규칙에 맞는 상태가 아닐 경우 규칙 미 준수 상태로 변경
  • 이후 Amazon EventBridge 등으로 알람 / 대응 가능
• 두가지 종류 
  • AWS 관리 규칙: AWS에서 만든 규칙
  • 사용자 지정 규칙: Lambda 혹은 Guard를 활용해 만든 나만의 로직을 적용한 규칙
    • Guard : AWS의 정책을 코드로 쓸 수 있는 (Policy-As-Code) 일종의 언어
• 두가지 트리거(평가 조건)
  • 특정 리소스가 변경되었을 때 / 지정한 시간마다(예: 매 24 시간 마다)
• 변경 범위
  • 모든 변경 사항: 사용하는 모든 aws 리소스에 대한 변경 사항 기록
  • 리소스: 지정한 리소스에 대한 변경 사항 기록
  • 태그: 태그가 지정된 리소스의 변경 사항 기록

 

리소스 인벤토리

• AWS Config에 의해 기록된 리소스 및 삭제 리소스를 검색 및 조회 가능
  • 리소스의 세부 정보 조회
  • 리소스 구성의 변경사항
  • 리소스 세부사황 및 설정
• 현재 적용중인 규칙
  • 예: 리소스 유형 선택을 해서 찾을 수 있음
  • 토픽 선택하면 누가 언제 어떻게 변경시켰는지 타임라인 확인할 수 있음. 누가 비트코인 채굴을 위해 IAM 수정해서 EC2 변경했는지 다 파악 가능

 

Demo - AWS Config를 활용하여 그룹에 속하지 않은 유저 알람

• IAM 사용자 중 어느 그룹에도 속하지 않은 사용자를 식별하는 AWS Config 규칙 설정
• Amazon EventBrige Alarm을 활용하여 규칙 위반 사용자가 생성되었을 때 알람 받기
  • Event Filtering

 

 

출처: https://www.youtube.com/watch?v=OZkrcrXkaEs&list=PLfth0bK2MgIZsq9C7Cs6_Vp_D8o_V8Qoc