(AWS) AWS Config란?

AWS Config를 켜면 먼저 계정에 있는 지원되는 AWS 리소스를 찾고, 각 리소스에 대한 구성 항목을 생성합니다.
또한 AWS Config는 리소스의 구성이 변경되면 구성 항목을 생성하고, 구성 레코더를 시작할 때부터 리소스의 구성 항목에 대한 기록 내역을 유지합니다.

 

AWS Config를 사용하는 케이스

 

리소스 관리
리소스 구성을 보다 효과적으로 관리하고 리소스 구성 오류를 발견하려면, 존재하는 리소스 및 이러한 리소스의 구성 방식을 언제든 세부적으로 파악할 수 있어야 합니다. AWS Config를 사용하여 각 리소스에 대한 호출을 폴링함으로써 리소스가 생성, 수정 또는 삭제될 때마다 모니터링할 필요 없이 이러한 변경 사항에 대한 알림을 받을 수 있습니다.

감사, 보안 및 규정 준수
내부 정책 및 모범 사례를 준수하는지 확인하기 위해 감사가 자주 필요한 데이터를 작업할 수 있습니다. 보안 및 규정 준수를 입증하려면 리소스의 기록 구성에 액세스해야 합니다. 이 정보는 AWS Config에서 제공합니다.

 

AWS Config 규칙을 사용하여 AWS 리소스의 구성 설정을 평가할 수 있습니다. AWS Config에서 리소스가 규칙 중 하나의 조건을 위반했음을 감지하면, AWS Config는 해당 리소스를 규칙 미준수로 표시하고 알림을 보냅니다. AWS Config는 생성, 변경 또는 삭제되는 리소스를 계속해서 평가합니다.

구성 변경 관리 및 문제 해결
서로 의존 관계에 있는 여러 AWS 리소스를 사용하는 경우, 한 리소스의 구성 변경으로 인해 관련 리소스에 의도하지 않은 결과가 발생할 수 있습니다. AWS Config를 통해 수정하고자 하는 리소스가 다른 리소스와 어떤 관계에 있는지 보고, 변경 영향을 평가할 수 있습니다. 또한 AWS Config에서 제공하는 리소스의 기록 구성을 사용하여 문제를 해결하고, 문제 리소스의 마지막으로 성공한 구성을 평가할 수 있습니다.

 

지원되는 리소스 유형

https://docs.aws.amazon.com/ko_kr/config/latest/developerguide/resource-config-reference.html

지원되는 리소스 유형 - AWS Config

 

1. [AWS Console]-[AWS Config] 에 접속합니다.

2. "시작하기"를 클릭합니다.

3. 설정 페이지의 기록할 리소스 유형에서 AWS Config에 기록할 모든 리소스 유형을 지정합니다. 이러한 리소스 유형은 AWS 리소스, 타사 리소스 또는 사용자 지정 리소스입니다.

이 지역에서 지원되는 모든 리소스 기록
모든 AWS Config지원 대상 구성 변경 내용 기록. AWS리소스 유형 및 AWS CloudFormation레지스트리에 등록된 타사 리소스 유형이 모두 포함됩니다. 

글로벌 리소스 포함을 선택하면 글로벌 리소스 유형 (예: IAM 리소스)또한 기록합니다.

특정 리소스 유형 기록
AWS Config는 사용자가 지정한 리소스 유형에 대한 구성 변경만 기록합니다.

4. "AWS Config 역할"에서 적절한 역할을 선택합니다. 
5. "전달 방법"에서 사용할 Amazon S3 버킷을 선택합니다. AWS Config구성 기록 및 구성 스냅샷 파일을 보냅니다.
6. Amazon SNS 주제(Stream configuration changes and notifications to an Amazon SNS topic)를 선택하여 AWS Config구성 기록 전달, 구성 스냅샷 전송 및 규정 준수와 같은 알림을 보냅니다.
7. 추가적인 설정사항이 완료된 이후 다음을 선택합니다. 완료

 

AWS Config 관리형 규칙 이란?

AWS Config에서 제공하는 AWS 관리형 규칙은 사용자 지정 가능한 사전 정의 규칙으로, AWS Config는 이 규칙에 따라 AWS 리소스가 공통 모범 사례에 맞는지 여부를 평가합니다. 관리형 규칙을 사용하면 예를 들어 여부 등을 신속하게 평가하기 시작할 수 있습니다.

 

사용방법

1. [AWS Console]-[AWS Config]-[Rules]에서 "Add Rule"클릭

2. 규칙 페이지에서 다음 작업을 수행할 수 있습니다.
- 검색 필드에 입력하여 규칙 이름, 설명 및 레이블을 기준으로 결과를 필터링합니다. 예를 들어 EC2를 입력하면 EC2 인스턴스 유형을 평가하는 규칙이, 주기적을 입력하면 주기적으로 트리거되는 규칙이 표시됩니다.
- 화살표 아이콘을 선택하여 다음 페이지의 규칙을 봅니다. 최근 추가된 규칙은 신규로 표시됩니다.
3. 만들고자 하는 규칙을 선택합니다.
4. 규칙 구성 페이지에서 단계를 완료하여 규칙을 완성합니다.

※ Choose Remediation Action 섹션에서 후속 조치를 적용할 수 있습니다. 다만, CloudWatch에서 Event를 생성할 경우 더 넓은 범위의 자동 후속 조치 설정이 가능합니다.

 

Data Aggregation 으로 Multi-Account의 컴플라이언스 관리

Aggregator는 다음 소스로부터 AWS Config 구성 및 규정 준수 데이터를 수집하는 AWS Config 리소스 유형입니다.

다중 계정 및 다중 리전
단일 계정 및 다중 리전
의 조직AWS Organizations를 가지고 있는 그 조직의 모든 계정AWS ConfigEnabled

 

사용방법

Aggregator 생성

1. [AWS Console]-[AWS Config]-[Aggregators] 접속

2. 데이터 복제허용을 선택하면 AWS Config 소스 계정의 데이터를 집계자 계정으로 복제합니다.

3. 집계자 이름을 입력합니다.

4. 소스 계정 선택에 대해 데이터를 집계할 소스로 개별 계정 ID 추가 또는 내 조직 추가를 선택합니다.

5. 리전에서 데이터를 집계하려는 리전을 선택합니다.

6. 저장하여 Aggregator 생성을 완료합니다.

 

집계자 계정 및 리전에 대한 권한 부여 추가

1. [AWS Console]-[AWS Config]-[Aggregation] 접속

2. "Add Authorization" 을 클릭합니다.

3. 집계자 계정에 집계자 계정의 12자리 계정 ID를 입력합니다

4. Aggregator가 어떤 리전의 AWS Config 데이타 수집을 허용할 지 선택합니다.

5. Add Aggregation을 선택하여 완성합니다.