Config
•
AWS 리소스의 설정을 관리하고 기록 및 평가하는 서비스이다
•
특히 감사용 또는 리소스의 변경사항 확인용으로 사용된다
•
AWS 리소스의 설정이 언제 변경되었는지를 기록하며, 변경 사항이 규칙을 준수하지 않는 경우 "미준 (Noncompliant)"로 기록된다.
•
AWS Config를 활성화하면 아래와 같은 다양한 AWS 리소스의 설정 상태를 감사(audit)할 수 있다.
◦
Security Group의 설정이 변경되었을 때
◦
새로운 S3 버킷이 생성되었을 때
◦
S3의 버전 관리(versioning)가 활성화되어 있는지 확인
◦
S3 버킷에 대해 public으로 쓰기 액세스가 허용되지 않았는지 확인
Rule 생성
•
규칙을 생성할 때는 1)AWS에서 제공하는 규칙을 커스터마이징하거나, 2)Lambda 함수를 사용하여 독자적인 규칙을 추가할 수 있다.
•
예를 들어, AWS 리소스에 대해 용도나 환경 등의 관리를 위해 태그를 부여하고 있는 경우, AWS Config의 "required-tags" 규칙을 사용하여 태그가 빠진 곳이 없는지 확인할 수 있다.
•
EC2, ELB, RDS, Redshift, S3 등의 리소스를 지원한다.
SNS Notifications (SNS 알림)
•
Config에서는 지정된 리소스에 설정 변경이 있을 경우 SNS를 통해 알림을 받을 수 있도록 설정할 수 있다.
•
규칙을 준수하지 않는 리소스가 있을 경우 알림을 받으려면 Amazon EventBridge와 연동해야한다.
•
규칙에 미준수가 된 것을 트리거로 하는 EventBridge의 이벤트 규칙을 생성하고, SNS를 통해 알림을 받을 수 있도록 설정한다.
