AWS 구성

AWS Config는 리소스 변경을 캡처하여 Config에서 지원하는 리소스에 대한 모든 변경 사항을 기록할 수 있습니다. 이는 변경된 내용과 유용한 메타데이터가 기록된 파일인 구성 항목(configuration item, CI)으로 알려진 파일에 저장됩니다. 이 서비스는 지역별로 구성됩니다.

구성 항목 또는 CI는 AWS Config의 주요 구성 요소입니다. 이는 지원되는 리소스의 시점 스냅샷 뷰로 구성 정보, 관계 정보 및 기타 메타데이터를 보유하는 JSON 파일로 구성됩니다. AWS Config가 리소스에 대해 기록할 수 있는 모든 정보가 CI 내에 캡처됩니다. CI는 지원되는 리소스의 구성에 변경이 발생할 때마다 생성됩니다. 영향을 받는 리소스의 세부 정보를 기록하는 것 외에도 AWS Config는 해당 리소스에 직접적으로 관련된 리소스에 대한 CI도 기록하여 해당 리소스에 영향을 미치지 않았는지 확인합니다.

• 메타데이터: 구성 항목 자체에 대한 세부 정보를 포함합니다. CI를 고유하게 식별하는 버전 ID 및 구성 ID가 포함됩니다. 다른 정보로는 동일한 리소스에 대해 이미 기록된 다른 CI와 비교할 수 있도록 해시가 포함될 수 있습니다.

• 속성: 실제 리소스에 대한 일반 속성 정보를 보유합니다. 이 섹션에는 고유한 리소스 ID와 리소스에 연결된 키-값 태그도 포함됩니다. 리소스 유형도 나열됩니다. 예를 들어, EC2 인스턴스에 대한 CI인 경우, 나열된 리소스 유형은 해당 EC2 인스턴스의 네트워크 인터페이스 또는 탄력적 IP 주소일 수 있습니다.

• 관계: 리소스가 가질 수 있는 연결된 관계에 대한 정보를 보유합니다. 이 섹션에서는 해당 리소스와의 관련된 다른 리소스에 대한 명확한 설명을 표시합니다. 예를 들어, CI가 EC2 인스턴스를 위한 것이라면, 관계 섹션에는 EC2 인스턴스가 속한 VPC와 서브넷과의 연결을 보여줄 수 있습니다.

• 현재 구성: AWS CLI에서 수행하는 설명 또는 목록 API 호출을 수행할 때 생성되는 정보와 동일한 정보가 표시됩니다. AWS Config는 동일한 정보를 얻기 위해 동일한 API 호출을 사용합니다.

• 관련 이벤트: 이는 AWS CloudTrail과 관련이 있습니다. 이는 이 CI의 생성을 트리거한 변경과 관련된 AWS CloudTrail 이벤트 ID를 표시합니다. 리소스에 대한 변경이 발생할 때마다 새 CI가 생성됩니다. 따라서 다른 CloudTrail 이벤트 ID가 생성됩니다.

구성 이력: 구성 항목을 통해 리소스의 구성 이력을 얻을 수 있습니다. 구성 이력은 6시간마다 제공되며 특정 리소스 유형에 대한 모든 CI를 포함합니다.

구성 스트림: 구성 항목은 데이터 분석을 가능하게 하기 위해 SNS 주제로 전송됩니다.

구성 스냅샷: 구성 항목은 지원되는 모든 리소스의 시점 스냅샷을 만드는 데 사용됩니다.

S3는 구성 이력 파일 및 데이터의 구성 스냅샷을 단일 버킷 내에 저장하는 데 사용됩니다. 이는 구성 레코더 내에서 정의된 단일 버킷 내에 구성 이력 파일 및 구성 스냃샷을 저장합니다. 여러 AWS 계정이 있는 경우 기본 계정의 S3 버킷에 구성 이력 파일을 집계할 수 있습니다. 그러나 서비스 원칙인 config.amazonaws.com 및 기본 계정의 S3 버킷에 쓰기 액세스 권한을 부여해야 합니다.

작동 방식

• 예를 들어 보안 그룹이나 버킷 액세스 제어 목록에 변경을 가할 때 —> AWS Config에서 감지된 이벤트로 발생

• 모든 것을 S3 버킷에 저장

• 설정에 따라 무언가 변경되면 즉시 람다 함수를 트리거하거나 주기적으로 AWS Config 설정을 확인하기 위해 람다 함수를 예약할 수 있음

• 람다가 Config로 피드백

• 규칙이 위반되면 Config가 SNS를 활성화

구성 규칙

구성 규칙은 리소스 전체에 걸쳐 특정 준수 검사 및 제어를 강제하는 데 도움이 되는 좋은 방법입니다. 각 규칙은 본질적으로 람다 함수로, 호출될 때 리소스를 평가하고 규칙과의 준수 결과를 결정하기 위해 간단한 논리를 수행합니다. 지원되는 리소스 중 하나에 변경이 발생할 때마다, AWS Config는 설정된 규칙에 대한 준수를 확인합니다. AWS에는 사용할 준비가 된 보안 범주에 속하는 여러 사전 정의된 규칙이 있습니다. 예를 들어, Rds-storage-encrypted. 이는 RDS 데이터베이스 인스턴스에서 저장소 암호화가 활성화되었는지 확인합니다. Encrypted-volumes. 이는 첨부된 상태를 가진 모든 EBS 볼륨이 암호화되었는지 확인합니다.

• AWS 관리형 규칙: 많은 모베스트 프랙티스를 다루는 사전 정의된 규칙 세트이므로, 자체 규칙을 설정하기 전에 이러한 규칙을 먼저 살펴보는 것이 항상 좋습니다. 규칙이 이미 존재할 수 있기 때문입니다.

• 사용자 정의 규칙: 특정 사용자 정의 구성을 확인하기 위해 자체 규칙을 생성할 수 있습니다.

지역당 50개의 구성 규칙 제한이 있으며 증가를 위해 AWS에 문의해야 합니다. 준수되지 않는 결과는 삭제되지 않습니다.