Config란?
- AWS 리소스 구성에 대한 진단, 감사 및 평가를 진행하는 서비스
- 2016년 4월 1일 Seoul Region 출시
Config 구성 요소
구성 항목
- 구성 항목은 AWS 리소스의 다양한 속성을 보여줍니다.
- 구성 항목의 구성 요소에는 메타데이터, 속성, 관계, 현재 구성, 관련 이벤트가 있습니다.
구성 레코더
- 구성 레코더는 지원되는 리소스의 구성을 구성 항목으로 저장합니다.
- 구성 레코더는 기본적으로 Config가 실행된 리전에서 지원되는 모든 리소스를 추적합니다. 특정 리소스에 대한 추적을 제외하거나 특정 리소스만 추적하도록 설정할 수 있습니다.
- 지원되는 리소스는 아래 링크 참고 부탁드립니다.
구성 스냅샷
- 구성 스냅샷은 구성 항목의 모음입니다.
- S3 버킷으로 구성 스냅샷을 전송할 수 있습니다.
aws configservice deliver-config-snapshot --delivery-channel-name default
Bash구성 스트림
- 구성 스트림은 리소스가 생성, 수정, 삭제 될 때마다 구성 항목이 자동으로 업데이트된 목록입니다.
리소스 관계
- AWS Config는 AWS 리소스 간의 관계 맵을 만듭니다.
규칙
- Config 규칙은 특정 AWS 리소스 또는 AWS 계정 전체에 대해 원하는 구성을 나타냅니다. Config 규칙을 사용하여 규칙에 위배되거나 규칙을 준수하는 리소스를 식별할 수 있습니다.
- 예시) 보안 그룹의 인바운드 규칙이 TCP 22포트에 0.0.0.0으로 열려있는가? → 보안 그룹1 (위배), 보안 그룹2 (준수)
- Config 규칙은 관리형 규칙과 사용자 지정 규칙이 있습니다.
- 관리형 규칙
- AWS Config에서 사전 정의되고 사용자 지정 가능한 규칙입니다.
- 사용자 지정 규칙
- 사용자가 처음부터 새로 생성하는 규칙입니다. 사용자 지정 규칙을 생성하는 방법에는 Lambda와 Guard 언어를 사용하는 두 가지 방법이 있습니다.
- 관리형 규칙
*해당 문서의 콘솔 화면은 23년 7월 기준입니다. 콘솔 화면은 언제든 달라질 수 있습니다.
Config의 작동 방식
- Config는 리소스에 대한 구성 항목을 생성한 뒤 구성 레코드를 통해 리소스의 구성 항목 에 대한 기록 내역을 유지합니다.
- Config는 Describe, List API를 호출하여 리소스에 대한 변경 사항 추적 및 구성 세부 정보를 캡쳐합니다.
- Config는 S3 (필수), SNS (선택)를 통해 구성 항목을 전달할 수 있습니다.
- Config 규칙을 사용하는 경우 리소스 구성이 규칙에 부합하는지 여부를 지속적으로 평 가합니다.
- 적합성 팩을 통하여 Config 규칙 또는 문제 해결 작업을 AWS Organizations, 단일 계정, 단일 리전에 쉽게 배포할 수 있습니다.
지금까지 간단하게 AWS Config에 대해 알아보았습니다.
추가로 AWS는 Config 서비스를 이용하여 인터넷 진흥원(KISA)의 정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 기준에 맞춰 AWS 리소스를 진단, 관리할 수 있는 규정 준수 팩도 출시하였습니다. 해당 내용에 대한 정보는 AWS 블로그를 참고하시기 바랍니다.
다음 게시물은 Hands On을 통해 Config 규칙을 생성하고 리소스를 감사하는 시간을 가져보겠습니다.
자세한 안내는 AWS의 개발자 안내서를 참고하시기 바랍니다.
AWS 서비스에 관해 문의 사항이나 기술 지원이 필요하시면,
NDS Sales팀으로 연락 주시길 바랍니다.
SA 김도현