[ AWS Product ] AWS Config란?

AWS Config

 

🌳 AWS Config란?

      ◾️ 리소스의 구성 및 관계에 대한 지속적인 진단, 감사 및 평가를 수행

      ◾️ 리소스가 관련되어 있는 방식과 과거에 리소스가 구성되었던 방식이 포함

      ◾️ 따라서 구성 및 관계가 시간 경과에 따라 어떻게 변경되는지 확인할 수 있다.

 

🌳 AWS Resources(리소스)란?

      ◾️EC2 인스턴스, EBS 볼륨, 보안 그룹 또는 Amazon VPC와 같이 AWS에서 작업할 수 있는 엔터티

 

🌳 AWS Config 특징

    🌱 Resource management (자원 관리)

          ◾️ AWS Config가 기록할 리소스 유형을 지정

          ◾️요청 및 Configuration 내역에 대한 configuration snapshot을 수신하도록 Amazon S3 버킷을 설정

          ◾️구성 스트림 알림을 보내도록 Amazon SNS를 설정

          ◾️Amazon S3 버킷 및 Amazon SNS 주제에 액세스하는 데 필요한 권한을 AWS Config에 부여함

 

    🌱 Rules and conformance packs (규칙 및 적합성 팩)

          ◾️  AWS Config가 기록된 리소스 유형에 대한 규정 준수 정보를 평가하는 데 사용할 규칙을 지정

          ◾️ 적합성 팩을 사용하거나 AWS 계정에서 단일 엔터티로 배포하고 모니터링할 수 있는

                AWS Config 규칙 및 수정 작업 모음을 사용

 

 

    🌱 Aggregators

          ◾️ 수집기를 사용하여 리소스 인벤토리 및 규정 준수에 대한 중앙 집중식 보기를 가져옴

          ◾️ 여러 AWS 계정 및 AWS 리전에서 단일 계정 및 리전으로

                 AWS Config 구성 및 규정 준수 데이터를 수집하는 AWS Config 리소스 유형

      

    🌱 Advanced queries (고급 쿼리)

          ◾️ 샘플 쿼리 중 하나를 사용하거나 AWS 리소스의 구성 스키마를 참조하여 고유한 쿼리를 작성함.

 

    🌱 Configuration snapshots

          ◾️ 모든 리소스와 해당 구성의 특정 시점 캡처인 구성 스냅샷을 제공

          ◾️ 요청 시 AWS CLI 또는 API를 사용하여 생성되고 지정한 Amazon S3 버킷으로 전달

 

    🌱 Cloud governance dashboard

          ◾️ 비준수 리소스를 신속하게 파악하고 적절한 조치를 취하는 데 도움이 되는 시각적 대시보드를 제공

 

 

    ❓ 데이터 거버넌스( Governance ) ❓

            🐤 데이터의 보안, 개인정보 보호, 정확성, 가용성, 사용성을 보장하기 위해 수행하는 모든 작업

             사람이 취해야 하는 조치, 따라야 하는 프로세스, 데이터의 전체 수명 주기 동안

             이를 지원하는 기술이 포함됨

            🐤 데이터 수집, 저장, 처리, 폐기 방법에 적용되는 내부 표준(데이터 정책)을 설정하는 것을 의미

            이를 통해 누가 어떤 종류의 데이터에 액세스할 수 있고, 어떤 종류의 데이터가 거버넌스 대상인지를 제어

            계 협회, 정부 기관, 기타 이해 관계자가 설정한 외부 표준을 준수하는 것도 데이터 거버넌스에 포함됨

 

 

 

 

🌳 AWS Config 작동 방식

aws config 작동 방식

 

크게 4가지 단계로 이루어짐

 1️⃣ AWS 리소스에서 configuration 변경이 일어난다.

 2️⃣ AWS Config가 변경 사항을 기록하고 지정된 형식으로 표준화한다.

 3️⃣ AWS Config는 자동으로 지정한 configuration과 기록된 configuration을 대비하여 평가한다.

 4️⃣ 콘솔 또는 API를 사용하여 액세스 변경 내역과 규정 준수 결과에 액세스 할 수 있고,

       CloudWatch 이벤트 또는 Amazon SNS를 통해 변경이 발생할 때 알림을 받을 수 있음

       변경 내역과 스냅샷 파일 분석을 위해 S3 버킷에 전달할 수도 있

 

 

 

🌳 AWS Config Use-Case

• AWS에서 애플리케이션을 실행할 때 일반적으로 공동으로 생성하고 관리해야 하는 AWS 리소스를 사용
• 애플리케이션에 대한 수요가 계속 증가함에 따라 AWS 리소스를 추적해야 할 필요성도 증가
• AWS Config는 다음 시나리오에서 애플리케이션 리소스를 감독하는 데 도움이 되도록 설계되었다.

🌱 Resource Administration 🌱 자원 관리	리소스 구성에 대해 더 나은 거버넌스를 실행하고 잘못된 리소스 구성을 감지하려면 언제든지 어떤 리소스가 존재하고 이러한 리소스가 어떻게 구성되는지에 대한 세밀한 가시성이 필요합니다. AWS Config를 사용하면 각 리소스에 대한 호출을 폴링하여 이러한 변경 사항을 모니터링할 필요 없이 리소스가 생성, 수정 또는 삭제될 때마다 알림을 받을 수 있습니다. AWS Config 규칙을 사용하여 AWS 리소스의 구성 설정을 평가할 수 있습니다. AWS Config가 리소스가 규칙 중 하나의 조건을 위반함을 감지하면 AWS Config는 리소스를 비준수로 플래그 지정하고 알림을 보냅니다. AWS Config는 리소스가 생성, 변경 또는 삭제될 때 지속적으로 리소스를 평가합니다.
🌱 Auditing and Compliance🌱 감사 및 규정 준수	내부 정책 및 모범 사례를 준수하는지 확인하기 위해 빈번한 감사가 필요한 데이터로 작업할 수 있습니다. 규정 준수를 입증하려면 리소스의 기록 구성에 액세스해야 합니다. 이 정보는 AWS Config에서 제공합니다.
🌱 Managing and Troubleshooting 🌱  Configuration Changes 구성 변경 관리 및 문제 해결	서로 의존하는 여러 AWS 리소스를 사용하는 경우 한 리소스의 구성을 변경하면 관련 리소스에 의도하지 않은 결과가 발생할 수 있습니다. AWS Config를 사용하면 수정하려는 리소스가 다른 리소스와 어떻게 관련되어 있는지 확인하고 변경의 영향을 평가할 수 있습니다. 또한 AWS Config에서 제공하는 리소스의 기록 구성을 사용하여 문제를 해결하고 문제 리소스의 마지막으로 알려진 양호한 구성에 액세스할 수 있습니다.
🌱Security Analysis🌱 보안 분석	잠재적인 보안 약점을 분석하려면 사용자에게 부여된 AWS Identity and Access Management(IAM) 권한 또는 리소스에 대한 액세스를 제어하는 ​​Amazon EC2 보안 그룹 규칙과 같은 AWS 리소스 구성에 대한 자세한 기록 정보가 필요합니다. AWS Config를 사용하여 AWS Config가 기록 중인 사용자, 그룹 또는 역할에 할당된 IAM 정책을 언제든지 볼 수 있습니다. 이 정보는 특정 시간에 사용자에게 속한 권한을 확인하는 데 도움이 될 수 있습니다. 예를 들어 사용자가 John Doe2015년 1월 1일에 Amazon VPC 설정을 수정할 수 있는 권한이 있는지 여부를 확인할 수 있습니다. 또한 AWS Config를 사용하여 특정 시간에 열린 포트 규칙을 포함하여 EC2 보안 그룹의 구성을 볼 수 있습니다. 이 정보는 보안 그룹이 특정 포트로 들어오는 TCP 트래픽을 차단했는지 여부를 확인하는 데 도움이 될 수 있습니다.