AWS Config 사용해보기

AWS Config는 Cloudtrail을 확인하지 않더라도 AWS 자원에 변동사항이 있으면 기록해주는 기능을 하는 서비스입니다.

보안 혹은 기록의 의미를 두는 개인/기업이라면, 비용은 다소 지불되더라도 활성화하는 것이 효율 적입니다.

기본적으로 AWS Config는 AWS IAM, 사용자 그룹, 역할 및 정책과 같은 글로벌 리소스를 감시하지 않습니다.  만약 필요하다면 아래의 항목을 체크하거나, cli 에서 추가 옵션[includeGlobalResourceTypes=true]을 설정해야합니다.

aws configservice put-configuration-recorder --configuration-recorder name=default,roleARN=[Config-Role-ARN] --recording-group allSupported=true,includeGlobalResourceTypes=true

<콘솔 화면>

AWS Config Console 2018-09-03 09-37-13.png

IAM 리소스[Role(170802testrole)]에서 한 개의 정책을 제거하였더니 정상적으로 기록이 되었습니다.  과거에 설정했던 부분도 기록이 되어 있네요.

AWS Config Console 2018-09-03 10-01-04.png

 

위와 같이 설정이 되었다면, Config Rules를 추가해줘야합니다. Rules는 Config가 어느 자원에 대해서 모니터링 후 비정상 여부 판단을 정의해주는 작업입니다. 우선 오늘은 ec2측만 한 개 설정해 보겠습니다.

AWS Config Console 2018-09-03 09-55-39.png

인스턴스 1개를 STOP 후 START 하였더니 아래와 같이 트리거되어 SNS 알림[모든 변경사항 전달]이 왔습니다.

[AWS Config:ap-northeast-2] AWS::IAM::Role config Created in Account 167306399485 - kgb@mz.co.kr - MEGAZONE 메일 2018-09-03 16-56-03

Config 에도 잘 기록되어 있습니다[Config-SNS-로 오는데].

AWS Config Console 2018-09-03 17-00-41

 

 

Advertisements

답글 남기기

아래 항목을 채우거나 오른쪽 아이콘 중 하나를 클릭하여 로그 인 하세요:

WordPress.com 로고

WordPress.com의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Google+ photo

Google+의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Twitter 사진

Twitter의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Facebook 사진

Facebook의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

%s에 연결하는 중