AWS Config 핵심 기능 및 설정 3단계
1단계: 리소스 기록(Recording) 활성화
먼저 "녹화 버튼"을 눌러야 합니다.
AWS Config 콘솔에서 [설정(Settings)]으로 이동합니다.
기록 범위: '모든 리소스'를 기록하거나, 비용 절감을 위해 '특정 리소스 유형'(예: EC2, S3, IAM)만 선택할 수 있습니다.
데이터 저장소: 구성 변경 내역(Configuration Items)이 저장될 S3 버킷과 알림을 보낼 SNS 주제를 설정합니다.
2단계: 변경 이력 추적 (Timeline)
문제가 발생했을 때 "범인"을 찾는 가장 빠른 방법입니다.
특정 리소스의 상세 페이지에서 [구성 타임라인(Configuration Timeline)]을 클릭하세요.
어떤 속성이 (예: 포트 80 오픈 -> 22 오픈) 언제, 누구에 의해(CloudTrail 연동) 바뀌었는지 시각적인 타임라인으로 확인할 수 있습니다.
3단계: 규정 준수 확인 (Config Rules)
인프라가 기업의 보안 정책을 잘 따르고 있는지 자동으로 감시합니다.
관리형 규칙(Managed Rules): AWS가 미리 만들어둔 수백 개의 규칙을 사용하세요. (예:
s3-bucket-public-read-prohibited,ec2-instance-no-public-ip)준수 여부 확인: 규칙을 적용하면 리소스 상태가
준수(Compliant)또는미준수(Non-compliant)로 표시됩니다. 미준수 발생 시 즉시 SNS 알림을 받거나 Lambda를 통해 자동으로 수정(Remediation)하게 할 수 있습니다.
AWS Config vs. CloudTrail (비교)
많은 분이 헷갈려 하시지만, 이 둘은 '무엇을 보느냐'가 완전히 다릅니다.
항목 | AWS CloudTrail | AWS Config |
핵심 질문 | "누가(Who)" 호출했는가? | "어떻게(What)" 바뀌었는가? |
기록 대상 | API 호출 로그 (이벤트) | 리소스의 설정 상태 (상태값) |
비유 | 현관문의 출입 기록부 | 거실 가구 배치도의 변천사 |
용도 | 감사, 침해 사고 분석 | 변경 관리, 규정 준수 감사 |
고급 활용: 적합성 팩 (Conformance Packs)
ISMS-P나 CIS Benchmark 같은 표준 규정을 지켜야 한다면 규칙을 하나하나 설정하지 마세요.
Conformance Packs: 특정 규정에 필요한 수십 개의 Config Rule을 하나의 팩으로 묶어 배포하는 기능입니다.
클릭 한 번으로 "우리 인프라가 ISMS-P 기준에 얼마나 부합하는지" 대시보드를 생성할 수 있습니다.
댓글
댓글 0개
이 문서에는 댓글을 달 수 없습니다.