AWS Config Rules는 AWS 리소스의 구성 상태를 검사하고, 규정 준수 여부를 평가하는 데 사용되는 자동화된 규칙입니다.
AWS Config와 함께 사용되며, 리소스가 규칙을 따르지 않을 때 이를 탐지해 알려줍니다.
1. 주요 특징
1. 관리형 규칙(Managed Rules)
- AWS에서 사전 정의된 75개 이상의 규칙 제공.
- 간단한 설정으로 바로 사용 가능.
- 예 : EBS 볼륨이 gp2 유형인지 확인 / EC2 인스턴스가 t2.micro 유형인지 확인
2. 사용자 정의 규칙 (Custom Rules)
- 사용자 정의 규칙은 AWS Lambda 함수를 통해 작성해야 함
- 더 복잡한 요구사항을 다룰 수 있음
3. 규칙 평가 트리거
- 구성 변경 발생 시 : 리소스가 변경될 때 규칙을 평가
- 정기적 평가 : 일정 간격으로 규칙을 실행하여 구성 상태를 평가
4. 읽기 전용 (No Action Enforcement)
- Config Rules는 규정을 위반한 구성을 탐지만 할 수 있으면 이를 직접적으로 차단(deny)하지는 않음
- 규정 위반 시 알림을 통해 문제를 알려주고, 추가 작업(예 : Lambda 함수)으로 수정 가능
2. 사용 사례
1. 규정 준수 확인
- 모든 EBS 디스크가 암호화 되었는지 평가
- S3 버킷에 퍼블릭 액세스가 차단되었는지 확인
2. 리소스 표준화
- 모든 EC2 인스턴스가 특정 크기(예 : t2.micro)인지 확인
- 특정 태그를 가진 리소스만 배포되었는지 평가
3. 보안 정책 적용
- 보안 그룹 규칙이 특정 포트를 차단하고 있는지 확인
- IAM 사용자가 MFA(Multi-Factor Authentication)를 사용하고 있는지 확인
4. 비용 관리
- 리소스가 과도한 크기로 배포되지 않았는지 평가
3. 결론
AWS Config Rules는 AWS 리소스의 규정 준수를 자동화된 방식으로 관리할 수 있게 해주는 강력한 도구입니다. 관리형 규칙으로 간단한 검사를 수행하고, 사용자 정의 규칙으로 고급 요구사항을 다룰 수 있습니다. 이를 통해 보안 강화, 비용 절감, 운영 효율성을 동시에 달성할 수 있습니다.
아는 만큼 보인다