[AWS] AWS Config Rules이란? - 2

1. Config Rules - Remediations(교정) 주요 기능

Remediations는 AWS Config Rules와 함께 동작하며, 규정에 비준수(non-compliant) 상태인 리소스를 자동으로 수정(remediate) 할 수 있도록 지원합니다. 이를 통해 수동 작업을 줄이고 규정 준수 상태를 유지할 수 있습니다.

1. 자동 수정(Autimated Remediation)

• 규정 위반 상태를 발견하면 SSM Automation Documents를 통해 리소스를 자동으로 수정
• 즉, 규정을 위반한 리소스에 대해 사전에 정의된 작업을 시행하여 문제 해결

2. AWS - Managed Automation Documents

• AWS에서 제공하는 표준화된 자동 문서를 활동가능
• 일반적인 규정 위반 사롕에 대한 해결 방법 제공
• 예 : 잘못된 보안 그룹 규칙 수정

3. 사용자 정의 자동화 문서(Custom Automation Documents)

• 사용자 정의 Automation Document를 생성해 고유한 요구사항에 맞는 수정 작업을 작성 가능.
• Automation Document 내부에서 Lambda 함수를 호출하여 더 복잡한 작업을 수행 가능.

4. Remediation Retries (재시도 설정)

• 리소스가 자동 수정 후에도 여전히 규정 준수 상태가 아닐 경우, 재시도 정책을 설정 가능.
• 이를 통해 수정 작업이 실패하더라도 다시 실행하여 문제를 해결할 기회를 제공.

---

2. Config Rules - Notifications(알람) 주요 기능

AWS Config Rules는 AWS 리소스의 상태가 규정 준수 상태에서 벗어날 때 알림을 통해 이를 알려줍니다. 이러한 알림 기능은 운영팀이 신속하게 문제를 파악하고 대응할 수 있도록 도와줍니다.

1. EventBridge를 활용한 알림 트리거

• AWS Config에서 리소스가 NON_COMPLIANT(규정 미준수) 상태로 전환되면, EventBridge가 이벤트를 트리거
• 이 이벤트르 기반으로 다양한 작업을 수행 가능(알림 전송 / 자동 수정 작업 시작 / 로그 생성)

2. SNS를 통한 알림 전송

• 모든 이벤트를 SNS주제(Topic) 에 전송 가능
• 이를 통해 이메일, SMS, Lambda 함수 호출 등 다양한 방식으로 알림 전달
• 예: 규정 위반 상태가 발생했을 때 운영팀에 이메일 알림 전송

3. SNS 필터링

• SNS 필터링을 활용하여 특정 이벤트만 전달 가능.
• 클라이언트 측에서도 이벤트를 필터링해 원하는 이벤트만 처리 가능.
• 예: 특정 규칙 위반 이벤트만 알림으로 수신.

---

3. AWS Config – Aggregators(집계자) 주요 기능

AWS Config Aggregators는 여러 계정과 리전에서 리소스 상태와 규정 준수 데이터를 중앙에서 집계할 수 있도록 도와줍니다. 이를 통해 조직 전체의 리소스 상태를 종합적으로 관리할 수 있습니다.

1. 중앙 관리

• Aggregator(집계자)를 한 계정에서 생성하고, 여러 계정 및 리전의 데이터를 수집.
• 예: 중앙 관리 계정에서 모든 규칙과 리소스 상태를 모니터링.

2. AWS Organizations 통합

• AWS Organizations를 사용하면 개별 계정에서 추가 권한 부여 없이 데이터 집계 가능.
• 비조직 환경에서는 각 계정이 Aggregator에 접근을 허가해야 함.

3. 규칙 관리

• 각 소스 계정(Source Account)에서 개별적으로 규칙 생성.
• 규칙을 중앙에서 관리하려면 CloudFormation StackSets를 활용해 여러 계정에 규칙 배포.

4. 통합된 뷰

• Aggregator는 규정 준수 상태(Compliant/Non-Compliant) 및 리소스 정보를 한 곳에서 제공.
• 관리자는 중앙 대시보드에서 모든 계정의 규정 준수 상태를 확인 가능.