Overview
개요 및 배경
- AWS 리소스의 구성 변경 사항을 기록하고 설정된 규칙에 따라 규정 준수(Compliance) 여부를 감사(Audit)하는 서비스임
- 리소스 구성의 시간 경과에 따른 변경 내역을 추적하여 문제 발생 시 원인 파악 및 롤백에 활용함
- 기본적으로 리전별(Per-region) 서비스이나, 다중 리전 및 다중 계정의 데이터를 중앙으로 집계(Aggregate)할 수 있음
- 구성 데이터 기록을 Amazon S3에 저장하고, 서버리스 쿼리 엔진인 Amazon Athena를 활용해 분석 가능함
주요 리소스 및 기능
- Config 규칙 (Config Rules)
- 75개 이상의 AWS 관리형 규칙을 사용하거나, AWS Lambda를 활용해 사용자 지정(Custom) 규칙을 생성함
- 규칙 평가 방식: 리소스 구성이 변경될 때(Configuration changes) 트리거되거나, 정기적인 간격(Regular time intervals)(예: 2시간마다)으로 평가되도록 설정함
- 콘솔에서 리소스의 규정 준수 상태와 변경 타임라인을 확인하며, CloudTrail과 연동하여 해당 변경을 발생시킨 특정 API 호출 내역을 함께 조회함
- 자동 문제 해결 (Auto Remediation)
- 규정을 준수하지 않는(Non-compliant) 리소스를 발견하면 SSM 자동화 문서(SSM Automation Documents)를 트리거하여 구성을 자동으로 복구함
- AWS 관리형 문서를 사용하거나, Lambda 함수를 호출하는 등 사용자 지정 자동화 문서를 생성하여 맞춤형 조치가 가능함
- 자동 조치 실패 시 최대 5회까지 재시도(Retries)를 구성할 수 있음
- 알림 및 이벤트 라우팅
- 상태가 규정 미준수로 변경될 때 Amazon EventBridge를 통해 이벤트를 트리거하고 대상 서비스로 라우팅함
- 모든 구성 변경 내역과 규정 준수 알림을 Amazon SNS로 전송하며, SNS 필터링을 적용해 관리자 이메일이나 Slack 채널 등으로 선별된 알림만 수신함
헷갈리는 포인트 (Tips)
- Config 규칙은 규정 준수 여부를 평가하고 보고할 뿐, IAM 정책처럼 리소스 생성이나 변경 작업을 사전에 차단(Prevent)하거나 거부(Deny)할 수 없음
- 기록되는 구성 항목 수와 규칙 평가 횟수에 비례하여 과금되므로, 리소스 변경이 잦은 환경에서는 비용이 급격히 증가할 수 있어 주의가 필요함
- 규정 위반 리소스(예: 90일이 경과한 IAM Access Key)를 발견 즉시 수정 또는 비활성화하려면 반드시 SSM 자동화 문서(SSM Automation Documents)를 통한 문제 해결(Remediation) 작업과 연동해야 함
'Cloud Native > AWS: Automation' 카테고리의 다른 글
| 15. Organizations & Control Tower (0) | 2026.03.04 |
|---|---|
| 13. CloudTrail (0) | 2026.03.04 |
| 12. EventBridge (0) | 2026.03.04 |
| 11. CloudWatch Logs (0) | 2026.03.04 |
| 10. Systems Manager (SSM) (0) | 2026.03.04 |