/
AWS Config 수집 설정

AWS Config 수집 설정

AWS Config 연계 가이드

CloudXper의 '컴플라이언스' 기능을 통해 AWS 리소스에 대한 구성 변경 추적 및 컴플라이언스 확인을 위해서는 AWS Config 연동 설정을 추가로 진행해주어야 합니다.

1. 개요

AWS Config에 리소스에 대한 구성 변경 추적 및 컴플라이언스 확인을 위해서는
반드시 Config에 Recorder 가 시작하고 전송 채널 (Delivery Channel ~ S3 bucket)구성이 완료되어있어야 합니다.

AWS Config 활성 상태인지 확인은 아래 AWS 가이드 링크를 참조하시기 바랍니다.
https://docs.aws.amazon.com/ko_kr/config/latest/developerguide/gs-cli-verify-subscribe.html


CloudXper는 고객 클라우드의 Config 정보를 기존 운영 관리에 영향 없이 안전하게 수집하기 위하여

타 계정간 Event 연계 방법인 EventBridge를 통하여 S3 Config Delivery 이벤트를 연계합니다.



  1. 고객 클라우드에서 Config 정보가 S3 Config Bucket에 기록(Delivery Completed)된 이후, Event를 EventBridge로 CXP로 전달합니다.

  2. 기록 완료 Event (Snapshot / History Delivery Completed)에는 S3 Config Bucket, Object Key외 기록 일시 정보를 포함합니다.

  3. CXP 수집 Lambda는 기 설정된 고객 계정의 인증방식에 따라 인증을 거쳐 S3 API로 고객 계정의 S3 Config Bucket을 조회합니다.


2. Event Bus 설정 (선택)

Event Bus는 클라우드 계정에 다양한 소스로부터 발생되는 이벤트 중 Rule ( Event Pattern)에 일치하는 Event만 수신/연계합니다.
Rule을 생성하기 전에 기본 (Default) Event Bus이 아닌 다른 Event Bus에 생성하시려면,

아래와 같이 Custom Event Bus에 생성할 수 있습니다. (하단 참조) 이를 위한 Custom Event Bus를 생성합니다.





  1. Event bus의 Name을 입력합니다.

  2. Resource-based policy에는 고객 클라우드 내 이벤트만 수신하기 때문에 설정하지 않습니다


3. Rule 생성

S3 Config Bucket에 Snapshot 과 History 파일을 기록한 이벤트(Delivery Event)를 연계하기 위한 규칙을 생성합니다.

연계할 Event 대상은 Snapshot과 History 로 만일, Config의 Snapshot Delivery 설정을 안되어있다면,  History 이벤트 연계 설정만 합니다.

다만, Snapshot 설정이 안되어있거나, 일부 리소스만 기록하도록 설정된 경우, 변경 사항을 추적하는 데 제한이 있을 수 있습니다.

 

규칙 생성/변경 단계는 5단계로 되어있으며, 필수 단계인 1~3단계는 다음과 같습니다.

  1. Define Rule Detail : Rule 기본 설정

  2. Build Event Pattern : 연계할 Event 패턴 설정

  3. Select Target(s) : Event 연계 대상 설정

  4. Configure Tags

  5. Review and create

앞에서 Custom Event Bus를 생성하였다면 Select event bus의 Event bus목록에서 선택합니다.

3.1. Snapshot Delivery Event Rule 설정

S3 Config Bucket에 Snapshot 기록완료 이벤트를 CloudXper의 EventBridge와 연계하기 위한 Rule을 생성합니다.

3.1.1. Rule 기본 정보 입력

생성할 Rule의 이름과 설명을 입력합니다.




  • Name : 규칙 이름

  • Description: 규칙 설명

  1. Rule이 설정될 Event Bus를 선택합니다. 앞에서 Event Bus를 별도로 생성하였다면 생성한 Event bus를 선택합니다.

  2. Rule Type은 AWS Config Service에서 발생된 Event를 연계하기 때문에 Rule with an event pattern 을 선택합니다.

3.1.2. Event Pattern 설정

AWS Config Service에서 발생된 Delivery Event를 연계하기 위하여 Event Source와 Pattern을 설정합니다.






  1. Event Source:  AWS Service목록 중  Config 를 선택합니다.

  2. Event type: 수신할 Event 유형으로 “Config Configuration Snapshot Delivery Status”를 선택합니다.

  3. Specific message type을 지정합니다. “Specific message type(s)”를 선택 후 아래 message type목록에서 “ConfigurationSnapshotDeliveryCompleted”를 선택합니다.