AWS DevOps Pro - AWS Config

AWS Certified DevOps Engineer - Professional

https://d1.awsstatic.com/ko_KR/training-and-certification/docs-devops-pro/AWS-Certified-DevOps-Engineer-Professional_Sample-Questions.pdf

https://d1.awsstatic.com/ko_KR/training-and-certification/docs-devops-pro/AWS-Certified-DevOps-Engineer-Professional_Sample-Questions_C02.pdf

DOP-001 시험 준비용으로 공부한 내용 정리중입니다.

그런데 왜 다음 개정이 DOP-C02 인지 모르겠네요 DOP-002 아닌가...

DOP-C01 이라고 쓰시는 분도 있는거 같기도 하구요...

 

 AWS Config에 대해 알아봅시다.

https://docs.aws.amazon.com/ko_kr/config/latest/developerguide/WhatIsConfig.html

AWS Config이란 무엇입니까? - AWS Config

리소스 구성 및 관계에 대한 지속적인 진단, 감사 및 평가

- 리소스 구성 변경을 지속적으로 액세스, 모니터링, 기록하여 변경 사항 관리를 간소화할 수 있습니다.

- 조직의 정책에 따라 지속적으로 리소스 구성의 규정 준수를 감사하고 평가할 수 있습니다.

- 계정의 특정 이벤트에 대한 구성 변경의 연관성을 분석하여 운영 문제 해결을 간소화할 수 있습니다.

사용 사례

운영 문제 해결 및 변경 관리 간소화

- 계정에 있는 리소스를 검색하고, 해당 구성을 기록하고, 변경 사항을 캡처하여 운영 문제를 신속하게 해결

 

코드형 규정 준수 프레임워크 배포

- 규정 준수 요구 사항을 AWS Config 규칙으로 코드화하고 수정 작업을 작성하여 조직 전체의 리소스 구성 평가를 자동화

 

지속적인 보안 모니터링 및 분석 감사

- 잠재적 취약성에 대한 리소스 구성을 평가하고 잠재적 인시덕트 후 구성 기록을 검토하여 보안 상태 검사

 

AWS Config 작동 방식

계정에 있는 AWS 리소스를 찾고, 각 리소스에 대한 구성 항목 생성

- 구성항목: 메타데이타, 어트리뷰트, 관계, 현재 구성

계정 내 각 리소스에 대한 Describe 또는 List API 호출, 모든 변경 사항 추적

예) VPC 보안 그룹에서 송신 규칙을 제거하면 AWS Config가 해당 보안 그룹에 Describe API를 호출합니다. 그런 다음 AWS Config는 해당 보안 그룹과 연결된 모든 인스턴스에 Describe API를 호출합니다. 보안 그룹 및 각 인스턴스의 업데이트 된 구성은 구성 항목으로 기록되고 구성 스트림을 통해 S3 버킷으로 전송

AWS Config 규칙을 사용하면 리소스 구성이 원하는 설정인지 지속적으로 평가

각 규칙은 이 규칙에 대한 평가 논리가 포함된 AWS Lambda 함수와 연결

즉 AWS Config는 리소스를 평가할 때 해당 규칙의 AWS Lambda 함수 호출

람다 함수는 리소스의 준수 상태를 반환, 조건을 위반하면 규칙 미준수로 표시, 리소스의 규정 준수 상태가 변경되면 Amazon SNS 주제에 알림을 보냄

 

6시간마다 S3로 구성 기록 파일을 보냄, 변경이 없으면 안보냄

 

모범사례

https://aws.amazon.com/ko/blogs/mt/aws-config-best-practices/

AWS Config best practices | Amazon Web Services

 

문제 AWS CloudTrail과 차이

 

한 회사에서 Amazon S3를 사용하여 독점 정보를 저장합니다. 개발팀은 매일 새 프로젝트를 위한 버킷을 만듭니다. 보안 팀은 기존 및 향후 모든 버킷에 암호화, 로깅 및 버전 관리가 활성화되어 있는지 확인하고자 합니다. 또한 어떤 버킷도 공개적으로 읽거나 쓸 수 있어서는 안 됩니다. DevOps 엔지니어는 이러한 요구 사항을 충족하기 위해 무엇을 해야 합니까?

(B) AWS Systems Manager 문서를 사용하여 AWS Config 규칙을 활성화하고 자동 치료를 구성하십시오.

 

 한 의료 서비스 회사는 환자 건강 모니터링 애플리케이션의 소프트웨어 라이선스 비용 증가에 대해 우려하고 있습니다. 회사는 애플리케이션이 Amazon EC2 전용 호스트에서만 실행되고 있는지 확인하기 위한 감사 프로세스를 만들려고 합니다. DevOps 엔지니어는 규정 준수를 보장하기 위해 애플리케이션을 감사하는 워크플로를 만들어야 합니다. 엔지니어는 관리 오버헤드를 최소화하면서 이 요구 사항을 충족하기 위해 어떤 조치를 취해야 합니까?

 

(C) AWS Config을 사용하십시오. 해당 지역의 모든 Amazon EC2 리소스에서 구성 기록을 활성화하여 감사 대상이 되는 모든 EC2 인스턴스를 식별합니다. “구성-규칙-변경-트리거” 청사진을 사용하여 AWS Lambda 함수를 트리거하는 사용자 지정 AWS Config 규칙을 생성하십시오. Lambda EvaluateCompliance () 함수를 수정하여 인스턴스가 EC2 전용 호스트에서 실행되지 않는 경우 NON_COMPLIANT 결과를 반환하도록 호스트 배치를 확인하십시오. AWS Config 보고서를 사용하여 비준수 인스턴스를 해결하십시오.

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-hosts-aws-config.html 

Track configuration changes - Amazon Elastic Compute Cloud

https://aws.amazon.com/about-aws/whats-new/2015/11/use-aws-config-to-track-ec2-instances-on-dedicated-hosts-and-assess-license-compliance/

Use AWS Config to track EC2 Instances on Dedicated Hosts and assess license compliance

 

보안 팀에서는 Amazon EC2 인스턴스에 연결된 모든 Amazon EBS 볼륨에 AWS 키 관리 서비스 (AWS KMS) 암호화가 활성화되어 있어야 합니다. 암호화가 활성화되지 않은 경우 회사 정책에 따라 EBS 볼륨을 분리하고 삭제해야 합니다. DevOps 엔지니어는 암호화되지 않은 EBS 볼륨의 검색 및 삭제를 자동화해야 합니다. 엔지니어는 최소한의 운영 노력으로 이 작업을 수행하기 위해 어떤 방법을 사용해야 합니까?

(C) AWS Config에서 규칙을 생성하여 암호화되지 않은 EBS 볼륨과 연결된 EBS 볼륨을 확인합니다. 구독하기. AWS Lambda 함수는 AWS Config에서 변경 알림을 보내는 Amazon SNS 주제에 대한 함수입니다. Lambda 함수는 변경 알림을 확인하고 규정을 준수하지 않는 모든 EBS 볼륨을 삭제합니다.

https://docs.aws.amazon.com/ko_kr/config/latest/developerguide/encrypted-volumes.html https://docs.aws.amazon.com/ko_kr/config/latest/developerguide/evaluate-config_develop-rules_examples.html

AWS Config 규칙의 AWS Lambda 함수 및 이벤트 예제 - AWS Config

 

한 정부 기관이 매우 중요한 기밀 파일을 암호화된 Amazon S3 버킷에 저장하고 있습니다. 에이전시는 페더레이션 액세스를 구성했으며 특정 온-프레미스 Active Directory 사용자 그룹만 이 버킷에 액세스하도록 허용했습니다. 이 기관은 감사 기록을 유지하고 관리자가 이러한 제한된 통합 액세스를 제공하는 데 사용되는 IAM 정책에 대해 수행한 우발적인 변경을 자동으로 감지하여 되돌리려고 합니다. 다음 옵션 중 이러한 요구 사항을 충족하는 가장 빠른 방법은 무엇입니까?

(B) 구성 변경을 감지하고 AWS Lambda 함수를 실행하여 변경 사항을 되돌리도록 AWS Config 규칙을 구성합니다.

회사는 내부 비즈니스 팀이 사전 승인된 AWS CloudFormation 템플릿을 통해서만 리소스를 시작하도록 요구합니다. 보안 팀은 리소스가 예상 상태를 벗어나면 자동 모니터링이 필요합니다. 이러한 요구 사항을 충족하려면 어떤 전략을 사용해야 합니까?

(C) 사용자가 AWS Service Catalog만 사용하여 CloudFormation 스택을 배포할 수 있도록 허용 시작 제약 조건 사용을 강제하십시오. AWS Config 규칙을 사용하여 리소스가 예상 상태에서 벗어난 시점을 감지하십시오.

https://aws.amazon.com/about-aws/whats-new/2019/01/aws-config-adds-support-for-aws-service-catalog/

AWS Config, AWS Service Catalog에 대한 지원 추가

 

보안 팀은 개발자가 실수로 프로덕션 환경의 Amazon EC2 인스턴스에 엘라스틱 IP 주소를 연결할 수 있다고 우려하고 있습니다. 어떤 개발자도 인스턴스에 엘라스틱 IP 주소를 연결할 수 없어야 합니다. 프로덕션 서버에 엘라스틱 IP 주소가 있는 경우 언제든지 보안 팀에 알려야 합니다. 이 작업을 어떻게 자동화할 수 있습니까?

(B) 개발자의 IAM 그룹에 IAM 정책을 연결하여 연결 주소 권한을 거부합니다. 사용자 지정 AWS Config 규칙을 생성하여 엘라스틱 IP 주소가 프로덕션으로 태그가 지정된 인스턴스와 연결되어 있는지 확인하고 보안 팀에 알립니다.

 

데브옵스 엔지니어는 AWS 조직의 여러 AWS 계정에 있는 모든 IAM 엔티티 구성이 기업 IAM 정책을 준수하는지 확인해야 합니다. 어떤 단계를 조합하여 이 작업을 수행할 수 있을까요? (두 개 선택)

(B) 조직 마스터 계정에서 모든 계정에 대한 AWS Config 애그리게이터를 구성합니다. 

(E) 기업 IAM 정책과 일치하는 조직 내 모든 계정에 AWS Config 규칙을 배포하십시오.

https://docs.aws.amazon.com/ko_kr/config/latest/developerguide/aggregate-data.html

다중 계정 다중 리전 데이터 집계 - AWS Config

 

 

 

https://velog.io/@ragnarok_code/7%EC%9E%A5-%EB%AA%A8%EB%8B%88%ED%84%B0%EB%A7%81-CloudTrail-CloudWatch-AWS-Config

7장 모니터링: CloudTrail, CloudWatch, AWS Config

https://rection34.tistory.com/71

CloudTrail, CloudWatch, AWS Config

https://www.enqdeq.net/282

AWS의 Cloudwatch와 CloudTrail의 차이

Cloudwatch -> What is happening on AWS?

CloudTrail -> Who did what on AWS?