Cấu hình dịch vụ AWS Config lưu trữ sự thay đổi tài nguyên AWS

28
Cấu hình dịch vụ AWS Config lưu trữ sự thay đổi tài nguyên AWSCuongquach.com | Chúng ta cùng thực hành cấu hình dịch vụ AWS Config cho các hoạt động auditcompliance đảm bảo tính bảo mật hệ thống cloud AWS của bạn nhé.
Như chúng ta biết thì AWS Config có 2 lý do sử dụng phổ biến nhất:
  • AWS Config as Recorder: sử dụng AWS Config để lưu trữ lịch sử các sự thay đổi cấu hình của một tài nguyên AWS. Tiện lợi cho việc audit các vấn đề liên quan đến tài nguyên, kết hợp dịch vụ AWS Cloudtrail.
  • AWS Config as Compliance: thực hiện các kiểm tra tiêu chuẩn nhằm đảm bảo các tài nguyên AWS đáp ứng được yêu cầu cấu hình liên quan đến bảo mật hệ thống.

Trong bài viết này, chúng ta sẽ đi qua tính năng cơ bản đầu tiên là “AWS Config as Recorder“. Chúng ta không đào sâu lý thuyết tìm hiểu về dịch vụ AWS Config, nội dung đó các bạn có thể tự tìm hiểu ở đây : LINK hoặc một bài viết khác trên site mình khi mình có thời gian viết.

aws-config-as-recorder-thumbnail

Cấu hình dịch vụ AWS Config lưu trữ sự thay đổi tài nguyên AWS

Cấu hình dịch vụ AWS Config để ghi nhận và lưu trữ (record) các sự thay đổi cấu hình liên quan các tài nguyên AWS Service (AWS Config as Recoder).
Bạn vào Console > AWS Config > Get Started , cho lần đầu setup.

Chọn các setting:

  • Record all resources supported in this region : để theo dõi và ghi lại các sự thay đổi cấu hình với toàn bộ tài nguyên AWS ở region của bạn.
  • Include global resources: bao gồm các tài nguyên như IAM, Route53,..
  • AWS Config Role: AWS Role quyền mà dịch vụ AWS Config của bạn sẽ sử dụng để tương tác dịch vụ S3, SNS và thực hiện gọi API Describe or  List các resource.
  • Delivery method: chọn S3 bucket mà bạn muốn AWS Config lưu trữ các thông tin lịch sử cấu hình của các tài nguyên. Ví dụ: chưa có bucket thì tạo mới thông qua trình cài đặt này cũng được.
  • Amazon SNS Topic: bạn có nhu cầu thông báo sự kiện thay đổi cấu hình tài nguyên hay không ? Nếu có thì chọn SNS Topic mà bạn sử dụng. Thường thì mình không có nhu cầu này, vì sẽ rất là phiền khi nhận thông báo liên tục, chỉ dùng AWS Config cho hoạt động Audit và Compliance kết hợp AWS Cloudtrail.
Bạn có sử dụng AWS Config Rules cho hoạt động Compliance không ? Ở bài viết này ta không đi sâu sử dụng Compliance AWS Config, nên cứ bỏ qua trước nhé.
Ok done nhé.
Lúc này bạn kiểm tra ở phần “Setting” chức năng, xem đã kích hoạt tính năng “Recorder” chưa. Khi bạn kích hoạt tính năng này thì AWS sẽ tính tiền dịch vụ. Còn khi tắt đi thì sẽ không tính tiền.
Nếu lần đầu cài đặt AWS Config, dịch vụ sẽ mất vài phút để tiến hành tìm kiếm thông tin về các tài nguyên AWS trên tài khoản của bạn.
Sau đó, bạn vào phần Dashboard để xem thống kê các tài nguyên mà AWS Config đã tìm thấy.

Kiểm tra tính năng ghi nhận sự thay đổi cấu hình tài nguyên AWS

Okay, giờ mình sẽ tạo một AWS Security Group rỗng không có bất kì inbound rule nào.

Sau khi tạo xong thì có id là: sg-0e5489ef0dc220c7d , thực hiện một số thay đổi như thêm inbound rule, thêm tag,..

Bạn sẽ đợi một thời gian để AWS cập nhật các thông tin resource mới, có vẻ không nhanh đâu.

Bạn sẽ thấy thông tin như “Configuration Iteam” của resource này. Bấm vào “Resource Timeline“, bạn sẽ thấy dòng thời gian các sự kiện thay đổi liên quan đến resource từ Cloudtrail và AWS Config.

Sau một khoảng thời gian 6 tiếng, thì AWS Config sẽ tiến hành lưu trữ thông tin cấu hình của các tài nguyên AWS đang có xuống S3 bucket gồm:

  • Configuration History: sẽ chứa các Configuration Item của các resources theo timeline mà AWS Config record được.
  • Configuration Snapshot: sẽ chứa các bản snapshot của Configuration Item của các resource vào thời điểm snapshot.

Về cơ bản thì xong việc cấu hình AWS Config cho hoạt động lưu trữ thông tin các sự kiện thay đổi cấu hình các resource nhằm mục đích audit hệ thống rồi đấy.

Nguồn: https://cuongquach.com/

LEAVE A REPLY

Please enter your comment!
Please enter your name here