- AWS Config as Recorder: sử dụng AWS Config để lưu trữ lịch sử các sự thay đổi cấu hình của một tài nguyên AWS. Tiện lợi cho việc audit các vấn đề liên quan đến tài nguyên, kết hợp dịch vụ AWS Cloudtrail.
- AWS Config as Compliance: thực hiện các kiểm tra tiêu chuẩn nhằm đảm bảo các tài nguyên AWS đáp ứng được yêu cầu cấu hình liên quan đến bảo mật hệ thống.
Trong bài viết này, chúng ta sẽ đi qua tính năng cơ bản đầu tiên là “AWS Config as Recorder“. Chúng ta không đào sâu lý thuyết tìm hiểu về dịch vụ AWS Config, nội dung đó các bạn có thể tự tìm hiểu ở đây : LINK hoặc một bài viết khác trên site mình khi mình có thời gian viết.
Cấu hình dịch vụ AWS Config lưu trữ sự thay đổi tài nguyên AWS
Chọn các setting:
- Record all resources supported in this region : để theo dõi và ghi lại các sự thay đổi cấu hình với toàn bộ tài nguyên AWS ở region của bạn.
- Include global resources: bao gồm các tài nguyên như IAM, Route53,..
- AWS Config Role: AWS Role quyền mà dịch vụ AWS Config của bạn sẽ sử dụng để tương tác dịch vụ S3, SNS và thực hiện gọi API
Describe
orList
các resource. - Delivery method: chọn S3 bucket mà bạn muốn AWS Config lưu trữ các thông tin lịch sử cấu hình của các tài nguyên. Ví dụ: chưa có bucket thì tạo mới thông qua trình cài đặt này cũng được.
- Amazon SNS Topic: bạn có nhu cầu thông báo sự kiện thay đổi cấu hình tài nguyên hay không ? Nếu có thì chọn SNS Topic mà bạn sử dụng. Thường thì mình không có nhu cầu này, vì sẽ rất là phiền khi nhận thông báo liên tục, chỉ dùng AWS Config cho hoạt động Audit và Compliance kết hợp AWS Cloudtrail.





Kiểm tra tính năng ghi nhận sự thay đổi cấu hình tài nguyên AWS
Okay, giờ mình sẽ tạo một AWS Security Group rỗng không có bất kì inbound rule nào.
Sau khi tạo xong thì có id là: sg-0e5489ef0dc220c7d , thực hiện một số thay đổi như thêm inbound rule, thêm tag,..
Bạn sẽ đợi một thời gian để AWS cập nhật các thông tin resource mới, có vẻ không nhanh đâu.
Bạn sẽ thấy thông tin như “Configuration Iteam” của resource này. Bấm vào “Resource Timeline“, bạn sẽ thấy dòng thời gian các sự kiện thay đổi liên quan đến resource từ Cloudtrail và AWS Config.
Sau một khoảng thời gian 6 tiếng, thì AWS Config sẽ tiến hành lưu trữ thông tin cấu hình của các tài nguyên AWS đang có xuống S3 bucket gồm:
- Configuration History: sẽ chứa các Configuration Item của các resources theo timeline mà AWS Config record được.
- Configuration Snapshot: sẽ chứa các bản snapshot của Configuration Item của các resource vào thời điểm snapshot.
Về cơ bản thì xong việc cấu hình AWS Config cho hoạt động lưu trữ thông tin các sự kiện thay đổi cấu hình các resource nhằm mục đích audit hệ thống rồi đấy.
Nguồn: https://cuongquach.com/