AWS Config

• AWS kaynaklarınızın uyumluluğunu (compliance) denetleme ve kaydetme konusunda yardımcı olur.

• Yapılandırmaları ve zaman içindeki değişiklikleri kaydeder.

• AWS Config ile yanıtlanabilecek bazı sorular:

  • Güvenlik gruplarıma sınırsız SSH erişimi var mı?

  • Bucket’larımın herhangi birinde herkese açık erişim var mı?

  • ALB yapılandırmam zaman içinde nasıl değişti?

• Herhangi bir değişiklik için uyarılar (SNS bildirimleri) alabilirsiniz.

• AWS Config, bölgeye özel (per-region) bir servistir.

• Bölgeler ve hesaplar arasında birleştirilebilir.

• Yapılandırma verilerini S3’e depolayıp Athena ile analiz etme imkanı vardır.

Kurallar:

• AWS’in yönetilen config kurallarını (75’ten fazla) kullanabilirsiniz.

• AWS Lambda’da tanımlanması gereken özel config kuralları oluşturabilirsiniz.

  • Örn: Her EBS diskinin gp2 tipinde olup olmadığını kontrol et.

  • Örn: Her EC2 instance’ın t2.micro olup olmadığını kontrol et.

• Kurallar şu şekilde değerlendirilebilir / tetiklenebilir:

  • Her yapılandırma değişikliğinde

  • Düzenli zaman aralıklarında

• AWS Config Rules, eylemleri engellemez (deny özelliği yoktur).

• Fiyatlandırma: Ücretsiz katman yoktur.

  • Bölge başına kaydedilen her yapılandırma öğesi için $0.003

  • Bölge başına her config kuralı değerlendirmesi için $0.001

Config Kaynakları:

En yaygın 3 kaynak belirtilmiştir.

Düzeltilme

Düzeltme Otomasyonu örneği

• Uyumsuz (non-compliant) kaynakların düzeltilmesini SSM Automation Documents kullanarak otomatikleştirir.

• AWS tarafından yönetilen Automation Document’leri kullanabilir veya özel Automation Document’leri oluşturabilirsiniz.

  • İpucu: Lambda fonksiyonunu tetikleyen özel Automation Document’ler oluşturabilirsiniz.

• Kaynak, otomatik düzeltme (auto-remediation) sonrası hâlâ uyumsuzsa Remediation Retries ayarlanabilir.

Config Ne olmuş sorusuna cevap verirken, CloudTrail Kim yapmış sorusuna cevap var.