[AWS] AWS Config CloudTrail 로그 분석

 AWS Config 

AWS Config는 AWS 계정에 있는 AWS 리소스의 구성을 자세히 보여 준다.

 이러한 보기에는 리소스 간에 어떤 관계가 있는지와 리소스가 과거에 어떻게 구성되었는지도 포함되므로, 시간이 지나면서 구성과 관계가 어떻게 변하는지 확인할 수 있다.

한AWS 리소스가 다음과 같은 방식으로 작업을 수행할 수 있는 개체를AWS를 통해  EC2 인스턴스, EBS 볼륨, 보안 그룹 또는 VPC 를 사용할 수 있다 .

실습

• AWS Config를 활성화 
• AWS managed rules에서 restricted-ssh 규칙을 추가.
• 위에서 생성한 규칙에 아래와 같은 remediation을 추가.
• Method: Automatic remediation
• Action: AWS-DisablePublicAccessForSecurityGroup
• Resource ID parameter: GroupId
• AutomationAssumeRole: Outputs에 나온 AutomationRoleArn
• 아래와 같은 인바운 규칙을 가진 보안그룹을 생성.
• Type: SSH
• Source: Anywhere
• 보안그룹 생성 후 5 - 10분쯤 지나면 인바운드 규칙이 삭제된 것을 확인.
  

aws config 활성화 

기존의 AWSConfig 역할 추가 

실습용으로 생성된 버킷을 연결한다 . 

restricted ssh 규칙을 추가 하고 완료한다 . 

remediation을 추가

Method: Automatic remediation

Action: AWS-DisablePublicAccessForSecurityGroup

Resource ID parameter: GroupId

AutomationAssumeRole: Outputs에 나온 AutomationRoleArn

보안그룹 생성 

아래와 같은 인바운 규칙을 가진 보안그룹을 생성.

• Type: SSH
• Source: Anywhere

보안그룹의 삭제 확인

생성후 5분에서 10분 후 보안그룹이 config에 의해 삭제되는것을 확인한다 .

생성한 보안그룹의 이름을 변경하려고 하자 존재하지 않는다는 문구가 뜬다 .