AWS Config
AWS Config เป็นบริการ ตรวจสอบ compliance ของ resources โดยบันทึกการเปลี่ยนแปลง configuration ตลอดเวลา
คุณสมบัติหลัก
- บันทึก configuration changes ของ resources ตลอดเวลา
- ทำงาน per-region (สามารถ aggregate ข้าม regions/accounts)
- Config Rules — ตรวจสอบว่า resources เป็นไปตาม policy หรือไม่:
- Managed Rules — rules สำเร็จรูปจาก AWS (150+)
- Custom Rules — เขียนเองด้วย Lambda
- Remediation — แก้ไขอัตโนมัติผ่าน SSM Automation Documents
- แจ้งเตือนผ่าน EventBridge และ SNS
ตัวอย่าง Config Rules
- EC2 instances ต้องไม่มี public IP
- EBS volumes ต้อง encrypted
- Security Groups ต้องไม่เปิด port 22 ให้ 0.0.0.0/0
- S3 buckets ต้องไม่เป็น public
สิ่งสำคัญ
- Config ไม่ได้ป้องกัน การเปลี่ยนแปลง — แค่ ตรวจจับและแจ้งเตือน
- ใช้ร่วมกับ CloudTrail เพื่อดูว่า ใคร เปลี่ยนอะไร
สรุป
- AWS Config บันทึก configuration changes ของ resources ตลอดเวลา
- ใช้ Config Rules ตรวจสอบ compliance (Managed Rules 150+ หรือ Custom Rules)
- Remediation แก้ไขอัตโนมัติผ่าน SSM Automation Documents
- Config ไม่ได้ป้องกัน การเปลี่ยนแปลง แค่ ตรวจจับและแจ้งเตือน
- ใช้ร่วมกับ CloudTrail เพื่อดูว่าใครเป็นคนเปลี่ยน