AWS Config
คืออะไร
AWS Config เป็นบริการที่ติดตามและบันทึกการเปลี่ยนแปลง configuration ของ AWS resources ตลอดเวลา ช่วยให้เห็นว่า resource ใดมี configuration อะไรในช่วงเวลาไหน และตรวจสอบว่าตรงตาม compliance policy ที่กำหนดหรือไม่ สามารถ auto-remediate ได้เมื่อพบ non-compliant resources
ราคา
- Configuration items: $0.003/item ที่บันทึก
- Config Rules evaluation: $0.001/rule evaluation
- Conformance packs: รวม pricing ของ rules ภายใน
- Advanced queries: ฟรี
เหมาะสำหรับ
- Continuous compliance monitoring (CIS, PCI-DSS, NIST)
- ตรวจสอบ configuration drift ของ infrastructure
- Security posture assessment
- Change management และ auditing
Use Case ตัวอย่าง
ทีม security ของบริษัทการเงินต้องการให้ Security Group ทุก group ไม่เปิด port 22 (SSH) สู่ 0.0.0.0/0 สาธารณะ จึงสร้าง Config Rule เพื่อตรวจสอบ security groups ทั้งหมดแบบ continuous เมื่อใดที่มีการเปลี่ยนแปลง Config จะประเมินทันทีและถ้าพบว่า non-compliant จะ trigger Lambda เพื่อลบ rule ดังกล่าวออกโดยอัตโนมัติ ทำให้ระบบปลอดภัยตลอดเวลาโดยไม่ต้องรอ manual review