Day 17: AWS Config、Config rules、Dashboard建立

如何布建AWS Config?
1.找到Config

2.侧边选单选择Settings

3.还没有任何组态被记录，按Edit

4.这里可以选择要记录你现在region内的所有资源或是特定资源，如果是选择所有资源可以选择是否连Global的资源，如:IAM一起记录；如果是特定资源，你可以自行选择。
Data retention period可以指定组态的保留天数或是选择最常保留时间7年(2557天)。AWS Config role你可以选择现有的Config role或是从你帐号自建的role来选。

5.接下来你可以选择Config被存在现有的S3 Bucket、新建一个S3 Bucket或是其他帐号的S3 Bucket。
当组态有变动时，你可以透过SNS传送Email到你的信箱，这里一样可以选择现有的、新建一个或是其他帐号的SNS Topic。
最後按下Save就完成了

如何建立Rules?
Config rule能透过AWS代管或是您自定的规则来监控组态，目前一个帐号预设可设定150条rule。

1.侧边选单选择Rules

2.按Add rule

3.这里可选择AWS 代管规则或是自定规则，选择AWS 代管规则可从下面列表选择，选择完按Next；若选择自定则直接按Next

4.选择AWS 代管规则，Detail栏位会自动带入；自定须自行填写名称、叙述以及你要靠哪一只Lambda来帮你执行监控

5.Trigger，选择AWS代管规则，你可以选择多久要执行一次；自订除了可以多久执行一次，你还可以选择当组态变化，里面又有三项1.只要有变更就纪录2.只有资源变动3.Tag变动

6.最後确认完後就按Add rule，就完成了

AWS Config Dashboard
在你设置完规则以及Config监控的组态後，Config会开始扫描你系统内的变化并显示在Dashboard上，你可以看到那些资源目前是违反规则的状态。

1.选择侧边选单Dashboard

2.就可以看到目前帐户中组态哪些是不合规的

3.点进去每一项，会有找出事件的详细叙述

小结
Config能帮你纪录服务的组态，其实是个非常方便的服务，有时候公司云端资源有变动管理人员需要扮演柯南去查到底是不是未经授权或是不小心开启/关闭服务，Config就能够帮助他们来进行相关调查。
很多人可能觉得为什麽要讲Config?因为接下来我们将进到Security Hub，而启用Security Hub的先决条件就是启用Config。