AWS Config là gì?

AWS Config là dịch vụ cho phép bạn:

• Theo dõi cấu hình của các tài nguyên AWS.
• Ghi lại thay đổi (configuration history).
• Đánh giá compliance dựa trên các rule được định nghĩa.

Config giúp doanh nghiệp đảm bảo:

• Bảo mật & compliance (PCI-DSS, HIPAA, ISO…).
• Quản lý rủi ro bằng cách phát hiện thay đổi ngoài ý muốn.
• Khả năng audit (ai thay đổi cấu hình, thay đổi gì, lúc nào).

Cách hoạt động

1. AWS Config theo dõi tài nguyên trong account (EC2, S3, IAM, VPC…).
2. Mỗi khi có thay đổi (tạo, xoá, chỉnh sửa), Config sẽ ghi lại:
   • Chi tiết cấu hình (configuration snapshot).
   • Lịch sử thay đổi (configuration history).
   • Nguồn thay đổi (CloudTrail integration).
3. So sánh cấu hình hiện tại với Config Rules để kiểm tra compliance.
4. Có thể gửi kết quả sang:
   • S3 (lưu trữ lâu dài).
   • CloudWatch Events / EventBridge (tự động phản ứng).
   • SNS (gửi thông báo).

Thành phần chính

1. Configuration Recorder

• Ghi lại các thay đổi cấu hình tài nguyên.

2. Delivery Channel

• Nơi Config gửi dữ liệu (S3, SNS).

3. Config Rules

• Tập hợp các điều kiện để kiểm tra compliance.
• Có thể dùng AWS Managed Rules (được AWS cung cấp sẵn) hoặc Custom Rules (dùng Lambda).

4. Aggregator

• Thu thập dữ liệu Config từ nhiều account / region → quản lý tập trung.

Config Rules

Một Config Rule định nghĩa trạng thái “compliant” hay “non-compliant” của tài nguyên.

• Managed Rules: AWS đã định nghĩa sẵn (ví dụ: s3-bucket-public-read-prohibited).
• Custom Rules: Người dùng tự định nghĩa bằng AWS Lambda.

Ví dụ Managed Rule: kiểm tra bucket S3 có public không.

aws configservice put-config-rule \
  --config-rule '{
    "ConfigRuleName": "s3-bucket-public-read-prohibited",
    "Source": {
      "Owner": "AWS",
      "SourceIdentifier": "S3_BUCKET_PUBLIC_READ_PROHIBITED"
    }
  }'

So sánh CloudTrail vs AWS Config