인프라를 코드로 정의하고 배포한 다음 날, 누군가 콘솔에서 보안 그룹 한 줄을 손으로 바꾼다. 그 한 줄이 며칠 뒤 사고가 된다. 클라우드 운영의 가장 끈질긴 문제는 "선언한 상태(desired state)와 실제 상태(actual state)가 시간이 지나며 벌어진다"는 것 — 바로 드리프트(drift)다. AWS Config는 이 문제를 정면으로 다룬다. "모든 리소스의 상태 변화를 빠짐없이 기록하고, 정책에 맞는지 끊임없이 평가하고, 어긋나면 자동으로 되돌린다." 콘솔에서 보면 Config는 "리소스 인벤토리와 컴플라이언스 점수를 보여주는 서비스"처럼 보이지만, 그 밑에는 제어 이론의 폐루프(closed-loop control), 형상 관리(configuration management)의 역사, 그리고 선언적 정책 평가라는 개념이 깔려 있다. 오늘은 Config가 어떻게 모든 변경을 Configuration Item으로 기록하고, Rule이 어떻게 컴플라이언스를 평가하며, Remediation이 어떻게 SSM Automation으로 어긋난 상태를 자동 교정하는지, 그리고 그 비용과 함정이 어디 있는지를 판다.
DOP 시험에서 Config는 "컴플라이언스 평가 + 드리프트 자동 수정"의 핵심으로, "특정 정책 위반을 사람 없이 즉시 교정하려면", "여러 표준을 한꺼번에 배포하려면", "멀티 계정·리전의 컴플라이언스를 한곳에서 보려면" 같은 시나리오로 등장한다