Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Automatisches Reaktivieren CloudTrail von AWS mithilfe einer benutzerdefinierten Behebungsregel in AWS Config
Erstellt von Manigandan Shri (AWS)
Umgebung: Produktion | Technologien: Infrastruktur; Betrieb; Sicherheit, Identität, Compliance | AWS-Services: Amazon S3; AWS Config; AWS KMS; AWS Identity and Access Management; AWS Systems Manager; AWS CloudTrail |
Übersicht
Der Überblick über die Aktivitäten in Ihrem Amazon Web Services (AWS) -Konto ist eine wichtige bewährte Methode für Sicherheit und Betrieb. AWS CloudTrail unterstützt Sie bei der Verwaltung, Einhaltung von Vorschriften sowie bei der Betriebs- und Risikoprüfung Ihres Kontos.
Um sicherzustellen, dass dies in Ihrem Konto aktiviert CloudTrail bleibt, stellt AWS Config die cloudtrail-enabled
verwaltete Regel bereit. Wenn sie deaktiviert CloudTrail ist, aktiviert die cloudtrail-enabled
Regel sie mithilfe der automatischen Problembehebung automatisch wieder.
Sie müssen jedoch sicherstellen, dass Sie die bewährten Sicherheitsmethoden für den Fall befolgen, dass CloudTrail Sie die automatische Problembehebung verwenden. Zu diesen bewährten Methoden gehören die Aktivierung CloudTrail in allen AWS-Regionen, das Protokollieren von Lese- und Schreib-Workloads, das Aktivieren von Erkenntnissen und das Verschlüsseln von Protokolldateien mit serverseitiger Verschlüsselung mithilfe von verwalteten Schlüsseln (SSE-KMS) von AWS Key Management Service (AWS KMS).
Dieses Muster hilft Ihnen dabei, diese bewährten Sicherheitsmethoden zu befolgen, indem es eine benutzerdefinierte Abhilfemaßnahme bereitstellt, die in Ihrem Konto automatisch wieder aktiviert wird. CloudTrail
Wichtig: Wir empfehlen die Verwendung von Service Control Policies (SCPs), um jegliche Manipulation zu verhindern. CloudTrail Weitere Informationen dazu finden Sie im AWS-Sicherheitsblog im CloudTrail Abschnitt Verhinderung von Manipulationen mit AWS Organizations, um Sicherheit in großem Umfang zu vereinfachen
Voraussetzungen und Einschränkungen
Voraussetzungen
Ein aktives AWS-Konto
Berechtigungen zum Erstellen eines AWS Systems Manager Automation Automation-Runbooks
Ein vorhandener Trail für Ihr Konto
Einschränkungen
Dieses Muster unterstützt die folgenden Aktionen nicht:
Einen Amazon Simple Storage Service (Amazon S3) -Präfixschlüssel für den Speicherort einrichten
In einem Amazon Simple Notification Service (Amazon SNS) -Thema veröffentlichen
Konfiguration von Amazon CloudWatch Logs zur Überwachung Ihrer CloudTrail Logs
Architektur
![Workflow zur erneuten Aktivierung CloudTrail von AWS mithilfe einer benutzerdefinierten Behebungsregel in AWS Config](images/pattern-img/bbccbc4b-2c75-4d6f-8393-2561254b47b3/images/9d247b02-e240-43e3-b5f5-82cdfe67dd1d.png)
Technologie-Stack
AWS Config
CloudTrail
Systems Manager
Systems Manager Automation
Tools
AWS Config bietet eine detaillierte Ansicht der Konfiguration der AWS-Ressourcen in Ihrem Konto.
AWS CloudTrail unterstützt Sie dabei, die Unternehmensführung, die Einhaltung von Vorschriften sowie die Betriebs- und Risikoprüfung Ihres Kontos zu ermöglichen.
AWS Key Management Service (AWS KMS) ist ein Verschlüsselungs- und Schlüsselverwaltungsservice.
Mit AWS Systems Manager können Sie Ihre Infrastruktur auf AWS anzeigen und steuern.
AWS Systems Manager Automation vereinfacht allgemeine Wartungs- und Bereitstellungsaufgaben von Amazon Elastic Compute Cloud (Amazon EC2) -Instances und anderen AWS-Ressourcen.
Amazon Simple Storage Service (Amazon S3) ist ein cloudbasierter Objektspeicherservice, der Sie beim Speichern, Schützen und Abrufen beliebiger Datenmengen unterstützt.
Code
Die cloudtrail-remediation-action.yml-Datei (angehängt) hilft Ihnen, ein Systems Manager Automation-Runbook zu erstellen, das Sie CloudTrail mithilfe bewährter Sicherheitsmethoden einrichten und erneut aktivieren können.
Epen
Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
---|---|---|
Erstellen Sie einen S3-Bucket. | Melden Sie sich bei der AWS-Managementkonsole an, öffnen Sie die Amazon S3 S3-Konsole und erstellen Sie dann einen S3-Bucket zum Speichern der CloudTrail Protokolle. Weitere Informationen finden Sie unter Erstellen eines S3-Buckets in der Amazon S3 S3-Dokumentation. | Systemadministrator |
Fügen Sie eine Bucket-Richtlinie hinzu, um CloudTrail die Übermittlung von Protokolldateien an den S3-Bucket zu ermöglichen. | CloudTrail muss über die erforderlichen Berechtigungen verfügen, um Protokolldateien an Ihren S3-Bucket zu liefern. Wählen Sie in der Amazon S3 S3-Konsole den S3-Bucket aus, den Sie zuvor erstellt haben, und wählen Sie dann Permissions aus. Erstellen Sie eine S3-Bucket-Richtlinie, indem Sie die Amazon S3 S3-Bucket-Richtlinie für CloudTrail aus der CloudTrail Dokumentation verwenden. Schritte zum Hinzufügen einer Richtlinie zu einem S3-Bucket finden Sie unter Hinzufügen einer Bucket-Richtlinie mithilfe der Amazon S3 S3-Konsole in der Amazon S3 S3-Dokumentation. Wichtig: Wenn Sie bei der Erstellung Ihres Trails in ein Präfix angegeben haben CloudTrail, stellen Sie sicher, dass Sie es in die S3-Bucket-Richtlinie aufnehmen. Das Präfix ist eine optionale Ergänzung zum S3-Objektschlüssel, die eine ordnerähnliche Organisation in Ihrem S3-Bucket erstellt. Weitere Informationen dazu finden Sie in der Dokumentation unter Creating a trail. CloudTrail | Systemadministrator |
Erstellen eines KMS-Schlüssels. | Erstellen Sie einen AWS-KMS-Schlüssel CloudTrail zum Verschlüsseln von Objekten, bevor Sie sie dem S3-Bucket hinzufügen. Hilfe zu dieser Geschichte finden Sie in der Dokumentation unter Verschlüsseln von CloudTrail Protokolldateien mit verwalteten AWS-KMS-Schlüsseln (SSE-KMS). CloudTrail | Systemadministrator |
Fügen Sie dem KMS-Schlüssel eine Schlüsselrichtlinie hinzu. | Fügen Sie eine KMS-Schlüsselrichtlinie hinzu, um die Verwendung des KMS-Schlüssels CloudTrail zu ermöglichen. Hilfe zu dieser Geschichte finden Sie in der Dokumentation unter Verschlüsseln von CloudTrail Protokolldateien mit von AWS KMS verwalteten Schlüsseln (SSE-KMS). CloudTrail Wichtig: Erfordert keine Berechtigungen. CloudTrail | Systemadministrator |
AssumeRole Runbook für Systems Manager erstellen | Erstellen Sie ein | Systemadministrator |
Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
---|---|---|
Erstellen Sie das Systems Manager Automation-Runbook. | Verwenden Sie die | Systemadministrator |
Testen Sie das Runbook. | Testen Sie auf der Systems Manager-Konsole das Systems Manager Automation-Runbook, das Sie zuvor erstellt haben. Weitere Informationen dazu finden Sie in der Systems Manager Manager-Dokumentation unter Ausführen einer einfachen Automatisierung. | Systemadministrator |
Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
---|---|---|
Fügen Sie die CloudTrail -aktivierte Regel hinzu. | Wählen Sie in der AWS Config-Konsole Regeln und dann Regel hinzufügen aus. Klicken Sie auf der Seite Add Rule (Regel hinzufügen) auf Add Custom Rule (Benutzerdefinierte Regel hinzufügen). Geben Sie auf der Seite „Regel konfigurieren“ einen Namen und eine Beschreibung ein und fügen Sie die | Systemadministrator |
Fügen Sie die automatische Behebungsaktion hinzu. | Wählen Sie in der Dropdown-Liste Aktionen die Option Behebung verwalten aus. Wählen Sie Automatische Korrektur und dann das Systems Manager Manager-Runbook aus, das Sie zuvor erstellt haben. Die folgenden Eingabeparameter sind erforderlich für: CloudTrail
Die folgenden Eingabeparameter sind standardmäßig auf true gesetzt:
Behalten Sie die Standardwerte für die Parameter Rate Limits und Resource ID bei. Wählen Sie Speichern. Weitere Informationen finden Sie unter Behebung nicht konformer AWS-Ressourcen mit AWS Config-Regeln in der AWS Config-Dokumentation. | Systemadministrator |
Testen Sie die automatische Behebungsregel. | Um die automatische Behebungsregel zu testen, öffnen Sie die CloudTrail Konsole, wählen Sie Trails und dann den Trail aus. Wählen Sie Protokollierung beenden, um die Protokollierung für den Trail zu deaktivieren. Wenn Sie zur Bestätigung aufgefordert werden, wählen Sie Protokollierung beenden. CloudTrail beendet die Protokollierung der Aktivitäten für diesen Trail. Folgen Sie den Anweisungen unter Evaluieren Ihrer Ressourcen in der AWS Config-Dokumentation, um sicherzustellen, dass diese automatisch wieder aktiviert CloudTrail wurden. | Systemadministrator |
Zugehörige Ressourcen
Konfigurieren CloudTrail
Das Systems Manager Automation-Runbook erstellen und testen
Richten Sie die automatische Behebungsregel in AWS Config ein
Weitere Ressourcen