Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Überwachen Sie EC2-Instance-Schlüsselpaare mit AWS Config
Umwelt: Produktion | Technologien: Sicherheit, Identität, Compliance | AWS-Dienste: Amazon SNS; AWS Config; AWS Lambda |
Übersicht
Beim Starten einer Amazon Elastic Compute Cloud (Amazon EC2) -Instance in der Amazon Web Services (AWS) -Cloud empfiehlt es sich, ein vorhandenes key pair zu erstellen oder zu verwenden, um eine Verbindung mit der Instance herzustellen. Das key pair, das aus einem in der Instanz gespeicherten öffentlichen Schlüssel und einem privaten Schlüssel besteht, der dem Benutzer zur Verfügung gestellt wird, ermöglicht den sicheren Zugriff über Secure Shell (SSH) auf die Instanz und vermeidet die Verwendung von Passwörtern. Manchmal können Benutzer jedoch versehentlich Instances starten, ohne ein key pair anzuhängen. Da Schlüsselpaare nur beim Start einer Instance zugewiesen werden können, ist es wichtig, Instances, die ohne Schlüsselpaare gestartet wurden, schnell zu identifizieren und als nicht konform zu kennzeichnen. Dies ist besonders nützlich, wenn Sie in Konten oder Umgebungen arbeiten, die die Verwendung von Schlüsselpaaren für den Instanzzugriff vorschreiben.
Dieses Muster beschreibt, wie Sie in AWS Config eine benutzerdefinierte Regel zur Überwachung von EC2-Instance-Schlüsselpaaren erstellen. Wenn Instances als nicht konform identifiziert werden, wird eine Warnung mithilfe von Amazon Simple Notification Service (Amazon SNS) -Benachrichtigungen gesendet, die durch ein EventBridge Amazon-Ereignis ausgelöst wurden.
Voraussetzungen und Einschränkungen
Voraussetzungen
Ein aktives AWS-Konto
AWS Config ist für die AWS-Region aktiviert, die Sie überwachen möchten, und ist so konfiguriert, dass alle AWS-Ressourcen aufgezeichnet werden
Einschränkungen
Diese Lösung ist regionsspezifisch. Alle Ressourcen sollten in derselben AWS-Region erstellt werden.
Architektur
Zieltechnologie-Stack
AWS Config
Amazon EventBridge
AWS Lambda
Amazon SNS
Zielarchitektur
![](images/pattern-img/b0fbe060-fd3d-4b19-8828-63dc80e4b5b2/images/4fbff67f-b594-458f-8705-fc14015c6557.png)
AWS Config initiiert die Regel.
Die Regel ruft die Lambda-Funktion auf, um die Konformität von EC2-Instances zu bewerten.
Die Lambda-Funktion sendet den aktualisierten Konformitätsstatus an AWS Config.
AWS Config sendet ein Ereignis an EventBridge.
EventBridge veröffentlicht Benachrichtigungen über Compliance-Änderungen zu einem SNS-Thema.
Amazon SNS sendet eine Warnung per E-Mail.
Automatisierung und Skalierung
Die Lösung kann eine beliebige Anzahl von EC2-Instanzen innerhalb einer Region überwachen.
Tools
Tools
AWS Config — AWS Config ist ein Service, mit dem Sie die Konfigurationen Ihrer AWS-Ressourcen bewerten, prüfen und bewerten können. AWS Config überwacht und zeichnet Ihre AWS-Ressourcenkonfigurationen kontinuierlich auf und ermöglicht Ihnen, die Auswertung aufgezeichneter Konfigurationen anhand der gewünschten Konfigurationen zu automatisieren.
Amazon EventBridge — Amazon EventBridge ist ein serverloser Event-Bus-Service, mit dem Sie Ihre Anwendungen mit Daten aus einer Vielzahl von Quellen verbinden können.
AWS Lambda — AWS Lambda ist ein serverloser Rechenservice, der die Ausführung von Code ohne Bereitstellung oder Verwaltung von Servern, die Erstellung einer auslastungsorientierten Cluster-Skalierungslogik, die Verwaltung von Eventintegrationen oder die Verwaltung von Laufzeiten unterstützt.
Amazon SNS — Amazon Simple Notification Service (Amazon SNS) ist ein vollständig verwalteter Messaging-Dienst sowohl für application-to-application (A2A) als auch für (A2P application-to-person ) Kommunikation.
Code
Der Code für die Lambda-Funktion ist angehängt.
Epen
Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
---|---|---|
Erstellen Sie eine AWS Identity and Access Management (IAM) -Rolle für Lambda. | Wählen Sie in der AWS-Managementkonsole IAM und erstellen Sie dann die Rolle. Verwenden Sie Lambda als vertrauenswürdige Entität und fügen Sie die | DevOps |
Erstellen und implementieren Sie die Lambda-Funktion. |
| DevOps |
Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
---|---|---|
Fügen Sie eine benutzerdefinierte AWS Config-Regel hinzu. | Fügen Sie in der AWS Config-Konsole eine benutzerdefinierte Regel mit den folgenden Einstellungen hinzu:
Weitere Informationen finden Sie in der AWS-Dokumentation. | DevOps |
Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
---|---|---|
Erstellen Sie das SNS-Thema und das Abonnement. | Erstellen Sie in der Amazon SNS SNS-Konsole ein Thema mit dem Typ Standard und anschließend ein Abonnement mit E-Mail als Protokoll. Wenn Sie die Bestätigungs-E-Mail erhalten, wählen Sie den Link zur Bestätigung des Abonnements. Weitere Informationen finden Sie in der AWS-Dokumentation. | DevOps |
Erstellen Sie eine EventBridge Regel, um Amazon SNS SNS-Benachrichtigungen zu initiieren. | Erstellen Sie auf der EventBridge Konsole eine Regel mit den folgenden Einstellungen:
Weitere Informationen finden Sie in der AWS-Dokumentation. | DevOps |
Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
---|---|---|
Erstellen Sie EC2-Instanzen. | Erstellen Sie zwei EC2-Instances eines beliebigen Typs und fügen Sie ein key pair hinzu, und erstellen Sie eine EC2-Instance ohne key pair. | DevOps |
Überprüfen Sie die Regel. |
| DevOps |