Überwachen Sie EC2-Instance-Schlüsselpaare mit AWS Config

Umwelt: Produktion

Technologien: Sicherheit, Identität, Compliance

AWS-Dienste: Amazon SNS; AWS Config; AWS Lambda

Übersicht

Beim Starten einer Amazon Elastic Compute Cloud (Amazon EC2) -Instance in der Amazon Web Services (AWS) -Cloud empfiehlt es sich, ein vorhandenes key pair zu erstellen oder zu verwenden, um eine Verbindung mit der Instance herzustellen. Das key pair, das aus einem in der Instanz gespeicherten öffentlichen Schlüssel und einem privaten Schlüssel besteht, der dem Benutzer zur Verfügung gestellt wird, ermöglicht den sicheren Zugriff über Secure Shell (SSH) auf die Instanz und vermeidet die Verwendung von Passwörtern. Manchmal können Benutzer jedoch versehentlich Instances starten, ohne ein key pair anzuhängen. Da Schlüsselpaare nur beim Start einer Instance zugewiesen werden können, ist es wichtig, Instances, die ohne Schlüsselpaare gestartet wurden, schnell zu identifizieren und als nicht konform zu kennzeichnen. Dies ist besonders nützlich, wenn Sie in Konten oder Umgebungen arbeiten, die die Verwendung von Schlüsselpaaren für den Instanzzugriff vorschreiben.

Dieses Muster beschreibt, wie Sie in AWS Config eine benutzerdefinierte Regel zur Überwachung von EC2-Instance-Schlüsselpaaren erstellen. Wenn Instances als nicht konform identifiziert werden, wird eine Warnung mithilfe von Amazon Simple Notification Service (Amazon SNS) -Benachrichtigungen gesendet, die durch ein EventBridge Amazon-Ereignis ausgelöst wurden.

Voraussetzungen und Einschränkungen

Voraussetzungen

• Ein aktives AWS-Konto

• AWS Config ist für die AWS-Region aktiviert, die Sie überwachen möchten, und ist so konfiguriert, dass alle AWS-Ressourcen aufgezeichnet werden

Einschränkungen

• Diese Lösung ist regionsspezifisch. Alle Ressourcen sollten in derselben AWS-Region erstellt werden.

Architektur

Zieltechnologie-Stack

• AWS Config

• Amazon EventBridge

• AWS Lambda

• Amazon SNS

Zielarchitektur

1. AWS Config initiiert die Regel.

2. Die Regel ruft die Lambda-Funktion auf, um die Konformität von EC2-Instances zu bewerten.

3. Die Lambda-Funktion sendet den aktualisierten Konformitätsstatus an AWS Config.

4. AWS Config sendet ein Ereignis an EventBridge.

5. EventBridge veröffentlicht Benachrichtigungen über Compliance-Änderungen zu einem SNS-Thema.

6. Amazon SNS sendet eine Warnung per E-Mail.

Automatisierung und Skalierung

Die Lösung kann eine beliebige Anzahl von EC2-Instanzen innerhalb einer Region überwachen.

Tools

Tools

• AWS Config — AWS Config ist ein Service, mit dem Sie die Konfigurationen Ihrer AWS-Ressourcen bewerten, prüfen und bewerten können. AWS Config überwacht und zeichnet Ihre AWS-Ressourcenkonfigurationen kontinuierlich auf und ermöglicht Ihnen, die Auswertung aufgezeichneter Konfigurationen anhand der gewünschten Konfigurationen zu automatisieren.

• Amazon EventBridge — Amazon EventBridge ist ein serverloser Event-Bus-Service, mit dem Sie Ihre Anwendungen mit Daten aus einer Vielzahl von Quellen verbinden können.

• AWS Lambda — AWS Lambda ist ein serverloser Rechenservice, der die Ausführung von Code ohne Bereitstellung oder Verwaltung von Servern, die Erstellung einer auslastungsorientierten Cluster-Skalierungslogik, die Verwaltung von Eventintegrationen oder die Verwaltung von Laufzeiten unterstützt.

• Amazon SNS — Amazon Simple Notification Service (Amazon SNS) ist ein vollständig verwalteter Messaging-Dienst sowohl für application-to-application (A2A) als auch für (A2P application-to-person ) Kommunikation.

Code

Der Code für die Lambda-Funktion ist angehängt. 

Epen

Erstellen Sie eine Lambda-Funktion zur Bewertung der Amazon EC2 EC2-Konformität

Aufgabe	Beschreibung	Erforderliche Fähigkeiten
Erstellen Sie eine AWS Identity and Access Management (IAM) -Rolle für Lambda.	Wählen Sie in der AWS-Managementkonsole IAM und erstellen Sie dann die Rolle. Verwenden Sie Lambda als vertrauenswürdige Entität und fügen Sie die AmazonEventBridgeFullAccess Berechtigungen und hinzu. AWSConfigRulesExecutionRole Weitere Informationen finden Sie in der AWS-Dokumentation.	DevOps
Erstellen und implementieren Sie die Lambda-Funktion.	Erstellen Sie auf der Lambda-Konsole mithilfe von Author von Grund auf eine Funktion mit Python 3.6 als Laufzeit und der zuvor erstellten IAM-Rolle. Notieren Sie den Amazon-Ressourcennamen (ARN). Wählen Sie auf der Registerkarte Code den Code auslambda_function.py, der an dieses Muster angehängt ist, und fügen Sie ihn ein.  Um Ihre Änderungen zu speichern, wählen Sie Bereitstellen.	DevOps

Erstellen Sie eine benutzerdefinierte AWS Config-Regel

Aufgabe	Beschreibung	Erforderliche Fähigkeiten
Fügen Sie eine benutzerdefinierte AWS Config-Regel hinzu.	Fügen Sie in der AWS Config-Konsole eine benutzerdefinierte Regel mit den folgenden Einstellungen hinzu: ARN — Der ARN der zuvor erstellten Lambda-Funktion Triggertyp — Konfigurationsänderungen Umfang der Änderungen — Ressourcen Ressourcentyp — Amazon EC2 EC2-Instance Weitere Informationen finden Sie in der AWS-Dokumentation.	DevOps

Konfigurieren Sie E-Mail-Benachrichtigungen, wenn ein Compliance-Änderungsereignis erkannt wird

Aufgabe	Beschreibung	Erforderliche Fähigkeiten
Erstellen Sie das SNS-Thema und das Abonnement.	Erstellen Sie in der Amazon SNS SNS-Konsole ein Thema mit dem Typ Standard und anschließend ein Abonnement mit E-Mail als Protokoll. Wenn Sie die Bestätigungs-E-Mail erhalten, wählen Sie den Link zur Bestätigung des Abonnements. Weitere Informationen finden Sie in der AWS-Dokumentation.	DevOps
Erstellen Sie eine EventBridge Regel, um Amazon SNS SNS-Benachrichtigungen zu initiieren.	Erstellen Sie auf der EventBridge Konsole eine Regel mit den folgenden Einstellungen: Dienstname — AWS Config Ereignistyp — Änderung der Konformität der Konfigurationsregeln Nachrichtentyp — Spezifische Nachrichtentypen, ComplianceChangeNotification Spezifischer Regelname — Der Name Ihrer zuvor erstellten AWS Config-Regel Ziel — SNS-Thema, Ihr zuvor erstelltes Thema Weitere Informationen finden Sie in der AWS-Dokumentation.	DevOps

Überprüfen Sie die Regel und die Benachrichtigungen

Aufgabe	Beschreibung	Erforderliche Fähigkeiten
Erstellen Sie EC2-Instanzen.	Erstellen Sie zwei EC2-Instances eines beliebigen Typs und fügen Sie ein key pair hinzu, und erstellen Sie eine EC2-Instance ohne key pair.	DevOps
Überprüfen Sie die Regel.	Wählen Sie in der AWS Config-Konsole auf der Seite Regeln Ihre Regel aus. Um konforme und nicht konforme EC2-Instances zu sehen, ändern Sie Ressourcen im Geltungsbereich auf Alle. Stellen Sie sicher, dass zwei Instances als konform und eine Instance als nicht konform aufgeführt sind.  Warten Sie, bis Sie eine E-Mail-Benachrichtigung von Amazon SNS über den Compliance-Status der EC2-Instances erhalten.	DevOps

Zugehörige Ressourcen

• Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service

• Erstellen einer benutzerdefinierten Regel in AWS Config

• Ein Amazon SNS SNS-Thema erstellen

• Ein Amazon SNS SNS-Thema abonnieren

• Eine Regel in Amazon erstellen EventBridge

Anlagen

Um auf zusätzliche Inhalte zuzugreifen, die mit diesem Dokument verknüpft sind, entpacken Sie die folgende Datei: attachment.zip