Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWSPremiumSupport-DDoSResiliencyAssessment
Beschreibung
Das Automatisierungs-AWS Systems ManagerRunbook von hilft IhnenAWSPremiumSupport-DDoSResiliencyAssessment, DDoS-Schwachstellen und die Konfiguration von -Ressourcen gemäß dem AWS Shield Advanced Schutz für Ihr zu überprüfenAWS-Konto. Es bietet einen Bericht über Konfigurationseinstellungen für Ressourcen, die anfällig für DDoSDDoSAngriffe (Distributed Denial of Service). Es wird verwendet, um die folgenden Ressourcen zu erfassen, zu analysieren und zu bewerten: Amazon Route 53, Amazon Load Balancer, Amazon- CloudFront Verteilungen AWS Global Accelerator und AWS Elastic IPs für ihre Konfigurationseinstellungen gemäß den empfohlenen bewährten Methoden für AWS Shield Advanced Protection. Der endgültige Konfigurationsbericht ist in einem Amazon S3-Bucket Ihrer Wahl als HTML-Datei verfügbar.
Wie funktioniert es?
Dieses Runbook enthält eine Reihe von Prüfungen für die verschiedenen Arten von Ressourcen, die für den öffentlichen Zugriff aktiviert sind, und ob für sie Schutzmaßnahmen gemäß den Empfehlungen im AWS Whitepaper zu bewährten Methoden für DDoS konfiguriert sind. Das Runbook führt Folgendes aus:
Prüft, ob ein Abonnement für aktiviert AWS Shield Advanced ist.
Wenn diese Option aktiviert ist, wird festgestellt, ob es geschützte Shield-Advanced-Ressourcen gibt.
Es findet alle globalen und regionalen Ressourcen in der AWS-Konto und prüft, ob diese Shield-geschützt sind.
Sie benötigt die Ressourcentypparameter für die Bewertung, den Amazon S3-Bucket-Namen und die Amazon S3-BucketAWS-Konto-ID (S3BucketOwner).
Es gibt die Ergebnisse als HTML-Bericht zurück, der im bereitgestellten Amazon S3-Bucket gespeichert ist.
Die Eingabeparameter AssessmentType entscheiden, ob die Prüfungen für alle Ressourcen durchgeführt werden. Standardmäßig prüft das Runbook auf alle Arten von Ressourcen. Wenn nur der RegionalResources Parameter GlobalResources oder ausgewählt ist, führt das Runbook nur Prüfungen für die ausgewählten Ressourcentypen durch.
Wichtig
-
Für den Zugriff auf
AWSPremiumSupport-*Runbooks ist ein Enterprise- oder Business-Support-Abonnement erforderlich. Weitere Informationen finden Sie unter Vergleichen von -AWS SupportPlänen. -
Für dieses Runbook ist ein -
ACTIVEAWS Shield AdvancedAbonnement erforderlich.
Ausführen dieser Automatisierung (Konsole)
Dokumenttyp
Automatisierung
Eigentümer
Amazon
Plattformen
Linux, macOS, Windows
Parameter
-
AutomationAssumeRole
Typ: Zeichenfolge
Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der AWS Identity and Access Management (IAM)-Rolle, die es Systems Manager Automation ermöglicht, die Aktionen in Ihrem Namen auszuführen. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.
-
AssessmentType
Typ: Zeichenfolge
Beschreibung: (Optional) Bestimmt die Art der Ressourcen, die für die DDoSDDoSAusfallsicherheit bewertet werden sollen. Standardmäßig wertet das Runbook sowohl globale als auch regionale Ressourcen aus. Für regionale Ressourcen beschreibt das Runbook alle Application (ALB)- und Network (NLB)-Load Balancer sowie alle Auto Scaling-Gruppen in IhremAWS-Konto/Ihrer Region.
Zulässige Werte:
['Global Resources', 'Regional Resources', 'Global and Regional Resources']Standard: Globale und regionale Ressourcen
-
S3BucketName
Typ:
AWS::S3::Bucket::NameBeschreibung: (Erforderlich) Der Name des Amazon S3-Buckets, in den der Bericht hochgeladen wird.
Zulässiges Muster:
^[0-9a-z][a-z0-9\-\.]{3,63}$ -
S3BucketOwnerAccount
Typ: Zeichenfolge
Beschreibung: (Optional) Das AWS-Konto, dem der Amazon S3-Bucket gehört. Bitte geben Sie diesen Parameter an, wenn der Amazon S3-Bucket zu einem anderen gehörtAWS-Konto. Andernfalls können Sie diesen Parameter leer lassen.
Zulässiges Muster:
^$|^[0-9]{12,13}$ -
S3BucketOwnerRoleArn
Typ:
AWS::IAM::Role::ArnBeschreibung: (Optional) Der ARN einer IAM-Rolle mit Berechtigungen zum Beschreiben des Amazon S3-Buckets und zum AWS-Konto Blockieren der Konfiguration des öffentlichen Zugriffs, wenn sich der Bucket in einem anderen befindetAWS-Konto. Wenn dieser Parameter nicht angegeben ist, verwendet das Runbook die
AutomationAssumeRoleoder den IAM-Benutzer, der dieses Runbook startet (wenn nicht angegebenAutomationAssumeRoleist). Bitte sehen Sie sich den Abschnitt mit den erforderlichen Berechtigungen in der Runbook-Beschreibung an.Zulässiges Muster:
^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso|aws-iso-b):iam::[0-9]{12,13}:role/.*$ -
S3BucketPrefix
Typ: Zeichenfolge
Beschreibung: (Optional) Das Präfix für den Pfad in Amazon S3 zum Speichern der Ergebnisse.
Zulässiges Muster:
^[a-zA-Z0-9][-./a-zA-Z0-9]{0,255}$|^$
Erforderliche IAM-Berechtigungen
Der AutomationAssumeRole Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.
autoscaling:DescribeAutoScalingGroupscloudfront:ListDistributionsec2:DescribeAddressesec2:DescribeNetworkAclsec2:DescribeInstanceselasticloadbalancing:DescribeLoadBalancerselasticloadbalancing:DescribeTargetGroupsglobalaccelerator:ListAcceleratorsiam:GetRoleiam:ListAttachedRolePoliciesroute53:ListHostedZonesroute53:GetHealthCheckshield:ListProtectionsshield:GetSubscriptionStateshield:DescribeSubscriptionshield:DescribeEmergencyContactSettingsshield:DescribeDRTAccesswaf:GetWebACLwaf:GetRateBasedRulewafv2:GetWebACLwafv2:GetWebACLForResourcewaf-regional:GetWebACLForResourcewaf-regional:GetWebACLs3:ListBuckets3:GetBucketAcls3:GetBucketLocations3:GetBucketPublicAccessBlocks3:GetBucketPolicyStatuss3:GetBucketEncryptions3:GetAccountPublicAccessBlocks3:PutObject
Beispiel für eine IAM-Richtlinie für die Automation Assume-Rolle
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:ListBucket", "s3:GetBucketAcl", "s3:GetAccountPublicAccessBlock" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "s3:ListBucket", "s3:GetBucketAcl", "s3:GetBucketLocation", "s3:GetBucketPublicAccessBlock", "s3:GetBucketPolicyStatus", "s3:GetEncryptionConfiguration" ], "Resource": "arn:aws:s3:::<bucket-name>", "Effect": "Allow" }, { "Action": [ "s3:PutObject" ], "Resource": "arn:aws:s3:::<bucket-name>/*", "Effect": "Allow" }, { "Action": [ "autoscaling:DescribeAutoScalingGroups", "cloudfront:ListDistributions", "ec2:DescribeInstances", "ec2:DescribeAddresses", "ec2:DescribeNetworkAcls", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeTargetGroups", "globalaccelerator:ListAccelerators", "iam:GetRole", "iam:ListAttachedRolePolicies", "route53:ListHostedZones", "route53:GetHealthCheck", "shield:ListProtections", "shield:GetSubscriptionState", "shield:DescribeSubscription", "shield:DescribeEmergencyContactSettings", "shield:DescribeDRTAccess", "waf:GetWebACL", "waf:GetRateBasedRule", "wafv2:GetWebACL", "wafv2:GetWebACLForResource", "waf-regional:GetWebACLForResource", "waf-regional:GetWebACL" ], "Resource": "*", "Effect": "Allow" }, { "Action": "iam:PassRole", "Resource": "arn:aws:iam::123456789012:role/<AutomationAssumeRole-Name>", "Effect": "Allow" } ] }
Anweisungen
Navigieren Sie in der -AWS Systems ManagerKonsole zum AWSPremiumSupport-DDoSResiliencyAssessment
. Wählen Sie Automatisierung ausführen aus
-
Geben Sie für Eingabeparameter Folgendes ein:
-
AutomationAssumeRole (Optional):
Der Amazon-Ressourcenname (ARN) der AWS Identity and Access Management (IAM)-Rolle, die es Systems Manager Automation ermöglicht, die Aktionen in Ihrem Namen auszuführen. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.
-
AssessmentType (Optional):
Bestimmt die Art der Ressourcen, die für die DDoSDDoSAusfallsicherheit bewertet werden sollen. Standardmäßig wertet das Runbook sowohl globale als auch regionale Ressourcen aus.
-
S3BucketName (erforderlich):
Der Name des Amazon S3-Buckets, in dem der Bewertungsbericht im HTML-Format gespeichert werden soll.
-
S3BucketOwner (optional):
Die AWS-Konto ID des Amazon S3-Buckets für die Eigentumsüberprüfung. Die AWS-Konto ID ist erforderlich, wenn der Bericht in einem kontoübergreifenden Amazon S3-Bucket veröffentlicht werden muss, und optional, wenn sich der Amazon S3-Bucket in derselben AWS-Konto wie die Automatisierungsinitiierung befindet.
-
S3BucketPrefix (optional):
Jedes Präfix für den Pfad in Amazon S3 zum Speichern der Ergebnisse.
-
Wählen Sie Ausführen aus.
Die Automatisierung wird initiiert.
-
Das Dokument führt die folgenden Schritte aus:
-
CheckShieldAdvancedState:
Prüft, ob der in „S3BucketName“ angegebene Amazon S3-Bucket anonyme oder öffentliche Lese- oder Schreibzugriffsberechtigungen zulässt, ob für den Bucket die Verschlüsselung im Ruhezustand aktiviert ist und ob die in „S3BucketOwner“ angegebene AWS-Konto ID der Eigentümer des Amazon S3-Buckets ist.
-
S3BucketSecurityChecks:
Prüft, ob der in „S3BucketName“ angegebene Amazon S3-Bucket anonyme oder öffentliche Lese- oder Schreibzugriffsberechtigungen zulässt, ob für den Bucket die Verschlüsselung im Ruhezustand aktiviert ist und ob die in „S3BucketOwner“ angegebene AWS-Konto ID der Eigentümer des Amazon S3-Buckets ist.
-
BranchOnShieldAdvancedStatus:
Verzweigt Dokumentschritte basierend auf dem AWS Shield Advanced Abonnementstatus und/oder dem Status der Amazon S3-Bucket-Eigentümerschaft.
-
ShieldAdvancedConfigurationReview:
Überprüft Shield Advanced-Konfigurationen, um sicherzustellen, dass die mindestens erforderlichen Details vorhanden sind. Zum Beispiel: Team von IAM Access for AWS Shield Response Team (SRT), Kontaktdaten und Status des proaktiven SRT-Engagements.
-
ListShieldAdvancedProtections:
Listet die Shield Protected Resources auf und erstellt eine Gruppe geschützter Ressourcen für jeden Service.
-
BranchOnResourceTypeAndCount:
Verzweigt Dokumentschritte basierend auf dem Wert des Ressourcentypparameters und der Anzahl der durch Shield geschützten globalen Ressourcen.
-
ReviewGlobalResources:
Überprüft die durch Shield Advanced geschützten globalen Ressourcen wie Route 53 Hosted Zones, CloudFront Distributionen und Global Accelerators.
-
BranchOnResourceType:
Verzweigt Dokumentschritte basierend auf der Ressourcentypauswahl, wenn Global, Regional oder beides.
-
ReviewRegionalResources:
Überprüft die geschützten regionalen Ressourcen von Shield Advanced wie Application Load Balancer, Network Load Balancer, Classic Load Balancer, Amazon Elastic Compute Cloud (Amazon EC2)-Instances (Elastic IPs).
-
SendReportToS3:
Lädt die Details des DDoS-Bewertungsberichts in den Amazon S3-Bucket hoch.
-
-
Nach Abschluss wird der URI für die HTML-Datei des Bewertungsberichts im Amazon S3-Bucket bereitgestellt:
S3-Konsolenlink und Amazon S3-URI für den Bericht über die erfolgreiche Ausführung des Runbooks
Referenzen
Systems Manager Automation
AWS -Servicedokumentation
