Nachverfolgen von Konfigurationsänderungen der X-Ray-AWS Config - AWS X-Ray

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Nachverfolgen von Konfigurationsänderungen der X-Ray-AWS Config

AWS X-Rayist in integriert.AWS Configum Konfigurationsänderungen an den X-Ray-Verschlüsselungsressourcen aufzuzeichnen. Sie können es verwendenAWS ConfigÜberwachen Sie die X-Ray--Verschlüsselungsressourcen, überprüfen Sie den X-Ray-Konfigurationsverlauf und senden Sie Benachrichtigungen basierend auf Ressourcenänderungen.

AWS Configunterstützt die Protokollierung der folgenden X-Ray-Verschlüsselungsressourcen als Ereignisse:

  • Konfigurationsänderungen— Ändern oder Hinzufügen eines Verschlüsselungsschlüssels oder Zurücksetzen auf die Standard-X-Ray-Verschlüsselungseinstellung.

Hier erhalten Sie Anweisungen zum Erstellen einer grundlegenden Verbindung zwischen X-Ray undAWS Configaus.

Erstellen eines Lambda-Funktions-Triggers

Sie benötigen den ARN einer benutzerdefinierten AWS Lambda-Funktion, um eine benutzerdefinierte AWS Config-Regel generieren zu können. Befolgen Sie diese Anweisungen zum Erstellen einer einfachen Funktion mit Node.js, die basierend auf dem Zustand der XrayEncryptionConfig-Ressource als Wert an AWS Config zurückgibt, ob sie konform oder nicht konform ist.

So erstellen Sie eine Lambda-Funktion mit einem AWS::XrayEncryptionConfig-Änderungsauslöser

  1. Öffnen Sie die Lambda-Konsole. Wählen Sie Create function (Funktion erstellen).

  2. Wählen Sie Blueprints (Vorlagen) und filtern Sie die Vorlagenbibliothek dann nach der config-rule-change-triggered-Vorlage. Klicken Sie auf den Link im Namen der Vorlage oder wählen Sie Configure (Konfigurieren), um fortzufahren.

  3. Definieren Sie die folgenden Felder zum Konfigurieren der Vorlage:

    • Geben Sie im Feld Name einen Namen ein.

    • Für die Option Role (Rolle) wählen Sie Create new role from template(s) (Neue Rolle aus Vorlage[n] erstellen) aus.

    • Bei Role Name geben Sie einen Namen ein.

    • Wählen Sie für Policy Templates (Richtlinienvorlagen) die Option AWS ConfigRules permissions (-Regelberechtigungen) aus.

  4. Klicken Sie auf Create function (Funktion erstellen), um Ihre Funktion zu erstellen und in der AWS Lambda-Konsole anzuzeigen.

  5. Bearbeiten Sie Ihren Funktionscode, indem Sie AWS::EC2::Instance durch AWS::XrayEncryptionConfig ersetzen. Sie können auch das Beschreibungsfeld aktualisieren, damit die Änderung wirksam wird.

    Standardcode

    if (configurationItem.resourceType !== 'AWS::EC2::Instance') { return 'NOT_APPLICABLE'; } else if (ruleParameters.desiredInstanceType === configurationItem.configuration.instanceType) { return 'COMPLIANT'; } return 'NON_COMPLIANT';

    Aktualisierter Code

    if (configurationItem.resourceType !== 'AWS::XRay::EncryptionConfig') { return 'NOT_APPLICABLE'; } else if (ruleParameters.desiredInstanceType === configurationItem.configuration.instanceType) { return 'COMPLIANT'; } return 'NON_COMPLIANT';
  6. Fügen Sie Folgendes zu Ihrer Ausführungsrolle in IAM hinzu, um Zugriff auf X-Ray zu erhalten. Diese Berechtigungen ermöglichen den schreibgeschützten Zugriff auf Ihre X-Ray-Ressourcen. Wenn Sie keinen Zugriff auf die entsprechenden Ressourcen ermöglichen, führt dies zu einer Bereichsbegrenzungsmeldung vonAWS Configwenn es die Lambda-Funktion auswertet, die mit der Regel verknüpft ist.

    { "Sid": "Stmt1529350291539", "Action": [ "xray:GetEncryptionConfig" ], "Effect": "Allow", "Resource": "*" }

Erstellen einer benutzerdefinierten AWS Config-Regel für X-Ray

Achten Sie beim Erstellen der Lambda-Funktion auf den ARN der Funktion und rufen Sie dasAWS Config-Konsole zum Erstellen Ihrer benutzerdefinierten Regel.

So erstellen Sie einenAWS ConfigRegel für X-Ray

  1. Öffnen Sie die Seite Rules (Regeln) der AWS Config-Konsole.

  2. Klicken Sie auf Add Rule (Regel hinzufügen) und danach auf Add custom rule (Benutzerdefinierte Regel hinzufügen).

  3. In :AWS Lambda-Function ARNGeben Sie den ARN ein, der der Lambda-Funktion zugeordnet ist, die Sie verwenden möchten.

  4. Wählen Sie, welche Art von Auslöser festgelegt werden soll:

    • Konfigurationsänderungen–AWS Configlöst die Auswertung aus, wenn sich die Konfiguration einer Ressource ändert, die dem Umfang der Regel entspricht. Die Auswertung wird durchgeführt, nachdem AWS Config eine Änderungsbenachrichtigung wegen eines Konfigurationselements sendet.

    • Regelmäßig–AWS Configführt Auswertungen für die Regel mit einer Häufigkeit Ihrer Wahl durch (z. B. alle 24 Stunden).

  5. FürResource type (Ressourcentyp), wählenEncryptionConfigim X-Ray-Bereich.

  6. Wählen Sie Save (Speichern) aus.

Die AWS Config-Konsole beginnt sofort mit der Auswertung der Compliance der Regel. Die Auswertung kann mehrere Minuten in Anspruch nehmen.

Wenn diese Regel konform ist, kann AWS Config mit dem Kompilieren eines Prüfungsverlaufs beginnen. AWS Config erfasst Ressourcenänderungen in Form einer Timeline. Für jede Änderung in der Timeline der Ereignisse erstellt AWS Config eine Tabelle im Format "Von/Zu", um aufzuzeigen, was sich in der JSON-Darstellung des Verschlüsselungsschlüssels geändert hat. Die beiden mit EncryptionConfig verbundenen Feldänderungen sind Configuration.type und Configuration.keyID.

Beispielergebnisse

Im Folgenden sehen Sie ein Beispiel einer AWS Config-Timeline mit Änderungen an bestimmten Tagen und Uhrzeiten.


      AWS ConfigZeitleiste

Nachfolgend finden Sie ein Beispiel eines AWS Config-Änderungseintrags. Das Format "Von/Zu" veranschaulicht, was sich geändert hat. In diesem Beispiel wird aufgezeigt, dass die Standard-X-Ray-Verschlüsselungseinstellungen in einen definierten Verschlüsselungsschlüssel geändert wurden.


      Änderungseintrag der X-Ray-

Amazon-SNS-Benachrichtigungen

Legen Sie fest, um über Konfigurationsänderungen informiert zu werdenAWS Configum Amazon SNS SNS-Benachrichtigungen zu veröffentlichen. Weitere Informationen finden Sie unter Überwachen von AWS Config-Ressourcenänderungen per E-Mail.