Verfolgung von Konfigurationsänderungen der X-Ray-Verschlüsselung mitAWS Config

AWS X-RayintegriertAWS Config, um Konfigurationsänderungen an Ihren X-Ray-Verschlüsselungsressourcen aufzuzeichnen. Sie könnenAWS Config damit X-Ray-Verschlüsselungsressourcen inventarisieren, den X-Ray-Konfigurationsverlauf überprüfen und Benachrichtigungen auf der Grundlage von Ressourcenänderungen senden.

AWS Configunterstützt die Protokollierung der folgenden Ressourcenänderungen für die X-Ray-Verschlüsselung als Ereignisse:

• Konfigurationsänderungen — Änderung oder Hinzufügen eines Verschlüsselungsschlüssels oder Rückkehr zur Standardeinstellung für die X-Ray-Verschlüsselung.

Verwenden Sie die folgenden Anweisungen, um zu erfahren, wie Sie eine grundlegende Verbindung zwischen X-Ray und herstellenAWS Config.

Auslösen von Lambda-Funktionen

Sie benötigen den ARN einer benutzerdefinierten AWS Lambda-Funktion, um eine benutzerdefinierte AWS Config-Regel generieren zu können. Befolgen Sie diese Anweisungen zum Erstellen einer einfachen Funktion mit Node.js, die basierend auf dem Zustand der XrayEncryptionConfig-Ressource als Wert an AWS Config zurückgibt, ob sie konform oder nicht konform ist.

Um eine Lambda-Funktion mit einem AWS::XrayEncryptionConfig Change-Trigger zu erstellen

1. Öffnen Sie die Lambda-Konsole. Wählen Sie Create function (Funktion erstellen).

2. Wählen Sie Blueprints aus, und filtern Sie dann die Blueprints-Bibliothek nach dem config-rule-change-triggeredBlueprint. Klicken Sie auf den Link im Namen der Vorlage oder wählen Sie Configure (Konfigurieren), um fortzufahren.

3. Definieren Sie die folgenden Felder zum Konfigurieren der Vorlage:

   • Geben Sie im Feld Name einen Namen ein.

   • Für die Option Role (Rolle) wählen Sie Create new role from template(s) (Neue Rolle aus Vorlage[n] erstellen) aus.

   • Bei Role Name geben Sie einen Namen ein.

   • Wählen Sie für Policy Templates (Richtlinienvorlagen) die Option AWS ConfigRules permissions (-Regelberechtigungen) aus.

4. Klicken Sie auf Create function (Funktion erstellen), um Ihre Funktion zu erstellen und in der AWS Lambda-Konsole anzuzeigen.

5. Bearbeiten Sie Ihren Funktionscode, indem Sie AWS::EC2::Instance durch AWS::XrayEncryptionConfig ersetzen. Sie können auch das Beschreibungsfeld aktualisieren, damit die Änderung wirksam wird.

   Standardcode

       if (configurationItem.resourceType !== 'AWS::EC2::Instance') {
           return 'NOT_APPLICABLE';
       } else if (ruleParameters.desiredInstanceType === configurationItem.configuration.instanceType) {
           return 'COMPLIANT';
       }
           return 'NON_COMPLIANT';

   Aktualisierter Code

       if (configurationItem.resourceType !== 'AWS::XRay::EncryptionConfig') {
           return 'NOT_APPLICABLE';
       } else if (ruleParameters.desiredInstanceType === configurationItem.configuration.instanceType) {
           return 'COMPLIANT';
       }
           return 'NON_COMPLIANT';

6. Fügen Sie Ihrer Ausführungsrolle in IAM Folgendes hinzu, um auf X-Ray zuzugreifen. Diese Berechtigungen erlauben schreibgeschützten Zugriff auf Ihre X-Ray-Ressourcen. Wenn der Zugriff auf die entsprechenden Ressourcen nicht bereitgestellt wird, wird bei der Auswertung der mit der Regel verknüpftenAWS Config Lambda-Funktion eine Meldung angezeigt, dass der Geltungsbereich abgelaufen ist.

       {
           "Sid": "Stmt1529350291539",
           "Action": [
               "xray:GetEncryptionConfig"
           ],
           "Effect": "Allow",
           "Resource": "*"
        }

Erstellen einer benutzerdefinierten AWS Config-Regel für X-Ray

Wenn die Lambda-Funktion erstellt wird, notieren Sie sich den ARN der Funktion und gehen Sie zurAWS Config Konsole, um Ihre benutzerdefinierte Regel zu erstellen.

Zur Erstellung einerAWS Config Regel für X-Ray-Ablaufverfolgung

1. Öffnen Sie die Seite Rules (Regeln) der AWS Config-Konsole.

2. Klicken Sie auf Add Rule (Regel hinzufügen) und danach auf Add custom rule (Benutzerdefinierte Regel hinzufügen).

3. Geben Sie in AWS LambdaFunction ARN den ARN ein, der der Lambda-Funktion zugeordnet ist, die Sie verwenden möchten.

4. Wählen Sie, welche Art von Auslöser festgelegt werden soll:

   • Konfigurationsänderungen —AWS Config löst die Bewertung aus, wenn sich eine Ressource, die dem Geltungsbereich der Regel entspricht, in der Konfiguration ändert. Die Auswertung wird durchgeführt, nachdem AWS Config eine Änderungsbenachrichtigung wegen eines Konfigurationselements sendet.

   • Periodisch —AWS Config führt die Evaluierungen für die Regel in einer von Ihnen gewählten Häufigkeit durch (z. B. alle 24 Stunden).

5. Wählen Sie EncryptionConfigim X-Ray-Bereich als Ressourcentyp die Option aus.

6. Wählen Sie Save (Speichern) aus.

Die AWS Config-Konsole beginnt sofort mit der Auswertung der Compliance der Regel. Die Auswertung kann mehrere Minuten in Anspruch nehmen.

Wenn diese Regel konform ist, kann AWS Config mit dem Kompilieren eines Prüfungsverlaufs beginnen. AWS Config erfasst Ressourcenänderungen in Form einer Timeline. Für jede Änderung in der Timeline der Ereignisse erstellt AWS Config eine Tabelle im Format "Von/Zu", um aufzuzeigen, was sich in der JSON-Darstellung des Verschlüsselungsschlüssels geändert hat. Die beiden damit verbundenen Feldänderungen EncryptionConfig sindConfiguration.type undConfiguration.keyID.

Beispielergebnisse

Im Folgenden sehen Sie ein Beispiel einer AWS Config-Timeline mit Änderungen an bestimmten Tagen und Uhrzeiten.

Nachfolgend finden Sie ein Beispiel eines AWS Config-Änderungseintrags. Das Format "Von/Zu" veranschaulicht, was sich geändert hat. Dieses Beispiel zeigt, dass die Standardeinstellungen für die X-Ray-Verschlüsselung in einen definierten Verschlüsselungsschlüssel geändert wurden.

Amazon-SNS-Benachrichtigungen

Zur Benachrichtigung über Konfigurationsänderungen stellen, stellen von Amazon-SNS-BenachrichtigungenAWS Config auf die Zustellung Amazon SNS Amazon-SNS-Benachrichtigungen. Weitere Informationen finden Sie unter Überwachen von AWS Config-Ressourcenänderungen per E-Mail.