Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Supervise los pares de claves de EC2 instancia mediante AWS Config
Creada por Wassim Benhallam (AWS), Sergio Bilbao Lopez (AWS) y Vikrant Telkar () AWS
Entorno: producción | Tecnologías: seguridad, identidad, conformidad | AWSservicios: AmazonSNS; AWS Config; AWS Lambda |
Resumen
Al lanzar una instancia de Amazon Elastic Compute Cloud (AmazonEC2) en la nube de Amazon Web Services (AWS), se recomienda crear o usar un key pair existente para conectarse a la instancia. El par de claves, que consta de una clave pública almacenada en la instancia y una clave privada que se proporciona al usuario, permite el acceso seguro a través de Secure Shell (SSH) a la instancia y evita el uso de contraseñas. Sin embargo, a veces los usuarios pueden lanzar instancias de forma inadvertida sin asociarles un par de claves. Como los pares de claves solo se pueden asignar durante el lanzamiento de la instancia, es importante identificar y marcar rápidamente como no conformes aquellas instancias lanzadas sin pares de claves. Esto resulta especialmente útil cuando se trabaja en cuentas o entornos que exigen el uso de pares de claves para acceder a las instancias.
Este patrón describe cómo crear una regla personalizada en AWS Config para monitorear los pares de claves de EC2 instancia. Cuando las instancias se identifican como no conformes, se envía una alerta mediante las notificaciones del Amazon Simple Notification Service (AmazonSNS) iniciadas a través de un EventBridge evento de Amazon.
Requisitos previos y limitaciones
Requisitos previos
Una cuenta activa AWS
AWSConfig habilitado para la AWS región que deseas monitorear y configurado para registrar todos los AWS recursos
Limitaciones
Esta solución es específica de cada región. Todos los recursos deben crearse en la misma AWS región.
Arquitectura
Pila de tecnología de destino
AWSConfig
Amazon EventBridge
AWSLambda
Amazon SNS
Arquitectura de destino
AWSConfig inicia la regla.
La regla invoca la función Lambda para evaluar el cumplimiento EC2 de las instancias.
La función Lambda envía el estado de conformidad actualizado a ConfigAWS.
AWSConfig envía un evento a EventBridge.
EventBridge publica las notificaciones de cambios de conformidad en un SNS tema.
Amazon SNS envía una alerta por correo electrónico.
Automatizar y escalar
La solución puede monitorear cualquier número de EC2 instancias dentro de una región.
Herramientas
Herramientas
AWSAWSConfig: Config es un servicio que le permite evaluar, auditar y evaluar las configuraciones de sus AWS recursos. AWSConfig monitorea y registra continuamente las configuraciones de sus AWS recursos y le permite automatizar la evaluación de las configuraciones registradas comparándolas con las configuraciones deseadas.
Amazon EventBridge: Amazon EventBridge es un servicio de bus de eventos sin servidor para conectar sus aplicaciones con datos de diversas fuentes.
AWSLambda: AWS Lambda es un servicio de procesamiento sin servidor que permite ejecutar código sin aprovisionar ni administrar servidores, crear una lógica de escalado de clústeres compatible con las cargas de trabajo, mantener las integraciones de eventos o administrar los tiempos de ejecución.
Amazon SNS: Amazon Simple Notification Service (AmazonSNS) es un servicio de mensajería totalmente gestionado para la comunicación application-to-application (A2A) y application-to-person (A2P).
Código
Se incluye en los documentos adjuntos el código de la función de Lambda.
Epics
Tarea | Descripción | Habilidades requeridas |
---|---|---|
Cree un rol de AWS Identity and Access Management (IAM) para Lambda. | En la consola AWS de administración, elija y IAM, a continuación, cree el rol, utilizando Lambda como entidad de confianza y agregando los permisos | DevOps |
Crear e implementar la función de Lambda. |
| DevOps |
Tarea | Descripción | Habilidades requeridas |
---|---|---|
Agrega una regla de AWS Config personalizada. | En la consola AWS Config, agrega una regla personalizada con los siguientes ajustes:
Para obtener más información, consulta la AWSdocumentación. | DevOps |
Tarea | Descripción | Habilidades requeridas |
---|---|---|
Cree el SNS tema y la suscripción. | En la SNS consola de Amazon, crea un tema con el tipo Estándar y, a continuación, crea una suscripción con el correo electrónico como protocolo. Cuando reciba el mensaje de confirmación por correo electrónico, seleccione el enlace para confirmar la suscripción. Para obtener más información, consulta la AWSdocumentación. | DevOps |
Crea una EventBridge regla para iniciar SNS las notificaciones de Amazon. | En la EventBridge consola, crea una regla con los siguientes ajustes:
Para obtener más información, consulte la AWSdocumentación. | DevOps |
Tarea | Descripción | Habilidades requeridas |
---|---|---|
Cree EC2 instancias. | Cree dos EC2 instancias de cualquier tipo y adjunte un par de claves y cree una EC2 instancia sin un par de claves. | DevOps |
Verifique la regla. |
| DevOps |
Recursos relacionados
Conexiones
Para acceder al contenido adicional asociado a este documento, descomprima el archivo: attachment.zip