Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWSPremiumSupport-DDoSResiliencyAssessment
Descripción
El manual de procedimientos AWSPremiumSupport-DDoSResiliencyAssessment
de automatización AWS Systems Managerle ayuda a comprobar las vulnerabilidades DDoS y a configurar los recursos de acuerdo con la protección AWS Shield Advancedpara su Cuenta de AWS. Proporciona un informe sobre los ajustes de configuración de los recursos que son vulnerables a los ataques de Distributed Denial of Service (DDoS). Se utiliza para recopilar, analizar y evaluar los siguientes recursos: Amazon Route 53, Amazon Load Balancers, CloudFront distribuciones de Amazon AWS Global Accelerator e IP AWS elásticas para sus ajustes de configuración, de acuerdo con las prácticas recomendadas de protección. AWS Shield Advanced El informe de configuración final está disponible en el bucket de Amazon S3 de su elección como archivo HTML.
¿Cómo funciona?
Este manual de procedimientos contiene una serie de comprobaciones para los distintos tipos de recursos que están habilitados para el acceso público y si tienen las protecciones configuradas según las recomendaciones del AWSDocumento técnico sobre las mejores prácticas de DDoS. El manual de procedimientos realiza lo siguiente:
Comprueba si una suscripción a AWS Shield Advancedestá habilitada.
Si está habilitada, busca si hay algún recurso protegido por Shield Advanced.
Busca todos los recursos mundiales y regionales en Cuenta de AWSy comprueba si están protegidos por Shield.
Requiere los parámetros del tipo de recurso para la evaluación, el nombre del bucket de Amazon S3 y el Cuenta de AWS ID del bucket de Amazon S3 (S3BucketOwner).
Regresa los resultados como un informe HTML almacenado en el bucket de Amazon S3 proporcionado.
Los parámetros de entrada AssessmentType
deciden si se realizarán las comprobaciones de todos los recursos. De forma predeterminada, el manual de procedimientos comprueba todos los tipos de recursos. Si solo se selecciona el parámetro GlobalResources
o RegionalResources
, el manual de procedimientos comprueba únicamente los tipos de recursos seleccionados.
importante
-
El acceso a los manuales de procedimientos de
AWSPremiumSupport-*
requiere una suscripción a Enterprise o Business Support. Para obtener más información, consulte Comparar AWS Supportplanes. -
Este manual de procedimientos requiere una AWS Shield Advancedsuscripción
ACTIVE
.
Ejecuta esta automatización (consola)
Tipo de documento
Automation
Propietario
Amazon
Plataformas
Linux, macOS, Windows
Parámetros
-
AutomationAssumeRole
Tipo: cadena
Descripción: (Opcional) el Nombre de recurso de Amazon (ARN) del rol (IAM) AWS Identity and Access Managementque permite a System Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utilizará los permisos del usuario que ejecuta este manual de procedimientos.
-
AssessmentType
Tipo: cadena
Descripción: (Opcional) Determina el tipo de recursos que se van a evaluar para la evaluación de resiliencia de DDoS. De forma predeterminada, el manual de procedimientos evaluará los recursos tanto globales como regionales. Para los recursos regionales, el manual de procedimientos describe todos los equilibradores de carga de aplicaciones (ALB) y redes (NLB), así como todo el grupo de escalado automático de su Cuenta de AWS/región.
Valores válidos:
['Global Resources', 'Regional Resources', 'Global and Regional Resources']
Predeterminado: recursos globales y regionales
-
S3 BucketName
Tipo:
AWS::S3::Bucket::Name
Descripción: (Obligatorio) El nombre del bucket de Amazon S3 en el que se cargará el informe.
Valor permitido:
^[0-9a-z][a-z0-9\-\.]{3,63}$
-
S3 BucketOwnerAccount
Tipo: cadena
Descripción: (Opcional) La Cuenta de AWSpropietaria del bucket de Amazon S3. Por favor especifique este parámetro si el bucket de Amazon S3 pertenece a una Cuenta de AWSdistinta; de lo contrario puede dejar este parámetro en blanco.
Valor permitido:
^$|^[0-9]{12,13}$
-
S3 BucketOwnerRoleArn
Tipo:
AWS::IAM::Role::Arn
Descripción: (Opcional) El ARN de un rol de IAM con permisos para describir el bucket de Amazon S3 y Cuenta de AWSbloquear la configuración de acceso público si el bucket está en otra Cuenta de AWS. Si no se especifica este parámetro, el manual de procedimientos utilizará
AutomationAssumeRole
o el usuario de IAM que inició este manual de procedimientos (siAutomationAssumeRole
no se especifica). Por favor consulte la sección de permisos necesarios en la descripción del manual de procedimientos.Valor permitido:
^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso|aws-iso-b):iam::[0-9]{12,13}:role/.*$
-
S3 BucketPrefix
Tipo: cadena
Descripción: (Opcional) El prefijo de la ruta dentro de Amazon S3 para almacenar los resultados.
Valor permitido:
^[a-zA-Z0-9][-./a-zA-Z0-9]{0,255}$|^$
Permisos de IAM necesarios
El parámetro AutomationAssumeRole
requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.
autoscaling:DescribeAutoScalingGroups
cloudfront:ListDistributions
ec2:DescribeAddresses
ec2:DescribeNetworkAcls
ec2:DescribeInstances
elasticloadbalancing:DescribeLoadBalancers
elasticloadbalancing:DescribeTargetGroups
globalaccelerator:ListAccelerators
iam:GetRole
iam:ListAttachedRolePolicies
route53:ListHostedZones
route53:GetHealthCheck
shield:ListProtections
shield:GetSubscriptionState
shield:DescribeSubscription
shield:DescribeEmergencyContactSettings
shield:DescribeDRTAccess
waf:GetWebACL
waf:GetRateBasedRule
wafv2:GetWebACL
wafv2:GetWebACLForResource
waf-regional:GetWebACLForResource
waf-regional:GetWebACL
s3:ListBucket
s3:GetBucketAcl
s3:GetBucketLocation
s3:GetBucketPublicAccessBlock
s3:GetBucketPolicyStatus
s3:GetBucketEncryption
s3:GetAccountPublicAccessBlock
s3:PutObject
Ejemplo de política de IAM para el rol Automation Assume
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:ListBucket", "s3:GetBucketAcl", "s3:GetAccountPublicAccessBlock" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "s3:ListBucket", "s3:GetBucketAcl", "s3:GetBucketLocation", "s3:GetBucketPublicAccessBlock", "s3:GetBucketPolicyStatus", "s3:GetEncryptionConfiguration" ], "Resource": "arn:aws:s3:::<bucket-name>", "Effect": "Allow" }, { "Action": [ "s3:PutObject" ], "Resource": "arn:aws:s3:::<bucket-name>/*", "Effect": "Allow" }, { "Action": [ "autoscaling:DescribeAutoScalingGroups", "cloudfront:ListDistributions", "ec2:DescribeInstances", "ec2:DescribeAddresses", "ec2:DescribeNetworkAcls", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeTargetGroups", "globalaccelerator:ListAccelerators", "iam:GetRole", "iam:ListAttachedRolePolicies", "route53:ListHostedZones", "route53:GetHealthCheck", "shield:ListProtections", "shield:GetSubscriptionState", "shield:DescribeSubscription", "shield:DescribeEmergencyContactSettings", "shield:DescribeDRTAccess", "waf:GetWebACL", "waf:GetRateBasedRule", "wafv2:GetWebACL", "wafv2:GetWebACLForResource", "waf-regional:GetWebACLForResource", "waf-regional:GetWebACL" ], "Resource": "*", "Effect": "Allow" }, { "Action": "iam:PassRole", "Resource": "arn:aws:iam::123456789012:role/<AutomationAssumeRole-Name>", "Effect": "Allow" } ] }
Instrucciones
Navegue hasta el AWSPremiumSupport-DDoS ResiliencyAssessment
en la AWS Systems Manager consola. Elija Execute automation (Ejecutar automatización)
-
Para los parámetros de entrada, introduzca lo siguiente:
-
AutomationAssumeRole (Opcional):
El nombre de recurso de Amazon (ARN) del rol (IAM) AWS Identity and Access Managementque permite a System Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utilizará los permisos del usuario que ejecuta este manual de procedimientos.
-
AssessmentType (Opcional):
Determina el tipo de recursos que se van a evaluar para la evaluación de resiliencia de DDoS. De forma predeterminada, el manual de procedimientos evalúa tanto los recursos globales como los regionales.
-
S3 BucketName (obligatorio):
El nombre del bucket de Amazon S3 para guardar el informe de evaluación en formato HTML.
-
S3 BucketOwner (opcional):
El ID de la Cuenta de AWSdel bucket de Amazon S3 para verificar la propiedad. El ID de la Cuenta de AWSes obligatorio si el informe debe publicarse en un bucket de Amazon S3 multicuenta y es opcional si el bucket de Amazon S3 se encuentra en la misma Cuenta de AWSdonde se inició la automatización.
-
S3 BucketPrefix (opcional):
Cualquier prefijo de la ruta dentro de Amazon S3 para almacenar los resultados.
-
Seleccione Ejecutar.
Se inicia la automatización.
-
Este documento realiza los siguientes pasos:
-
CheckShieldAdvancedState:
Comprueba si el bucket de Amazon S3 especificado en «S3BucketName» permite permisos de acceso de lectura o escritura anónimos o públicos, si el bucket tiene activado el cifrado en reposo y si el Cuenta de AWS ID proporcionado en «S3BucketOwner» es el propietario del bucket de Amazon S3.
-
S3BucketSecurityChecks:
Comprueba si el bucket de Amazon S3 especificado en «S3BucketName» permite permisos de acceso de lectura o escritura anónimos o públicos, si el bucket tiene activado el cifrado en reposo y si el Cuenta de AWS ID proporcionado en «S3BucketOwner» es el propietario del bucket de Amazon S3.
-
BranchOnShieldAdvancedStatus:
Ramifica los pasos del documento en función del estado de la suscripción AWS Shield Advancedo del estado de propiedad del bucket de Amazon S3.
-
ShieldAdvancedConfigurationReview:
Revisa las configuraciones de Shield Advanced para garantizar que estén presentes los detalles mínimos requeridos. Por ejemplo: el equipo de IAM Access para AWS ShieldResponse Team (SRT), los detalles de la lista de contactos y el estado de participación proactiva del SRT.
-
ListShieldAdvancedProtections:
Muestra los recursos protegidos de Shield y crea un grupo de recursos protegidos para cada servicio.
-
BranchOnResourceTypeAndCount:
Ramifica los pasos del documento según el valor del parámetro Resource Type y la cantidad de recursos globales protegidos por Shield.
-
ReviewGlobalResources:
Revisa los recursos globales protegidos de Shield Advanced, como las zonas alojadas, las CloudFront distribuciones y los aceleradores globales de Route 53.
-
BranchOnResourceType:
Ramifica los pasos del documento en función de las selecciones de tipo de recurso, ya sean globales, regionales o ambas.
-
ReviewRegionalResources:
Revisa los recursos regionales protegidos de Shield Advanced, como los equilibradores de carga de aplicaciones, los equilibradores de carga de red, los equilibradores de carga clásicos y las instancias de Amazon Elastic Compute Cloud (Amazon EC2) (Elastic IPs).
-
SendReportToS3:
Carga los detalles del informe de evaluación de DDoS en el bucket de Amazon S3.
-
-
Una vez completado, el URI del archivo HTML del informe de evaluación se proporciona en el bucket de Amazon S3:
Enlace a la consola S3 y URI de Amazon S3 para el informe sobre la ejecución correcta del manual de procedimientos
Referencias
Automatización de Systems Manager
AWS documentación de servicio