Creación de un disparador de función de Lambda Creación de una regla de AWS Config personalizada para X-Ray Resultados de ejemplo Notificaciones de Amazon SNS

Rastreo de los cambios en la configuración de cifrado de X-Ray con AWS Config

AWS X-Ray se integra en AWS Config para registrar cambios de configuración realizados en los recursos de cifrado de X-Ray. Puede utilizar AWS Config para realizar un inventario de recursos de cifrado de X-Ray, auditar el historial de configuración de X-Ray y enviar notificaciones basadas en los cambios de recursos.

AWS Config admite el registro de los siguientes cambios de recursos de cifrado de X-Ray como eventos:

Cambios de configuración: cambiar o añadir una clave de cifrado o volver a la configuración de cifrado de X-Ray predeterminada.

Utilice las siguientes instrucciones para obtener información sobre cómo crear una conexión básica entre X-Ray y AWS Config.

Creación de un disparador de función de Lambda

Debe tener el ARN de una función de AWS Lambda personalizada antes de poder generar una regla de AWS Config personalizada. Siga estas instrucciones para crear una función básica con Node.js que devuelve un valor conforme o no conforme de vuelta a AWS Config en función del estado del recurso XrayEncryptionConfig.

Para crear una función de Lambda con un disparador de cambio AWS::XrayEncryptionConfig

Abra la consola de Lambda. Elija Crear función.
Elija Blueprints (Proyectos) y, a continuación, filtre la biblioteca de proyectos para el proyecto config-rule-change-triggered. Haga clic en el nombre del proyecto o bien elija Configure (Configurar) para continuar.
Defina los siguientes campos para configurar el proyecto:
- En Name (Nombre), escriba un nombre.
- Para Role (Rol), elija Create new role from template(s) (Crear un rol nuevo a partir de las plantillas).
- Para Role name (Nombre del rol), escriba un nombre.
- Para Policy templates (Plantillas de política), elija AWS Config Rules permissions (Permisos de reglas de &CC;).
Elija Create function (Crear función) para crear y visualizar su función en la consola de AWS Lambda.

Edite el código de la función para reemplazar AWS::EC2::Instance por AWS::XrayEncryptionConfig. También puede actualizar el campo de descripción para reflejar este cambio.

Código predeterminado


    if (configurationItem.resourceType !== 'AWS::EC2::Instance') {
        return 'NOT_APPLICABLE';
    } else if (ruleParameters.desiredInstanceType === configurationItem.configuration.instanceType) {
        return 'COMPLIANT';
    }
        return 'NON_COMPLIANT';

Código actualizado


    if (configurationItem.resourceType !== 'AWS::XRay::EncryptionConfig') {
        return 'NOT_APPLICABLE';
    } else if (ruleParameters.desiredInstanceType === configurationItem.configuration.instanceType) {
        return 'COMPLIANT';
    }
        return 'NON_COMPLIANT';

Añada lo siguiente a su rol de ejecución en IAM para acceso a X-Ray. Estos permisos permiten acceso de solo lectura a sus recursos de X-Ray. Si no se proporciona acceso a los recursos apropiados se producirá un mensaje de fuera de ámbito desde AWS Config cuando se evalúa la función de Lambda asociada a la regla.
```
    {
        "Sid": "Stmt1529350291539",
        "Action": [
            "xray:GetEncryptionConfig"
        ],
        "Effect": "Allow",
        "Resource": "*"
     }
```

Creación de una regla de AWS Config personalizada para X-Ray

Cuando se crea la función de Lambda, anote el ARN de la función y vaya a la consola de AWS Config para crear la regla personalizada.

Para crear una regla de AWS Config para X-Ray

Abra la página Reglas de la consola de AWS Config.
Elija Add rule (Añadir una regla) y, a continuación, elija Add custom rule (Añadir una regla personalizada).
En ARN de la función de AWS Lambda, inserte el ARN asociado a la función de Lambda que desea utilizar.
Elija el tipo de disparador que desea establecer:
- Cambios de configuración: AWS Config dispara la evaluación cuando cambia la configuración de un recurso que coincida con el ámbito de regla. La evaluación se realiza después de que AWS Config envía una notificación sobre un cambio de elementos de configuración.
- Periódica: AWS Config ejecuta las evaluaciones de la regla con la frecuencia que se elija (por ejemplo, cada 24 horas).
Para Tipo de recurso, elija EncryptionConfig en la sección X-Ray.
Seleccione Save.

La consola de AWS Config comienza a evaluar la conformidad de la regla de forma inmediata. La evaluación puede tardar varios minutos en completarse.

Ahora que esta regla es compatible, AWS Config puede empezar a compilar un historial de auditoría. AWS Config registra los cambios de recursos en forma de escala de tiempo. Para cada cambio en la escala de tiempo de eventos, AWS Config genera una tabla en formato de/a para mostrar lo que ha cambiado en la representación JSON de la clave de cifrado. Los dos cambios de campo asociados a EncryptionConfig son Configuration.type y Configuration.keyID.

Resultados de ejemplo

A continuación, se muestra un ejemplo de una escala de tiempo de AWS Config que muestra los cambios realizados en fechas y horas concretas.

A continuación, se muestra un ejemplo de una entrada de cambio de AWS Config. El formato de/a ilustra lo que ha cambiado. En este ejemplo se muestra que la configuración de cifrado de X-Ray predeterminada se cambió a una clave de cifrado definida.

Entrada de cambio de configuración de cifrado de X-Ray

Notificaciones de Amazon SNS

Para recibir una notificación de los cambios de configuración, establezca que AWS Config publique las notificaciones de Amazon SNS. Para obtener más información, consulte Monitorización de cambios de recursos de AWS Config por correo electrónico.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

CloudWatch Synthetics

Amazon EC2