Réactiver automatiquement AWS CloudTrail en utilisant une règle de correction personnalisée dans AWS Config - AWS Prescriptive Guidance

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Réactiver automatiquement AWS CloudTrail en utilisant une règle de correction personnalisée dans AWS Config

Créée par Manigandan Shri (AWS)

Environment : Production

Technologies : Infrastructure ; Opérations ; Sécurité, identité, conformité

Services AWS : Amazon S3 ; AWS Config ; AWS KMS ; AWS Identity and Access Management ; AWS Systems Manager ; AWS CloudTrail

Récapitulatif

La visibilité de l'activité de votre compte Amazon Web Services (AWS) est une bonne pratique opérationnelle et de sécurité importante. AWS CloudTrail vous aide à assurer la gouvernance, la conformité, ainsi que l'audit opérationnel et des risques de votre compte.

Pour s'assurer que CloudTrail reste activé sur votre compte, AWS Config fournit lecloudtrail-enabledrègle gérée.Si CloudTrail est éteint, lecloudtrail-enabledla règle la réactive automatiquement en utilisantremediation automatique.

Cependant, vous devez vous assurer de suivreBonnes pratiques de sécuritépour CloudTrail si vous utilisez la correction automatique. Ces meilleures pratiques incluent l'activation CloudTrail dans toutes les régions AWS, journalisation des charges de travail en lecture et en écriture, obtention d'informations et chiffrement des fichiers journaux avecchiffrement côté serveur à l'aide de clés gérées par AWS Key Management Service (AWS KMS-SSE).

Ce modèle vous aide à suivre ces bonnes pratiques de sécurité en fournissant une action de correction personnalisée à réactiver automatiquement CloudTrail dans votre compte.

Important : Nous vous recommandons d'utiliserpolitiques de contrôle des services (SCP)pour éviter toute manipulation CloudTrail. Pour de plus amples informations à ce sujet, veuillez consulterEmpêchez toute manipulation d'AWS CloudTrailsection deComment utiliser AWS Organizations pour simplifier la sécurité à grande échellesur le blog de sécurité AWS.

Conditions préalables et limitations

Prérequis

  • Un compte AWS actif

  • Autorisations des utilisateurs et des rôles AWS Systems Manager Automation (IAM) pour créer un runbook AWS Systems Manager Automation

  • Un journal de suivi existant pour votre compte

Limites

Ce modèle ne prend pas en charge les actions suivantes :

  • Configuration d'une clé de préfixe Amazon Simple Storage Service (Amazon S3) pour l'emplacement de stockage

  • Publier dans une rubrique Amazon Simple Notification Service (Amazon SNS)

  • Configuration d'Amazon CloudWatch Des journaux pour surveiller votre CloudTrail journaux

Architecture

Pile technologique

  • AWS Config 

  • CloudTrail

  • Systems Manager

  • Systems Manager Automation

Outils

 

AWS Config— Grâce à AWS Config, vous bénéficiez d'un aperçu détaillé de la configuration des ressources de votre compte AWS. 

AWS CloudTrail– CloudTrail vous aide à assurer la gouvernance, la conformité, ainsi que l'audit opérationnel et des risques de votre compte.

AWS KMS— AWS Key Management Service (AWS KMS) est un service de chiffrement et de gestion des clés.

AWS Systems Manager— Systems Manager vous aide à visualiser et à contrôler votre infrastructure sur AWS.

Automation AWS Systems Manager Automation— Systems Manager Automation simplifie les tâches courantes de maintenance et de déploiement des instances Amazon Elastic Compute Cloud (Amazon EC2) et d'autres ressources AWS.

Amazon S3— Amazon Simple Storage Service (Amazon S3) est une solution de stockage sur Internet.

Code

Dans la cloudtrail-remediation-actionLe fichier .yml (joint) vous permet de créer un runbook Systems Manager Automation à configurer et à réactiver CloudTrail en utilisant les bonnes pratiques de sécurité.

épopées

TâcheDescriptionCompétences requises
Créez un compartiment S3.

Connectez-vous à AWS Management Console, ouvrez la console Amazon S3, puis créez un compartiment S3 pour stocker les CloudTrail journaux. Pour plus d'informations, veuillez consulter la rubriqueCréation d'un compartiment S3dans la documentation Amazon S3.

Administrateur système
Ajouter une stratégie de compartiment pour autoriser CloudTrail pour livrer les fichiers journaux dans le compartiment S3.

CloudTrail doit disposer des autorisations requises pour livrer les fichiers journaux dans votre compartiment S3. Sur la console Amazon S3, choisissez le compartiment S3 que vous avez créé précédemment, puis choisissezAutorisations. Créez une politique de compartiment S3 à l'aide depolitique de compartiment Amazon S3 pour CloudTrailà partir des CloudTrail .

Pour les étapes à suivre pour ajouter une politique à un compartiment S3, veuillez consulterAjout d’une stratégie de compartiment à l’aide de la console Amazon S3dans la documentation Amazon S3.

Important : Si vous avez spécifié un préfixe lorsque vous avez créé votre journal d'activité dans CloudTrail, assurez-vous de l'inclure dans la politique de compartiment S3. Le préfixe est un ajout facultatif à la clé d'objet S3 qui crée une organisation de type dossier dans le compartiment S3. Pour de plus amples informations à ce sujet, veuillez consulterCréation d'un journal d'activitédans le CloudTrail .

Administrateur système
Créer une clé KMS.

Création d'une clé AWS KMS pour CloudTrail pour crypter des objets avant de les ajouter au compartiment S3. Pour obtenir de l'aide sur cette histoire, veuillez consulterChiffrement CloudTrail fichiers journaux avec des clés gérées par AWS KMS (SSE-KMS)dans le CloudTrail .

Administrateur système
Ajoutez une stratégie clé à la clé KMS.

Joindre une politique de clé KMS pour autoriser CloudTrail pour utiliser la clé KMS. Pour obtenir de l'aide sur cette histoire, veuillez consulterChiffrement CloudTrail fichiers journaux avec des clés gérées par AWS KMS (KMS-SSE)dans le CloudTrail .

Important : CloudTrail ne nécessite pasDecryptautorisations.

Administrateur système
Création AssumeRole pour le runbook de Systems Manager

Créer unAssumeRolepour que Systems Manager Automation exécute le runbook. Pour des instructions et de plus amples informations à ce sujet, veuillez consulterConfiguration d'Automationdans la documentation Systems Manager.

Administrateur système
TâcheDescriptionCompétences requises
Créez le runbook Systems Manager Automation.

Utiliser le cloudtrail-remediation-actionfichier .yml (joint) pour créer le runbook Systems Manager Automation. Pour de plus amples informations à ce sujet, veuillez consulterCréation de documents Systems Managerdans la documentation Systems Manager.

Administrateur système
Testez le runbook.

Sur la console System Manager, testez le runbook Systems Manager Automation que vous avez créé précédemment. Pour de plus amples informations à ce sujet, veuillez consulterExécution d'une automatisation simpledans la documentation Systems Manager.

Administrateur système
TâcheDescriptionCompétences requises
Ajoutez la règle d'activation de Cloudtrail.

Sur la console AWS Config, choisissezRèglespuis choisissezAjouter une règle. Sur la page Ajouter une règle, choisissez Ajouter une règle personnalisée. Sur leConfigurer une règlepage, entrez un nom et une description, puis ajoutezcloudtrail-enabledrègle. Pour plus d'informations, veuillez consulter la rubriqueGestion de vos règles AWS Configdans la documentation AWS Config.

Administrateur système
Ajoutez l'action de correction automatique.

À partir desActionsliste déroulante, choisissezGestion des erreurs. Choisissezremediation automatiquepuis choisissez le runbook Systems Manager que vous avez créé précédemment. 

Les paramètres d'entrée requis pour CloudTrail :

  • CloudTrailName

  • CloudTrailS3BucketName

  • CloudTrailKmsKeyId

  • AssumeRole (facultatif)

Les paramètres d'entrée suivants sont définis sur true par défaut : 

  • IsMultiRegionTrail

  • IsOrganizationTrail

  • IncludeGlobalServiceEvents

  • EnableLogFileValidation

Conservez les valeurs par défaut pourparamètre de limites de débitetParamètre ID de ressource. Choisissez Save (Enregistrer).

Pour de plus amples informations à ce sujet, veuillez consulterCorriger les ressources AWS non conformes à l'aide des règles AWS Configdans la documentation AWS Config

Administrateur système
Testez la règle de correction automatique.

Pour tester la règle de correction automatique, ouvrez le CloudTrail console, choisissezJournaux, puis choisissez le sentier. ChoisissezArrêter l'enregistrementpour désactiver la journalisation du journal d'activité. Lorsque vous êtes invité à confirmer, choisissezArrêter l'enregistrement. CloudTrail arrête l'activité de journalisation pour ce journal d'activité

Suivez les instructions deÉvaluer vos ressourcesdans la documentation AWS Config pour vous assurer que CloudTrail a été automatiquement réactivé.

Administrateur système

Configuration CloudTrail

Création et test du runbook Systems Manager Automation

Configuration de la règle de correction automatique dans AWS Config

Ressources supplémentaires

Pièces jointes

Pour accéder au contenu supplémentaire associé à ce document, décompressez le fichier suivant :attachment.zip