Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Réactivez automatiquement AWS à CloudTrail l'aide d'une règle de correction personnalisée dans AWS Config
Créée par Manigandan Shri (AWS)
Environnement : Production | Technologies : Infrastructure ; Opérations ; Sécurité, identité, conformité | Services AWS : Amazon S3 ; AWS Config ; AWS KMS ; AWS Identity and Access Management ; AWS Systems Manager ; AWS CloudTrail |
Récapitulatif
La visibilité sur l'activité de votre compte Amazon Web Services (AWS) est une bonne pratique opérationnelle et de sécurité importante. AWS vous CloudTrail aide à assurer la gouvernance, la conformité, ainsi que l'audit opérationnel et des risques de votre compte.
Pour garantir que cela CloudTrail reste activé sur votre compte, AWS Config fournit la règlecloudtrail-enabled
gérée. Si elle CloudTrail est désactivée, lacloudtrail-enabled
règle la réactive automatiquement à l'aide de la correction automatique.
Cependant, vous devez vous assurer de suivre les meilleures pratiques de sécurité CloudTrail si vous utilisez la correction automatique. Ces bonnes pratiques incluent l'activation CloudTrail dans toutes les régions AWS, la journalisation des charges de travail en lecture et en écriture, ainsi que le chiffrement des fichiers journaux avec un chiffrement côté serveur à l'aide d'AWS Key Management Service (AWS KMS).
Ce modèle vous aide à suivre ces meilleures pratiques de sécurité en proposant une action corrective personnalisée à réactiver CloudTrail automatiquement sur votre compte.
Important : Nous vous recommandons d'utiliser des politiques de contrôle des services (SCP) pour empêcher toute manipulation CloudTrail. Pour plus d'informations à ce sujet, consultez la section Empêcher la falsification d'AWS de la CloudTrail section Comment utiliser AWS Organizations pour simplifier la sécurité à grande échelle
Conditions préalables et limitations
Prérequis
Un compte AWS actif
Autorisations AWS Identity and Access Management utilisateurs et des rôles dans AWS Systems Manager Automation
Un journal d'activité
Limites
Ce modèle ne prend pas en charge les actions suivantes :
Définir une clé de préfixe Amazon Simple Storage Service (Amazon S3)
Publier dans une rubrique Amazon Simple Notification Service (Amazon SNS)
Configuration d'Amazon CloudWatch Logs pour surveiller vos CloudTrail journaux
Architecture

Pile technologique
AWS Config
CloudTrail
Systems Manager
Systems Manager Automation
Outils
AWS Config : vous bénéficiez d'un aperçu détaillé de la configuration des ressources de votre compte AWS.
AWS CloudTrail : vous CloudTrail aide à assurer la gouvernance, la conformité, ainsi que l'audit opérationnel et des risques de votre compte.
AWS KMS — AWS Key Management Service (AWS KMS) est un service de chiffrement et de gestion des clés.
AWS Systems Manager : vous aide à visualiser et contrôler votre infrastructure sur AWS.
AWS Systems Manager Automation
Amazon S3 : Amazon Simple Storage Service (Amazon S3) est une solution de stockage sur Internet.
Code
Le fichier cloudtrail-remediation-action .yml (joint) vous aide à créer un runbook d'automatisation de Systems Manager à configurer et à réactiver CloudTrail en utilisant les meilleures pratiques de sécurité.
Épopées
Tâche | Description | Compétences requises |
---|---|---|
Créez un compartiment S3. | Connectez-vous à AWS Management Console, ouvrez la console Amazon S3, puis créez un compartiment S3 pour stocker les CloudTrail journaux. Pour plus d'informations, consultez Créer un compartiment S3 dans la documentation Amazon S3. | administrateur |
Ajoutez une stratégie de compartiment pour CloudTrail assurer la livraison des fichiers journaux dans le compartiment S3. | CloudTrail doit disposer des autorisations requises pour livrer les fichiers journaux dans votre compartiment S3. Sur la console Amazon S3, choisissez le compartiment S3 que vous avez créé précédemment, puis choisissez Autorisations. Créez une politique de compartiment S3 en utilisant la politique CloudTrail de compartiment Amazon S3 décrite dans la CloudTrail documentation. Pour savoir comment ajouter une stratégie à un compartiment S3, veuillez consulter Ajout d'une stratégie de compartiment à l'aide de la console Amazon S3 dans la documentation Amazon S3. Important : Si vous avez spécifié un préfixe lorsque vous avez créé votre journal d'activité CloudTrail, assurez-vous de l'inclure dans la stratégie de compartiment S3. Le préfixe est un ajout facultatif à la clé d'objet S3 qui crée une organisation de type dossier dans votre compartiment S3. Pour plus d'informations à ce sujet, consultez la section Création d'un parcours dans la CloudTrail documentation. | administrateur |
Créer une clé KMS. | Créez une clé AWS KMS CloudTrail pour chiffrer les objets avant de les ajouter au compartiment S3. Pour obtenir de l'aide sur cette histoire, consultez la section Chiffrement des fichiers CloudTrail journaux avec des clés gérées AWS KMS (SSE-KMS) dans la CloudTrail documentation. | administrateur |
Ajoutez une stratégie de clé à la clé KMS. | Joignez une stratégie de clé KMS pour CloudTrail assurer l'utilisation de la clé KMS. Pour obtenir de l'aide sur ce récit, reportez-vous à Chiffrement des fichiers CloudTrail journaux avec clés gérées par AWS KMS (SSE-KMS) dans la CloudTrail documentation. Important : CloudTrail aucune | administrateur |
Runbook Create AssumeRole for Systems Manager | Créez un | Administrateur de systèmes |
Tâche | Description | Compétences requises |
---|---|---|
Créez le runbook Systems Manager | Utilisez le fichier cloudtrail-remediation-action .yml (joint) pour créer le runbook Systems Manager Automation. Pour plus d'informations à ce sujet, consultez la section Création de documents Systems Manager dans la documentation de Systems Manager. | Administrateur de systèmes |
Testez le runbook. | Sur la console System Manager, testez le runbook Systems Manager Automation que vous avez créé précédemment. Pour plus d'informations à ce sujet, consultez la section Exécution d'une automatisation simple dans la documentation de Systems Manager. | Administrateur de systèmes |
Tâche | Description | Compétences requises |
---|---|---|
Ajoutez la règle compatible avec CloudTrail. | Sur la console AWS Config, choisissez Règles, puis Ajouter une règle. Sur la page Ajouter une règle, choisissez Ajouter une règle personnalisée. Sur la page Configure rule (Configurer la règle), saisissez un nom et une description, puis ajoutez la | Administrateur de systèmes |
Ajoutez l'action de correction automatique. | Dans la liste déroulante Actions, choisissez Gérer les mesures correctives. Choisissez Correction automatique, puis choisissez le runbook Systems Manager que vous avez créé précédemment. Les paramètres d'entrée requis sont les suivants pour CloudTrail :
Les paramètres d'entrée suivants sont définis sur true par défaut :
Conservez les valeurs par défaut pour le paramètre Rate Limits et le paramètre Resource ID. Choisissez Save (Enregistrer). Pour plus d'informations à ce sujet, consultez la section Corriger les ressources AWS non conformes avec les règles AWS Config dans la documentation AWS Config. | administrateur |
Testez la règle de correction automatique. | Pour tester la règle de correction automatique, ouvrez la CloudTrail console, choisissez Trails, puis choisissez le parcours. Choisissez Yes (Oui) pour désactiver la journalisation du journal d'activité. Lorsque vous êtes invité à confirmer, choisissez Yes (Oui). CloudTrail arrête l'activité de journalisation pour ce journal d'activité. Suivez les instructions de la section Évaluation de vos ressources dans la documentation AWS Config pour vous assurer que cette option CloudTrail a été automatiquement réactivée. | Administrateur de systèmes |
Ressources connexes
Configurez CloudTrail
Création et test du runbook Systems Manager Automation
Configurer la règle de correction automatique dans AWS Config
Ressources supplémentaires
Pièces jointes
Pour accéder au contenu supplémentaire associé à ce document, décompressez le fichier suivant : attachment.zip