Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Réactivez automatiquement AWS à l'aide CloudTrail d'une règle de correction personnalisée dans AWS Config
Créée par Manigandan Shri (AWS)
Récapitulatif
La visibilité de l'activité de votre compte Amazon Web Services (AWS) est une bonne pratique opérationnelle et de sécurité importante. AWS vous CloudTrail aide à gérer la gouvernance, la conformité, ainsi que l'audit des opérations et des risques de votre compte.
Pour garantir que cela CloudTrail reste activé dans votre compte, AWS Config fournit la règle cloudtrail-enabled gérée. Si elle CloudTrail est désactivée, la cloudtrail-enabled règle la réactive automatiquement à l'aide de la correction automatique.
Toutefois, vous devez vous assurer de suivre les meilleures pratiques en matière de sécurité CloudTrail si vous utilisez la correction automatique. Ces bonnes pratiques incluent l'activation CloudTrail dans toutes les régions AWS, la journalisation des charges de travail de lecture et d'écriture, l'activation d'informations et le chiffrement des fichiers journaux avec un chiffrement côté serveur à l'aide des clés gérées par AWS Key Management Service (AWS KMS) (SSE-KMS).
Ce modèle vous aide à suivre ces bonnes pratiques en matière de sécurité en fournissant une action corrective personnalisée pour la réactiver automatiquement CloudTrail dans votre compte.
Important
Nous vous recommandons d'utiliser des politiques de contrôle des services (SCPs) pour empêcher toute altération. CloudTrail Pour plus d'informations à ce sujet, consultez la section Empêcher toute altération avec AWS de la CloudTrail section Comment utiliser AWS Organizations pour simplifier la sécurité à grande échelle
Conditions préalables et limitations
Prérequis
Un compte AWS actif
Autorisations pour créer un runbook AWS Systems Manager Automation
Un historique existant pour votre compte
Limites
Ce modèle ne prend pas en charge les actions suivantes :
Configuration d'une clé de préfixe Amazon Simple Storage Service (Amazon S3) pour l'emplacement de stockage
Publication sur une rubrique Amazon Simple Notification Service (Amazon SNS)
Configuration d'Amazon CloudWatch Logs pour surveiller vos CloudTrail journaux
Architecture
Pile technologique
AWS Config
CloudTrail
Systems Manager
Systems Manager Automation
Outils
AWS Config fournit une vue détaillée de la configuration des ressources AWS de votre compte.
AWS vous CloudTrail aide à activer la gouvernance, la conformité et l'audit opérationnel et des risques de votre compte.
AWS Key Management Service (AWS KMS) est un service de chiffrement et de gestion des clés.
AWS Systems Manager vous aide à visualiser et à contrôler votre infrastructure sur AWS.
AWS Systems Manager Automation simplifie les tâches courantes de maintenance et de déploiement des instances Amazon Elastic Compute Cloud (Amazon EC2) et des autres ressources AWS.
Amazon Simple Storage Service (Amazon S3) est un service de stockage d'objets basé sur le cloud qui vous permet de stocker, de protéger et de récupérer n'importe quel volume de données.
Code
Le fichier cloudtrail-remediation-action.yml (joint) vous permet de créer un runbook Systems Manager Automation à configurer et à réactiver en CloudTrail utilisant les meilleures pratiques de sécurité.
Épopées
| Tâche | Description | Compétences requises |
|---|---|---|
Créez un compartiment S3. | Connectez-vous à l'AWS Management Console, ouvrez la console Amazon S3, puis créez un compartiment S3 pour stocker les CloudTrail journaux. Pour plus d'informations, consultez la section Créer un compartiment S3 dans la documentation Amazon S3. | Administrateur de systèmes |
Ajoutez une politique de compartiment pour CloudTrail permettre de fournir des fichiers journaux au compartiment S3. | CloudTrail doit disposer des autorisations requises pour transmettre les fichiers journaux à votre compartiment S3. Sur la console Amazon S3, choisissez le compartiment S3 que vous avez créé précédemment, puis sélectionnez Permissions. Créez une politique de compartiment S3 à l'aide de la politique CloudTrail de compartiment Amazon S3 figurant dans la CloudTrail documentation. Pour savoir comment ajouter une politique à un compartiment S3, consultez la section Ajout d'une politique de compartiment à l'aide de la console Amazon S3 dans la documentation Amazon S3. ImportantSi vous avez spécifié un préfixe lorsque vous avez créé votre parcours dans CloudTrail, assurez-vous de l'inclure dans la politique du compartiment S3. Le préfixe est un ajout facultatif à la clé d'objet S3 qui crée une organisation semblable à un dossier dans votre compartiment S3. Pour plus d'informations à ce sujet, consultez la section Création d'un parcours dans la CloudTrail documentation. | Administrateur de systèmes |
Créer une clé KMS. | Créez une clé AWS KMS CloudTrail pour chiffrer les objets avant de les ajouter au compartiment S3. Pour obtenir de l'aide concernant cet article, consultez la section Chiffrement des fichiers CloudTrail journaux à l'aide des clés gérées par AWS KMS (SSE-KMS) dans la documentation. CloudTrail | Administrateur de systèmes |
Ajoutez une politique clé à la clé KMS. | Joignez une politique de clé KMS CloudTrail pour autoriser l'utilisation de la clé KMS. Pour obtenir de l'aide concernant cet article, consultez la section Chiffrement des fichiers CloudTrail journaux avec des clés gérées par AWS KMS (SSE-KMS) dans la documentation. CloudTrail ImportantCloudTrail ne nécessite pas d' | Administrateur de systèmes |
Runbook Create AssumeRole for Systems Manager | Créez un | Administrateur de systèmes |
| Tâche | Description | Compétences requises |
|---|---|---|
Créez le runbook Systems Manager Automation. | Utilisez le | Administrateur de systèmes |
Testez le runbook. | Sur la console Systems Manager, testez le runbook Systems Manager Automation que vous avez créé précédemment. Pour plus d'informations à ce sujet, consultez la section Exécuter une automatisation simple dans la documentation de Systems Manager. | Administrateur de systèmes |
| Tâche | Description | Compétences requises |
|---|---|---|
Ajoutez la règle CloudTrail activée. | Sur la console AWS Config, choisissez Rules, puis Add rule. Sur la page Ajouter une règle, choisissez Ajouter une règle personnalisée. Sur la page Configurer la règle, entrez un nom et une description, puis ajoutez la | Administrateur de systèmes |
Ajoutez l'action de correction automatique. | Dans la liste déroulante Actions, choisissez Gérer les mesures correctives. Choisissez Auto remediation, puis choisissez le runbook Systems Manager que vous avez créé précédemment. Les paramètres d'entrée requis sont les CloudTrail suivants :
Les paramètres d'entrée suivants sont définis sur true par défaut :
Conservez les valeurs par défaut du paramètre Rate Limits et du paramètre Resource ID. Choisissez Save (Enregistrer). Pour plus d'informations, consultez la section Corriger les ressources AWS non conformes à l'aide des règles AWS Config dans la documentation AWS Config. | Administrateur de systèmes |
Testez la règle de correction automatique. | Pour tester la règle de correction automatique, ouvrez la CloudTrail console, choisissez Trails, puis choisissez le trail. Choisissez Arrêter la journalisation pour désactiver la journalisation du parcours. Lorsque vous êtes invité à confirmer, choisissez Arrêter la journalisation. CloudTrail arrête l'activité d'enregistrement pour ce sentier. Suivez les instructions de la section Évaluation de vos ressources dans la documentation AWS Config pour vous assurer que cette option CloudTrail a été automatiquement réactivée. | Administrateur de systèmes |
Ressources connexes
Configuration CloudTrail
Créez et testez le runbook Systems Manager Automation
Configurer la règle de correction automatique dans AWS Config
Ressources supplémentaires
Pièces jointes
