Suivi des modifications de configuration du chiffrement X-Ray avecAWS Config

AWS X-Rays'intègreAWS Config à pour enregistrer les modifications de configuration apportées à vos ressources de chiffrement X-Ray. Vous pouvez l'utiliserAWS Config pour inventorier les ressources de chiffrement X-Ray, auditer l'historique de configuration de X-Ray et envoyer des notifications en fonction des modifications des ressources.

AWS Configprend en charge la journalisation des modifications des ressources de chiffrement X-Ray suivantes en tant qu'événements :

• Modifications de configuration : modification ou ajout d'une clé de chiffrement, ou rétablissement du paramètre de chiffrement X-Ray par défaut.

Suivez les instructions suivantes pour savoir comment créer une connexion de base entre X-Ray etAWS Config.

Création d'un déclenchcher de la fonction Lambda.

Vous devez disposer de l'ARN d'une fonction AWS Lambda personnalisée avant de pouvoir générer une règle AWS Config personnalisée. Suivez ces instructions pour créer une fonction élémentaire avec Node.js qui renvoie à AWS Config une valeur conforme ou non conforme en fonction de l'état de la ressource XrayEncryptionConfig.

Pour créer une fonction Lambda avec un déclencheur de AWS::XrayEncryptionConfig modification

1. Ouvrez la console Lambda. Sélectionnez Créer une fonction.

2. Choisissez Blueprints, puis filtrez la bibliothèque de plans pour le config-rule-change-triggeredplan. Cliquez sur le lien dans le plan ou choisissez Configure (Configurer) pour continuer.

3. Définissez les champs suivants pour configurer le plan :

   • Pour Name (Nom), tapez un nom.

   • Pour Role (Rôle), choisissez Create new role from template(s) (Créer un rôle à partir d'un modèle).

   • Tapez un nom pour Role name (Nom de rôle).

   • Pour Policy templates (Modèles de stratégie), choisissez AWS Config Rules permissions (Autorisations de règles &CC;).

4. Choisissez Create function (Créer la fonction) pour créer et afficher votre fonction dans la console AWS Lambda.

5. Modifiez le code de votre fonction pour remplacer AWS::EC2::Instance par AWS::XrayEncryptionConfig. Vous pouvez également mettre à jour le champ de description pour refléter cette modification.

   Code par défaut

       if (configurationItem.resourceType !== 'AWS::EC2::Instance') {
           return 'NOT_APPLICABLE';
       } else if (ruleParameters.desiredInstanceType === configurationItem.configuration.instanceType) {
           return 'COMPLIANT';
       }
           return 'NON_COMPLIANT';

   Code mis à jour

       if (configurationItem.resourceType !== 'AWS::XRay::EncryptionConfig') {
           return 'NOT_APPLICABLE';
       } else if (ruleParameters.desiredInstanceType === configurationItem.configuration.instanceType) {
           return 'COMPLIANT';
       }
           return 'NON_COMPLIANT';

6. Ajoutez ce qui suit à votre rôle d'exécution dans IAM pour accéder à X-Ray. Ces autorisations isations isations isations permettent d'accéder en lecture seule à vos ressources X-Ray. Le fait de ne pas fournir l'accès aux ressources appropriées se traduira par un message hors de portéeAWS Config dès l'évaluation de la fonction Lambda associée à la règle.

       {
           "Sid": "Stmt1529350291539",
           "Action": [
               "xray:GetEncryptionConfig"
           ],
           "Effect": "Allow",
           "Resource": "*"
        }

Création d'une règle AWS Config personnalisée pour X-Ray

Lorsque la fonction Lambda est créée, notez l'ARN de la fonction et accédez à laAWS Config console pour créer votre règle personnalisée.

Pour créer uneAWS Config règle pour suivi pour créer une règle pour créer X-Ray

1. Ouvrez la page Rules (Règles) de la console AWS Config.

2. Choisissez Add rule (Ajouter une règle), puis Add custom rule (Ajouter une règle personnalisée).

3. Dans AWS LambdaFunction ARN, insérez l'ARN associé à la fonction Lambda que vous souhaitez utiliser.

4. Choisissez le type de déclencheur à définir :

   • Modifications de configuration :AWS Config déclenche l'évaluation lorsqu'une ressource correspondant à l'étendue de la règle change de configuration. L'évaluation se lance dès qu'une notification de changement d'un élément de configuration est émise par AWS Config.

   • Périodique :AWS Config exécute des évaluations de la règle à la fréquence que vous choisissez (par exemple, toutes les 24 heures).

5. Pour Type de ressource, choisissez EncryptionConfigdans la section X-Ray.

6. Choisissez Save (Enregistrer).

La console AWS Config commence immédiatement à évaluer la conformité de la règle. L'évaluation peut prendre plusieurs minutes.

Maintenant que cette règle est conforme, AWS Config peut commencer à compiler un historique d'audit. AWS Config enregistre les modifications de ressources sous la forme d'un calendrier. Pour chaque modification de la chronologie d'événements, AWS Config génère une table dans un format de/à pour indiquer ce qui a changé dans la représentation JSON de la clé de chiffrement. Les deux modifications de champ associées à EncryptionConfig sontConfiguration.type etConfiguration.keyID.

Exemples de résultat

Voici un exemple de chronologie AWS Config présentant les modifications effectuées à des dates et heures spécifiques.

Voici un exemple d'entrée d'une modification AWS Config. Le format de/à illustre ce qui a été modifié. Cet exemple montre que les paramètres de chiffrement X-Ray par défaut ont été remplacés par une clé de chiffrement définie.

Notifications Amazon SNS

Pour la notification des modifications de configuration, configucher la notification de la notificationAWS Config de la notification de la notification de Amazon SNS de la notification de Pour plus d'informations, consultez Surveillance des modifications au niveau des ressources AWS Config par e-mail.