Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWSPremiumSupport-DDoSResiliencyAssessment
Deskripsi
Runbook AWS Systems Manager otomatisasi membantu Anda memeriksa kerentanan DDoS dan konfigurasi sumber daya sesuai dengan AWS Shield Advanced perlindungan untuk Anda. AWSPremiumSupport-DDoSResiliencyAssessment
Akun AWS Ini menyediakan laporan pengaturan konfigurasi untuk sumber daya yang rentan terhadap serangan Distributed Denial of Service (DDoS). Ini digunakan untuk mengumpulkan, menganalisis, dan menilai sumber daya berikut: Amazon Route 53, Amazon Load Balancers, CloudFront distribusi Amazon, AWS Global Accelerator dan IP AWS Elastis untuk pengaturan konfigurasinya sesuai dengan praktik terbaik yang direkomendasikan untuk Perlindungan. AWS Shield Advanced Laporan konfigurasi akhir tersedia di bucket Amazon S3 pilihan Anda sebagai file HTML.
Bagaimana cara kerjanya?
Runbook ini berisi serangkaian pemeriksaan untuk berbagai jenis sumber daya yang diaktifkan untuk akses publik dan jika mereka memiliki perlindungan yang dikonfigurasi sesuai rekomendasi di Whitepaper Praktik Terbaik AWS DDoS. Runbook melakukan hal berikut:
Memeriksa apakah langganan AWS Shield Advanced diaktifkan.
Jika diaktifkan, ia menemukan apakah ada sumber daya yang dilindungi Shield Advanced.
Ia menemukan semua sumber daya global dan regional di Akun AWS dan memeriksa apakah ini dilindungi oleh Shield.
Ini memerlukan parameter Jenis Sumber Daya untuk penilaian, nama bucket Amazon S3, dan ID Akun AWS bucket Amazon S3 (S3). BucketOwner
Ini mengembalikan temuan sebagai laporan HTML yang disimpan di bucket Amazon S3 yang disediakan.
Parameter input AssessmentType
memutuskan apakah pemeriksaan pada semua sumber daya akan dilakukan. Secara default, runbook memeriksa semua jenis sumber daya. Jika hanya GlobalResources
atau RegionalResources
parameter yang dipilih, runbook hanya melakukan pemeriksaan pada jenis sumber daya yang dipilih.
penting
-
Akses ke
AWSPremiumSupport-*
runbook memerlukan langganan Enterprise atau Business Support. Untuk informasi selengkapnya, lihat Bandingkan AWS Support Paket. -
Runbook ini membutuhkan
ACTIVE
AWS Shield Advancedlangganan.
Jenis dokumen
Otomatisasi
Pemilik
Amazon
Platform
Linux,macOS, Windows
Parameter
-
AutomationAssumeRole
Jenis: String
Deskripsi: (Opsional) Nama Sumber Daya Amazon (ARN) peran AWS Identity and Access Management (IAM) yang memungkinkan Otomasi Systems Manager untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini.
-
AssessmentType
Jenis: String
Deskripsi: (Opsional) Menentukan jenis sumber daya yang akan dievaluasi untuk penilaian ketahanan DDoS. Secara default, runbook akan mengevaluasi sumber daya global dan regional. Untuk sumber daya regional, runbook menjelaskan semua penyeimbang beban Application (ALB) dan Network (NLB) serta semua grup Auto Scaling di /region Anda. Akun AWS
Nilai yang valid:
['Global Resources', 'Regional Resources', 'Global and Regional Resources']
Default: Sumber Daya Global dan Regional
-
S3 BucketName
Tipe:
AWS::S3::Bucket::Name
Deskripsi: (Wajib) Nama bucket Amazon S3 tempat laporan akan diunggah.
Pola yang Diizinkan:
^[0-9a-z][a-z0-9\-\.]{3,63}$
-
S3 BucketOwnerAccount
Jenis: String
Deskripsi: (Opsional) Akun AWS Yang memiliki ember Amazon S3. Harap tentukan parameter ini jika bucket Amazon S3 milik yang berbedaAkun AWS, jika tidak, Anda dapat membiarkan parameter ini kosong.
Pola yang Diizinkan:
^$|^[0-9]{12,13}$
-
S3 BucketOwnerRoleArn
Tipe:
AWS::IAM::Role::Arn
Deskripsi: (Opsional) ARN peran IAM dengan izin untuk menjelaskan bucket Amazon S3 dan Akun AWS memblokir konfigurasi akses publik jika bucket berbeda. Akun AWS Jika parameter ini tidak ditentukan, runbook menggunakan
AutomationAssumeRole
atau pengguna IAM yang memulai runbook ini (jika tidakAutomationAssumeRole
ditentukan). Silakan lihat bagian izin yang diperlukan di deskripsi buku runbook.Pola yang Diizinkan:
^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso|aws-iso-b):iam::[0-9]{12,13}:role/.*$
-
S3 BucketPrefix
Jenis: String
Deskripsi: (Opsional) Awalan untuk jalur di dalam Amazon S3 untuk menyimpan hasil.
Pola yang Diizinkan:
^[a-zA-Z0-9][-./a-zA-Z0-9]{0,255}$|^$
Izin IAM yang diperlukan
AutomationAssumeRole
Parameter memerlukan tindakan berikut untuk menggunakan runbook dengan sukses.
autoscaling:DescribeAutoScalingGroups
cloudfront:ListDistributions
ec2:DescribeAddresses
ec2:DescribeNetworkAcls
ec2:DescribeInstances
elasticloadbalancing:DescribeLoadBalancers
elasticloadbalancing:DescribeTargetGroups
globalaccelerator:ListAccelerators
iam:GetRole
iam:ListAttachedRolePolicies
route53:ListHostedZones
route53:GetHealthCheck
shield:ListProtections
shield:GetSubscriptionState
shield:DescribeSubscription
shield:DescribeEmergencyContactSettings
shield:DescribeDRTAccess
waf:GetWebACL
waf:GetRateBasedRule
wafv2:GetWebACL
wafv2:GetWebACLForResource
waf-regional:GetWebACLForResource
waf-regional:GetWebACL
s3:ListBucket
s3:GetBucketAcl
s3:GetBucketLocation
s3:GetBucketPublicAccessBlock
s3:GetBucketPolicyStatus
s3:GetBucketEncryption
s3:GetAccountPublicAccessBlock
s3:PutObject
Contoh Kebijakan IAM untuk Otomasi Asumsikan Peran
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:ListBucket", "s3:GetBucketAcl", "s3:GetAccountPublicAccessBlock" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "s3:ListBucket", "s3:GetBucketAcl", "s3:GetBucketLocation", "s3:GetBucketPublicAccessBlock", "s3:GetBucketPolicyStatus", "s3:GetEncryptionConfiguration" ], "Resource": "arn:aws:s3:::<bucket-name>", "Effect": "Allow" }, { "Action": [ "s3:PutObject" ], "Resource": "arn:aws:s3:::<bucket-name>/*", "Effect": "Allow" }, { "Action": [ "autoscaling:DescribeAutoScalingGroups", "cloudfront:ListDistributions", "ec2:DescribeInstances", "ec2:DescribeAddresses", "ec2:DescribeNetworkAcls", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeTargetGroups", "globalaccelerator:ListAccelerators", "iam:GetRole", "iam:ListAttachedRolePolicies", "route53:ListHostedZones", "route53:GetHealthCheck", "shield:ListProtections", "shield:GetSubscriptionState", "shield:DescribeSubscription", "shield:DescribeEmergencyContactSettings", "shield:DescribeDRTAccess", "waf:GetWebACL", "waf:GetRateBasedRule", "wafv2:GetWebACL", "wafv2:GetWebACLForResource", "waf-regional:GetWebACLForResource", "waf-regional:GetWebACL" ], "Resource": "*", "Effect": "Allow" }, { "Action": "iam:PassRole", "Resource": "arn:aws:iam::123456789012:role/<AutomationAssumeRole-Name>", "Effect": "Allow" } ] }
Instruksi
Arahkan ke AWSPremiumSupport-DDoS ResiliencyAssessment
di Konsol. AWS Systems Manager Pilih Jalankan Otomasi
-
Untuk parameter input, masukkan yang berikut ini:
-
AutomationAssumeRole (Opsional):
Nama Sumber Daya Amazon (ARN) dari peran AWS Identity and Access Management (IAM) yang memungkinkan Otomasi Systems Manager untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini.
-
AssessmentType (Opsional):
Menentukan jenis sumber daya untuk mengevaluasi penilaian ketahanan DDoS. Secara default, runbook mengevaluasi sumber daya global dan regional.
-
S3 BucketName (Diperlukan):
Nama bucket Amazon S3 untuk menyimpan laporan penilaian dalam format HTML.
-
S3 BucketOwner (Opsional):
Akun AWSID bucket Amazon S3 untuk verifikasi kepemilikan. Akun AWSID diperlukan jika laporan perlu dipublikasikan ke bucket Amazon S3 lintas akun dan opsional jika bucket Amazon S3 sama dengan inisiasi otomatisasi. Akun AWS
-
S3 BucketPrefix (Opsional):
Awalan apa pun untuk jalur di dalam Amazon S3 untuk menyimpan hasilnya.
-
Pilih Jalankan.
Otomatisasi dimulai.
-
Dokumen melakukan langkah-langkah berikut:
-
CheckShieldAdvancedState:
Memeriksa apakah bucket Amazon S3 yang ditentukan dalam “S3BucketName" memungkinkan izin akses baca atau tulis anonim, atau publik, apakah bucket mengaktifkan enkripsi saat istirahat, dan jika Akun AWS ID yang disediakan di “S3BucketOwner" adalah pemilik bucket Amazon S3.
-
S3BucketSecurityChecks:
Memeriksa apakah bucket Amazon S3 yang ditentukan dalam “S3BucketName" memungkinkan izin akses baca atau tulis anonim, atau publik, apakah bucket mengaktifkan enkripsi saat istirahat, dan jika Akun AWS ID yang disediakan di “S3BucketOwner" adalah pemilik bucket Amazon S3.
-
BranchOnShieldAdvancedStatus:
Cabang mendokumentasikan langkah-langkah berdasarkan status AWS Shield Advanced Langganan dan/atau status Kepemilikan Bucket Amazon S3.
-
ShieldAdvancedConfigurationReview:
Ulasan konfigurasi Shield Advanced untuk memastikan detail minimum yang diperlukan ada. Misalnya: Tim IAM Access for AWS Shield Response Team (SRT), Detail Daftar Kontak, dan Status Keterlibatan Proaktif SRT.
-
ListShieldAdvancedProtections:
Daftar Sumber Daya yang Dilindungi Shield dan membuat grup sumber daya yang dilindungi untuk setiap layanan.
-
BranchOnResourceTypeAndCount:
Cabang mendokumentasikan langkah-langkah berdasarkan nilai parameter Jenis Sumber Daya dan jumlah sumber daya global yang dilindungi Shield.
-
ReviewGlobalResources:
Meninjau sumber daya Global yang dilindungi Shield Advanced seperti Zona yang Dihosting Route 53, CloudFront Distribusi, dan Akselerator Global.
-
BranchOnResourceType:
Cabang mendokumentasikan langkah-langkah berdasarkan pilihan jenis Sumber Daya, jika Global, Regional, atau keduanya.
-
ReviewRegionalResources:
Meninjau sumber daya Regional yang dilindungi Shield Advanced seperti Application Load Balancers, Network Load Balancer, Classic Load Balancers, Amazon Elastic Compute Cloud (Amazon EC2) Instans (IP Elastis).
-
SendReportToS3:
Mengunggah detail Laporan Penilaian DDoS ke bucket Amazon S3.
-
-
Setelah selesai, URI untuk file HTML laporan penilaian disediakan di bucket Amazon S3:
Tautan Konsol S3 dan URI Amazon S3 untuk Laporan tentang keberhasilan eksekusi runbook
Referensi
Otomatisasi Systems Manager
AWSdokumentasi layanan