Menelusuri perubahan konfigurasi enkripsi X-Ray dengan AWS Config - AWS X-Ray
Membuat pemicu fungsi LambdaMembuat kustom aturan AWS Config untuk x-rayContoh hasilNotifikasi Amazon SNS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menelusuri perubahan konfigurasi enkripsi X-Ray dengan AWS Config

AWS X-Ray terintegrasi dengan AWS Config untuk mencatat perubahan konfigurasi yang dibuat pada sumber daya enkripsi X-Ray Anda. Anda dapat menggunakan AWS Config untuk menginventaris sumber daya enkripsi X-Ray, mengaudit riwayat konfigurasi X-Ray, dan mengirim notifikasi berdasarkan perubahan sumber daya.

AWS Config mendukung pencatatan perubahan sumber daya enkripsi X-Ray berikut sebagai peristiwa:

  • Perubahan konfigurasi – Mengubah atau menambahkan kunci enkripsi, atau kembali ke pengaturan enkripsi X-Ray default.

Gunakan petunjuk berikut untuk mempelajari cara membuat koneksi dasar antara X-Ray dan AWS Config.

Membuat pemicu fungsi Lambda

Anda harus memiliki ARN kustom fungsi AWS Lambda sebelum Anda dapat membuat sebuah aturan kustom AWS Config. Ikuti petunjuk ini untuk membuat fungsi dasar dengan Node.js yang mengembalikan nilai kepatuhan atau ketidakpatuhan kembali ke AWS Config berdasarkan status sumber daya XrayEncryptionConfig.

Untuk membuat fungsi Lambda dengan pemicu AWS::XrayEncryptionConfig perubahan

  1. Buka Konsol Lambda. Pilih Buat fungsi.

  2. Pilih Cetak biru, lalu mem-filter pustaka cetak biru untuk config-rule-change-triggeredcetak biru. Klik tautan di nama cetak biru atau pilih Konfigurasi untuk melanjutkan.

  3. Tentukan bidang berikut untuk mengonfigurasi cetak biru:

    • Untuk Name, ketik nama.

    • Untuk Peran, pilih Buat peran baru dari templat.

    • Untuk Nama peran, ketik nama.

    • Untuk Templat Kebijakan, pilih Izin aturan AWS Config.

  4. Pilih Buat fungsi untuk membuat dan menampilkan fungsi Anda di konsol AWS Lambda tersebut.

  5. Edit kode fungsi Anda untuk mengganti AWS::EC2::Instance dengan AWS::XrayEncryptionConfig. Anda juga dapat memperbarui bidang deskripsi untuk mencerminkan perubahan ini.

    Kode Default

        if (configurationItem.resourceType !== 'AWS::EC2::Instance') {
        return 'NOT_APPLICABLE';
    } else if (ruleParameters.desiredInstanceType === configurationItem.configuration.instanceType) {
        return 'COMPLIANT';
    }
        return 'NON_COMPLIANT';

    Kode Diperbarui

        if (configurationItem.resourceType !== 'AWS::XRay::EncryptionConfig') {
        return 'NOT_APPLICABLE';
    } else if (ruleParameters.desiredInstanceType === configurationItem.configuration.instanceType) {
        return 'COMPLIANT';
    }
        return 'NON_COMPLIANT';

  6. Tambahkan yang berikut ke peran eksekusi Anda di IAM untuk akses ke X-Ray. Izin ini mengizinkan akses hanya-baca ke sumber daya X-Ray Anda. Kegagalan untuk menyediakan akses ke sumber daya yang sesuai akan menghasilkan pesan di luar lingkup dari AWS Config ketika mengevaluasi fungsi Lambda yang terkait dengan aturan.

        {
        "Sid": "Stmt1529350291539",
        "Action": [
            "xray:GetEncryptionConfig"
        ],
        "Effect": "Allow",
        "Resource": "*"
     }

Membuat kustom aturan AWS Config untuk x-ray

Ketika fungsi Lambda dibuat, perhatikan fungsi ARN, dan buka konsol AWS Config tersebut untuk membuat aturan kustom Anda.

Untuk membuat aturan AWS Config untuk X-Ray

  1. Buka halaman Aturan dari konsol AWS Config tersebut.

  2. Pilih Tambahkan aturan, lalu pilih Tambahkan aturan kustom.

  3. Di Fungsi ARN AWS Lambda, masukkan ARN yang terkait dengan fungsi Lambda yang ingin Anda gunakan.

  4. Pilih tipe pemicu untuk mengatur:

    • Perubahan konfigurasi – AWS Config memicu evaluasi ketika sumber daya apa pun yang cocok dengan aturan lingkup perubahan dalam konfigurasi. Evaluasi berjalan setelah AWS Config mengirimkan notifikasi perubahan item konfigurasi.

    • Berkala – AWS Config menjalankan evaluasi untuk aturan pada frekuensi yang Anda pilih (misalnya, setiap 24 jam).

  5. Untuk Tipe sumber daya Pilih, EncryptionConfig di bagian X-Ray.

  6. Pilih Simpan.

Konsol AWS Config tersebut mulai mengevaluasi kepatuhan aturan segera. Evaluasi ini dapat memakan waktu beberapa menit hingga selesai.

Sekarang bahwa aturan ini patuh, AWS Config dapat mulai menyusun riwayat audit. AWS Config mencatat perubahan sumber daya dalam bentuk garis waktu. Untuk setiap perubahan dalam timeline peristiwa, AWS Config membuat tabel dari/ke format untuk menunjukkan apa yang berubah dalam representasi JSON kunci enkripsi. Dua perubahan bidang yang terkait dengan EncryptionConfig adalahConfiguration.type danConfiguration.keyID.

Contoh hasil

Berikut ini adalah contoh garis waktu AWS Config menampilkan perubahan yang dibuat pada tanggal dan waktu tertentu.

AWS Configgaris waktu.

Berikut ini adalah contoh perubahan entri AWS Config. Dari/ke format menggambarkan apa yang berubah. Contoh ini menunjukkan bahwa pengaturan enkripsi X-Ray default diubah ke kunci enkripsi yang ditentukan.

Entri perubahan konfigurasi X-Ray.

Notifikasi Amazon SNS

Untuk diberitahu tentang perubahan konfigurasi, set AWS Config untuk memublikasikan notifikasi Amazon SNS. Untuk informasi selengkapnya, lihat Pemantauan Perubahan Sumber Daya AWS Config oleh Email.