Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Monitora le coppie di chiavi delle istanze EC2 utilizzando AWS Config
Ambiente: produzione | Tecnologie: sicurezza, identità, conformità | Servizi AWS: Amazon SNS; AWS Config; AWS Lambda |
Riepilogo
Quando si avvia un'istanza Amazon Elastic Compute Cloud (Amazon EC2) sul cloud Amazon Web Services (AWS), una best practice consiste nel creare o utilizzare una coppia di key pair esistente per connettersi all'istanza. La coppia di chiavi, che consiste in una chiave pubblica memorizzata nell'istanza e una chiave privata fornita all'utente, consente un accesso sicuro tramite Secure Shell (SSH) all'istanza ed evita l'uso di password. Tuttavia, a volte gli utenti possono avviare inavvertitamente istanze senza collegare una key pair. Poiché le coppie di chiavi possono essere assegnate solo durante l'avvio di un'istanza, è importante identificare rapidamente e contrassegnare come non conformi tutte le istanze avviate senza coppie di chiavi. Ciò è particolarmente utile quando si lavora in account o ambienti che richiedono l'uso di coppie di chiavi, ad esempio l'accesso.
Questo modello descrive come creare una regola personalizzata in AWS Config per monitorare le coppie di chiavi delle istanze EC2. Quando le istanze vengono identificate come non conformi, viene inviato un avviso utilizzando le notifiche di Amazon Simple Notification Service (Amazon SNS) avviate tramite un evento Amazon. EventBridge
Prerequisiti e limitazioni
Prerequisiti
Un account AWS attivo
AWS Config abilitato per la regione AWS che desideri monitorare e configurato per registrare tutte le risorse AWS
Limitazioni
Questa soluzione è specifica per regione. Tutte le risorse devono essere create nella stessa regione AWS.
Architettura
Stack tecnologico Target
AWS Config
Amazon EventBridge
AWS Lambda
Amazon SNS
Architettura Target
![](images/pattern-img/b0fbe060-fd3d-4b19-8828-63dc80e4b5b2/images/4fbff67f-b594-458f-8705-fc14015c6557.png)
AWS Config avvia la regola.
La regola richiama la funzione Lambda per valutare la conformità delle istanze EC2.
La funzione Lambda invia lo stato di conformità aggiornato ad AWS Config.
AWS Config invia un evento a. EventBridge
EventBridge pubblica notifiche di modifica della conformità su un argomento SNS.
Amazon SNS invia un avviso tramite e-mail.
Automazione e scalabilità
La soluzione può monitorare un numero qualsiasi di istanze EC2 all'interno di una regione.
Strumenti
Strumenti
AWS Config: AWS Config è un servizio che consente di valutare, controllare e valutare le configurazioni delle risorse AWS. AWS Config monitora e registra continuamente le configurazioni delle risorse AWS e consente di automatizzare la valutazione delle configurazioni registrate rispetto alle configurazioni desiderate.
Amazon EventBridge: Amazon EventBridge è un servizio di bus eventi senza server per connettere le tue applicazioni con dati provenienti da una varietà di fonti.
AWS Lambda: AWS Lambda è un servizio di elaborazione serverless che supporta l'esecuzione di codice senza effettuare il provisioning o la gestione di server, creare una logica di scalabilità del cluster in base al carico di lavoro, mantenere integrazioni di eventi o gestire i runtime.
Amazon SNS — Amazon Simple Notification Service (Amazon SNS) è un servizio di messaggistica completamente gestito per le comunicazioni (A2A) application-to-application e (A2P). application-to-person
Codice
Il codice per la funzione Lambda è allegato.
Epiche
Attività | Descrizione | Competenze richieste |
---|---|---|
Crea un ruolo AWS Identity and Access Management (IAM) per Lambda. | Nella Console di gestione AWS, scegli IAM, quindi crea il ruolo, usando Lambda come entità affidabile e aggiungendo le autorizzazioni | DevOps |
Crea e distribuisci la funzione Lambda. |
| DevOps |
Attività | Descrizione | Competenze richieste |
---|---|---|
Aggiungi una regola AWS Config personalizzata. | Nella console AWS Config, aggiungi una regola personalizzata utilizzando le seguenti impostazioni:
Per ulteriori informazioni, consulta la documentazione di AWS. | DevOps |
Attività | Descrizione | Competenze richieste |
---|---|---|
Crea l'argomento e l'abbonamento SNS. | Sulla console Amazon SNS, crea un argomento utilizzando Standard come tipo, quindi crea un abbonamento utilizzando Email come protocollo. Quando ricevi il messaggio e-mail di conferma, scegli il link per confermare l'iscrizione. Per ulteriori informazioni, consulta la documentazione di AWS. | DevOps |
Crea una EventBridge regola per avviare le notifiche di Amazon SNS. | Sulla EventBridge console, crea una regola utilizzando le seguenti impostazioni:
Per ulteriori informazioni, consulta la documentazione di AWS. | DevOps |
Attività | Descrizione | Competenze richieste |
---|---|---|
Crea istanze EC2. | Crea due istanze EC2 di qualsiasi tipo e collega una coppia di chiavi e crea un'istanza EC2 senza una coppia di chiavi. | DevOps |
Verifica la regola. |
| DevOps |