Riepilogo Prerequisiti e limitazioni Architettura Strumenti Epiche Risorse correlate Allegati

Monitora le coppie di chiavi delle istanze EC2 utilizzando AWS Config

Ambiente: produzione

Tecnologie: sicurezza, identità, conformità

Servizi AWS: Amazon SNS; AWS Config; AWS Lambda

Riepilogo

Quando si avvia un'istanza Amazon Elastic Compute Cloud (Amazon EC2) sul cloud Amazon Web Services (AWS), una best practice consiste nel creare o utilizzare una coppia di key pair esistente per connettersi all'istanza. La coppia di chiavi, che consiste in una chiave pubblica memorizzata nell'istanza e una chiave privata fornita all'utente, consente un accesso sicuro tramite Secure Shell (SSH) all'istanza ed evita l'uso di password. Tuttavia, a volte gli utenti possono avviare inavvertitamente istanze senza collegare una key pair. Poiché le coppie di chiavi possono essere assegnate solo durante l'avvio di un'istanza, è importante identificare rapidamente e contrassegnare come non conformi tutte le istanze avviate senza coppie di chiavi. Ciò è particolarmente utile quando si lavora in account o ambienti che richiedono l'uso di coppie di chiavi, ad esempio l'accesso.

Questo modello descrive come creare una regola personalizzata in AWS Config per monitorare le coppie di chiavi delle istanze EC2. Quando le istanze vengono identificate come non conformi, viene inviato un avviso utilizzando le notifiche di Amazon Simple Notification Service (Amazon SNS) avviate tramite un evento Amazon. EventBridge

Prerequisiti e limitazioni

Prerequisiti

Un account AWS attivo
AWS Config abilitato per la regione AWS che desideri monitorare e configurato per registrare tutte le risorse AWS

Limitazioni

Questa soluzione è specifica per regione. Tutte le risorse devono essere create nella stessa regione AWS.

Architettura

Stack tecnologico Target

AWS Config
Amazon EventBridge
AWS Lambda
Amazon SNS

Architettura Target

AWS Config avvia la regola.
La regola richiama la funzione Lambda per valutare la conformità delle istanze EC2.
La funzione Lambda invia lo stato di conformità aggiornato ad AWS Config.
AWS Config invia un evento a. EventBridge
EventBridge pubblica notifiche di modifica della conformità su un argomento SNS.
Amazon SNS invia un avviso tramite e-mail.

Automazione e scalabilità

La soluzione può monitorare un numero qualsiasi di istanze EC2 all'interno di una regione.

Strumenti

Strumenti

AWS Config: AWS Config è un servizio che consente di valutare, controllare e valutare le configurazioni delle risorse AWS. AWS Config monitora e registra continuamente le configurazioni delle risorse AWS e consente di automatizzare la valutazione delle configurazioni registrate rispetto alle configurazioni desiderate.
Amazon EventBridge: Amazon EventBridge è un servizio di bus eventi senza server per connettere le tue applicazioni con dati provenienti da una varietà di fonti.
AWS Lambda: AWS Lambda è un servizio di elaborazione serverless che supporta l'esecuzione di codice senza effettuare il provisioning o la gestione di server, creare una logica di scalabilità del cluster in base al carico di lavoro, mantenere integrazioni di eventi o gestire i runtime.
Amazon SNS — Amazon Simple Notification Service (Amazon SNS) è un servizio di messaggistica completamente gestito per le comunicazioni (A2A) application-to-application e (A2P). application-to-person

Codice

Il codice per la funzione Lambda è allegato.

Epiche

Attività	Descrizione	Competenze richieste
Crea un ruolo AWS Identity and Access Management (IAM) per Lambda.	Nella Console di gestione AWS, scegli IAM, quindi crea il ruolo, usando Lambda come entità affidabile e aggiungendo le autorizzazioni `AmazonEventBridgeFullAccess` e`AWSConfigRulesExecutionRole`. Per ulteriori informazioni, consulta la documentazione di AWS.	DevOps
Crea e distribuisci la funzione Lambda.	Sulla console Lambda, crea una funzione, usando Author da zero, con Python 3.6 come runtime e il ruolo IAM creato in precedenza. Prendi nota del nome della risorsa Amazon (ARN). Nella scheda Codice`lambda_function.py`, scegli e incolla il codice associato a questo pattern. Per salvare le modifiche, scegli Deploy.	DevOps

Attività	Descrizione	Competenze richieste
Aggiungi una regola AWS Config personalizzata.	Nella console AWS Config, aggiungi una regola personalizzata utilizzando le seguenti impostazioni: ARN — L'ARN della funzione Lambda creata in precedenza Tipo di trigger: modifiche alla configurazione Ambito delle modifiche: risorse Tipo di risorsa: istanza Amazon EC2 Per ulteriori informazioni, consulta la documentazione di AWS.	DevOps

Attività

Descrizione

Competenze richieste

Aggiungi una regola AWS Config personalizzata.

Nella console AWS Config, aggiungi una regola personalizzata utilizzando le seguenti impostazioni:

ARN — L'ARN della funzione Lambda creata in precedenza
Tipo di trigger: modifiche alla configurazione
Ambito delle modifiche: risorse
Tipo di risorsa: istanza Amazon EC2

Per ulteriori informazioni, consulta la documentazione di AWS.

DevOps

Attività	Descrizione	Competenze richieste
Crea l'argomento e l'abbonamento SNS.	Sulla console Amazon SNS, crea un argomento utilizzando Standard come tipo, quindi crea un abbonamento utilizzando Email come protocollo. Quando ricevi il messaggio e-mail di conferma, scegli il link per confermare l'iscrizione. Per ulteriori informazioni, consulta la documentazione di AWS.	DevOps
Crea una EventBridge regola per avviare le notifiche di Amazon SNS.	Sulla EventBridge console, crea una regola utilizzando le seguenti impostazioni: Nome del servizio: AWS Config Tipo di evento — Config Rules Compliance Change Tipo di messaggio: tipi di messaggio specifici, ComplianceChangeNotification Nome specifico della regola: il nome della regola AWS Config creata in precedenza Target: argomento SNS, argomento creato in precedenza Per ulteriori informazioni, consulta la documentazione di AWS.	DevOps

Attività

Descrizione

Competenze richieste

Crea l'argomento e l'abbonamento SNS.

Sulla console Amazon SNS, crea un argomento utilizzando Standard come tipo, quindi crea un abbonamento utilizzando Email come protocollo.

Quando ricevi il messaggio e-mail di conferma, scegli il link per confermare l'iscrizione.

Per ulteriori informazioni, consulta la documentazione di AWS.

DevOps

Crea una EventBridge regola per avviare le notifiche di Amazon SNS.

Sulla EventBridge console, crea una regola utilizzando le seguenti impostazioni:

Nome del servizio: AWS Config
Tipo di evento — Config Rules Compliance Change
Tipo di messaggio: tipi di messaggio specifici, ComplianceChangeNotification
Nome specifico della regola: il nome della regola AWS Config creata in precedenza
Target: argomento SNS, argomento creato in precedenza

Per ulteriori informazioni, consulta la documentazione di AWS.

DevOps

Attività	Descrizione	Competenze richieste
Crea istanze EC2.	Crea due istanze EC2 di qualsiasi tipo e collega una coppia di chiavi e crea un'istanza EC2 senza una coppia di chiavi.	DevOps
Verifica la regola.	Nella console AWS Config, nella pagina Regole, seleziona la tua regola. Per visualizzare le istanze EC2 conformi e non conformi, modifica Resources in scope in All. Verifica che due istanze siano elencate come conformi e che un'istanza sia elencata come non conforme. Attendi di ricevere una notifica e-mail di Amazon SNS relativa allo stato di conformità delle istanze EC2.	DevOps

Allegati

Per accedere a contenuti aggiuntivi associati a questo documento, decomprimi il seguente file: attachment.zip

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Monitora ElastiCache i cluster Amazon per la crittografia a riposo

Monitoraggio dell'attività dell'utente root IAM