Creazione di un trigger di una funzione Lambda Creazione di una regola personalizzata per X-Ray in AWS Config Risultati di esempio Notifiche Amazon SNS

Tracciamento delle modifiche alla configurazione della crittografia a X-Ray conAWS Config

AWS X-Raysi integra conAWS Config per registrare le modifiche alla configurazione apportate alle risorse di crittografia X-Ray. È possibile utilizzarloAWS Config per inventariare le risorse di crittografia a raggi X, controllare la cronologia delle configurazioni di X-Ray e inviare notifiche in base alle modifiche delle risorse.

AWS Configsupporta la registrazione delle seguenti modifiche alle risorse di crittografia a X-Ray come eventi:

Modifiche alla configurazione: modifica o aggiunta di una chiave di crittografia o ripristino dell'impostazione di crittografia a X-Ray predefinita.

Usa le seguenti istruzioni per imparare a creare una connessione di base tra X-Ray eAWS Config.

Creazione di un trigger di una funzione Lambda

Prima di poter generare una regola personalizzata di AWS Config, devi disporre dell'ARN di una funzione AWS Lambda personalizzata. Segui queste istruzioni per creare una funzione di base con Node.js che restituisce un valore conforme o meno a AWS Config in base allo stato della risorsa XrayEncryptionConfig.

Per creare una funzione Lambda con un trigger di AWS::XrayEncryptionConfig modifica

Aprire la console Lambda. Scegli Create function (Crea funzione).
Scegli Blueprints, quindi filtra la libreria dei blueprint per il config-rule-change-triggeredblueprint. Fare clic sul collegamento nel nome del progetto o scegliere Configure (Configura) per proseguire.
Definire i seguenti campi per configurare il progetto:
- Digitare un nome nel campo Name (Nome).
- In Role (Ruolo), seleziona Create new role from template(s) (Crea nuovo ruolo da modello/i):
- In Role Name (Nome ruolo) digita un nome.
- In Policy templates (Modelli di policy), scegliere AWS Config Rules permissions (Regole di autorizzazione).
Scegliere Create function (Crea funzione) per creare e visualizzare la funzione nella console AWS Lambda.

Modificare il codice della funzione per sostituire AWS::EC2::Instance con AWS::XrayEncryptionConfig. Puoi anche aggiornare il campo descrizione affinché rifletta questa modifica.

Codice di default


    if (configurationItem.resourceType !== 'AWS::EC2::Instance') {
        return 'NOT_APPLICABLE';
    } else if (ruleParameters.desiredInstanceType === configurationItem.configuration.instanceType) {
        return 'COMPLIANT';
    }
        return 'NON_COMPLIANT';

Codice aggiornato


    if (configurationItem.resourceType !== 'AWS::XRay::EncryptionConfig') {
        return 'NOT_APPLICABLE';
    } else if (ruleParameters.desiredInstanceType === configurationItem.configuration.instanceType) {
        return 'COMPLIANT';
    }
        return 'NON_COMPLIANT';

Aggiungi quanto segue al tuo ruolo di esecuzione in IAM per accedere a X-Ray. Queste autorizzazioni consentono l'accesso in sola lettura alle risorse X-Ray. La mancata fornitura dell'accesso alle risorse appropriate comporterà un messaggio fuori ambito aAWS Config partire dalla valutazione della funzione Lambda associata alla regola.
```
    {
        "Sid": "Stmt1529350291539",
        "Action": [
            "xray:GetEncryptionConfig"
        ],
        "Effect": "Allow",
        "Resource": "*"
     }
```

Creazione di una regola personalizzata per X-Ray in AWS Config

Quando viene creata la funzione Lambda, annota l'ARN della funzione e vai allaAWS Config console per creare la tua regola personalizzata.

Per creare unaAWS Config regola per X-Ray

Aprire la pagina Rules (Regole) della console di AWS Config
Scegliere Add rule (Aggiungi regola) e quindi scegliere Add custom rule (Aggiungi regola personalizzata).
Nella AWS LambdaFunzione ARN, inserisci l'ARN associato alla funzione Lambda che desideri utilizzare.
Scegliere il tipo di trigger da impostare:
- Modifiche alla configurazione:AWS Config attiva la valutazione quando una risorsa che corrisponde all'ambito della regola cambia nella configurazione. La valutazione viene eseguita dopo che AWS Config ha inviato una notifica di modifica dell'elemento di configurazione.
- Periodico:AWS Config esegue le valutazioni della regola con una frequenza selezionata (ad esempio, ogni 24 ore).
Per Tipo di risorsa, scegli EncryptionConfignella sezione X-Ray.
Seleziona Salva.

La console di AWS Config inizia immediatamente a valutare la conformità della regola. La valutazione può richiedere alcuni minuti.

Ora che questa regola è valutata come conforme, AWS Config può iniziare a compilare una cronologia di verifiche. AWS Config registra le modifiche alle risorse sotto forma di sequenza temporale. Per ogni modifica nella sequenza temporale degli eventi, AWS Config genera una tabella in formato da/a per mostrare ciò che è stato modificato nella rappresentazione JSON della chiave crittografica. Le due modifiche ai campi associate EncryptionConfig sonoConfiguration.type eConfiguration.keyID.

Risultati di esempio

Di seguito è riportato un esempio di una sequenza temporale di AWS Config che mostra le modifiche apportate a date e ore specifiche.

Qui di seguito è riportato un esempio di un elemento che descrive una modifica in AWS Config. Il formato da/a illustra ciò che è stato modificato. Questo esempio mostra che le impostazioni di crittografia X-Ray predefinite sono state modificate in una chiave di crittografia definita.

Immissione della modifica della configurazione della crittografia a X-Ray X.

Notifiche Amazon SNS

Per ricevere una notifica delle modifiche alla configurazione, configuraAWS Config in modo che pubblichi le notifiche Amazon SNS. Per ulteriori informazioni, consulta Monitoraggio delle modifiche alle risorse AWS Config tramite e-mail.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

CloudWatch Synthetics

Amazon EC2