翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Config を使用して EC2 インスタンスのキーペアを監視する
環境:本稼働 | テクノロジー:セキュリティ、アイデンティティ、コンプライアンス | AWS サービス:Amazon SNS; AWS Config; AWS Lambda |
[概要]
Amazon Elastic Compute Cloud (Amazon EC2) インスタンスをAmazon Web Services (AWS) クラウドで起動する場合のベストプラクティスは、インスタンスに接続する Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを作成または使用することです。キーペアは、インスタンスに保存されているパブリックキーとユーザーに提供されるプライベートキーで構成され、Secure Shell (SSH) を介してインスタンスに安全にアクセスでき、パスワードの使用を回避できます。ただし、ユーザーがkey pair をアタッチせずに誤ってインスタンスを起動することがあります。キーペアはインスタンスの起動時にのみ割り当てることができるため、キーペアなしで起動したインスタンスをすばやく特定し、非対応としてフラグを立てることが重要です。これは、インスタンスへのアクセスにキーペアの使用が義務付けられているアカウントや環境で作業する場合に特に便利です。
このパターンでは、AWS Config でカスタムルールを作成して EC2 インスタンスのキーペアを監視する方法を説明します。インスタンスが非準拠として識別されると、Amazon EventBridge イベントを通じて開始された Amazon Simple Notification Service (Amazon SNS) 通知を使用してアラートが送信されます。
前提条件と制限
前提条件
アクティブな AWS アカウント。
モニタリングしたい AWS リージョンで AWS Config が有効になっており、すべての AWS リソースを記録するように設定されている
制約事項
このソリューションはリージョン固有です。これらのすべてのリソースを、同じ AWS リージョン内に作成する必要があります。
アーキテクチャ
ターゲットテクノロジースタック
AWS Config
Amazon EventBridge
AWS Lambda
Amazon SNS
ターゲットアーキテクチャ
AWS Config がルールを開始します。
このルールは Lambda 関数を呼び出して EC2 インスタンスのコンプライアンスを評価します。
Lambda 関数は、更新されたコンプライアンス状態を AWS Config に送信します。
AWS Config は にイベントを送信します EventBridge。
EventBridge は、コンプライアンス変更通知を SNS トピックに発行します。
Amazon SNS はアラートを電子メールで送信します。
自動化とスケール
このソリューションでは、リージョン内の任意の数の EC2 インスタンスを監視できます。
ツール
ツール
AWS Config – AWS Config を使用すると、AWS リソースの設定を評価、監査、審査できます。AWS Config では、AWS リソースの設定の評価、監査、評価を行うことができます。 は、AWS リソース設定を継続的に監視および記録し、必要な設定に対して記録された設定の評価を自動化することができます。
Amazon EventBridge – Amazon EventBridge は、アプリケーションをさまざまなソースのデータに接続するためのサーバーレスイベントバスサービスです。
「AWS Lambda」 — AWS Lambdaは、サーバーのプロビジョニングや管理、ワークロードに対応したクラスタースケーリングロジックの作成、イベント統合の維持、あるいはランタイムの管理などを行うことなくコードを実行でき、サーバーレスコンピューティングサービスです。
Amazon SNS – Amazon Simple Notification Service (Amazon SNS ) は、 application-to-application (A2A) と application-to-person (A2P) の両方の通信用のフルマネージドメッセージングサービスです。
Code
Lambda 関数のコードが添付されています。
エピック
タスク | 説明 | 必要なスキル |
---|---|---|
Lamda の AWS Identity and Access Management (IAM) ロールを作成します。 | AWS マネジメントコンソールで「IAM」を選択し、ロールを作成します。このとき、Lambda を信頼できるエンティティとして使用し、 | DevOps |
Lambda 関数を作成してデプロイします。 |
| DevOps |
タスク | 説明 | 必要なスキル |
---|---|---|
カスタム AWS Config ルールを追加します。 | AWS Config コンソールで、次の設定を使用してカスタムルールを追加します。
詳細については、AWS ドキュメントを参照してください。 | DevOps |
タスク | 説明 | 必要なスキル |
---|---|---|
SNS トピックとサブスクリプションを作成します。 | Amazon SNS コンソールで、タイプとして「スタンダード」を使用してトピックを作成し、次にプロトコルとして「E メール」を使用してサブスクリプションを作成します。 確認 E メールを受信したら [サブスクリプションを確認] リンクを選択します。 詳細については、AWS ドキュメントを参照してください。 | DevOps |
Amazon SNS 通知を開始する EventBridge ルールを作成します。 | EventBridge コンソールで、次の設定を使用してルールを作成します。
詳細については、AWS ドキュメントを参照してください。 | DevOps |
タスク | 説明 | 必要なスキル |
---|---|---|
EC2 インスタンスを作成します。 | 任意のタイプの 2 つの EC2 インスタンスを作成してキーペアをアタッチし、キーペアなしで 1 つの EC2 インスタンスを作成します。 | DevOps |
ルールを確認する。 |
| DevOps |
関連リソース
添付ファイル
このドキュメントに関連する追加コンテンツにアクセスするには、次のファイルを解凍してください。「attachment.zip」