As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Certifique-se de que um IAM perfil esteja associado a uma EC2 instância
Criado por Mansi Suratwala () AWS
Ambiente: produção | Tecnologias: infraestrutura; segurança, identidade, conformidade | AWSserviços: AmazonEC2; AWS Identity and Access Management; Amazon CloudWatch; AWS Lambda; Amazon SNS |
Resumo
Esse padrão fornece um modelo de controle de AWS CloudFormation segurança que configura a notificação automática quando ocorre uma violação do perfil AWS Identity and Access Management (IAM) em uma instância do Amazon Elastic Compute Cloud (AmazonEC2).
Um perfil de instância é um contêiner para uma IAM função que você pode usar para passar informações da função para uma EC2 instância quando a instância é iniciada.
O Amazon CloudWatch Events inicia essa verificação quando AWS CloudTrail registra as EC2 API chamadas da Amazon com base nas ReplaceIamInstanceProfileAssociation ações RunInstancesAssociateIamInstanceProfile, e. O gatilho chama uma função AWS Lambda, que usa um evento Amazon CloudWatch Events para verificar um IAM perfil.
Se um IAM perfil não existir, a função Lambda inicia uma notificação por e-mail do Amazon Simple Notification Service (AmazonSNS) que inclui o ID da conta do Amazon Web Services (AWS) e a região. AWS
Se existir um IAM perfil, a função Lambda verifica se há entradas curinga nos documentos de política. Se as entradas de curingas existirem, inicia SNS uma notificação de violação da Amazon, que ajuda você a implementar uma segurança aprimorada. A notificação contém o nome do IAM perfil, o evento, o ID da EC2 instância, o nome da política gerenciada, a violação, o ID da conta e a região.
Pré-requisitos e limitações
Pré-requisitos
Uma conta da ativa
Um bucket do Amazon Simple Storage Service (Amazon S3) para o arquivo .zip do código Lambda
Limitações
O AWS CloudFormation modelo deve ser implantado somente para as
ReplaceIamInstanceProfileAssociationaçõesRunInstancesAssociateIamInstanceProfile, e.O controle de segurança não monitora a separação dos IAM perfis.
O controle de segurança não verifica a modificação das IAM políticas anexadas ao IAM perfil da EC2 instância.
O controle de segurança não considera permissões não suportadas em nível de recurso que exijam o uso de
"Resource":*.
Arquitetura
Pilha de tecnologias de destino
Amazon EC2
AWS CloudTrail
Amazon CloudWatch
AWSLambda
Amazon S3
Amazon SNS
Arquitetura de destino
Automação e escala
Você pode usar o AWS CloudFormation modelo várias vezes para diferentes AWS regiões e contas. É necessário iniciar o modelo apenas uma vez para cada conta ou região.
Ferramentas
Ferramentas
Amazon EC2 — EC2 A Amazon fornece capacidade de computação escalável (servidores virtuais) na AWS nuvem.
AWS CloudTrail— AWS CloudTrail ajuda você a permitir a governança, a conformidade e a auditoria operacional e de risco de sua AWS conta. As ações realizadas por um usuário, uma função ou um AWS serviço são registradas como eventos em CloudTrail.
Amazon CloudWatch Events — O Amazon CloudWatch Events fornece um fluxo quase em tempo real de eventos do sistema que descrevem mudanças nos AWS recursos.
AWSLambda — O AWS Lambda é um serviço de computação que você pode usar para executar código sem provisionar ou gerenciar servidores. O Lambda executa o código somente quando necessário e dimensiona automaticamente, desde algumas solicitações por dia até milhares por segundo.
Amazon S3: o Amazon S3 fornece armazenamento de objetos com alta escalabilidade que você pode usar para uma ampla variedade de soluções de armazenamento, incluindo sites, aplicativos móveis, backups e data lakes.
Amazon SNS — A Amazon SNS permite que aplicativos e dispositivos enviem e recebam notificações da nuvem.
Código
Um arquivo .zip do projeto está disponível como anexo.
Épicos
| Tarefa | Descrição | Habilidades necessárias |
|---|---|---|
Definir o bucket do S3. | Para hospedar o arquivo .zip do código Lambda, escolha ou crie um bucket do S3 com um nome exclusivo que não contenha barras iniciais. O nome de um bucket do S3 é globalmente exclusivo e o namespace é compartilhado por todas as contas. AWS Seu bucket do S3 precisa estar na mesma região da EC2 instância que está sendo avaliada. | Arquiteto de nuvem |
| Tarefa | Descrição | Habilidades necessárias |
|---|---|---|
Carregue o código do Lambda para o bucket do S3. | Faça o upload do código do Lambda fornecido na seção Anexos para o bucket do S3. O bucket do S3 deve estar na mesma região da EC2 instância que está sendo avaliada. | Arquiteto de nuvem |
| Tarefa | Descrição | Habilidades necessárias |
|---|---|---|
Implante o AWS CloudFormation modelo. | Implante o AWS CloudFormation modelo fornecido como anexo a esse padrão. No próximo épico, forneça os valores para os parâmetros. | Arquiteto de nuvem |
| Tarefa | Descrição | Habilidades necessárias |
|---|---|---|
Dê um nome ao bucket do S3. | Em seguida, informe o nome do bucket do S3 que você criou no primeiro épico. | Arquiteto de nuvem |
Forneça a chave do S3. | Forneça a localização do arquivo .zip do código Lambda em seu bucket do S3, sem barras iniciais (por exemplo, | Arquiteto de nuvem |
Forneça um endereço de e-mail. | Forneça um endereço de e-mail ativo para receber SNS notificações da Amazon. | Arquiteto de nuvem |
Defina o nível de registro em log. | Defina o nível de registro em log e a frequência da sua função do Lambda. | Arquiteto de nuvem |
| Tarefa | Descrição | Habilidades necessárias |
|---|---|---|
Confirmar a assinatura. | Quando o modelo é implantado com sucesso, ele envia uma mensagem de e-mail de assinatura para o endereço de e-mail fornecido. Você deve confirmar essa assinatura de e-mail para receber notificações de violação. | Arquiteto de nuvem |
Recursos relacionados
Anexos
Para acessar o conteúdo adicional associado a este documento, descompacte o seguinte arquivo: attachment.zip
