Rastrear as alterações da configuração de criptografia do X-Ray com o AWS Config - AWS X-Ray
Criar um acionador de função do LambdaCriar uma regra do AWS Config personalizada para o X-RayResultados de exemploNotificações do Amazon SNS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Rastrear as alterações da configuração de criptografia do X-Ray com o AWS Config

O AWS X-Ray se integra ao AWS Config para registrar as alterações de configuração feitas nos recursos de criptografia do X-Ray. Você pode usar o AWS Config para inventariar os recursos de criptografia do X-Ray, auditar o histórico de configuração do X-Ray e enviar notificações com base nas alterações de recursos.

O AWS Config é compatível com o registro em log para as seguintes alterações de recursos de criptografia do X-Ray como eventos:

  • Alterações de configuração: alteração ou adição de uma chave de criptografia ou reversão para a configuração de criptografia padrão do X-Ray.

Use as instruções a seguir para saber como criar uma conexão básica entre o X-Ray e o AWS Config.

Criar um acionador de função do Lambda

Você precisa ter o ARN de uma função personalizada do AWS Lambda para que possa gerar uma regra personalizada do AWS Config. Siga estas instruções para criar uma função básica com Node.js que retorne um valor, compatível ou não, para o AWS Config com base no estado do recurso XrayEncryptionConfig.

Para criar uma função Lambda com um trigger de alteração de AWS:: XrayEncryptionConfig

  1. Abra o console do lambda. Escolha Criar função.

  2. Selecione Blueprints (Esquemas) e, em seguida, filtre a biblioteca de esquemas para o esquema config-rule-change-triggered. Clique no link do nome do esquema ou selecione Configure (Configurar) para continuar.

  3. Defina os seguintes campos para configurar o esquema:

    • Em Nome, digite um nome.

    • Para Role, selecione Create new role from template(s).

    • Para Role name, digite um nome.

    • Em Policy templates (Modelos de política), selecione AWS Config Rules permissions (Permissões de regras do &CC;).

  4. Selecione Create function (Criar função) para criar e exibir sua função no console do AWS Lambda.

  5. Edite o código da função para substituir AWS::EC2::Instance por AWS::XrayEncryptionConfig. Você também pode atualizar o campo de descrição para refletir essa alteração.

    Código padrão

        if (configurationItem.resourceType !== 'AWS::EC2::Instance') {
        return 'NOT_APPLICABLE';
    } else if (ruleParameters.desiredInstanceType === configurationItem.configuration.instanceType) {
        return 'COMPLIANT';
    }
        return 'NON_COMPLIANT';

    Código atualizado

        if (configurationItem.resourceType !== 'AWS::XRay::EncryptionConfig') {
        return 'NOT_APPLICABLE';
    } else if (ruleParameters.desiredInstanceType === configurationItem.configuration.instanceType) {
        return 'COMPLIANT';
    }
        return 'NON_COMPLIANT';

  6. Adicione o seguinte ao seu perfil de execução no IAM para acesso ao X-Ray. Essas permissões autorizam o acesso somente leitura aos recursos do X-Ray. Uma falha ao fornecer acesso aos recursos adequados resultará em uma mensagem fora do escopo do AWS Config quando ele avaliar a função do Lambda associada à regra.

        {
        "Sid": "Stmt1529350291539",
        "Action": [
            "xray:GetEncryptionConfig"
        ],
        "Effect": "Allow",
        "Resource": "*"
     }

Criar uma regra do AWS Config personalizada para o X-Ray

Quando a função do Lambda for criada, anote o respectivo ARN e acesse o console do AWS Config para criar uma regra personalizada.

Como criar uma regra do AWS Config para o X-Ray

  1. Abra a página Regras de AWS Config do console.

  2. Selecione Add rule (Adicionar regra)e, em seguida, Add custom rule (Adicionar regra personalizada).

  3. Em ARN da função do AWS Lambda, insira o ARN associado à função do Lambda que você deseja usar.

  4. Escolha o tipo de trigger a ser definido:

    • Alterações de configuração: o AWS Config aciona a avaliação quando algum recurso que corresponde ao escopo da regra tem sua configuração alterada. A avaliação é executada depois que o AWS Config envia uma notificação de alteração de item de configuração.

    • Periódico: AWS Config executa avaliações para a regra em uma frequência definida por você (por exemplo, a cada 24 horas).

  5. Em Tipo de recurso, escolha EncryptionConfig na seção do X-Ray.

  6. Escolha Save (Salvar).

O console do AWS Config começará a avaliar a conformidade da regra imediatamente. A avaliação pode demorar alguns minutos para ser concluída.

Agora que essa regra é compatível, o AWS Config pode começar a compilar um histórico de auditoria. O AWS Config registra as alterações de recursos na forma de um cronograma. Para cada alteração na linha do tempo de eventos, o AWS Config gera uma tabela em um formato de/para a fim de mostrar o que foi alterado na representação JSON da chave de criptografia. As duas alterações de campo associadas a EncryptionConfig são Configuration.type e Configuration.keyID.

Resultados de exemplo

Veja a seguir um exemplo de uma linha do tempo do AWS Config mostrando as alterações feitas em datas e horários específicos.

Cronograma do AWS Config.

Veja a seguir um exemplo de uma entrada de alteração do AWS Config. O formato de/para ilustra o que foi alterado. Este exemplo mostra que as configurações de criptografia padrão do X-Ray foram alteradas para uma chave de criptografia definida.

Entrada de alteração de configuração de criptografia do X-Ray.

Notificações do Amazon SNS

Para receber notificação sobre alterações de configuração, configure o AWS Config para publicar notificações do Amazon SNS. Para mais informações, consulte Monitoramento de AWS Config mudanças de recursos por e-mail.