本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 AWS Config 中使用 CloudTrail 自訂修復規則自動重新啟用 AWS
由馬尼甘丹希里(AWS)創建
環境:生產 | 技術:基礎架構;營運;安全性、身分識別、合規性 | AWS 服務:Amazon S3;AWS Config;AWS KMS;AWS Identity and Access Management;AWS Systems Manager;AWS CloudTrail |
Summary
您 Amazon Web Services (AWS) 帳戶中的活動能見度是一項重要的安全性和營運最佳實務。AWS 可 CloudTrail 協助您進行帳戶的管理、合規以及操作和風險稽核。
為了確保您的帳戶保 CloudTrail 持啟用狀態,AWS Config 提供了cloudtrail-enabled受管規則。 如果 CloudTrail 已關閉,cloudtrail-enabled則規則會使用自動補救來自動重新啟用它。
但是,如果您使用自動補救, CloudTrail 則必須確保遵循安全性最佳做法。這些最佳實務包括 CloudTrail 在所有 AWS 區域啟用、記錄讀取和寫入工作負載、啟用見解,以及使用 AWS Key Management Service (AWS KMS) 受管金鑰 (SSE-KMS) 以伺服器端加密來加密日誌檔。
此模式可提供自訂補救動作,以便 CloudTrail 在帳戶中自動重新啟用,協助您遵循這些安全性最佳做法。
重要事項:我們建議您使用服務控制政策 (SCP) 來防止任何竄改。 CloudTrail如需詳細資訊,請參閱 AWS 安全 CloudTrail部落格如何使用 AWS Organizations 簡化大規模安全
先決條件和限制
先決條件
有效的 AWS 帳戶
建立 AWS Systems Manager Automation 手冊的許可
您帳戶的現有追蹤
限制
此模式不支援下列動作:
為儲存位置設定 Amazon 簡單儲存服務 (Amazon S3) 前置碼金鑰
發佈到 Amazon Simple Notification Service (Amazon SNS) 主題
設定 Amazon CloudWatch 日誌以監控您的 CloudTrail 日誌
架構
技術, 堆
AWS Config
CloudTrail
Systems Manager
Systems Manager Automation
工具
AWS Config 提供您帳戶中 AWS 資源組態的詳細檢視。
AWS 可 CloudTrail協助您啟用帳戶的管理、合規以及操作和風險稽核。
AWS Key Management Service (AWS KMS) 是一種加密和金鑰管理服務。
AWS Systems Manager 可協助您在 AWS 上檢視和控制基礎設施。
AWS Systems Manager Automation 可簡化 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體和其他 AWS 資源的常見維護和部署任務。
Amazon Simple Storage Service (Amazon S3) 是一種雲端型物件儲存服務,可協助您儲存、保護和擷取任何數量的資料。
Code
cloudtrail-remediation-action.yml 檔案 (附件) 可協助您建立 Systems Manager 自動化工作手冊,以便使用安全性最佳做法來設定和重新啟 CloudTrail 用。
史诗
| 任務 | 描述 | 所需技能 |
|---|---|---|
建立 S3 儲存貯體。 | 登入 AWS 管理主控台,開啟 Amazon S3 主控台,然後建立 S3 儲存貯體來存放 CloudTrail 日誌。如需詳細資訊,請參閱 Amazon S3 文件中的建立 S3 儲存貯體。 | 系統管理員 |
新增儲存貯體政策以 CloudTrail 允許將日誌檔傳遞到 S3 儲存貯體。 | CloudTrail 必須具有必要的許可才能將日誌檔傳遞到 S3 儲存貯體。在 Amazon S3 主控台上,選擇您先前建立的 S3 儲存貯體,然後選擇許可。使用 CloudTrail 文件 CloudTrail中的 Amazon S3 儲存貯體政策建立 S3 儲存貯體政策。 如需如何將政策新增至 S3 儲存貯體的步驟,請參閱 Amazon S3 文件中的使用 Amazon S3 主控台新增儲存貯體政策。 重要事項:如果您在中建立追蹤時指定了前置詞 CloudTrail,請務必將其包含在 S3 儲存貯體政策中。前置詞是 S3 物件金鑰的選用新增項目,可在 S3 儲存貯體中建立類似資料夾的組織。如需有關此項目的詳細資訊,請參閱 CloudTrail 文件中的建立追蹤。 | 系統管理員 |
建立 KMS 金鑰。 | 建立 AWS KMS 金鑰,以便在將物件新增 CloudTrail 至 S3 儲存貯體之前加密物件。如需本案例的說明,請參閱文件中的使用 AWS KMS 受管金鑰 (SSE-KMS) 加密 CloudTrail 記錄檔。 CloudTrail | 系統管理員 |
將金鑰原則新增至 KMS 金鑰。 | 附加 KMS 金鑰原則以允 CloudTrail 許使用 KMS 金鑰。如需本案例的說明,請參閱文件中的使用 AWS KMS 受管金鑰 (SSE-KMS) 加密 CloudTrail 日誌檔。 CloudTrail 重要事項: CloudTrail 不需要 | 系統管理員 |
AssumeRole 為系統管理員工作手冊建立 | 創建一 | 系統管理員 |
| 任務 | 描述 | 所需技能 |
|---|---|---|
建立系 Systems Manager 自動化手冊。 | 使用 | 系統管理員 |
測試執行手冊。 | 在 Systems Manager 主控台上,測試您先前建立的 Systems Manager 自動化執行手冊。如需這方面的詳細資訊,請參閱 Systems Manager 說明文件中的執行簡單自動化。 | 系統管理員 |
| 任務 | 描述 | 所需技能 |
|---|---|---|
新增 CloudTrail已啟用的規則。 | 在 AWS Config 主控台上,選擇「規則」,然後選擇「新增規則」。在 Add rule (新增規則) 頁面中,選擇 Add custom rule (新增自訂規則)。在 [設定規則] 頁面上,輸入名稱和說明,然後新增 | 系統管理員 |
新增自動修復動作。 | 從 動作 下拉式清單中,選擇 管理修復。選擇 [自動修復],然後選擇您先前建立的 Systems Manager 手冊。 以下是所需的輸入參數 CloudTrail:
依預設,下列輸入參數會設定為 true:
保留「速率限制」參數和「資源 ID」參數的預設值。選擇儲存。 如需詳細資訊,請參閱 AWS Config 文件中的使用 AWS Config 規則修復不合規的 AWS Config 資源。 | 系統管理員 |
測試自動修復規則。 | 若要測試自動修復規則,請開啟 CloudTrail 主控台,選擇 [追蹤],然後選擇追蹤。選擇「停止記錄日誌」以關閉追蹤記錄日誌。當系統提示您確認時,請選擇 [停止記錄]。 CloudTrail 停止該追蹤的記錄活動。 遵循 AWS Config 文件中評估資源的指示,確定 CloudTrail 已自動重新啟用該功能。 | 系統管理員 |
相關資源
配置 CloudTrail
建立並測試系 Systems Manager 自動化手冊
在 AWS 設定中設定自動修復規則
其他資源
附件
若要存取與此文件相關聯的其他內容,請解壓縮下列檔案:attachment.zip
