在 AWS Config 中使用自訂補救規則,自動重新啟用 AWS CloudTrail - AWS Prescriptive Guidance

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 AWS Config 中使用自訂補救規則,自動重新啟用 AWS CloudTrail

由馬尼甘丹希里(AWS)創作

環境:生產

技術:基礎設施;操作;安全、身份、合規

AWS 服務:Amazon S3;AWS Config;AWS KMS;AWS Identity and Access Management;AWS Systems Manager;AWS CloudTrail

Summary

您 Amazon Web Services (AWS) 帳戶中活動的可見度是重要的安全性和操作最佳做法。AWS CloudTrail 可協助您針對帳戶進行監管、合規、操作和風險稽核。

為了確保帳戶中仍然啟用 CloudTrail,AWS Config 提供cloudtrail-enabled受管規則如果 CloudTrail 已關閉,cloudtrail-enabled規則會自動使用自動修補

不過,您必須確定遵循安全最佳實務(如果您使用自動修復)。這些最佳實務包括在所有 AWS 區域啟用 CloudTrail、記錄讀取和寫入工作負載、啟用深入解析,以及使用使用 AWS Key Management Service (AWS KMS) 受管金鑰 (SSE-KMS) 受管金鑰 (SSE-KMS) 的伺服器端加密

此模式可提供自訂補救動作,以便在您的帳戶中自動重新啟用 CloudTrail,協助您遵循這些安全性最佳做法。

重要:我們建議您使用服務控制政策 (SCP)以防止任何竄改 CloudTrail。如需此項目的詳細資訊,請參閱防止竄改 AWS CloudTrail章節如何使用 AWS Organizations 簡化大規模的安全性AWS 安全部落格中的任何資訊。

先決條件和限制

先決條件

  • 作用中的 AWS 帳戶

  • AWS Identity and Access Management (IAM) 使用者和角色許可,可建立 AWS Systems Manager Automation Runbook

  • 帳戶的現有追蹤

限制

這種模式不支援下列動作:

  • 為儲存位置設定 Amazon Simple Storage Service (Amazon S3) 前綴金鑰

  • 發佈到 Amazon Simple Notification Service (Amazon SNS) 主題

  • 配置 Amazon CloudWatch Logs 以監控您的 CloudTrail 日誌

Architecture

技術堆疊

  • AWS Config 

  • CloudTrail

  • Systems Manager

  • Systems Manager Automation

Tools

 

AWS Config— AWS Config 可讓您查看帳戶內 AWS 資源組態的詳細情形。 

AWS CloudTrail— CloudTrail 可協助您針對帳戶啟用監管、合規、操作和風險稽核。

AWS KMS— AWS Key Management Service (AWS KMS) 是一種加密和金鑰管理服務。

AWS Systems Manager— Systems Manager 可協助您檢視和控制 AWS 的基礎設施。

AWS Systems Manager Automation— Systems Manager 自動化可簡化 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體及其他 AWS 資源常見的維護和部署任務。

Amazon S3— Amazon Simple Storage Service (Amazon S3) 是網際網路儲存服務。

Code

雲端修復動作 .yml 檔案 (已附加) 可協助您建立 Systems Manager 自動化執行手冊,以使用安全性最佳做法來設定和重新啟用 CloudTrail。

Epics

任務描述所需技能
建立 S3 儲存貯體。

登入 AWS 管理主控台,開啟 Amazon S3 主控台,然後建立 S3 儲存貯體來儲存 CloudTrail 日誌。如需詳細資訊,請參閱「」建立 S3 儲存貯體在 Amazon S3 文件中。

系統管理員
新增儲存貯體政策,允許 CloudTrail 將日誌檔案傳遞到 S3 儲存貯體。

CloudTrail 必須具備必要的權限,才能將日誌檔案傳遞到 S3 儲存貯體。在 Amazon S3 主控台上,選擇您先前建立的 S3 儲存貯體,然後選擇Permissions (許可)。建立 S3 儲存貯體原則,使用適用於 CloudTrail 的 Amazon S3 儲存貯體政策從 CloudTrail 文檔。

如需如何將政策新增至 S3 儲存貯體的步驟,請參閱使用 Amazon S3 主控台新增儲存貯體政策在 Amazon S3 文件中。

重要:如果您在 CloudTrail 中建立線索時指定了前綴,請務必將其包含在 S3 儲存貯體政策中。前綴是 S3 物件金鑰的選用新增項目,可在 S3 儲存貯體中建立類似資料夾的組織。如需此項目的詳細資訊,請參閱建立線索在 CloudTrail 檔中。

系統管理員
建立 KMS 金鑰。

為 CloudTrail 建立 AWS KMS 金鑰,以在將物件新增至 S3 儲存貯體之前加密物件。如需此故事的協助,請參閱使用 AWS KMS 受管金鑰 (SSE-KMS) 加密 CloudTrail 日誌檔案在 CloudTrail 檔中。

系統管理員
將金鑰原則新增至 KMS 金鑰。

附加 KMS 金鑰原則,以允許 CloudTrail 使用 KMS 金鑰。如需此故事的協助,請參閱使用 AWS KMS 受管金鑰 (SSE-KMS) 加密 CloudTrail 日誌檔案在 CloudTrail 檔中。

重要:CloudTrail 不需要Decrypt許可。

系統管理員
建立 Systems Manager Runbook 的安裝

建立AssumeRoleSystems Manager 自動化來執行 Runbook。如需此項目的指示和詳細資訊,請參閱設定自動化在 Systems Manager 說明文件中。

系統管理員
任務描述所需技能
建立 Systems Manager 自動化 Runbook。

使用 Cloudtrail-修復-動作 .yml 檔案 (附加) 來建立 Systems Manager 自動化 Runbook。如需此項目的詳細資訊,請參閱建立 Systems Manager 文件在 Systems Manager 說明文件中。

系統管理員
測試藍本

在 [Systems Manager] 主控台上,測試您先前建立的系統管理員自動化 Runbook。如需此項目的詳細資訊,請參閱執行簡易自動化在 Systems Manager 說明文件中。

系統管理員
任務描述所需技能
新增啟用雲端路徑的規則。

在 AWS Config 主控台上,選擇規則,然後選擇新增規則。在 Add rule (新增規則) 頁面中,選擇 Add custom rule (新增自訂規則)。在設定規則頁面上,輸入名稱和描述,然後新增cloudtrail-enabled規則。如需詳細資訊,請參閱「」管理 AWS Config 規則在 AWS Config 文件中。

系統管理員
新增自動修正動作。

動作下拉式清單,選擇管理修補。選擇自動修補,然後選擇您稍早建立的 Systems Manager Runbook。 

以下是 CloudTrail 的必要輸入參數:

  • CloudTrailName

  • CloudTrailS3BucketName

  • CloudTrailKmsKeyId

  • AssumeRole (選用)

預設情況下,下列輸入參數設定為 true: 

  • IsMultiRegionTrail

  • IsOrganizationTrail

  • IncludeGlobalServiceEvents

  • EnableLogFileValidation

保留預設值速率限制parameterResource ID 參數。選擇 Save (儲存)

如需此項目的詳細資訊,請參閱使用 AWS Config 規則修復不合規 AWS 資源AWS Config 文件中的

系統管理員
測試自動修正規則。

若要測試自動補救規則,請開啟 CloudTrail 主控台,選擇線索,然後選擇 Trail。選擇停止日誌記錄關閉記錄線索。出現確認提示時,選擇停止日誌記錄。CloudTrail 會停止記錄該線索的活動。

請遵循評估您的資源,以確保 CloudTrail 已自動重新啟用。

系統管理員

CloudTrail

建立和測試 Systems Manager 自動化 Runbook

在 AWS Config 中設定自動補救規則

其他資源

Attachments

attachment.zip