確保 Amazon EC2 執行個體僅在核准的 AWS 區域中啟動 - AWS Prescriptive Guidance

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

確保 Amazon EC2 執行個體僅在核准的 AWS 區域中啟動

由高拉夫古普塔 (AWS) 創建

環境:生產

技術:安全、身份、合規;基礎結構

AWS 服務:Amazon EC2

Summary

此模式可為您提供 AWS CloudFormation 範本,以確保 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體僅在您指定的 AWS 區域啟動。如果您需要在特定區域部署 EC2 執行個體的安全性或合規性需求,則此檢查非常有用。 

當 AWS CloudTrail 記錄 Amazon EC2 API 呼叫時,亞馬遜雲端觀察事件會啟動此檢查ModifyInstanceAttributeRunInstances動作。此觸發程序呼叫 AWS Lambda 函數,該函數使用 CloudWatch 事件事件,並將部署區域與您在 AWS CloudFormation 中指定的區域進行比較。 

如果 EC2 執行個體在未經授權的區域中啟動,則 Lambda 函數會啟動 Amazon Simple Notification Service (Amazon SNS) 電子郵件通知,其中包含該 Lambda 函數的 EC2 執行個體 ID、帳戶號碼、區域和 Amazon 資源名稱 (ARN)。

先決條件和限制

先決條件

  • 一個 Amazon Simple Storage Service (Amazon S3) 儲存貯體來上傳 Lambda 程式碼

  • 用來接收 Amazon SNS 通知的有效電子郵件地址

限制

  • 您必須為您要監控的每個區域建立 CloudWatch 事件規則。此規則也必須為該區域具有相關聯的 Lambda 函數。 

  • 此過程不會檢查現有的 EC2 實例,除非您更改它們的屬性,然後調用ModifyInstanceAttribute

自動化和擴充

Architecture

目標技術堆疊

  • AWS Lambda

  • Amazon SNS

  • CloudWatch Events

目標架構

Tools

工具

  • AWS CloudFormation-可讓您使用程式設計語言或簡單的文字檔,以自動化且安全的方式,為您的應用程式跨所有 AWS 區域和帳戶建立所需的所有資源模型和佈建。 

  • Amazon CloudWatch Events-為您提供資料和可行的洞見以監控應用程式、回應整個系統的效能變化、最佳化資源使用情況,以及透過整合的檢視來查看運作狀態。

  • AWS Lambda-可讓您執行程式碼,無需佈建或管理伺服器。

  • Amazon SNS-可讓應用程式、最終使用者和裝置立即收發來自雲端的通知。

  • Amazon S3-可高度擴充的物件儲存服務,可用於各種儲存解決方案,包括網站、行動應用程式、備份和資料湖。

Epics

任務描述所需技能
定義 S3 儲存貯體。

開啟 Amazon S3 主控台,然後選擇或建立 S3 儲存貯體。此 S3 儲存貯體將裝載 Lambda 程式碼 .zip 檔案。您的 S3 儲存貯體必須位於與正在評估的 EC2 執行個體位於相同的區域。S3 儲存貯體的名稱不能包含前導斜線。

雲端架構師
任務描述所需技能
將 Lambda 程式碼上傳至 S3 儲存貯體。

將「附件」部分中提供的 Lambda 程式碼上傳至 S3 儲存貯體。S3 儲存貯體必須位於與正在評估的 EC2 執行個體位於相同的區域。

雲端架構師
任務描述所需技能
部署 AWS CloudFormation 範本。

在 S3 儲存貯體所在的同一區域開啟 AWS CloudFormation 主控台,然後部署範本。如需部署 AWS CloudFormation 範本的詳細資訊,請參閱 < 相關資源 > 一節。

雲端架構師
任務描述所需技能
命名 S3 儲存貯體。

為您的 S3 儲存貯體設定唯一的名稱。Amazon S3 儲存貯體的名稱必須是全域唯一,且命名空間會由所有 AWS 帳戶共享。

雲端架構師
提供 S3 金鑰。

提供 Lambda 程式碼 .zip 檔案在 S3 儲存貯體中的位置 (例如:<file-name> .zip)。不可使用前方斜線。

雲端架構師
提供電子郵件地址。

提供有效的電子郵件地址以接收 Amazon SNS 通知。

雲端架構師
定義記錄層級。

定義 Lambda 函數的記錄層級和頻率。「資訊」指定有關應用程式進度的詳細資訊訊息。「錯誤」指定仍可允許應用程式繼續執行的錯誤事件。「警告」指定潛在有害的狀況。

雲端架構師
定義授權區域。

提供逗號分隔的授權區域清單。

雲端架構師
任務描述所需技能
確認訂閱。

成功部署範本後,它會將訂閱電子郵件傳送到所提供的電子郵件地址。您必須確認此電子郵件訂閱才能接收違規通知。

雲端架構師

Attachments

attachment.zip