Konfiguration des Instanzprofils Verwaltung von Servicerollen Sicherheitsgruppenkonfiguration Integration von SSL-Zertifikaten Windows-Authentifizierung Bewährte Methoden und Problembehandlung

Sicherheitskonfigurationen und IAM-Rollen

Der eb migrate Befehl verwaltet AWS Sicherheitskonfigurationen mithilfe von IAM-Rollen, Instanzprofilen und Servicerollen. Das Verständnis dieser Komponenten gewährleistet eine angemessene Zugriffskontrolle und Einhaltung der Sicherheitsbestimmungen während der Migration.

Konfiguration des Instanzprofils

Ein Instance-Profil dient als Container für eine IAM-Rolle, die Elastic Beanstalk an EC2 Instances in Ihrer Umgebung anhängt. Bei der Ausführung eb migrate können Sie ein benutzerdefiniertes Instanzprofil angeben:


PS C:\migrations_workspace> eb migrate --instance-profile "CustomInstanceProfile"

Wenn Sie kein Instanzprofil angeben, eb migrate erstellt ein Standardprofil mit diesen Berechtigungen:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::elasticbeanstalk-*",
                "arn:aws:s3:::elasticbeanstalk-*/*"
            ]
        }
    ]
}

Verwaltung von Servicerollen

Eine Servicerolle ermöglicht es Elastic Beanstalk, AWS Ressourcen in Ihrem Namen zu verwalten. Geben Sie während der Migration mit dem folgenden Befehl eine benutzerdefinierte Servicerolle an:


PS C:\migrations_workspace> eb migrate --service-role "CustomServiceRole"

Falls nicht angegeben, eb migrate wird eine Standard-Servicerolle aws-elasticbeanstalk-service-role mit einer Vertrauensrichtlinie erstellt, die es Elastic Beanstalk ermöglicht, die Rolle zu übernehmen. Diese Servicerolle ist für Elastic Beanstalk unverzichtbar, um den Zustand Ihrer Umgebung zu überwachen und verwaltete Plattform-Updates durchzuführen. Für die Servicerolle sind zwei verwaltete Richtlinien erforderlich:

AWSElasticBeanstalkEnhancedHealth- Ermöglicht Elastic Beanstalk die Überwachung des Instance- und Umgebungszustands mithilfe des erweiterten Zustandsberichtssystems
AWSElasticBeanstalkManagedUpdates- Ermöglicht Elastic Beanstalk, verwaltete Plattform-Updates durchzuführen, einschließlich der Aktualisierung von Umgebungsressourcen, wenn eine neue Plattformversion verfügbar ist

Mit diesen Richtlinien hat die Servicerolle folgende Rechte:

Auto Scaling Scaling-Gruppen erstellen und verwalten
Application Load Balancer erstellen und verwalten
Logs auf Amazon hochladen CloudWatch
EC2 Instanzen verwalten

Weitere Informationen zu Servicerollen finden Sie Elastic Beanstalk-Servicerolle im Elastic Beanstalk Developer Guide.

Sicherheitsgruppenkonfiguration

Der eb migrate Befehl konfiguriert automatisch Sicherheitsgruppen auf der Grundlage Ihrer IIS-Site-Bindungen. Wenn Ihre Quellumgebung beispielsweise Websites enthält, die die Ports 80, 443 und 8081 verwenden, ergibt sich die folgende Konfiguration:


<site name="Default Web Site">
    <bindings>
        <binding protocol="http" bindingInformation="*:80:" />
        <binding protocol="https" bindingInformation="*:443:" />
    </bindings>
</site>
<site name="InternalAPI">
    <bindings>
        <binding protocol="http" bindingInformation="*:8081:" />
    </bindings>
</site>

Der Migrationsprozess schließt die folgenden Aktionen ab:

Erstellt eine Load Balancer-Sicherheitsgruppe, die eingehenden Datenverkehr über die Ports 80 und 443 aus dem Internet ermöglicht (0.0.0.0/0)
Erstellt eine EC2 Sicherheitsgruppe, die den Datenverkehr vom Load Balancer zulässt
Konfiguriert zusätzliche Ports (wie 8081), falls angegeben --copy-firewall-config

Standardmäßig ist der Application Load Balancer für öffentlichen Zugriff über das Internet konfiguriert. Wenn Sie dieses Verhalten anpassen müssen, z. B. den Zugriff auf bestimmte IP-Bereiche einschränken oder einen privaten Load Balancer verwenden, können Sie die standardmäßige VPC- und Sicherheitsgruppenkonfiguration mit dem folgenden Parameter überschreiben: --vpc-config


PS C:\migrations_workspace> eb migrate --vpc-config vpc-config.json

Mit der folgenden vpc-config.json Konfiguration wird beispielsweise ein privater Load Balancer in einem privaten Subnetz erstellt:


{
    "id": "vpc-12345678",
    "publicip": "false",
    "elbscheme": "internal",
    "ec2subnets": ["subnet-private1", "subnet-private2"],
    "elbsubnets": ["subnet-private1", "subnet-private2"]
}

Weitere Informationen zu VPC-Konfigurationsoptionen finden Sie unterVPC-Konfiguration.

Integration von SSL-Zertifikaten

Integrieren Sie bei der Migration von Websites mit HTTPS-Bindungen SSL-Zertifikate über AWS Certificate Manager (ACM):


PS C:\migrations_workspace> eb migrate --ssl-certificates "arn:aws:acm:region:account:certificate/certificate-id"

Mit dieser Konfiguration werden die folgenden Aktionen abgeschlossen:

Ordnet das Zertifikat dem Application Load Balancer zu
Hält die HTTPS-Terminierung am Load Balancer aufrecht
Behält die interne HTTP-Kommunikation zwischen dem Load Balancer und den Instances bei EC2

Windows-Authentifizierung

Bei Anwendungen, die die Windows-Authentifizierung eb migrate verwenden, werden die Authentifizierungseinstellungen der Anwendung web.config wie folgt beibehalten:


<configuration>
    <system.webServer>
        <security>
            <authentication>
                <windowsAuthentication enabled="true">
                    <providers>
                        <add value="Negotiate" />
                        <add value="NTLM" />
                    </providers>
                </windowsAuthentication>
            </authentication>
        </security>
    </system.webServer>
</configuration>

Wichtig

Der eb migrate Befehl kopiert keine Benutzerprofile oder Konten aus Ihrer Quellumgebung auf die Elastic Beanstalk Beanstalk-Zielinstanzen. Alle benutzerdefinierten Benutzerkonten oder Gruppen, die Sie auf Ihrem Quellserver erstellt haben, müssen nach der Migration in der Zielumgebung neu erstellt werden.

Integrierte Windows-Konten wie IUSR und Gruppen wie IIS_IUSRS sowie alle anderen integrierten Konten und Gruppen sind standardmäßig in den Windows Server-Zielinstanzen enthalten. Weitere Informationen zu integrierten IIS-Konten und -Gruppen finden Sie in der Microsoft-Dokumentation unter Grundlegendes zu integrierten Benutzer- und Gruppenkonten in IIS.

Wenn Ihre Anwendung auf benutzerdefinierten Windows-Benutzerkonten oder der Active Directory-Integration basiert, müssen Sie diese Aspekte nach Abschluss der Migration separat konfigurieren.

Bewährte Methoden und Problembehandlung

Rollenverwaltung

Implementieren Sie bewährte AWS IAM-Praktiken bei der Rollenverwaltung für Ihre Elastic Beanstalk Beanstalk-Umgebungen:

Erstellung und Verwaltung von Rollen

Erstellen Sie Rollen, sofern möglich, mithilfe AWS verwalteter Richtlinien
Folgen Sie den Best Practices für IAM-Sicherheit
Verwenden Sie den AWS Policy Generator für benutzerdefinierte Richtlinien
Implementieren Sie Berechtigungsgrenzen für zusätzliche Sicherheit

Überwachung und Prüfung

Aktivieren Sie AWS CloudTrail diese Option, um die Rollennutzung zu überwachen:

Folgen Sie dem AWS CloudTrail Benutzerhandbuch
Konfigurieren Sie die CloudWatch Logs-Integration für die Echtzeitüberwachung
Richten Sie Benachrichtigungen für nicht autorisierte API-Aufrufe ein

Regelmäßiger Überprüfungsprozess

Richten Sie einen vierteljährlichen Überprüfungszyklus ein, um die folgenden Aufgaben zu erledigen:

Prüfen Sie ungenutzte Berechtigungen mit IAM Access Analyzer
Entfernen Sie veraltete Berechtigungen
Aktualisieren Sie Rollen auf der Grundlage der Prinzipien der geringsten Rechte

Verwaltung von Zertifikaten

Implementieren Sie diese Verfahren für SSL/TLS-Zertifikate in Ihren Elastic Beanstalk Beanstalk-Umgebungen:

Lebenszyklus von Zertifikaten

AWS Certificate ManagerFür die Zertifikatsverwaltung verwenden
Aktivieren Sie die automatische Verlängerung für von ACM ausgestellte Zertifikate
Richten Sie Ablaufbenachrichtigungen ein

Sicherheitsstandards

Verwenden Sie TLS 1.2 oder höher
Befolgen Sie die AWS Sicherheitsrichtlinien für HTTPS-Listener
Implementieren Sie bei Bedarf HTTP Strict Transport Security (HSTS)

Verwaltung der Sicherheitsgruppe

Implementieren Sie die folgenden bewährten Methoden für Sicherheitsgruppen:

Verwaltung von Regeln

Dokumentieren Sie alle Anforderungen an benutzerdefinierte Ports
Verwenden Sie VPC Flow Logs, um den Verkehr zu überwachen
Verwenden Sie nach Möglichkeit Referenzregeln für Sicherheitsgruppen anstelle von IP-Bereichen

Regelmäßige Prüfung

Richten Sie monatliche Überprüfungen ein, um die folgenden Aufgaben zu erledigen:

Identifizieren und entfernen Sie ungenutzte Regeln
Überprüfen Sie die Quell- und Zielanforderungen
Suchen Sie nach sich überschneidenden Regeln

Protokollierung und Überwachung

Für eine effektive Sicherheitsüberwachung konfigurieren Sie die folgenden Protokolle:

Windows-Ereignisprotokolle für EC2 Instanzen


# Review Security event log
PS C:\migrations_workspace> Get-EventLog -LogName Security -Newest 50

# Check Application event log
PS C:\migrations_workspace> Get-EventLog -LogName Application -Source "IIS*"

CloudWatch Integration von Protokollen

Konfigurieren Sie den CloudWatch Logs-Agent so, dass er Windows-Ereignisprotokolle CloudWatch zur zentralen Überwachung und Alarmierung streamt.

Bei anhaltenden Problemen sammeln Sie diese Protokolle und wenden Sie sich AWS -Support mit den folgenden Informationen an:

Umgebungs-ID
Bereitstellungs-ID (falls zutreffend)
Relevante Fehlermeldungen
Zeitplan der Sicherheitsänderungen

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Netzwerkkonfiguration

Zuordnung der Migration von IIS zu Elastic Beanstalk