Configuración del perfil de la instancia Administración de roles de servicio Configuración del grupo de seguridad Integración de certificados SSL Autenticación de Windows Prácticas recomendadas y solución de problemas

Configuraciones de seguridad y funciones de IAM

El eb migrate comando administra las configuraciones AWS de seguridad mediante funciones de IAM, perfiles de instancia y funciones de servicio. La comprensión de estos componentes garantiza un control de acceso adecuado y el cumplimiento de las normas de seguridad durante la migración.

Configuración del perfil de la instancia

Un perfil de instancia sirve como contenedor para una función de IAM que Elastic Beanstalk EC2 asocia a las instancias de su entorno. Al ejecutareb migrate, puede especificar un perfil de instancia personalizado:


PS C:\migrations_workspace> eb migrate --instance-profile "CustomInstanceProfile"

Si no especificas un perfil de instancia, eb migrate crea un perfil predeterminado con los siguientes permisos:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::elasticbeanstalk-*",
                "arn:aws:s3:::elasticbeanstalk-*/*"
            ]
        }
    ]
}

Administración de roles de servicio

Un rol de servicio permite a Elastic Beanstalk administrar los recursos en AWS su nombre. Especifique un rol de servicio personalizado durante la migración con el siguiente comando:


PS C:\migrations_workspace> eb migrate --service-role "CustomServiceRole"

Si no se especifica, eb migrate crea un rol de servicio predeterminado denominado aws-elasticbeanstalk-service-role con una política de confianza que permite a Elastic Beanstalk asumir el rol. Esta función de servicio es esencial para que Elastic Beanstalk supervise el estado del entorno y realice actualizaciones gestionadas de la plataforma. La función de servicio requiere dos políticas administradas:

AWSElasticBeanstalkEnhancedHealth- Permite a Elastic Beanstalk monitorear el estado de las instancias y el entorno mediante el sistema mejorado de informes de estado
AWSElasticBeanstalkManagedUpdates- Permite a Elastic Beanstalk realizar actualizaciones de plataforma administradas, incluida la actualización de los recursos del entorno cuando hay una nueva versión de la plataforma disponible

Con estas políticas, el rol de servicio tiene permisos para:

Crear y administrar grupos de Auto Scaling
Cree y gestione los balanceadores de carga de aplicaciones
Subir registros a Amazon CloudWatch
Administra EC2 las instancias

Para obtener más información sobre las funciones de servicio, consulte Rol de servicio de Elastic Beanstalk la Guía para desarrolladores de Elastic Beanstalk.

Configuración del grupo de seguridad

El eb migrate comando configura automáticamente los grupos de seguridad en función de los enlaces de sitios de IIS. Por ejemplo, si el entorno de origen tiene sitios que utilizan los puertos 80, 443 y 8081, se obtiene la siguiente configuración:


<site name="Default Web Site">
    <bindings>
        <binding protocol="http" bindingInformation="*:80:" />
        <binding protocol="https" bindingInformation="*:443:" />
    </bindings>
</site>
<site name="InternalAPI">
    <bindings>
        <binding protocol="http" bindingInformation="*:8081:" />
    </bindings>
</site>

El proceso de migración completa las siguientes acciones:

Crea un grupo de seguridad balanceador de carga que permite el tráfico entrante en los puertos 80 y 443 desde Internet (0.0.0.0/0)
Crea un grupo de EC2 seguridad que permite el tráfico desde el balanceador de cargas
Configura puertos adicionales (como el 8081) si se especifica --copy-firewall-config

De forma predeterminada, el Application Load Balancer está configurado con acceso público desde Internet. Si necesitas personalizar este comportamiento, por ejemplo, restringir el acceso a rangos de IP específicos o usar un balanceador de cargas privado, puedes anular la configuración predeterminada de VPC y grupos de seguridad mediante el parámetro: --vpc-config


PS C:\migrations_workspace> eb migrate --vpc-config vpc-config.json

Por ejemplo, la siguiente vpc-config.json configuración crea un balanceador de cargas privado en una subred privada:


{
    "id": "vpc-12345678",
    "publicip": "false",
    "elbscheme": "internal",
    "ec2subnets": ["subnet-private1", "subnet-private2"],
    "elbsubnets": ["subnet-private1", "subnet-private2"]
}

Para obtener más información sobre las opciones de configuración de la VPC, consulte. Configuración de la VPC

Integración de certificados SSL

Al migrar sitios con enlaces HTTPS, integre los certificados SSL mediante AWS Certificate Manager (ACM):


PS C:\migrations_workspace> eb migrate --ssl-certificates "arn:aws:acm:region:account:certificate/certificate-id"

Esta configuración completa las siguientes acciones:

Asocia el certificado al Application Load Balancer
Mantiene la terminación HTTPS en el balanceador de cargas
Conserva la comunicación HTTP interna entre el balanceador de cargas y las instancias EC2

Autenticación de Windows

En el caso de las aplicaciones que utilizan la autenticación de Windows, eb migrate conserva la configuración de autenticación de la aplicación de la web.config siguiente manera:


<configuration>
    <system.webServer>
        <security>
            <authentication>
                <windowsAuthentication enabled="true">
                    <providers>
                        <add value="Negotiate" />
                        <add value="NTLM" />
                    </providers>
                </windowsAuthentication>
            </authentication>
        </security>
    </system.webServer>
</configuration>

importante

El eb migrate comando no copia perfiles o cuentas de usuario del entorno de origen a las instancias de Elastic Beanstalk de destino. Todas las cuentas de usuario o grupos personalizados que haya creado en el servidor de origen deberán volver a crearse en el entorno de destino tras la migración.

Las cuentas IUSR y grupos integrados de WindowsIIS_IUSRS, así como todas las demás cuentas y grupos integrados, se incluyen de forma predeterminada en las instancias de Windows Server de destino. Para obtener más información acerca de las cuentas y grupos de IIS integrados, consulte Descripción de las cuentas de usuario y grupo integradas en IIS en la documentación de Microsoft.

Si la aplicación se basa en cuentas de usuario de Windows personalizadas o en la integración con Active Directory, tendrá que configurar estos aspectos por separado una vez finalizada la migración.

Prácticas recomendadas y solución de problemas

Administración de roles

Implemente las mejores prácticas de AWS IAM al gestionar las funciones de sus entornos de Elastic Beanstalk:

Creación y administración de roles

Cree roles mediante políticas AWS administradas siempre que sea posible
Siga las prácticas recomendadas de seguridad de IAM
Utilice el generador AWS de políticas para obtener políticas personalizadas
Implemente límites de permisos para mayor seguridad

Supervisión y auditoría

Habilita AWS CloudTrail la supervisión del uso de los roles:

Siga la guía AWS CloudTrail del usuario
Configure la integración CloudWatch de los registros para la supervisión en tiempo real
Configure alertas para llamadas a la API no autorizadas

Proceso de revisión regular

Establezca un ciclo de revisión trimestral para realizar las siguientes tareas:

Audite los permisos no utilizados mediante IAM Access Analyzer
Elimine los permisos obsoletos
Actualice los roles según los principios de privilegios mínimos

Gestión de certificados

Implemente estas prácticas para los certificados SSL/TLS en sus entornos de Elastic Beanstalk:

ciclo de vida del certificado

Úselo AWS Certificate Managerpara la administración de certificados
Habilite la renovación automática de los certificados emitidos por ACM
Configure las notificaciones de caducidad

Estándares de seguridad

Usa TLS 1.2 o una versión posterior
Siga las políticas AWS de seguridad para los oyentes de HTTPS
Implemente HTTP Strict Transport Security (HSTS) si es necesario

Administración de los grupos de seguridad.

Implemente estas prácticas recomendadas para grupos de seguridad:

Administración de reglas

Documente todos los requisitos de puertos personalizados
Utilice los registros de flujo de VPC para supervisar el tráfico
Siempre que sea posible, utilice reglas de referencia de grupos de seguridad en lugar de rangos de IP

Auditorías periódicas

Establezca revisiones mensuales para realizar las siguientes tareas:

Identifique y elimine las reglas no utilizadas
Valide los requisitos de origen/destino
Compruebe si hay reglas superpuestas

Registro y supervisión

Para una supervisión de seguridad eficaz, configure los siguientes registros:

Los eventos de Windows registran las EC2 instancias


# Review Security event log
PS C:\migrations_workspace> Get-EventLog -LogName Security -Newest 50

# Check Application event log
PS C:\migrations_workspace> Get-EventLog -LogName Application -Source "IIS*"

CloudWatch Integración de registros

Configure el agente de CloudWatch registros para que transmita los registros de eventos de Windows a CloudWatch fin de centralizar la supervisión y las alertas.

En caso de problemas persistentes, recopile estos registros y póngase en contacto AWS Support con la siguiente información:

ID del entorno
ID de despliegue (si corresponde)
Mensajes de error relevantes
Cronología de los cambios de seguridad

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Configuración de red

Mapeo de migración de IIS a Elastic Beanstalk