Configuration du profil d'instance Gestion des rôles de service Configuration du groupe de sécurité Intégration des certificats SSL Authentification Windows Bonnes pratiques et résolution des problèmes

Configurations de sécurité et rôles IAM

La eb migrate commande gère les configurations AWS de sécurité via les rôles IAM, les profils d'instance et les rôles de service. La compréhension de ces composants garantit un contrôle d'accès approprié et une conformité en matière de sécurité pendant la migration.

Configuration du profil d'instance

Un profil d'instance sert de conteneur pour un rôle IAM qu'Elastic Beanstalk EC2 attache aux instances de votre environnement. Lors de l'exécutioneb migrate, vous pouvez spécifier un profil d'instance personnalisé :


PS C:\migrations_workspace> eb migrate --instance-profile "CustomInstanceProfile"

Si vous ne spécifiez aucun profil d'instance, eb migrate crée un profil par défaut avec les autorisations suivantes :


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::elasticbeanstalk-*",
                "arn:aws:s3:::elasticbeanstalk-*/*"
            ]
        }
    ]
}

Gestion des rôles de service

Un rôle de service permet à Elastic Beanstalk AWS de gérer les ressources en votre nom. Spécifiez un rôle de service personnalisé lors de la migration à l'aide de la commande suivante :


PS C:\migrations_workspace> eb migrate --service-role "CustomServiceRole"

S'il n'est pas spécifié, eb migrate crée un rôle de service par défaut nommé aws-elasticbeanstalk-service-role avec une politique de confiance qui permet à Elastic Beanstalk d'assumer ce rôle. Ce rôle de service est essentiel pour qu'Elastic Beanstalk puisse surveiller l'état de votre environnement et effectuer des mises à jour de plateforme gérées. Le rôle de service nécessite deux politiques gérées :

AWSElasticBeanstalkEnhancedHealth- Permet à Elastic Beanstalk de surveiller l'état de l'instance et de l'environnement à l'aide du système de reporting de santé amélioré
AWSElasticBeanstalkManagedUpdates- Permet à Elastic Beanstalk d'effectuer des mises à jour gérées de la plateforme, y compris la mise à jour des ressources de l'environnement lorsqu'une nouvelle version de plate-forme est disponible

Avec ces politiques, le rôle de service est autorisé à :

Création et gestion de groupes Auto Scaling
Création et gestion des équilibreurs de charge des applications
Importer des journaux sur Amazon CloudWatch
Gérer les EC2 instances

Pour plus d'informations sur les rôles de service, consultez Rôle de service Elastic Beanstalk le manuel Elastic Beanstalk Developer Guide.

Configuration du groupe de sécurité

La eb migrate commande configure automatiquement les groupes de sécurité en fonction de vos liaisons de site IIS. Par exemple, si votre environnement source comporte des sites utilisant les ports 80, 443 et 8081, les résultats de configuration suivants sont les suivants :


<site name="Default Web Site">
    <bindings>
        <binding protocol="http" bindingInformation="*:80:" />
        <binding protocol="https" bindingInformation="*:443:" />
    </bindings>
</site>
<site name="InternalAPI">
    <bindings>
        <binding protocol="http" bindingInformation="*:8081:" />
    </bindings>
</site>

Le processus de migration exécute les actions suivantes :

Crée un groupe de sécurité d'équilibrage de charge autorisant le trafic entrant sur les ports 80 et 443 depuis Internet (0.0.0.0/0)
Crée un groupe EC2 de sécurité autorisant le trafic provenant de l'équilibreur de charge
Configure des ports supplémentaires (tels que 8081) si cela est spécifié --copy-firewall-config

Par défaut, l'Application Load Balancer est configuré avec un accès public depuis Internet. Si vous devez personnaliser ce comportement, par exemple en restreignant l'accès à des plages d'adresses IP spécifiques ou en utilisant un équilibreur de charge privé, vous pouvez remplacer la configuration par défaut du VPC et du groupe de sécurité à l'aide du paramètre : --vpc-config


PS C:\migrations_workspace> eb migrate --vpc-config vpc-config.json

Par exemple, la vpc-config.json configuration suivante crée un équilibreur de charge privé dans un sous-réseau privé :


{
    "id": "vpc-12345678",
    "publicip": "false",
    "elbscheme": "internal",
    "ec2subnets": ["subnet-private1", "subnet-private2"],
    "elbsubnets": ["subnet-private1", "subnet-private2"]
}

Pour plus d'informations sur les options de configuration VPC, consultez. Configuration VPC

Intégration des certificats SSL

Lorsque vous migrez des sites avec des liaisons HTTPS, intégrez les certificats SSL via AWS Certificate Manager (ACM) :


PS C:\migrations_workspace> eb migrate --ssl-certificates "arn:aws:acm:region:account:certificate/certificate-id"

Cette configuration exécute les actions suivantes :

Associe le certificat à l'Application Load Balancer
Maintient la terminaison HTTPS au niveau de l'équilibreur de charge
Préserve la communication HTTP interne entre l'équilibreur de charge et les instances EC2

Authentification Windows

Pour les applications utilisant l'authentification Windows, eb migrate préserve les paramètres d'authentification de l'application web.config comme suit :


<configuration>
    <system.webServer>
        <security>
            <authentication>
                <windowsAuthentication enabled="true">
                    <providers>
                        <add value="Negotiate" />
                        <add value="NTLM" />
                    </providers>
                </windowsAuthentication>
            </authentication>
        </security>
    </system.webServer>
</configuration>

Important

La eb migrate commande ne copie pas les profils ou comptes utilisateur de votre environnement source vers les instances Elastic Beanstalk cibles. Tous les comptes ou groupes d'utilisateurs personnalisés que vous avez créés sur votre serveur source devront être recréés sur l'environnement cible après la migration.

Les comptes IUSR et groupes Windows intégrésIIS_IUSRS, ainsi que tous les autres comptes et groupes intégrés, sont inclus par défaut dans les instances Windows Server cibles. Pour plus d'informations sur les comptes et groupes IIS intégrés, consultez la section Présentation des comptes d'utilisateurs et de groupes intégrés dans IIS dans la documentation Microsoft.

Si votre application repose sur des comptes utilisateur Windows personnalisés ou sur l'intégration d'Active Directory, vous devrez configurer ces aspects séparément une fois la migration terminée.

Bonnes pratiques et résolution des problèmes

Gestion des rôles

Mettez en œuvre les meilleures pratiques AWS IAM lors de la gestion des rôles dans vos environnements Elastic Beanstalk :

Création et gestion des rôles

Créez des rôles à l'aide de politiques AWS gérées dans la mesure du possible
Suivez les meilleures pratiques de sécurité IAM
Utilisez le générateur AWS de politiques pour des politiques personnalisées
Implémenter des limites d'autorisation pour une sécurité accrue

Surveillance et audit

Activez AWS CloudTrail pour surveiller l'utilisation des rôles :

Suivez le guide de AWS CloudTrail l'utilisateur
Configurer l'intégration CloudWatch des journaux pour une surveillance en temps réel
Configurer des alertes pour les appels d'API non autorisés

Processus de révision régulier

Établissez un cycle de révision trimestriel pour effectuer les tâches suivantes :

Auditez les autorisations non utilisées à l'aide d'IAM Access Analyzer
Supprimer les autorisations périmées
Mettre à jour les rôles en fonction du principe du moindre privilège

Gestion des certificats

Mettez en œuvre les pratiques suivantes pour les certificats SSL/TLS dans vos environnements Elastic Beanstalk :

Cycle de vie des certificats

Utilisation AWS Certificate Managerpour la gestion des certificats
Activer le renouvellement automatique des certificats émis par ACM
Configurer les notifications d'expiration

Normes de sécurité

Utiliser TLS 1.2 ou version ultérieure
Respectez les politiques de AWS sécurité pour les écouteurs HTTPS
Mettre en œuvre le protocole HTTP Strict Transport Security (HSTS) si nécessaire

Gestion des groupes de sécurité

Mettez en œuvre les meilleures pratiques suivantes en matière de groupes de sécurité :

Gestion des règles

Documentez toutes les exigences relatives aux ports personnalisés
Utiliser les journaux de flux VPC pour surveiller le trafic
Utilisez les règles de référence des groupes de sécurité plutôt que les plages d'adresses IP dans la mesure du possible

Audit régulier

Établissez des révisions mensuelles pour effectuer les tâches suivantes :

Identifier et supprimer les règles non utilisées
Valider les exigences relatives à la source/destination
Vérifiez les règles qui se chevauchent

Journalisation et surveillance

Pour une surveillance efficace de la sécurité, configurez les journaux suivants :

Journaux d'événements Windows sur les EC2 instances


# Review Security event log
PS C:\migrations_workspace> Get-EventLog -LogName Security -Newest 50

# Check Application event log
PS C:\migrations_workspace> Get-EventLog -LogName Application -Source "IIS*"

CloudWatch Intégration des journaux

Configurez l'agent CloudWatch Logs pour qu'il diffuse les journaux d'événements Windows vers CloudWatch des fins de surveillance et d'alerte centralisées.

Pour les problèmes persistants, collectez ces journaux et contactez-nous AWS Support avec les informations suivantes :

ID de l'environnement
ID de déploiement (le cas échéant)
Messages d'erreur pertinents
Chronologie des modifications de sécurité

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Configuration réseau

Cartographie de la migration entre IIS et Elastic Beanstalk