Konfigurasi profil instance Manajemen peran layanan Konfigurasi grup keamanan Integrasi sertifikat SSL Otentikasi Windows Praktik terbaik dan pemecahan masalah

Konfigurasi keamanan dan peran IAM

eb migratePerintah mengelola konfigurasi AWS keamanan melalui peran IAM, profil instance, dan peran layanan. Memahami komponen-komponen ini memastikan kontrol akses yang tepat dan kepatuhan keamanan selama migrasi.

Konfigurasi profil instance

Profil instans berfungsi sebagai wadah untuk peran IAM yang dilampirkan Elastic Beanstalk EC2 ke instance di lingkungan Anda. Saat mengeksekusieb migrate, Anda dapat menentukan profil instance khusus:


PS C:\migrations_workspace> eb migrate --instance-profile "CustomInstanceProfile"

Jika Anda tidak menentukan profil eb migrate instance, buat profil default dengan izin berikut:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::elasticbeanstalk-*",
                "arn:aws:s3:::elasticbeanstalk-*/*"
            ]
        }
    ]
}

Manajemen peran layanan

Peran layanan memungkinkan Elastic Beanstalk mengelola sumber daya atas nama AWS Anda. Tentukan peran layanan kustom selama migrasi dengan perintah berikut:


PS C:\migrations_workspace> eb migrate --service-role "CustomServiceRole"

Jika tidak ditentukan, eb migrate buat peran layanan default yang diberi nama aws-elasticbeanstalk-service-role dengan kebijakan kepercayaan yang memungkinkan Elastic Beanstalk untuk mengambil peran tersebut. Peran layanan ini sangat penting bagi Elastic Beanstalk untuk memantau kesehatan lingkungan Anda dan melakukan pembaruan platform terkelola. Peran layanan memerlukan dua kebijakan terkelola:

AWSElasticBeanstalkEnhancedHealth- Memungkinkan Elastic Beanstalk untuk memantau instans dan kesehatan lingkungan menggunakan sistem pelaporan kesehatan yang ditingkatkan
AWSElasticBeanstalkManagedUpdates- Memungkinkan Elastic Beanstalk untuk melakukan pembaruan platform terkelola, termasuk memperbarui sumber daya lingkungan saat versi platform baru tersedia

Dengan kebijakan ini, peran layanan memiliki izin untuk:

Membuat dan mengelola grup Auto Scaling
Membuat dan mengelola Application Load Balancers
Unggah log ke Amazon CloudWatch
Kelola EC2 instance

Untuk informasi selengkapnya tentang peran layanan, lihat Peran layanan Elastic Beanstalk di Panduan Pengembang Elastic Beanstalk.

Konfigurasi grup keamanan

eb migratePerintah secara otomatis mengkonfigurasi grup keamanan berdasarkan binding situs IIS Anda. Misalnya, jika lingkungan sumber Anda memiliki situs yang menggunakan port 80, 443, dan 8081 hasil konfigurasi berikut:


<site name="Default Web Site">
    <bindings>
        <binding protocol="http" bindingInformation="*:80:" />
        <binding protocol="https" bindingInformation="*:443:" />
    </bindings>
</site>
<site name="InternalAPI">
    <bindings>
        <binding protocol="http" bindingInformation="*:8081:" />
    </bindings>
</site>

Proses migrasi menyelesaikan tindakan berikut:

Membuat grup keamanan penyeimbang beban yang memungkinkan lalu lintas masuk pada port 80 dan 443 dari internet (0.0.0.0/0)
Membuat grup EC2 keamanan yang memungkinkan lalu lintas dari penyeimbang beban
Mengkonfigurasi port tambahan (seperti 8081) jika ditentukan --copy-firewall-config

Secara default, Application Load Balancer dikonfigurasi dengan akses publik dari internet. Jika Anda perlu menyesuaikan perilaku ini, seperti membatasi akses ke rentang IP tertentu atau menggunakan penyeimbang beban pribadi, Anda dapat mengganti konfigurasi VPC dan grup keamanan default menggunakan parameter: --vpc-config


PS C:\migrations_workspace> eb migrate --vpc-config vpc-config.json

Misalnya, vpc-config.json konfigurasi berikut membuat penyeimbang beban pribadi di subnet pribadi:


{
    "id": "vpc-12345678",
    "publicip": "false",
    "elbscheme": "internal",
    "ec2subnets": ["subnet-private1", "subnet-private2"],
    "elbsubnets": ["subnet-private1", "subnet-private2"]
}

Untuk informasi selengkapnya tentang opsi konfigurasi VPC, lihat. Konfigurasi VPC

Integrasi sertifikat SSL

Saat memigrasi situs dengan binding HTTPS, integrasikan sertifikat SSL melalui AWS Certificate Manager (ACM):


PS C:\migrations_workspace> eb migrate --ssl-certificates "arn:aws:acm:region:account:certificate/certificate-id"

Konfigurasi ini melengkapi tindakan berikut:

Mengaitkan sertifikat dengan Application Load Balancer
Mempertahankan penghentian HTTPS di penyeimbang beban
Mempertahankan komunikasi HTTP internal antara penyeimbang beban dan instance EC2

Otentikasi Windows

Untuk aplikasi yang menggunakan Windows Authentication, eb migrate mempertahankan pengaturan otentikasi dalam aplikasi sebagai berikut: web.config


<configuration>
    <system.webServer>
        <security>
            <authentication>
                <windowsAuthentication enabled="true">
                    <providers>
                        <add value="Negotiate" />
                        <add value="NTLM" />
                    </providers>
                </windowsAuthentication>
            </authentication>
        </security>
    </system.webServer>
</configuration>

penting

eb migratePerintah tidak menyalin profil pengguna atau akun dari lingkungan sumber Anda ke instance Elastic Beanstalk target. Akun atau grup pengguna kustom apa pun yang telah Anda buat di server sumber Anda perlu dibuat ulang di lingkungan target setelah migrasi.

Akun Windows bawaan seperti IUSR dan grup sepertiIIS_IUSRS, serta semua akun dan grup bawaan lainnya, disertakan secara default pada instance Windows Server target. Untuk informasi selengkapnya tentang akun dan grup IIS bawaan, lihat Memahami Akun Pengguna dan Grup Bawaan di IIS dalam dokumentasi Microsoft.

Jika aplikasi Anda bergantung pada akun pengguna Windows kustom atau integrasi Active Directory, Anda perlu mengonfigurasi aspek-aspek ini secara terpisah setelah migrasi selesai.

Praktik terbaik dan pemecahan masalah

Manajemen peran

Terapkan praktik terbaik AWS IAM saat mengelola peran untuk lingkungan Elastic Beanstalk Anda:

Pembuatan dan manajemen peran

Buat peran menggunakan kebijakan AWS terkelola jika memungkinkan
Ikuti Praktik Terbaik Keamanan IAM
Gunakan AWS Policy Generator untuk kebijakan kustom
Menerapkan batas izin untuk keamanan tambahan

Pemantauan dan audit

Aktifkan AWS CloudTrail untuk memantau penggunaan peran:

Ikuti Panduan AWS CloudTrail Pengguna
Konfigurasikan integrasi CloudWatch Log untuk pemantauan waktu nyata
Menyiapkan peringatan untuk panggilan API yang tidak sah

Proses peninjauan rutin

Tetapkan siklus tinjauan triwulanan untuk melakukan tugas-tugas berikut:

Audit izin yang tidak digunakan menggunakan IAM Access Analyzer
Hapus izin yang sudah ketinggalan zaman
Perbarui peran berdasarkan prinsip hak istimewa paling sedikit

Manajemen sertifikat

Terapkan praktik ini untuk sertifikat SSL/TLS di lingkungan Elastic Beanstalk Anda:

Siklus hidup sertifikat

Gunakan AWS Certificate Manageruntuk manajemen sertifikat
Aktifkan perpanjangan otomatis untuk sertifikat yang dikeluarkan ACM
Siapkan pemberitahuan kedaluwarsa

Standar keamanan

Gunakan TLS 1.2 atau yang lebih baru
Ikuti kebijakan AWS keamanan untuk pendengar HTTPS
Menerapkan HTTP Strict Transport Security (HSTS) jika diperlukan

Manajemen kelompok keamanan

Terapkan praktik terbaik grup keamanan ini:

Manajemen aturan

Dokumentasikan semua persyaratan port khusus
Gunakan VPC Flow Logs untuk memantau lalu lintas
Gunakan aturan referensi Grup Keamanan alih-alih rentang IP jika memungkinkan

Audit reguler

Tetapkan ulasan bulanan untuk melakukan tugas-tugas berikut:

Mengidentifikasi dan menghapus aturan yang tidak digunakan
Validasi persyaratan sumber/tujuan
Periksa aturan yang tumpang tindih

Pencatatan log dan pemantauan

Untuk pemantauan keamanan yang efektif, konfigurasikan log berikut:

Log peristiwa Windows pada EC2 instance


# Review Security event log
PS C:\migrations_workspace> Get-EventLog -LogName Security -Newest 50

# Check Application event log
PS C:\migrations_workspace> Get-EventLog -LogName Application -Source "IIS*"

CloudWatch Integrasi log

Konfigurasikan agen CloudWatch Log untuk mengalirkan log peristiwa Windows CloudWatch untuk pemantauan dan peringatan terpusat.

Untuk masalah yang terus-menerus, kumpulkan log ini dan kontak AWS Dukungan dengan informasi berikut:

ID Lingkungan
ID Deployment (jika ada)
Pesan kesalahan yang relevan
Garis waktu perubahan keamanan

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Konfigurasi jaringan

Pemetaan migrasi IIS ke Elastic Beanstalk