Ringkasan Prasyarat dan batasan Arsitektur Alat Epik Sumber daya terkait Lampiran

Aktifkan kembali AWS secara otomatis CloudTrail dengan menggunakan aturan remediasi khusus di AWS Config

Manigandan Shri, Amazon Web Services

Ringkasan

Visibilitas atas aktivitas di akun Amazon Web Services (AWS) Anda adalah praktik terbaik keamanan dan operasional yang penting. AWS CloudTrail membantu Anda dengan tata kelola, kepatuhan, serta audit operasional dan risiko akun Anda.

Untuk memastikan bahwa CloudTrail tetap diaktifkan di akun Anda, AWS Config menyediakan aturan cloudtrail-enabled terkelola. Jika CloudTrail dimatikan, cloudtrail-enabled aturan secara otomatis mengaktifkannya kembali dengan menggunakan remediasi otomatis.

Namun, Anda harus memastikan bahwa Anda mengikuti praktik terbaik keamanan CloudTrail jika Anda menggunakan remediasi otomatis. Praktik terbaik ini termasuk mengaktifkan CloudTrail di semua Wilayah AWS, mencatat beban kerja baca dan tulis, mengaktifkan wawasan, dan mengenkripsi file log dengan enkripsi sisi server menggunakan kunci terkelola AWS Key Management Service (AWS KMS) (SSE-KMS).

Pola ini membantu Anda mengikuti praktik terbaik keamanan ini dengan memberikan tindakan perbaikan khusus untuk mengaktifkan kembali secara otomatis CloudTrail di akun Anda.

penting

Sebaiknya gunakan kebijakan kontrol layanan (SCPs) untuk mencegah gangguan apa pun. CloudTrail Untuk informasi selengkapnya tentang hal ini, lihat CloudTrail bagian Mencegah gangguan dengan AWS di Cara menggunakan AWS Organizations untuk menyederhanakan keamanan dalam skala besar di AWS Security Blog.

Prasyarat dan batasan

Prasyarat

Akun AWS yang aktif
Izin untuk membuat runbook AWS Systems Manager Automation
Jejak yang ada untuk akun Anda

Batasan

Pola ini tidak mendukung tindakan berikut:

Menyetel kunci awalan Amazon Simple Storage Service (Amazon S3) untuk lokasi penyimpanan
Menerbitkan ke topik Amazon Simple Notification Service (Amazon SNS)
Mengonfigurasi CloudWatch Log Amazon untuk memantau log Anda CloudTrail

Arsitektur

Alur kerja untuk mengaktifkan kembali AWS CloudTrail dengan menggunakan aturan remediasi khusus di AWS Config

Tumpukan teknologi

AWS Config
CloudTrail
Systems Manager
Otomatisasi Systems Manager

Alat

AWS Config memberikan tampilan terperinci tentang konfigurasi sumber daya AWS di akun Anda.
AWS CloudTrail membantu Anda mengaktifkan tata kelola, kepatuhan, serta audit operasional dan risiko akun Anda.
AWS Key Management Service (AWS KMS) adalah layanan enkripsi dan manajemen kunci.
AWS Systems Manager membantu Anda melihat dan mengontrol infrastruktur di AWS.
AWS Systems Manager Automation menyederhanakan tugas pemeliharaan dan penerapan umum instans Amazon Elastic Compute Cloud (Amazon EC2) dan sumber daya AWS lainnya.
Amazon Simple Storage Service (Amazon S3) adalah layanan penyimpanan objek berbasis cloud yang membantu Anda menyimpan, melindungi, dan mengambil sejumlah data.

Kode

cloudtrail-remediation-actionFile.yl (terlampir) membantu Anda membuat runbook Automation Systems Manager untuk menyiapkan dan mengaktifkan kembali CloudTrail menggunakan praktik terbaik keamanan.

Epik

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Buat ember S3.	Masuk ke AWS Management Console, buka konsol Amazon S3, lalu buat bucket S3 untuk menyimpan log. CloudTrail Untuk informasi selengkapnya, lihat Membuat bucket S3 di dokumentasi Amazon S3.	Administrator sistem
Tambahkan kebijakan bucket CloudTrail untuk memungkinkan pengiriman file log ke bucket S3.	CloudTrail harus memiliki izin yang diperlukan untuk mengirimkan file log ke bucket S3 Anda. Di konsol Amazon S3, pilih bucket S3 yang Anda buat sebelumnya, lalu pilih Izin. Buat kebijakan bucket S3 dengan menggunakan kebijakan bucket Amazon S3 dari CloudTrail CloudTrail dokumentasi. Untuk langkah-langkah tentang cara menambahkan kebijakan ke bucket S3, lihat Menambahkan kebijakan bucket menggunakan konsol Amazon S3 di dokumentasi Amazon S3. penting Jika Anda menetapkan awalan saat membuat jejak CloudTrail, pastikan Anda memasukkannya ke dalam kebijakan bucket S3. Awalan adalah tambahan opsional untuk kunci objek S3 yang membuat organisasi seperti folder di bucket S3 Anda. Untuk informasi selengkapnya tentang ini, lihat Membuat jejak dalam CloudTrail dokumentasi.	Administrator sistem
Buat kunci KMS.	Buat kunci AWS KMS CloudTrail untuk mengenkripsi objek sebelum menambahkannya ke bucket S3. Untuk bantuan terkait cerita ini, lihat Mengenkripsi file CloudTrail log dengan kunci terkelola AWS KMS (SSE-KMS) dalam dokumentasi. CloudTrail	Administrator sistem
Tambahkan kebijakan kunci ke kunci KMS.	Lampirkan kebijakan kunci KMS CloudTrail untuk memungkinkan menggunakan kunci KMS. Untuk bantuan terkait cerita ini, lihat Mengenkripsi file CloudTrail log dengan AWS KMS—kunci terkelola (SSE-KMS) dalam dokumentasi. CloudTrail penting CloudTrail tidak memerlukan `Decrypt` izin.	Administrator sistem
Buat AssumeRole untuk runbook Systems Manager	Buat Automasi `AssumeRole` untuk Systems Manager untuk menjalankan runbook. Untuk petunjuk dan informasi selengkapnya tentang hal ini, lihat Menyiapkan otomatisasi dalam dokumentasi Systems Manager.	Administrator sistem

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Buat runbook Otomasi Systems Manager.	Gunakan `cloudtrail-remediation-action.yml` file (terlampir) untuk membuat runbook Systems Manager Automation. Untuk informasi selengkapnya tentang ini, lihat Membuat dokumen Systems Manager di dokumentasi Systems Manager.	Administrator sistem
Uji runbook.	Di konsol Systems Manager, uji runbook Automation Systems Manager yang Anda buat sebelumnya. Untuk informasi selengkapnya tentang hal ini, lihat Menjalankan otomatisasi sederhana dalam dokumentasi Systems Manager.	Administrator sistem

Tugas Deskripsi Keterampilan yang dibutuhkan

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Tambahkan aturan CloudTrail -enabled.	Di konsol AWS Config, pilih Aturan lalu pilih Tambah aturan. Pada halaman Tambah aturan, pilih Tambahkan aturan kustom. Pada halaman Konfigurasi aturan, masukkan nama dan deskripsi, dan tambahkan `cloudtrail-enabled` aturan. Untuk informasi selengkapnya, lihat Mengelola aturan AWS Config Anda di dokumentasi AWS Config.	Administrator sistem
Tambahkan tindakan remediasi otomatis.	Dari daftar dropdown Tindakan, pilih Kelola remediasi. Pilih Remediasi otomatis, lalu pilih runbook Systems Manager yang Anda buat sebelumnya. Berikut ini adalah parameter input yang diperlukan untuk CloudTrail: `CloudTrailName` `CloudTrailS3BucketName` `CloudTrailKmsKeyId` `AssumeRole` (opsional) Parameter input berikut diatur ke true secara default: `IsMultiRegionTrail` `IsOrganizationTrail` `IncludeGlobalServiceEvents` `EnableLogFileValidation` Pertahankan nilai default untuk parameter Rate Limits dan parameter Resource ID. Pilih Simpan. Untuk informasi selengkapnya, lihat Memulihkan sumber daya AWS yang tidak sesuai dengan aturan AWS Config dalam dokumentasi AWS Config.	Administrator sistem
Uji aturan remediasi otomatis.	Untuk menguji aturan remediasi otomatis, buka CloudTrail konsol, pilih Jalur, lalu pilih jejak. Pilih Hentikan pencatatan untuk mematikan pencatatan untuk jejak. Ketika Anda diminta untuk mengonfirmasi, pilih Hentikan pencatatan. CloudTrail menghentikan aktivitas logging untuk jejak itu. Ikuti petunjuk dari Mengevaluasi sumber daya Anda dalam dokumentasi AWS Config untuk memastikannya diaktifkan kembali secara CloudTrail otomatis.	Administrator sistem

Tambahkan aturan CloudTrail -enabled.

Di konsol AWS Config, pilih Aturan lalu pilih Tambah aturan. Pada halaman Tambah aturan, pilih Tambahkan aturan kustom. Pada halaman Konfigurasi aturan, masukkan nama dan deskripsi, dan tambahkan cloudtrail-enabled aturan. Untuk informasi selengkapnya, lihat Mengelola aturan AWS Config Anda di dokumentasi AWS Config.

Administrator sistem

Tambahkan tindakan remediasi otomatis.

Dari daftar dropdown Tindakan, pilih Kelola remediasi. Pilih Remediasi otomatis, lalu pilih runbook Systems Manager yang Anda buat sebelumnya.

Berikut ini adalah parameter input yang diperlukan untuk CloudTrail:

CloudTrailName
CloudTrailS3BucketName
CloudTrailKmsKeyId
AssumeRole (opsional)

Parameter input berikut diatur ke true secara default:

IsMultiRegionTrail
IsOrganizationTrail
IncludeGlobalServiceEvents
EnableLogFileValidation

Pertahankan nilai default untuk parameter Rate Limits dan parameter Resource ID. Pilih Simpan.

Untuk informasi selengkapnya, lihat Memulihkan sumber daya AWS yang tidak sesuai dengan aturan AWS Config dalam dokumentasi AWS Config.

Administrator sistem

Uji aturan remediasi otomatis.

Untuk menguji aturan remediasi otomatis, buka CloudTrail konsol, pilih Jalur, lalu pilih jejak. Pilih Hentikan pencatatan untuk mematikan pencatatan untuk jejak. Ketika Anda diminta untuk mengonfirmasi, pilih Hentikan pencatatan. CloudTrail menghentikan aktivitas logging untuk jejak itu.

Ikuti petunjuk dari Mengevaluasi sumber daya Anda dalam dokumentasi AWS Config untuk memastikannya diaktifkan kembali secara CloudTrail otomatis.

Administrator sistem