Pantau pasangan kunci EC2 instans menggunakan AWS Config - AWS Prescriptive Guidance
RingkasanPrasyarat dan batasanArsitekturAlatEpikSumber daya terkaitLampiran

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pantau pasangan kunci EC2 instans menggunakan AWS Config

Wassim Benhallam, Sergio Bilbao Lopez, dan Vikrant Telkar, Amazon Web Services

Ringkasan

Saat meluncurkan instans Amazon Elastic Compute Cloud (Amazon EC2) di Amazon Web Services (AWS) Cloud, praktik terbaik adalah membuat atau menggunakan key pair yang ada untuk terhubung ke instans. Key pair, yang terdiri dari kunci publik yang disimpan dalam instance dan kunci pribadi yang diberikan kepada pengguna, memungkinkan akses aman melalui Secure Shell (SSH) ke instance dan menghindari penggunaan kata sandi. Namun, pengguna terkadang dapat secara tidak sengaja meluncurkan instance tanpa melampirkan key pair. Karena pasangan kunci hanya dapat ditetapkan selama peluncuran instance, penting untuk mengidentifikasi dan menandai dengan cepat sebagai instans yang tidak sesuai yang diluncurkan tanpa pasangan kunci. Ini sangat berguna ketika bekerja di akun atau lingkungan yang mengamanatkan penggunaan pasangan kunci misalnya akses.

Pola ini menjelaskan cara membuat aturan khusus di AWS Config untuk memantau pasangan kunci EC2 instans. Saat instance diidentifikasi sebagai tidak sesuai, peringatan dikirim menggunakan notifikasi Amazon Simple Notification Service (Amazon SNS) yang dimulai melalui acara Amazon. EventBridge

Prasyarat dan batasan

Prasyarat

  • Akun AWS yang aktif

  • AWS Config diaktifkan untuk Wilayah AWS yang ingin Anda pantau dan konfigurasikan untuk merekam semua sumber daya AWS

Batasan

  • Solusi ini adalah Region-specific. Semua sumber daya harus dibuat di Wilayah AWS yang sama.

Arsitektur

Tumpukan teknologi target

  • AWS Config

  • Amazon EventBridge

  • AWS Lambda

  • Amazon SNS

Arsitektur target

Diagram showing Layanan AWS interaction: Config, Custom rule, Lambda, EventBridge, SNS, and Email notification.

  1. AWS Config memulai aturan.

  2. Aturan tersebut memanggil fungsi Lambda untuk mengevaluasi kepatuhan EC2 instance.

  3. Fungsi Lambda mengirimkan status kepatuhan yang diperbarui ke AWS Config.

  4. AWS Config mengirimkan acara ke. EventBridge

  5. EventBridge menerbitkan pemberitahuan perubahan kepatuhan ke topik SNS.

  6. Amazon SNS mengirimkan peringatan melalui email.

Otomatisasi dan skala

Solusinya dapat memantau sejumlah EC2 instance dalam suatu Wilayah.

Alat

Alat

  • AWS Config — AWS Config adalah layanan yang memungkinkan Anda menilai, mengaudit, dan mengevaluasi konfigurasi sumber daya AWS Anda. AWS Config terus memantau dan merekam konfigurasi sumber daya AWS Anda dan memungkinkan Anda mengotomatiskan evaluasi konfigurasi yang direkam terhadap konfigurasi yang diinginkan.

  • Amazon EventBridge — Amazon EventBridge adalah layanan bus acara tanpa server untuk menghubungkan aplikasi Anda dengan data dari berbagai sumber.

  • AWS Lambda — AWS Lambda adalah layanan komputasi tanpa server yang mendukung menjalankan kode tanpa menyediakan atau mengelola server, membuat logika penskalaan klaster yang sadar beban kerja, mempertahankan integrasi peristiwa, atau mengelola runtime.

  • Amazon SNS - Amazon Simple Notification Service (Amazon SNS) adalah layanan pesan yang dikelola sepenuhnya untuk komunikasi (A2A) application-to-application dan (A2P). application-to-person

Kode

Kode untuk fungsi Lambda dilampirkan. 

Epik

TugasDeskripsiKeterampilan yang dibutuhkan
Buat peran AWS Identity and Access Management (IAM) untuk Lambda.

Di AWS Management Console, pilih IAM, lalu buat peran, menggunakan Lambda sebagai entitas tepercaya dan menambahkan izin dan izinAmazonEventBridgeFullAccess. AWSConfigRulesExecutionRole Untuk informasi selengkapnya, lihat dokumentasi AWS.

DevOps
Buat dan terapkan fungsi Lambda.

  1. Di konsol Lambda, buat fungsi, menggunakan Author dari awal, dengan Python 3.6 sebagai runtime dan peran IAM yang dibuat sebelumnya. Perhatikan Amazon Resource Name (ARN).

  2. Pada tab Kode, pilihlambda_function.py, dan tempel kode yang dilampirkan pada pola ini. 

  3. Untuk menyimpan perubahan, pilih Deploy

DevOps
TugasDeskripsiKeterampilan yang dibutuhkan
Tambahkan aturan AWS Config khusus.

Di konsol AWS Config, tambahkan aturan khusus, menggunakan pengaturan berikut:

  • ARN — ARN dari fungsi Lambda yang dibuat sebelumnya

  • Jenis pemicu - Perubahan konfigurasi

  • Lingkup perubahan — Sumber Daya

  • Jenis sumber daya - EC2 Instans Amazon

Untuk informasi selengkapnya, lihat dokumentasi AWS.

DevOps
TugasDeskripsiKeterampilan yang dibutuhkan
Buat topik dan langganan SNS.

Di konsol Amazon SNS, buat topik menggunakan Standard sebagai jenisnya, lalu buat langganan menggunakan Email sebagai protokol.

Saat Anda menerima pesan email konfirmasi, pilih tautan untuk mengonfirmasi langganan.

Untuk informasi selengkapnya, lihat dokumentasi AWS.

DevOps
Buat EventBridge aturan untuk memulai notifikasi Amazon SNS.

Di EventBridge konsol, buat aturan, menggunakan pengaturan berikut:

  • Nama layanan — AWS Config

  • Jenis acara - Perubahan Kepatuhan Aturan Konfigurasi

  • Jenis pesan - Jenis pesan tertentu, ComplianceChangeNotification

  • Nama aturan khusus — Nama aturan AWS Config yang Anda buat sebelumnya

  • Target - topik SNS, topik yang Anda buat sebelumnya

Untuk informasi selengkapnya, lihat dokumentasi AWS.

DevOps
TugasDeskripsiKeterampilan yang dibutuhkan
Buat EC2 contoh.

Buat dua EC2 instance dari jenis apa pun dan lampirkan key pair, dan buat satu EC2 instance tanpa key pair.

DevOps
Verifikasi aturannya.

  1. Di konsol AWS Config, pada halaman Aturan, pilih aturan Anda.

  2. Untuk melihat EC2 instance yang sesuai dan tidak sesuai, ubah Resources dalam cakupan menjadi Semua. Verifikasi bahwa dua instance terdaftar sebagai sesuai dan satu instance terdaftar sebagai tidak sesuai. 

  3. Tunggu untuk menerima pemberitahuan email Amazon SNS mengenai status kepatuhan instans. EC2  

DevOps

Lampiran

Untuk mengakses konten tambahan yang terkait dengan dokumen ini, unzip file berikut: attachment.zip