Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Assicurati che un profilo IAM sia associato a un' EC2 istanza
Creato da Mansi Suratwala (AWS)
Riepilogo
Questo modello fornisce un modello di controllo CloudFormation di sicurezza AWS che imposta una notifica automatica quando si verifica una violazione del profilo AWS Identity and Access Management (IAM) per un'istanza Amazon Elastic Compute Cloud (Amazon EC2).
Un profilo di istanza è un contenitore per un ruolo IAM che puoi utilizzare per passare informazioni sul ruolo a un' EC2 istanza all'avvio dell'istanza.
Amazon CloudWatch Events avvia questo controllo quando AWS CloudTrail registra le chiamate EC2 API Amazon in base alle azioni eReplaceIamInstanceProfileAssociation. RunInstances AssociateIamInstanceProfile Il trigger richiama una funzione AWS Lambda, che utilizza un evento Amazon CloudWatch Events per verificare la presenza di un profilo IAM.
Se non esiste un profilo IAM, la funzione Lambda avvia una notifica e-mail di Amazon Simple Notification Service (Amazon SNS) che include l'ID dell'account Amazon Web Services (AWS) e la regione AWS.
Se esiste un profilo IAM, la funzione Lambda verifica la presenza di caratteri jolly nei documenti relativi alle policy. Se i caratteri jolly esistono, avvia una notifica di violazione di Amazon SNS, che ti aiuta a implementare una sicurezza avanzata. La notifica contiene il nome del profilo IAM, l'evento, l'ID dell' EC2 istanza, il nome della policy gestita, la violazione, l'ID dell'account e la regione.
Prerequisiti e limitazioni
Prerequisiti
Un account attivo
Un bucket Amazon Simple Storage Service (Amazon S3) per il file.zip con codice Lambda
Limitazioni
Il CloudFormation modello AWS deve essere distribuito solo per
RunInstancesAssociateIamInstanceProfileleReplaceIamInstanceProfileAssociationazioni e.Il controllo di sicurezza non monitora il distacco dei profili IAM.
Il controllo di sicurezza non verifica la presenza di modifiche alle policy IAM allegate al profilo IAM dell' EC2 istanza.
Il controllo di sicurezza non tiene conto delle autorizzazioni a livello di risorsa non supportate che richiedono l'uso di.
"Resource":*
Architettura
Stack tecnologico Target
Amazon EC2
AWS CloudTrail
Amazon CloudWatch
AWS Lambda
Amazon S3
Amazon SNS
Architettura Target
Automazione e scalabilità
Puoi utilizzare il CloudFormation modello AWS più volte per diverse regioni e account AWS. Devi avviare il modello solo una volta per ogni account o regione.
Strumenti
Strumenti
Amazon EC2 — Amazon EC2 fornisce capacità di calcolo scalabile (server virtuali) nel cloud AWS.
AWS CloudTrail: AWS ti CloudTrail aiuta a abilitare la governance, la conformità e il controllo operativo e dei rischi del tuo account AWS. Le azioni intraprese da un utente, un ruolo o un servizio AWS vengono registrate come eventi in CloudTrail.
Amazon CloudWatch Events: Amazon CloudWatch Events offre un flusso quasi in tempo reale di eventi di sistema che descrivono i cambiamenti nelle risorse AWS.
AWS Lambda: AWS Lambda è un servizio di calcolo che puoi usare per eseguire codice senza effettuare il provisioning o gestire server. Lambda esegue il codice solo quando è necessario e si dimensiona automaticamente, da poche richieste al giorno a migliaia al secondo.
Amazon S3 — Amazon S3 offre uno storage di oggetti altamente scalabile che puoi utilizzare per un'ampia gamma di soluzioni di storage, tra cui siti Web, applicazioni mobili, backup e data lake.
Amazon SNS: Amazon SNS consente alle applicazioni e ai dispositivi di inviare e ricevere notifiche dal cloud.
Codice
Un file.zip del progetto è disponibile come allegato.
Epiche
| Attività | Descrizione | Competenze richieste |
|---|---|---|
Definisci il bucket S3. | Per ospitare il file.zip con codice Lambda, scegli o crea un bucket S3 con un nome univoco che non contenga barre iniziali. Il nome di un bucket S3 è unico a livello globale e lo spazio dei nomi è condiviso da tutti gli account AWS. Il bucket S3 deve trovarsi nella stessa regione dell'istanza da valutare. EC2 | Architetto del cloud |
| Attività | Descrizione | Competenze richieste |
|---|---|---|
Carica il codice Lambda nel bucket S3. | Carica il codice Lambda fornito nella sezione Allegati nel bucket S3. Il bucket S3 deve trovarsi nella stessa regione dell'istanza da valutare. EC2 | Architetto del cloud |
| Attività | Descrizione | Competenze richieste |
|---|---|---|
Implementa il CloudFormation modello AWS. | Implementa il CloudFormation modello AWS fornito come allegato a questo modello. Nella prossima epopea, fornisci i valori per i parametri. | Architetto del cloud |
| Attività | Descrizione | Competenze richieste |
|---|---|---|
Assegna un nome al bucket S3. | Inserisci il nome del bucket S3 che hai creato nella prima epic. | Architetto del cloud |
Fornisci la chiave S3. | Fornisci la posizione del file.zip del codice Lambda nel tuo bucket S3, senza barre iniziali (ad esempio,). | Architetto del cloud |
Fornisci un indirizzo email. | Fornisci un indirizzo e-mail attivo per ricevere le notifiche di Amazon SNS. | Architetto del cloud |
Definisci il livello di registrazione. | Definisci il livello e la frequenza di registrazione per la tua funzione Lambda. | Architetto del cloud |
| Attività | Descrizione | Competenze richieste |
|---|---|---|
Confermare la sottoscrizione. | Quando il modello viene distribuito correttamente, invia un messaggio e-mail di sottoscrizione all'indirizzo e-mail fornito. È necessario confermare questa sottoscrizione e-mail per ricevere le notifiche di violazione. | Architetto del cloud |
Risorse correlate
Allegati
