Usar o AWS Systems Manager para aplicar configurações STIG à instância - Amazon Elastic Compute Cloud
Parâmetros de entrada de AWSEC2-ConfigureSTIGExecute o documento de comando AWSEC2-ConfigureSTIG

Usar o AWS Systems Manager para aplicar configurações STIG à instância

Você pode usar o documento de comando AWSEC2-ConfigureSTIG do Systems Manager para aplicar as configurações STIG a uma instância existente do EC2. Você deve executar o documento de comando na instância que ele atualiza. O documento de comando aplica as configurações apropriadas com base no sistema operacional e na configuração da instância em que ele é executado.

Esta página contém detalhes sobre o documento de comando AWSEC2-ConfigureSTIG, incluindo parâmetros de entrada e como executá-lo no console do Systems Manager ou com send-command na AWS CLI.

Parâmetros de entrada de AWSEC2-ConfigureSTIG

Você pode fornecer os seguintes parâmetros de entrada para especificar como o documento de comando deve aplicar as configurações STIG à instância.

Nível (string, obrigatório)

Especifique a categoria de gravidade STIG a ser aplicada. Entre os valores válidos estão os seguintes:

  • Alto

  • Médio

  • Baixo

Se você não especificar um valor, o sistema usará o valor padrão High.

InstallPackages (string, opcional, somente Linux)

Se o valor for No, o script não instalará nenhum pacote de software adicional. Se o valor for Yes, o script instalará os pacotes de software adicionais que forem necessários para máxima conformidade. O valor padrão é No.

SetDoDConsentBanner (string, opcional, somente Linux)

Se o valor for No, o banner de consentimento do DoD não será mostrado quando você anexar a uma instância que tenha um script STIG para Linux instalado. Se o valor for Yes, o banner de consentimento do DoD não será mostrado quando você se anexar a uma instância que tenha um dos scripts STIG para Linux instalado. Você deve aceitar o banner para poder fazer login. O valor padrão é No.

Para ver um exemplo do banner de consentimento, consulte o Disclaimer Department of Defense Privacy and Consent Notice que aparece quando você acessa o site do DLA Document Services.

Execute o documento de comando AWSEC2-ConfigureSTIG

Para executar o documento AWSEC2-ConfigureSTIG, siga as etapas para o ambiente de sua preferência.

Console

  1. Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.

  2. Selecione Run Command no painel de navegação. Isso mostra uma lista dos comandos que estão sendo executados atualmente na conta, se aplicável.

  3. Selecione Run command. Isso abre o diálogo Executar um comando e exibe uma lista dos documentos de comandos aos quais você tem acesso.

  4. Selecione AWSEC2-ConfigureSTIG na lista de documentos de comando. Para otimizar os resultados, você pode inserir todo ou parte do nome do documento. Você também pode filtrar pelo proprietário, por tipos de plataforma ou por tags.

    Quando você seleciona um documento de comando, os detalhes são preenchidos abaixo da lista.

  5. Selecione Default version at runtime na lista Versão do documento.

  6. Configure os Parâmetros do comando para definir como AWSEC2-ConfigureSTIG instalará o pacote de script e o executará para atualizar a instância. Para obter detalhes dos parâmetros, consulte Parâmetros de entrada de AWSEC2-ConfigureSTIG.

  7. Em Seleção de alvos, especifique as tags ou selecione manualmente as instâncias em que a operação deve ser executada.

    nota

    Se selecionar manualmente as instâncias e uma instância que você espera ver não estiver incluída na lista, consulte Onde estão minhas instâncias? para obter dicas de solução de problemas.

  8. Para obter parâmetros adicionais para definir o comportamento do Run Command do Systems Manager, como, Controle da taxa, insira os valores como descrito em Executar comandos no console.

  9. Escolha Executar.

    Se tiver sucesso, o documento de comando instalará o script e configurará a instância. Se a execução do comando falhou, exiba a saída do comando do Systems Manager para obter detalhes do motivo da falha.

AWS CLI
Exemplo 1: executar com os valores padrão

Execute o comando a seguir para instalar o script STIG e executá-lo com os valores padrão. Para obter mais informações sobre os parâmetros de entrada, consulte Parâmetros de entrada de AWSEC2-ConfigureSTIG.

aws ssm send-command \
	--document-name "AWSEC2-ConfigureSTIG" \
	--instance-ids "i-1234567890abcdef0"'
Exemplo 2: definir as configurações STIG de nível médio na instância.

Execute o comando a seguir para instalar o script STIG e executá-lo com o parâmetro de entrada Level definido como Medium. Para obter mais informações sobre os parâmetros de entrada, consulte Parâmetros de entrada de AWSEC2-ConfigureSTIG.

aws ssm send-command \
	--document-name "AWSEC2-ConfigureSTIG" \
	--instance-ids "i-1234567890abcdef0"
	--parameters '{"Level":"Medium"}'

Se tiver sucesso, o documento de comando instalará o script e configurará a instância. Se a execução do comando falhou, exiba a saída do comando para obter detalhes do motivo da falha.

PowerShell
Exemplo 1: executar com os valores padrão

Execute o comando a seguir para instalar o script STIG e executá-lo com os valores padrão. Para obter mais informações sobre os parâmetros de entrada, consulte Parâmetros de entrada de AWSEC2-ConfigureSTIG.

Send-SSMCommand -DocumentName "AWSEC2-ConfigureSTIG" -InstanceId "i-1234567890abcdef0"}
Exemplo 2: definir as configurações STIG de nível médio na instância.

Execute o comando a seguir para instalar o script STIG e executá-lo com o parâmetro de entrada Level definido como Medium. Para obter mais informações sobre os parâmetros de entrada, consulte Parâmetros de entrada de AWSEC2-ConfigureSTIG.

Send-SSMCommand -DocumentName "AWSEC2-ConfigureSTIG" -InstanceId "i-1234567890abcdef0" -Parameter @{'Level'='Medium'}

Se tiver sucesso, o documento de comando instalará o script e configurará a instância. Se a execução do comando falhou, exiba a saída do comando para obter detalhes do motivo da falha.