Configuração do perfil da instância Gerenciamento de funções de serviço Configuração do security group Integração de certificados SSL Autenticação do Windows Melhores práticas e solução de problemas

Configurações de segurança e funções do IAM

O eb migrate comando gerencia as configurações AWS de segurança por meio de funções do IAM, perfis de instância e funções de serviço. A compreensão desses componentes garante o controle de acesso adequado e a conformidade de segurança durante a migração.

Configuração do perfil da instância

Um perfil de instância serve como um contêiner para uma função do IAM que o Elastic Beanstalk EC2 anexa às instâncias em seu ambiente. Ao executareb migrate, você pode especificar um perfil de instância personalizado:


PS C:\migrations_workspace> eb migrate --instance-profile "CustomInstanceProfile"

Se você não especificar um perfil de instância, eb migrate crie um perfil padrão com as seguintes permissões:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::elasticbeanstalk-*",
                "arn:aws:s3:::elasticbeanstalk-*/*"
            ]
        }
    ]
}

Gerenciamento de funções de serviço

Uma função de serviço permite que o Elastic Beanstalk gerencie recursos em AWS seu nome. Especifique uma função de serviço personalizada durante a migração com o seguinte comando:


PS C:\migrations_workspace> eb migrate --service-role "CustomServiceRole"

Se não for especificado, eb migrate cria uma função de serviço padrão nomeada aws-elasticbeanstalk-service-role com uma política de confiança que permite que o Elastic Beanstalk assuma a função. Essa função de serviço é essencial para que o Elastic Beanstalk monitore a integridade do seu ambiente e realize atualizações gerenciadas da plataforma. A função de serviço exige duas políticas gerenciadas:

AWSElasticBeanstalkEnhancedHealth- Permite que o Elastic Beanstalk monitore a integridade da instância e do ambiente usando o sistema aprimorado de relatórios de integridade
AWSElasticBeanstalkManagedUpdates- Permite que o Elastic Beanstalk realize atualizações gerenciadas da plataforma, incluindo a atualização dos recursos do ambiente quando uma nova versão da plataforma estiver disponível

Com essas políticas, a função de serviço tem permissões para:

Crie e gerencie grupos de Auto Scaling
Crie e gerencie balanceadores de carga de aplicativos
Carregar registros para a Amazon CloudWatch
Gerenciar EC2 instâncias

Para obter mais informações sobre funções de serviço, consulte o Guia do Função de serviço do Elastic Beanstalk Desenvolvedor do Elastic Beanstalk.

Configuração do security group

O eb migrate comando configura automaticamente os grupos de segurança com base nas ligações do site do IIS. Por exemplo, se seu ambiente de origem tiver sites usando as portas 80, 443 e 8081, os seguintes resultados de configuração:


<site name="Default Web Site">
    <bindings>
        <binding protocol="http" bindingInformation="*:80:" />
        <binding protocol="https" bindingInformation="*:443:" />
    </bindings>
</site>
<site name="InternalAPI">
    <bindings>
        <binding protocol="http" bindingInformation="*:8081:" />
    </bindings>
</site>

O processo de migração conclui as seguintes ações:

Cria um grupo de segurança de balanceador de carga que permite tráfego de entrada nas portas 80 e 443 da Internet (0.0.0.0/0)
Cria um grupo EC2 de segurança que permite o tráfego do balanceador de carga
Configura portas adicionais (como 8081) se for especificado --copy-firewall-config

Por padrão, o Application Load Balancer é configurado com acesso público pela Internet. Se precisar personalizar esse comportamento, como restringir o acesso a intervalos de IP específicos ou usar um balanceador de carga privado, você pode substituir a configuração padrão da VPC e do grupo de segurança usando o parâmetro: --vpc-config


PS C:\migrations_workspace> eb migrate --vpc-config vpc-config.json

Por exemplo, a vpc-config.json configuração a seguir cria um balanceador de carga privado em uma sub-rede privada:


{
    "id": "vpc-12345678",
    "publicip": "false",
    "elbscheme": "internal",
    "ec2subnets": ["subnet-private1", "subnet-private2"],
    "elbsubnets": ["subnet-private1", "subnet-private2"]
}

Para obter mais informações sobre as opções de configuração de VPC, consulte. Configuração de VPC

Integração de certificados SSL

Ao migrar sites com ligações HTTPS, integre certificados SSL por meio AWS Certificate Manager do (ACM):


PS C:\migrations_workspace> eb migrate --ssl-certificates "arn:aws:acm:region:account:certificate/certificate-id"

Essa configuração conclui as seguintes ações:

Associa o certificado ao Application Load Balancer
Mantém a terminação HTTPS no balanceador de carga
Preserva a comunicação HTTP interna entre o balanceador de carga e as instâncias EC2

Autenticação do Windows

Para aplicativos que usam a Autenticação do Windows, eb migrate preserva as configurações de autenticação no aplicativo da web.config seguinte forma:


<configuration>
    <system.webServer>
        <security>
            <authentication>
                <windowsAuthentication enabled="true">
                    <providers>
                        <add value="Negotiate" />
                        <add value="NTLM" />
                    </providers>
                </windowsAuthentication>
            </authentication>
        </security>
    </system.webServer>
</configuration>

Importante

O eb migrate comando não copia perfis ou contas de usuário do seu ambiente de origem para as instâncias de destino do Elastic Beanstalk. Todas as contas de usuário ou grupos personalizados que você criou no servidor de origem precisarão ser recriados no ambiente de destino após a migração.

Contas IUSR e grupos internos do WindowsIIS_IUSRS, assim como todas as outras contas e grupos internos, são incluídos por padrão nas instâncias de destino do Windows Server. Para obter mais informações sobre contas e grupos internos do IIS, consulte Compreendendo contas de usuário e grupo incorporadas no IIS na documentação da Microsoft.

Se seu aplicativo depende de contas de usuário personalizadas do Windows ou da integração com o Active Directory, você precisará configurar esses aspectos separadamente após a conclusão da migração.

Melhores práticas e solução de problemas

Gerenciamento de perfis

Implemente as melhores práticas AWS do IAM ao gerenciar funções em seus ambientes do Elastic Beanstalk:

Criação e gerenciamento de funções

Crie funções usando políticas AWS gerenciadas sempre que possível
Siga as melhores práticas de segurança do IAM
Use o AWS Policy Generator para políticas personalizadas
Implemente limites de permissão para segurança adicional

Monitoramento e auditoria

Habilite AWS CloudTrail para monitorar o uso da função:

Siga o Guia AWS CloudTrail do usuário
Configure a integração de CloudWatch registros para monitoramento em tempo real
Configure alertas para chamadas de API não autorizadas

Processo de revisão regular

Estabeleça um ciclo de revisão trimestral para realizar as seguintes tarefas:

Audite permissões não utilizadas usando o IAM Access Analyzer
Remover permissões desatualizadas
Atualize funções com base nos princípios de privilégios mínimos

Gerenciamento de certificados

Implemente essas práticas para certificados SSL/TLS em seus ambientes do Elastic Beanstalk:

Ciclo de vida do certificado

Use AWS Certificate Managerpara gerenciamento de certificados
Ativar a renovação automática para certificados emitidos pelo ACM
Configurar notificações de expiração

Padrões de segurança

Use o TLS 1.2 ou posterior
Siga as políticas AWS de segurança para ouvintes HTTPS
Implemente o HTTP Strict Transport Security (HSTS), se necessário

Gerenciamento de grupos de segurança

Implemente essas melhores práticas do grupo de segurança:

Gerenciamento de regras

Documente todos os requisitos de porta personalizados
Use registros de fluxo de VPC para monitorar o tráfego
Use regras de referência de grupos de segurança em vez de intervalos de IP sempre que possível

Auditoria regular

Estabeleça avaliações mensais para realizar as seguintes tarefas:

Identifique e remova regras não utilizadas
Valide os requisitos de origem/destino
Verifique se há regras sobrepostas

Registro em log e monitoramento

Para um monitoramento de segurança eficaz, configure os seguintes registros:

Registros de eventos do Windows em EC2 instâncias


# Review Security event log
PS C:\migrations_workspace> Get-EventLog -LogName Security -Newest 50

# Check Application event log
PS C:\migrations_workspace> Get-EventLog -LogName Application -Source "IIS*"

CloudWatch Integração de registros

Configure o agente de CloudWatch registros para transmitir registros de eventos do Windows CloudWatch para monitoramento e alertas centralizados.

Para problemas persistentes, reúna esses registros e entre em contato AWS Support com as seguintes informações:

ID do ambiente
ID de implantação (se aplicável)
Mensagens de erro relevantes
Cronograma das mudanças de segurança

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Configuração de rede

Mapeamento de migração do IIS para o Elastic Beanstalk