AWS Config

AWS Config

帮助审计和记录您的 AWS 资源的合规性

  • 帮助记录配置和随时间的变化

  • AWS Config 可以解决的问题:

  • 是否可以不受限制地通过SSH 访问我的安全组?

  • 我的存储桶是否有任何公共访问权限?

  • 随着时间的推移,我的 ALB 配置发生了怎样的变化?

  • 根据这些规则是否合规,可以收到任何更改的警报或者 SNS 通知

  • AWS Config 是一个区域服务

  • 可以跨地区和账户汇总

  • 将配置数据存储到 S3 中的可能性(由 Athena 分析)

Config Rules

  • 可以使用超过 75 条规则

  • 可以自定义配置规则

    • 例如评估每个 EBS 磁盘是否是 gp2 类型

    • 如果你的开发者账户中的每两个实例是 t2.micro

  • 一些规则可以被触发

    • 每个配置要更改时

    • 或者每两个小时

  • 配置规则只是为了合规,他们不会阻止动作的发生

  • 价格:每个规则 0.03,每个区域记录的项目和每个配置规则 0.001

Config Resource

查看资源随时间的合规性

查看资源随时间变化的配置

查看资源随时间变化的 CloudTrail API 调用

Config Rules - Remediations(补救措施)

虽然不能否认任何动作的发生,从配置中,你可以对不合规的资源进行补救

  • 使用 SSM 自动化文档自动修复不合规资源

  • 使用 AWS 托管自动化文档或创建自定义自动化文档

    • 提示:您可以创建调用 Lambda 函数的自定义自动化文档

  • 如果资源在自动修复后仍然不合规,您可以设置修复重试,例如 5 次

监控您的 IAM 访问密钥已过期,例如,超过 90 天,在这种情况下,希望将他们标记为不合规,所以这不会阻止他们不合规,但可以在资源不合规时触发补救行动,比如有一个 SSM Document,命名为 RevokeUnusedIAMUserCredentials,在这种情况下他将听过您的 IAM 访问密钥

Config Rules - Notifications

  • 当 AWS 资源不合规时使用 EventBridge 触发通知

    例如他将监控我们的安全组,如果他变的不合规,就会触发一个 EventBridge 事件,然后将其传递给您想要的任何资源

  • 能够发送所有配置更改和合规性状态通知到 SNS(所有事件——使用 SNS 过滤或在客户端过滤)

AWS Config – Use Cases

  • 审计 IAM 政策

  • 检测 CloudTrail 是否已被禁用

  • 检测 EC2 实例是否使用未经批准的 AMI 创建

  • 检测安全组是否对公众开放

  • 检测互联网网关是否被添加到未经授权的 VPC

  • 检测 EBS 卷是否加密

  • 检测 RDS 数据库是否公开

AWS Config – Example: Expired IAM Key

  • 你可以定义一个 AWS Config Rule 来检测 IAM 密钥是否过期,它被称为访问密钥轮换

  • 如果有什么不合规的,这将触发 Amazon EventBridge,他可以依次调用 lambda 函数实际轮换密钥或通知用户的 SNS 主题

  • 另一种选择是通过 SSM Automation 使用自动化修复,因此,检测到不合规,我们可以触发 SSM Automation

PreviousAWS SecurityNextAWS Config 记录安全组不合规并使用补救措施进行补救

Last updated