С постоянно растущим принятием движущихся рабочих нагрузок к общедоступным поставщикам облаков, таких как AWS, удовлетворительное соответствие нормативному обеспечению появилось одним из самых требовательных требований для предприятий, которые работают на облаке.
Как клиент AWS, это означает, что вам нужно создать надлежащую модель управления для ваших бизнес-операций, особенно для тех, которые работают в соответствии с конкретными правилами. Эта «модель», концептуализируется под AWS управляет башней как коллекция ограждений. Guardrail — это просто правило, которое описывает, что разрешено или запрещено в вашей учетной записи AWS. Теперь ограждение может быть из двух форм, профилактического ограждения или детективного ограждения.
- Профилактическое оручение в основном Обеспечение Политика, такая как использование SCP для отрицания пользователей IAM к конкретным API, чтобы эти пользователи в этой учетной записи AWS не могут выполнять определенные действия.
- С другой стороны, детектив ограждения сообщает Нарушение после оценки ресурса считает его не соответствует правилу.
Теперь, не каждый клиент AWS использует контрольную башню или даже организации AWS. Этот блог пост направлен на прогулку по вам, как использовать AWS Config для настройки детектив Grougrails в вашей учетной записи AWS.
Правило конфигурации
Чтобы обнаружить несоблюдение ресурсов, вам необходимо сначала определить, какой совместимый ресурс Должен Похоже, и это делается через правило конфигурации.
Правило конфигурации оценивает ресурсы на основе желаемых настроек конфигурации. Например,
Темы SNS должны иметь хотя бы один активный абонент.
или,
Пользователи IAM не должны быть неактивными более чем на 90 дней.
Вы можете определить как можно больше правил. Поскольку основной целью AWS Config — отслеживать запасы ресурсов и изменения в учетной записи AWS, она поддерживает постоянно растущее Список встроенных правил Что вы можете выбрать включить для мониторинга ресурсов вашего интереса.
Вы также можете создать свои собственные правила, поддерживаемые лямбдами. Пользовательские правила обеспечивают большую гибкость для мониторинга типов ресурсов, которые в настоящее время не поддерживаются AWS Config. Одна вещь, которую стоит отметить в отношении безопасности, состоит в том, что вы можете редактировать политику на основе Rambda Resource, чтобы ограничить разрешение на вызову лямбда только на правило конфигурации, которое вызывает его, вместо того, чтобы предоставить доступ ко всему принципу обслуживания конфигурации. AWS рекомендует это как Безопасность лучшая практика для разработки пользовательских правил Отказ
Хорошо, у нас есть правила, теперь что?
Вот и все! Это все, что вам нужно сделать, чтобы настроить детектив ограждения . Теперь, когда вы вооружены небольшим количеством автоматизации, чтобы отслеживать ресурсы от вашего имени, не было бы ни приятнее взять его дальше, исправляя несовместимые ресурсы? Это называется восстановление Отказ AWS Config позволяет применить автоматизацию восстановления в качестве документа SSM для реагирования на результаты оценки из правил Config. Как управляемые правила конфигурации, SSM также поддерживает список бегаторов автоматизации, которые AWS Config может использовать для восстановления ресурсов. Вы также можете бесплатно создавать свои собственные Runbook Automation в качестве документов SSM. Как создать автоматизатор Runbook находится за пределами объема этого поста, но AWS имеет отличное прохождение Авторинг пользовательской ролики Отказ
Объединение правил и восстановления?
Да, AWS Config поддерживает приведение правил и восстановления конфигурации в одно развертывание, называемое как Пакет соответствия Отказ Пакет соответствия обычно содержит пучок правил конфигурации и действий исправления, объявленные в файле yaml, аналогично шаблону облака, но С несколькими ловками Отказ Развертывание пакета CONFORMANCE подкреплена от CloudBation, вы можете получить базовый стек ARN, описывая пакет соответствия.
Что если у меня есть несколько аккаунтов?
И развертывание правила AWS CONFIG и PACK и PUP CONFORMANCE имеют API, которые нацелены на организацию AWS. На вершине упрощенного развертывания он добавил преимущества привлечения вновь объединенных учетных записей в линию автоматически и удаляя организационные ограждения, когда учетная запись оставляет организацию. Организационные правила конфигурации и пакеты соответствия легко идентифицируются через специальный префикс, добавленный к ресурсам, развернутым в учетную запись участника. Очистка организационных ресурсов иногда может становиться грязным, потому что вы можете выдать только удаление API из учетной записи управления или делегированной учетной записи администратора. Учитывая мой опыт, часто Удаление уровня ORG Удаление API сообщит не удалось из-за ошибок в делеции в одну или несколько учетных записей. Вам необходимо постоянно выпускать ту же API из управляющей или делегированной учетной записи администратора, пока все участники не будут очищены.
Оригинал: «https://dev.to/aws-builders/level-up-compliance-confidence-with-aws-config-15ne»