Remova EC2 as entradas da Amazon na mesma forma Conta da AWSAWS Managed Microsoft AD usando a AWS Lambda automação - Recomendações da AWS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Remova EC2 as entradas da Amazon na mesma forma Conta da AWSAWS Managed Microsoft AD usando a AWS Lambda automação

Criado pelo Dr. Rahul Sharad Gaikwad (AWS) e Tamilselvan P () AWS

Repositório de código: terraform-aws-lambda-ad -cleanup

Ambiente: PoC ou piloto

Tecnologias: DevOps; infraestrutura; armazenamento e backup; gerenciamento e governança

Carga de trabalho: todas as outras cargas de trabalho; Microsoft

AWSserviços: Microsoft AD AWS gerenciado; AWS Lambda; AmazonEC2; AWS Identity and Access Management; AWS Directory Service; AWS Systems Manager; Amazon EventBridge; AWS Auto Scaling

Resumo

O Active Directory (AD) é uma ferramenta de script da Microsoft que gerencia as informações do domínio e as interações do usuário com os serviços de rede. É amplamente usado entre provedores de serviços gerenciados (MSPs) para gerenciar credenciais de funcionários e permissões de acesso. Como os atacantes do AD podem usar contas inativas para tentar invadir uma organização, é importante encontrar contas inativas e desativá-las em um cronograma de manutenção de rotina. Com AWS Directory Service for Microsoft Active Directory, você pode executar o Microsoft Active Directory como um serviço gerenciado.

Esse padrão pode ajudar você a configurar a AWS Lambda automação para encontrar e remover rapidamente contas inativas. Ao usar esse padrão, você pode obter os seguintes benefícios:

  • Melhore o desempenho do banco de dados e do servidor e corrija vulnerabilidades em sua segurança a partir de contas inativas.

  • Se o seu servidor AD estiver hospedado na nuvem, a remoção de contas inativas também pode reduzir os custos de armazenamento e melhorar o desempenho. Suas contas mensais podem diminuir porque as tarifas de largura de banda e os recursos de computação podem diminuir.

  • Mantenha possíveis invasores afastados com um Active Directory limpo.

Pré-requisitos e limitações

Pré-requisitos

  • Um ativo Conta da AWS.

  • Git instalado e configurado em uma estação de trabalho local.

  • Terraform instalado e configurado em uma estação de trabalho local.

  • Computador Windows com módulos do Active Directory (ActiveDirectory).

  • Um diretório AWS Managed Microsoft AD e credenciais armazenadas em um AWS Systems Manager parâmetro no Parameter Store.

  • AWS Identity and Access Management (IAM) função com permissões para a Serviços da AWS listada em Ferramentas. Para obter mais informações sobreIAM, consulte Recursos relacionados.

Limitações

  • Esse padrão não é compatível com a configuração de várias contas.

  • Alguns Serviços da AWS não estão disponíveis em todos Regiões da AWS. Para ver a disponibilidade da região, consulte Serviços da AWS por região. Para endpoints específicos, consulte Endpoints e cotas de serviço e escolha o link para o serviço.

Versões do produto

Arquitetura

O diagrama a seguir mostra o fluxo de trabalho e os componentes da arquitetura desse padrão.

Processo para usar a automação Lambda para remover EC2 entradas do Microsoft AD gerenciado.

O diagrama mostra o seguinte fluxo de trabalho:

  1. A Amazon EventBridge aciona a AWS Lambda função com base em uma expressão cron. (Para esse padrão, a programação da expressão cron é uma vez por dia.)

  2. A IAM função e a política necessárias são criadas e anexadas AWS Lambda por meio do Terraform.

  3. A AWS Lambda função é executada e chama os grupos do Amazon Elastic Compute Cloud (AmazonEC2) Auto Scaling Groups usando o módulo de inicialização do Python. A função Lambda obtém o ID da instância aleatória. O ID da instância é usado para executar AWS Systems Manager comandos.

  4. AWS Lambda faz outra chamada para a Amazon EC2 usando o módulo boto e obtém os endereços IP privados dos servidores Windows em execução e armazena os endereços em uma variável temporária.

  5. AWS Lambda faz outra chamada para o Systems Manager para obter as informações do computador ao qual está conectado AWS Directory Service.

  6. Um AWS Systems Manager documento ajuda a executar o PowerShell script nos servidores Amazon EC2 Windows para obter os endereços IP privados dos computadores conectados ao AD.

  7. O nome de usuário e as senhas do domínio AD são armazenados no AWS Systems Manager Parameter Store. AWS Lambda e o Systems Manager fazem uma chamada para o Parameter Store e obtêm os valores de nome de usuário e senha a serem usados para conectar o AD.

  8. Usando o documento Systems Manager, o PowerShell script é executado no servidor Amazon EC2 Windows usando o ID da instância obtido anteriormente na etapa 3.

  9. A Amazon EC2 se conecta AWS Directory Service usando PowerShell comandos e remove os computadores que não estão em uso ou inativos.

Ferramentas

AWSserviços

  • AWS Directory Servicefornece várias maneiras de usar o Microsoft Active Directory (AD) com outras Serviços da AWS , como Amazon Elastic Compute Cloud (AmazonEC2), Amazon Relational Database Service (RDSAmazon) SQL for Server e FSx Amazon for Windows File Server.

  • AWS Directory Service for Microsoft Active Directorypermite que suas cargas de trabalho e AWS recursos com reconhecimento de diretório usem o Microsoft Active Directory no. Nuvem AWS

  • O Amazon Elastic Compute Cloud (AmazonEC2) fornece capacidade de computação escalável no. Nuvem AWS Você poderá iniciar quantos servidores virtuais precisar e escalá-los na vertical rapidamente.

  • EventBridgeA Amazon é um serviço de ônibus de eventos sem servidor que ajuda você a conectar seus aplicativos com dados em tempo real de várias fontes. Por exemplo, AWS Lambda funções, endpoints de HTTP invocação usando API destinos ou barramentos de eventos em outros. Contas da AWS

  • AWS Identity and Access Management (IAM) ajuda você a gerenciar com segurança o acesso aos seus AWS recursos controlando quem está autenticado e autorizado a usá-los. ComIAM, você pode especificar em quem ou o que pode acessar serviços e recursos AWS, gerenciar centralmente permissões refinadas e analisar o acesso para refinar as permissões. AWS

  • O AWS Lambda é um serviço de computação que ajuda a executar código sem exigir provisionamento ou gerenciamento de servidores. Ele executa o código somente quando necessário e dimensiona automaticamente, assim, você paga apenas pelo tempo de computação usado.

  • O AWS Systems Manager ajuda você a gerenciar suas aplicações e infraestrutura em execução na Nuvem AWS. Ele simplifica o gerenciamento de aplicativos e recursos, reduz o tempo para detectar e resolver problemas operacionais e ajuda você a gerenciar seus AWS recursos com segurança em grande escala.

  • AWS Systems Manager os documentos definem as ações que o Systems Manager executa em suas instâncias gerenciadas. O Systems Manager inclui mais de 100 documentos pré-configurados, que você pode usar especificando parâmetros no runtime.

  • AWS Systems Manager O Parameter Store é um recurso AWS Systems Manager e fornece armazenamento seguro e hierárquico para gerenciamento de dados de configuração e gerenciamento de segredos.

Outras ferramentas

  • HashiCorp O Terraform é uma ferramenta de infraestrutura de código aberto como código (IaC) que ajuda você a usar o código para provisionar e gerenciar a infraestrutura e os recursos da nuvem.

  • PowerShellé um programa de gerenciamento de automação e configuração da Microsoft executado em Windows, Linux e macOS.

  • Python é uma linguagem de programação de computador de uso geral.

Repositório de código C

O código desse padrão está disponível no repositório da solução GitHub Custom AD Cleanup Automation.

Práticas recomendadas

  • Ingresse automaticamente em domínios.Ao iniciar uma instância do Windows que fará parte de um AWS Directory Service domínio, entre no domínio durante o processo de criação da instância, em vez de adicioná-la manualmente posteriormente. Para ingressar automaticamente em um domínio, selecione o diretório correto na lista suspensa Diretório de ingresso no domínio ao iniciar uma nova instância. Para obter mais detalhes, consulte Unir perfeitamente uma instância EC2 do Amazon Windows ao seu AWS Managed Microsoft AD Active Directory no Guia de AWS Directory Service Administração.

  • Exclua contas não utilizadas.É comum encontrar contas no AD que nunca foram usadas. Assim como contas desativadas ou inativas que permanecem no sistema, contas não utilizadas negligenciadas podem desacelerar seu sistema AD ou tornar sua organização vulnerável a violações de dados.

  • Automatize as limpezas do Active Directory.Para ajudar a mitigar os riscos de segurança e evitar que contas obsoletas afetem o desempenho do AD, é necessário realizar limpezas do AD em intervalos regulares. Você pode realizar a maioria das tarefas de gerenciamento e limpeza do AD escrevendo scripts. Exemplos de tarefas incluem remover contas desativadas e inativas, excluir grupos vazios e inativos e localizar contas de usuário e senhas expiradas.

Épicos

TarefaDescriçãoHabilidades necessárias

Crie uma pasta de projeto e adicione os arquivos.

Para clonar o repositório e criar uma pasta de projeto, faça o seguinte:

  1. Abra o GitHub repositório desse padrão.

  2. Escolha o botão Código para ver as opções de clonagem no menu suspenso Clonar.

  3. Na HTTPSguia, copie o URL fornecido em Clone usando a web URL.

  4. Crie uma pasta na sua máquina e nomeie-a com o nome do seu projeto.

  5. Abra um terminal em sua máquina local e navegue até essa pasta.

  6. Para clonar o repositório git, use o comando a seguir.

    git clone <repository-URL>.git

  7. Depois que o repositório for clonado, use o comando a seguir para acessar o diretório clonado.

    cd <directory name>

  8. No repositório clonado, abra esse projeto em um ambiente de desenvolvimento integrado (IDE) de sua escolha.

DevOps engenheiro
TarefaDescriçãoHabilidades necessárias

Inicialize a configuração do Terraform.

Para inicializar seu diretório de trabalho que contém os arquivos do Terraform, execute o comando a seguir.

terraform init

DevOps engenheiro

Pré-visualize as alterações.

Você pode visualizar as alterações que o Terraform fará na infraestrutura antes que sua infraestrutura seja implantada. Para validar se o Terraform fará as alterações conforme necessário, execute o comando a seguir.

terraform plan

DevOps engenheiro

Execute as ações propostas.

Para verificar se os resultados do terraform plan comando são os esperados, faça o seguinte:

  1. Execute o seguinte comando .

    terraform apply

  2. Faça login no AWS Management Console e verifique se os recursos estão presentes.

DevOps engenheiro

Limpe a infraestrutura.

Para limpar a infraestrutura que você criou, use o comando a seguir.

terraform destroy

Para confirmar o comando destroy, digiteyes.

DevOps engenheiro
TarefaDescriçãoHabilidades necessárias

Execute e teste a função Lambda.

Para verificar se a implantação ocorreu com êxito, faça o seguinte:

  1. Faça login no AWS Management Console e abra o console. Abra a página Funções e selecione o nome da função que começa com ADcleanup-Lambda-*.

  2. Na página de visão geral da função, escolha Testar na guia Código na seção Fonte do código.

  3. Para salvar o evento de teste, forneça um nome para o evento e escolha Salvar. Em seguida, para testar o evento, escolha Testar novamente.

Os resultados da execução mostram a saída da função.

DevOps engenheiro

Veja os resultados da função Lambda.

Nesse padrão, uma EventBridge regra executa a função Lambda uma vez por dia. Para visualizar os resultados da função Lambda, faça o seguinte:

  1. Faça login no AWS Management Console e abra o AWS Lambda console. Abra a página Funções e selecione o nome da função que começa com ADcleanup-Lambda-*.

  2. Escolha a guia Monitor e escolha Exibir CloudWatch registros.

No CloudWatch console, a página de grupos de registros mostra os resultados da função Lambda.

DevOps engenheiro
TarefaDescriçãoHabilidades necessárias

Limpe a infraestrutura.

Para limpar a infraestrutura que você criou, use o comando a seguir.

terraform destroy

Para confirmar o comando destroy, digiteyes.

DevOps engenheiro

Verifique após a limpeza.

Verifique se os recursos foram removidos com sucesso.

DevOps engenheiro

Solução de problemas

ProblemaSolução

Se você tentar remover o computador do AD, receberá uma mensagem “Acesso negado”. O computador do AD não pode ser removido porque, por padrão, a ação tenta remover dois endereços IP privados que estão conectados como parte dos serviços do AD.

Para evitar esse erro, use a operação Python a seguir para ignorar os dois primeiros computadores ao listar as diferenças entre a saída de um computador AD e a saída da sua máquina executando o Windows.

Difference = Difference[2:]

Quando o Lambda executa um PowerShell script em um servidor Windows, ele espera que os módulos do Active Directory estejam disponíveis por padrão. Se os módulos não estiverem disponíveis, uma função Lambda cria um erro que indica “Get- não AdComputer está instalado na instância”.

Para evitar esse erro, instale os módulos necessários usando os dados do usuário das EC2 instâncias. Use o EC2WindowsUserdatascript que está no GitHub repositório desse padrão.

Recursos relacionados

AWS documentação

Outros recursos