本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 EC2 Config 監控 AWS 執行個體金鑰對
由 Wassim Benhallam (AWS)、Sergio Bilbao Lopez (AWS) 和 Vikrant Telkar (AWS) 建立
環境:生產 | 技術:安全、身分、合規 | AWS 服務:Amazon SNS;AWS Config;AWS Lambda |
Summary
在 Amazon Web Services (EC2) Cloud 上啟動 Amazon Elastic Compute Cloud (Amazon AWS) 執行個體時,最佳實務是建立或使用現有的金鑰對來連線至執行個體。金鑰對包含存放在執行個體中的公有金鑰和提供給使用者的私有金鑰,允許透過 Secure Shell (SSH) 安全存取執行個體,並避免使用密碼。不過,使用者有時可能不小心啟動執行個體,而不需要連接金鑰對。由於金鑰對只能在啟動執行個體期間指派,因此請務必快速識別和標記為不合規的任何在沒有金鑰對的情況下啟動的執行個體。這在強制使用金鑰對進行執行個體存取的帳戶或環境中特別有用。
此模式說明如何在 AWS Config 中建立自訂規則,以監控 EC2 執行個體金鑰對。當執行個體識別為不合規時,會使用透過 Amazon EventBridge 事件啟動的 Amazon Simple Notification Service (Amazon SNS) 通知傳送提醒。
先決條件和限制
先決條件
作用中的 AWS 帳戶
針對您要監控並設定記錄所有 AWS 資源的 AWS 區域啟用 AWS Config
限制
此解決方案為區域特定。所有資源都應在相同的 AWS 區域中建立。
架構
目標技術堆疊
AWS Config
Amazon EventBridge
AWS Lambda
Amazon SNS
目標架構
![Diagram showing AWS 服務 interaction: Config, Custom rule, Lambda, EventBridge, SNS, and Email notification.](images/pattern-img/b0fbe060-fd3d-4b19-8828-63dc80e4b5b2/images/4fbff67f-b594-458f-8705-fc14015c6557.png)
AWS Config 會啟動規則。
此規則會叫用 Lambda 函數來評估 EC2 執行個體的合規性。
Lambda 函數會將更新的合規狀態傳送至 AWS Config。
AWS Config 會將事件傳送至 EventBridge。
EventBridge 會將合規變更通知發佈至 SNS 主題。
Amazon SNS 會透過電子郵件傳送提醒。
自動化和擴展
解決方案可以監控區域內任何數量的 EC2 執行個體。
工具
工具
AWS Config – AWS Config 是一項服務,可讓您評估、稽核和評估 AWS 資源的組態。AWS Config 會持續監控和記錄您的 AWS 資源組態,並可讓您針對所需的組態自動評估記錄的組態。
Amazon EventBridge – Amazon EventBridge 是一種無伺服器事件匯流排服務,用於將應用程式與來自各種來源的資料連線。
AWS Lambda – AWS Lambda 是一種無伺服器運算服務,支援執行程式碼,無需佈建或管理伺服器、建立工作負載感知叢集擴展邏輯、維護事件整合或管理執行時間。
Amazon SNS – Amazon Simple Notification Service (Amazon SNS) 是適用於 application-to-application (A2A) 和 application-to-person (A2P) 通訊的完全受管傳訊服務。
Code
已連接 Lambda 函數的程式碼。
Epics
任務 | 描述 | 所需的技能 |
---|---|---|
為 Lambda 建立 AWS Identity and Access Management (IAM) 角色。 | 在 AWS 管理主控台上,選擇 IAM,然後使用 Lambda 作為受信任實體,並新增 | DevOps |
建立和部署 Lambda 函數。 |
| DevOps |
任務 | 描述 | 所需的技能 |
---|---|---|
新增自訂 AWS Config 規則。 | 在 AWS Config 主控台上,使用下列設定新增自訂規則:
如需詳細資訊,請參閱 AWS 文件。 | DevOps |
任務 | 描述 | 所需的技能 |
---|---|---|
建立 SNS 主題和訂閱。 | 在 Amazon SNS 主控台上,使用 Standard 作為 類型建立主題,然後使用 Email 作為通訊協定建立訂閱。 當您收到確認電子郵件訊息時,請選擇連結以確認訂閱。 如需詳細資訊,請參閱 AWS 文件。 | DevOps |
建立 a EventBridge 規則以啟動 Amazon SNS 通知。 | 在 EventBridge 主控台上,使用下列設定建立規則:
如需詳細資訊,請參閱 AWS 文件。 | DevOps |
任務 | 描述 | 所需的技能 |
---|---|---|
建立 EC2 執行個體。 | 建立任何類型的兩個 EC2 執行個體並連接金鑰對,然後建立沒有金鑰對的 EC2 執行個體。 | DevOps |
驗證規則。 |
| DevOps |
相關資源
附件
若要存取與本文件相關聯的其他內容,請解壓縮下列檔案: attachment.zip