使用 AWS Lambda 自動化 AWS 帳戶AWS Managed Microsoft AD 從 移除 Amazon EC2項目 - AWS 方案指引
Summary先決條件和限制架構工具最佳實務史詩故障診斷相關資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AWS Lambda 自動化 AWS 帳戶AWS Managed Microsoft AD 從 移除 Amazon EC2項目

由 Dr. Rahul Sharad Gaikwad (AWS) 和 Tamilselvan P (AWS) 建立

Summary

Active Directory (AD) 是一種 Microsoft 指令碼工具,可管理網域資訊和使用者與網路服務的互動。它在受管服務提供者 (MSPs) 中廣泛用於管理員工登入資料和存取許可。由於 AD 攻擊者可以使用非作用中帳戶來嘗試並入侵組織,因此請務必尋找非作用中帳戶,並在例行維護排程中停用這些帳戶。使用 AWS Directory Service for Microsoft Active Directory,您可以將 Microsoft Active Directory 作為受管服務執行。此模式可協助您設定 AWS Lambda 自動化,以快速尋找和移除非作用中的帳戶。

如果下列案例適用於您的組織,此模式可協助您:

  • 集中式 AD 管理 – 如果您的組織有多個 AWS 帳戶,每個組織都有自己的 AD 部署,在所有帳戶中一致地管理使用者帳戶和存取許可可能很困難。使用跨帳戶 AD 清除解決方案,您可以集中方式停用或移除所有 AD 執行個體的非作用中帳戶。

  • AD 重組或遷移 – 如果您的組織計劃重組或遷移其 AD 部署,跨帳戶 AD 清理解決方案可協助您準備環境。解決方案可協助您移除不必要或非作用中的帳戶、簡化遷移程序,並減少潛在的衝突或問題。

使用此模式時,您可以獲得下列優點:

  • 改善資料庫和伺服器效能,並從非作用中帳戶修正安全漏洞。

  • 如果您的 AD 伺服器託管在雲端,移除非作用中帳戶也可以降低儲存成本,同時改善效能。您的每月帳單可能會減少,因為頻寬費用和運算資源可能會同時降低。

  • 使用乾淨的 Active Directory 讓潛在攻擊者處於壘。

先決條件和限制

先決條件

限制

  • 在子帳戶中建立資源不會使用 Terraform 自動化。您必須使用 手動建立下列資源 AWS Management Console:

    • 將 Amazon EC2終止事件傳送至父帳戶的 Amazon EventBridge 規則

    • 使用信任政策在子帳戶中建立 Amazon EC2跨帳戶角色

    • VPC 對等或 Transit Gateway 連線

  • 有些 AWS 服務 完全無法使用 AWS 區域。如需區域可用性,請參閱AWS 服務 依區域。如需特定端點,請參閱服務端點和配額,然後選擇服務的連結。

產品版本

架構

下圖顯示解決方案的高階架構。

使用 Lambda 自動化從跨AWS帳戶移除EC2項目的程序。

架構圖說明下列程序:

  1. 在子帳戶中, EventBridge 規則會收集所有 Amazon EC2終止事件。規則會將這些事件傳送至父帳戶中存在 EventBridge 的事件。

  2. 從父帳戶 EventBridge 收集所有事件,並包含觸發 Lambda 函數 的規則ADcleanup-Lambda

  3. 父帳戶會從父帳戶或子帳戶接收任何終止事件,並觸發 Lambda 函數。

  4. Lambda 函數會使用 Python boto 模組呼叫 Amazon EC2 Auto Scaling 群組,並取得隨機執行個體 ID。執行個體 ID 用於執行 Systems Manager 命令。

  5. Lambda 函數EC2會使用 boto 模組對 Amazon 進行另一個呼叫。Lambda 函數會取得執行中 Windows 伺服器的私有 IP 地址,並將地址存放在暫時變數中。在步驟 5.1 和 5.2 中,會從子帳戶收集執行中的 Windows EC2執行個體。

  6. Lambda 函數會再次呼叫 Systems Manager,以取得連線的電腦資訊 AWS Directory Service。

  7. AWS Systems Manager 文件有助於在 Amazon EC2 Windows 伺服器上執行 PowerShell 命令,以取得連接到 AD 之電腦的私有 IP 地址。(Systems Manager 文件使用步驟 4 中取得的執行個體 ID。)

  8. AD 網域使用者名稱和密碼會存放在 AWS Systems Manager 參數存放區中。 AWS Lambda 而 Systems Manager 會呼叫參數存放區,並取得用來連線至 AD 的使用者名稱和密碼值。

  9. 使用 Systems Manager 文件,指令碼 PowerShell 會使用步驟 4 稍早取得的執行個體 ID 在 Amazon EC2 Windows 伺服器上執行。

  10. Amazon AWS Directory Service 會使用 PowerShell 命令EC2連線至 ,並移除非使用中或非使用中的電腦。

工具

AWS 服務

  • AWS Directory Service 提供多種方式來使用 Microsoft Active Directory (AD) 搭配其他 AWS 服務 ,例如 Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Relational Database Service (Amazon RDS) for SQL Server 和 Amazon FSx for Windows File Server。

  • AWS Directory Service for Microsoft Active Directory 可讓您的目錄感知工作負載 AWS 和資源在 中使用 Microsoft Active Directory AWS 雲端。

  • Amazon Elastic Compute Cloud (Amazon EC2) 在 中提供可擴展的運算容量 AWS 雲端。您可以視需要啟動任意數量的虛擬伺服器,,並快速進行擴展或縮減。

  • Amazon EventBridge 是一種無伺服器事件匯流排服務,可協助您將應用程式與各種來源的即時資料連線。例如, AWS Lambda 函數、使用API目的地HTTP的呼叫端點,或其他事件匯流排 AWS 帳戶。

  • AWS Identity and Access Management (IAM) 透過控制誰經過身分驗證並獲授權使用,協助您安全地管理對 AWS 資源的存取。使用 IAM,您可以指定誰或什麼可以存取 中的 服務和資源 AWS、集中管理精細許可,以及分析存取以縮小許可範圍 AWS。

  • AWS Lambda 是一項運算服務,可協助您執行程式碼,無需佈建或管理伺服器。它只會在需要時執行程式碼並自動擴展,因此您只需支付您使用的運算時間。

  • AWS Systems Manager 可協助您管理在 中執行的應用程式和基礎設施 AWS 雲端。它可簡化應用程式和資源管理、縮短偵測和解決操作問題的時間,並協助您大規模安全地管理 AWS 資源。

  • AWS Systems Manager 文件會定義 Systems Manager 在受管執行個體上執行的動作。Systems Manager 包含 100 多個預先設定的文件,可讓您用來在執行時間時指定參數。

  • AWS Systems Manager 參數存放區是 的功能, AWS Systems Manager 並提供安全的階層式儲存,用於組態資料管理和秘密管理。

其他工具

  • HashiCorp Terraform 是一種開放原始碼基礎設施做為程式碼 (IaC) 工具,可協助您使用程式碼來佈建和管理雲端基礎設施和資源。

  • PowerShell 是在 Windows、Linux 和 macOS 上執行的 Microsoft 自動化和組態管理程式。

  • Python 是一種一般用途的電腦程式設計語言。

程式碼儲存庫

此模式的程式碼可在 GitHub aws-lambda-ad-cleanup-terraform-samples 儲存庫中使用。

最佳實務

  • 自動聯結網域。 當您啟動要成為 AWS Directory Service 網域一部分的 Windows 執行個體時,請在執行個體建立程序期間加入網域,而不是稍後手動新增執行個體。若要自動加入網域,請在啟動新執行個體時,從網域加入目錄下拉式清單中選取正確的目錄。如需詳細資訊,請參閱 AWS Directory Service 管理指南中的無縫將 Amazon EC2 Windows 執行個體加入 AWS Managed Microsoft AD Active Directory

  • 刪除未使用的帳戶。 在 AD 中尋找從未使用過的帳戶是很常見的。如同保留在系統中的停用或非作用中帳戶,忽略未使用的帳戶可能會降低 AD 系統的速度,或使您的組織容易遭受資料洩露的影響。

  • 自動化 Active Directory 清除。 為了協助降低安全風險並防止過時的帳戶影響 AD 效能,應定期執行 AD 清理。您可以撰寫指令碼來完成大多數 AD 管理和清除任務。範例任務包括移除停用和非作用中的帳戶、刪除空白和非作用中的群組,以及尋找過期的使用者帳戶和密碼。

史詩

任務描述所需的技能

在子帳戶中建立跨帳戶角色。

若要在子帳戶中建立跨帳戶角色,請執行下列動作:

  1. 針對每個子帳戶,ec2crossaccountrole 使用名為 的受管政策來建立名為 的角色AmazonEC2ReadOnlyAccess (如需詳細資訊,請參閱 IAM 文件中的使用自訂信任政策建立角色。)

  2. 自訂信任政策區段中,新增下列程式碼:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ec2.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::${Parentaccountid}:role/ADcleanuprole"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
DevOps 工程師

在子帳戶中建立事件規則。

若要為每個子帳戶建立 EventBridge 規則,請執行下列動作:

  1. 登入子項 AWS 帳戶,然後在 開啟 Amazon EventBridge 主控台https://console.aws.amazon.com/events/

  2. 在導覽窗格中,選擇規則

  3. 選擇建立規則

  4. 輸入名稱,並選擇性地輸入規則的描述。

  5. 針對事件匯流排,選取AWS預設事件匯流排

  6. 針對規則類型 選擇具有事件模式的規則

  7. 選擇 Next (下一步)

  8. 對於事件模式,請貼上下列程式碼:

    {
  "source": ["aws.ec2"],
  "detail-type": ["EC2 Instance State-change Notification"],
  "detail": {
    "state": ["terminated"]
  }
}

  9. 選擇 Next (下一步)

  10. 針對目標類型,選擇不同帳戶或區域中的事件匯流排。 針對事件匯流排做為目標,輸入父帳戶的事件匯流排 Amazon Resource Name (ARN)。

  11. 針對執行角色,選擇為此特定資源建立新角色。

  12. 選擇下一步以檢閱新規則的詳細資訊,然後選擇建立

如需詳細資訊,請參閱《Amazon 使用者指南》中的在 Amazon 中建立對事件做出反應的規則 EventBridge EventBridge

DevOps 工程師

建立EC2執行個體並加入 AD。

若要為 Windows 建立EC2執行個體,請執行下列動作:

  1. 使用此模式程式碼儲存庫中可用的EC2WindowsUserdata指令碼。

  2. 在使用者資料指令碼中,修改下列程式碼以使用父帳戶中Directory service addresses的值:

    set-DnsClientServerAddress -InterfaceIndex 6 -ServerAddresses $(Directory service addresses)

DevOps 工程師
任務描述所需的技能

建立專案資料夾並新增檔案。

若要複製儲存庫並建立專案資料夾,請執行下列動作:

  1. 開啟此模式的GitHub 儲存庫

  2. 選擇程式碼按鈕,以查看複製下拉式清單中要複製的選項。

  3. HTTPS索引標籤上,使用 Web 複製複製中URL提供的 。 URL

  4. 在機器上建立資料夾,並使用專案名稱命名。

  5. 在本機機器中開啟終端機,然後導覽至此資料夾。

  6. 若要複製 git 儲存庫,請使用下列命令。

    git clone <repository-URL>.git

  7. 複製儲存庫之後,請使用下列命令前往複製的目錄。

    cd <directory name>/terraform-aws-lambda-ad-cleanup/multiple-account-cleanup

  8. 在複製的儲存庫中,在您選擇的整合開發環境 (IDE) 中開啟此專案。

DevOps 工程師

建置 adcleanup.zip 檔案。

若要壓縮lambda_function.py檔案,請執行下列命令:

zip -r adcleanup.zip lambda_function.py

DevOps 工程師
任務描述所需的技能

提供 Terraform 變數的值。

對於子帳戶,請在 terraform.tfvars 檔案中提供下列arn變數的值做為字串類型:

  • lambda_env_cross_role_arn

  • child_account_cross_role_arn

DevOps 工程師

初始化 Terraform 組態。

若要初始化包含 Terraform 檔案的工作目錄,請執行下列命令:

terraform init

DevOps 工程師

預覽變更。

您可以在部署基礎設施之前預覽 Terraform 對基礎設施所做的變更。若要驗證 Terraform 會視需要進行變更,請執行下列命令:

terraform plan —-var-file=examples/terraform.tfvars

DevOps 工程師

執行提議的動作。

若要驗證terraform plan命令的結果是否如預期,請執行下列動作:

  1. 執行下列命令:terraform apply

  2. 登入 AWS Management Console,並確認資源是否存在。

DevOps 工程師
任務描述所需的技能

執行和測試 Lambda 函數。

若要驗證部署是否成功執行,請執行下列動作:

  1. 登入 AWS Management Console,然後開啟 Lambda 主控台。開啟函數頁面,然後選取以 ADcleanup-Lambda-* 開頭的函數名稱。

  2. 在函數概觀頁面上,選擇程式碼來源區段中程式碼索引標籤上的測試

  3. 若要儲存測試事件,請提供事件的名稱,然後選擇儲存。若要測試事件,請再次選擇測試

執行結果會顯示函數的輸出。

DevOps 工程師

檢視從父帳戶執行 EventBridge 規則的結果。

若要檢視以父帳戶 Amazon EC2終止事件為基礎的 EventBridge 規則結果,請執行下列動作:

  1. 從父帳戶終止EC2執行個體。

  2. 開啟父帳戶的 Lambda 主控台。開啟函數頁面,然後選取以 ADcleanup-Lambda-* 開頭的函數名稱。

  3. 選擇監控索引標籤,然後選擇檢視 CloudWatch 日誌

在 CloudWatch 主控台中,日誌群組頁面會顯示 Lambda 函數的結果。

DevOps 工程師

從子帳戶檢視 EventBridge 規則執行的結果。

若要檢視以子帳戶 Amazon EC2終止事件為基礎的 EventBridge 規則結果,請執行下列動作:

  1. 從子帳戶終止EC2執行個體。

  2. 開啟父帳戶的 Lambda 主控台。開啟函數頁面,然後選取以 ADcleanup-Lambda-* 開頭的函數名稱。

  3. 選擇監控索引標籤,然後選擇檢視 CloudWatch 日誌

在 CloudWatch 主控台中,日誌群組頁面會顯示 Lambda 函數的結果。

DevOps 工程師
任務描述所需的技能

清除基礎設施。

若要清除您建立的基礎設施,請使用下列命令:

terraform destroy

若要確認destroy命令,請輸入 yes

DevOps 工程師

清除後驗證 。

確認資源已成功移除。

DevOps 工程師

故障診斷

問題解決方案

AWS Directory Service (父帳戶) 與 Amazon EC2執行個體 (子帳戶) 之間的連線問題 – 即使可用VPC對等互連,您仍無法將子帳戶的電腦加入 AD。

在 中新增路由VPCs。如需說明,請參閱 AWS Directory Service 文件中的設定目錄擁有者與目錄取用者帳戶之間的VPC對等連線

相關資源

AWS 文件

其他資源