使用 AWS Lambda 自動化 AWS 帳戶 從 移除相同 中的 Amazon AWS Managed Microsoft AD EC2項目 - AWS 方案指引
Summary先決條件和限制架構工具最佳實務史詩故障診斷相關資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AWS Lambda 自動化 AWS 帳戶 從 移除相同 中的 Amazon AWS Managed Microsoft AD EC2項目

由 Dr. Rahul Sharad Gaikwad (AWS) 和 Tamilselvan P (AWS) 建立

程式碼儲存庫: terraform-aws-lambda-ad-cleanup

環境:PoC 或試行

技術: DevOps;基礎設施;儲存與備份;管理與治理

工作負載:所有其他工作負載;Microsoft

AWS 服務:AWSManaged Microsoft AD;AWSLambda;Amazon EC2; AWS Identity and Access Management; AWS Directory Service; AWS Systems Manager;Amazon EventBridge; AWS Auto Scaling

Summary

Active Directory (AD) 是一種 Microsoft 指令碼工具,可管理網域資訊和使用者與網路服務的互動。它廣泛用於受管服務供應商 (MSPs) 以管理員工憑證和存取許可。由於 AD 攻擊者可以使用非作用中帳戶嘗試並入侵組織,因此請務必尋找非作用中帳戶,並在例行維護排程中停用這些帳戶。使用 AWS Directory Service for Microsoft Active Directory,您可以將 Microsoft Active Directory 作為受管服務執行。

此模式可協助您設定 AWS Lambda 自動化,以快速尋找和移除非作用中帳戶。使用此模式時,您可以獲得下列優點:

  • 改善資料庫和伺服器效能,並從非作用中帳戶修正安全漏洞。

  • 如果您的 AD 伺服器託管在雲端,移除非作用中帳戶也可以降低儲存成本,同時改善效能。您的每月帳單可能會減少,因為頻寬費用和運算資源都可能減少。

  • 使用乾淨的 Active Directory 讓潛在的攻擊者處於儲存貯體。

先決條件和限制

先決條件

限制

  • 此模式不支援跨帳戶設定。

  • 有些 AWS 服務 並非所有 都提供 AWS 區域。如需區域可用性,請參閱AWS 服務 依區域 區分。如需特定端點,請參閱服務端點和配額 ,然後選擇服務的連結。

產品版本

架構

下圖顯示此模式的工作流程和架構元件。

使用 Lambda 自動化從 Managed Microsoft AD 移除EC2項目的程序。

該圖顯示以下工作流程:

  1. Amazon 會根據 Cron 表達式 EventBridge 觸發 AWS Lambda 函數。(對於此模式,cron 表達式排程是每天一次。)

  2. 透過 AWS Lambda Terraform 建立並連接至所需的IAM角色和政策。

  3. AWS Lambda 函數會執行,並使用 Python boto 模組呼叫 Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling Groups。Lambda 函數會取得隨機執行個體 ID。執行個體 ID 用於執行 AWS Systems Manager 命令。

  4. AWS Lambda EC2使用 boto 模組對 Amazon 進行另一個呼叫,並取得執行中 Windows 伺服器的私有 IP 地址,並將地址儲存在暫存變數中。

  5. AWS Lambda 會再次呼叫 Systems Manager,以取得連線至 的電腦資訊 AWS Directory Service。

  6. AWS Systems Manager 文件有助於在 Amazon EC2 Windows 伺服器上執行 PowerShell 指令碼,以取得與 AD 連線之電腦的私有 IP 地址。

  7. AD 網域使用者名稱和密碼會儲存在 AWS Systems Manager Parameter Store. 中, AWS Lambda 而 Systems Manager 會呼叫 Parameter Store,並取得用來連線 AD 的使用者名稱和密碼值。

  8. 使用 Systems Manager 文件,指令碼 PowerShell 會使用在步驟 3 中稍早取得的執行個體 ID 在 Amazon EC2 Windows 伺服器上執行。

  9. Amazon AWS Directory Service 使用 PowerShell 命令進行EC2連線,並移除非使用中或非使用中的電腦。

工具

AWS 服務

  • AWS Directory Service 提供多種方法,可搭配其他 使用 Microsoft Active Directory (AD), AWS 服務 例如 Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Relational Database Service (Amazon RDS) for SQL Server 和 Amazon FSx for Windows File Server。

  • AWS Directory Service for Microsoft Active Directory 可讓您的目錄感知工作負載 AWS 和資源在 中使用 Microsoft Active Directory AWS 雲端。

  • Amazon Elastic Compute Cloud (Amazon EC2) 在 中提供可擴展的運算容量 AWS 雲端。您可以視需要啟動任意數量的虛擬伺服器,,並快速進行擴展或縮減。

  • Amazon EventBridge 是一種無伺服器事件匯流排服務,可協助您將應用程式與各種來源的即時資料連線。例如, AWS Lambda 函數、使用API目的地HTTP的叫用端點,或其他 中的事件匯流排 AWS 帳戶。

  • AWS Identity and Access Management (IAM) 透過控制誰經過身分驗證並獲授權使用資源,協助您安全地管理對 AWS資源的存取。使用 IAM,您可以指定誰或什麼可以存取 中的 服務和資源 AWS、集中管理精細許可,以及分析跨 優化許可的存取 AWS。

  • AWS Lambda 是一項運算服務,可協助您執行程式碼,無需佈建或管理伺服器。它只會在需要時執行程式碼並自動擴展,因此您只需支付您使用的運算時間。

  • AWS Systems Manager 可協助您管理在 中執行的應用程式和基礎設施 AWS 雲端。它可簡化應用程式和資源管理、縮短偵測和解決操作問題的時間,並協助您大規模安全地管理 AWS 資源。

  • AWS Systems Manager 文件會定義 Systems Manager 對受管執行個體執行的動作。Systems Manager 包含 100 多個預先設定的文件,可讓您用來在執行時間時指定參數。

  • AWS Systems Manager 參數存放區是 的功能, AWS Systems Manager 並提供安全的階層式儲存,以進行組態資料管理和秘密管理。

其他工具

  • HashiCorp Terraform 是一種開放原始碼基礎設施作為程式碼 IaC) 工具,可協助您使用程式碼來佈建和管理雲端基礎設施和資源。

  • PowerShell 是在 Windows、Linux 和 macOS 上執行的 Microsoft 自動化和組態管理程式。

  • Python 是一種一般用途的電腦程式設計語言。

C ode 儲存庫

此模式的程式碼可在 GitHub 自訂 AD Cleanup Automation 解決方案儲存庫中找到。

最佳實務

  • 自動加入網域。 當您啟動要成為 AWS Directory Service 網域一部分的 Windows 執行個體時,請在執行個體建立程序中加入網域,而不是稍後手動新增執行個體。若要自動加入網域,請在啟動新執行個體時,從網域加入目錄下拉式清單中選取正確的目錄。如需詳細資訊,請參閱 AWS Directory Service 管理指南 中的無縫加入 Amazon EC2 Windows 執行個體至 AWS Managed Microsoft AD Active Directory

  • 刪除未使用的帳戶。 在 AD 中尋找從未使用過的帳戶是常見的。與保留在系統中的停用或非作用中帳戶一樣,忽略未使用的帳戶可能會拖慢 AD 系統的速度,或使您的組織容易遭受資料外洩。

  • 自動化 Active Directory 清除。 為了協助降低安全風險並防止過時的帳戶影響 AD 效能,應定期執行 AD 清理。您可以撰寫指令碼來完成大多數 AD 管理和清除任務。範例任務包括移除停用和停用的帳戶、刪除空和停用的群組,以及尋找過期的使用者帳戶和密碼。

史詩

任務描述所需的技能

建立專案資料夾,然後新增檔案。

若要複製儲存庫並建立專案資料夾,請執行下列動作:

  1. 開啟此模式的GitHub 儲存庫

  2. 選擇程式碼按鈕,以查看複製下拉式清單中要複製的選項。

  3. HTTPS索引標籤上,使用 Web 複製複製 中URL提供的 。 URL

  4. 在機器上建立資料夾,並使用專案名稱命名。

  5. 在本機機器中開啟終端機,然後導覽至此資料夾。

  6. 若要複製 git 儲存庫,請使用下列命令。

    git clone <repository-URL>.git

  7. 複製儲存庫之後,請使用下列命令前往複製的目錄。

    cd <directory name>

  8. 在複製的儲存庫中,在您選擇的整合開發環境 (IDE) 中開啟此專案。

DevOps 工程師
任務描述所需的技能

初始化 Terraform 組態。

若要初始化包含 Terraform 檔案的工作目錄,請執行下列命令。

terraform init

DevOps 工程師

預覽變更。

您可以在部署基礎設施之前預覽 Terraform 對基礎設施所做的變更。若要驗證 Terraform 會視需要進行變更,請執行下列命令。

terraform plan

DevOps 工程師

執行提議的動作。

若要驗證terraform plan命令的結果是否如預期,請執行下列動作:

  1. 執行下列命令。

    terraform apply

  2. 登入 AWS Management Console,並確認資源是否存在。

DevOps 工程師

清除基礎設施。

若要清除您建立的基礎設施,請使用下列命令。

terraform destroy

若要確認銷毀命令,請輸入 yes

DevOps 工程師
任務描述所需的技能

執行和測試 Lambda 函數。

若要驗證部署是否成功執行,請執行下列動作:

  1. 登入 AWS Management Console 並開啟主控台。開啟函數頁面,然後選取以 ADcleanup-Lambda-* 開頭的函數名稱。

  2. 在函數概觀頁面上,在程式碼來源區段的程式碼索引標籤上選擇測試

  3. 若要儲存測試事件,請提供事件的名稱,然後選擇儲存 。然後,若要測試事件,請再次選擇測試

執行結果會顯示函數的輸出。

DevOps 工程師

檢視 Lambda 函數的結果。

在此模式中, EventBridge 規則會每天執行一次 Lambda 函數。若要檢視 Lambda 函數的結果,請執行下列動作:

  1. 登入 AWS Management Console 並開啟 AWS Lambda 主控台。開啟函數頁面,然後選取以 ADcleanup-Lambda-* 開頭的函數名稱。

  2. 選擇監控索引標籤,然後選擇檢視 CloudWatch 日誌

在 CloudWatch 主控台中,日誌群組頁面會顯示 Lambda 函數的結果。

DevOps 工程師
任務描述所需的技能

清除基礎設施。

若要清除您建立的基礎設施,請使用下列命令。

terraform destroy

若要確認銷毀命令,請輸入 yes

DevOps 工程師

清除後驗證。

確認資源已成功移除。

DevOps 工程師

故障診斷

問題解決方案

如果您嘗試移除 AD 電腦,則會收到「拒絕存取」訊息。無法移除 AD 電腦,因為依預設,動作會嘗試移除兩個作為 AD 服務一部分連線的私有 IP 地址。

為避免此錯誤,當您列出 AD 電腦輸出與執行 Windows 之機器輸出之間的差異時,請使用下列 Python 操作忽略前兩台電腦。

Difference = Difference[2:]

當 Lambda 在 Windows 伺服器上執行 PowerShell 指令碼時,它預期 Active Directory 模組預設為可用。如果模組無法使用,Lambda 函數會建立錯誤,指出「執行個體上未安裝 Get-AdComputer is」。

若要避免此錯誤,請使用EC2執行個體的使用者資料安裝所需的模組。使用此模式儲存 GitHub 庫中的EC2WindowsUserdata指令碼。

相關資源

AWS 文件

其他資源