search

进阶:使用AWS Config扩展检查项目

Config

hashtag
什么是AWS Config

AWS Configarrow-up-right提供了AWS资源的详细配置信息,包括资源之间的关系和他们在过去是如何配置的。这样你就可以看到配置和关系是如何随时间变化的。您可以理解为是CMDB。并且提供多种规则帮助检查整个AWS云上资源的配置是否符合安全要求,比如是否开启了CloudTrail。

hashtag
使用AWS Config可以做什么

hashtag
1 - 资源管理

  • 指定你希望AWS Config记录的资源类型。

  • 设置一个Amazon S3 bucket,以便根据请求和配置历史接收配置快照。

  • 设置Amazon SNS发送配置变更的提醒。

更多信息参见查看资源配置和历史信息arrow-up-right管理资源配置和历史信息arrow-up-right

hashtag
2 - Rules 和 conformance packs

conformance packs可以理解为规则集,根据合规要求预置了一系列的规则,方便按照合规要求对云上资源进行配置检查和合规审计。

Github: aws-config-rulesarrow-up-right/aws-config-conformance-packs/arrow-up-right 提供了上百种的规则集,包括NIST,CIS,CMMC等的合规检测。

hashtag
3 - Aggregators 聚合器

使用聚合器可以集中管理资源目录和合规审计。支持从多个AWS 账号和AWS Region聚合信息到一个账号和一个Region。

hashtag
4 - 高级查询

可以使用预置的示例查询语句,或者写自己的查询语句。如何查询可以查看此指引arrow-up-right

hashtag
开始使用AWS Config

  1. 登录AWS账号

  2. 创建管理员账户administrative user(不是root user,单独创建一个administrative user)

  3. 打开控制台,进入AWS Config,

    1. Global Region:https://console.aws.amazon.com/config/arrow-up-right

    2. China Region:https://console.amazonaws.cn/config/arrow-up-right

  4. 如果是初次使用,则对Config进行设置

hashtag
Config自定义规则

[Github] Monitor unused IAM roles with AWS Config Custom Rulesarrow-up-right

hashtag
参考资料

Record Configurations for Third-Party Resourcesarrow-up-right

Using AWS Config custom resources to track any resource on AWSarrow-up-right

Building a cloud CMDB on AWS for consistent resource configuration in hybrid environmentsarrow-up-right

Learn how to easily onboard AWS Config Custom Configuration Items in 30 minutes or lessarrow-up-right

AWS Config - Custom Configuration Itemsarrow-up-right

How to use the CloudFormation Public Registry in 30 minutes or lessarrow-up-right

AWS Config: Custom Resourcesarrow-up-right

[customer story]Deutsche Börse Manages Assets Across Cloud Providers and Maintains Compliance Using AWS Configarrow-up-right

上一页导出Security Hub的发现下一页进阶:使用Chef InSpec profiles with Systems Manager实现主机和容器的基线检查

最后更新于