进阶:使用AWS Config扩展检查项目

Config

什么是AWS Config

AWS Config提供了AWS资源的详细配置信息,包括资源之间的关系和他们在过去是如何配置的。这样你就可以看到配置和关系是如何随时间变化的。您可以理解为是。并且提供多种规则帮助检查整个AWS云上资源的配置是否符合安全要求,比如是否开启了CloudTrail。

使用AWS Config可以做什么

1 - 资源管理

  • 指定你希望AWS Config记录的资源类型。

  • 设置一个Amazon S3 bucket,以便根据请求和配置历史接收配置快照。

  • 设置Amazon SNS发送配置变更的提醒。

更多信息参见查看资源配置和历史信息管理资源配置和历史信息

2 - Rules 和 conformance packs

conformance packs可以理解为规则集,根据合规要求预置了一系列的规则,方便按照合规要求对云上资源进行配置检查和合规审计。

Github: aws-config-rules/aws-config-conformance-packs/ 提供了上百种的规则集,包括NIST,CIS,CMMC等的合规检测。

3 - Aggregators 聚合器

使用聚合器可以集中管理资源目录和合规审计。支持从多个AWS 账号和AWS Region聚合信息到一个账号和一个Region。

4 - 高级查询

可以使用预置的示例查询语句,或者写自己的查询语句。如何查询可以查看此指引

开始使用AWS Config

  1. 登录AWS账号

  2. 创建管理员账户administrative user(不是root user,单独创建一个administrative user)

  3. 打开控制台,进入AWS Config,

    1. Global Region:https://console.aws.amazon.com/config/

    2. China Region:https://console.amazonaws.cn/config/

  4. 如果是初次使用,则对Config进行设置

Config自定义规则

[Github] Monitor unused IAM roles with AWS Config Custom Rules

参考资料

Record Configurations for Third-Party Resources

Using AWS Config custom resources to track any resource on AWS

Building a cloud CMDB on AWS for consistent resource configuration in hybrid environments

Learn how to easily onboard AWS Config Custom Configuration Items in 30 minutes or less

AWS Config - Custom Configuration Items

How to use the CloudFormation Public Registry in 30 minutes or less

AWS Config: Custom Resources

[customer story]Deutsche Börse Manages Assets Across Cloud Providers and Maintains Compliance Using AWS Config

上一页导出Security Hub的发现下一页进阶:使用Chef InSpec profiles with Systems Manager实现主机和容器的基线检查

最后更新于