AWS - Config Enum
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
AWS Config vang hulpbron veranderinge, so enige verandering aan 'n hulpbron wat deur Config ondersteun word, kan geregistreer word, wat sal registreer wat verander het saam met ander nuttige metadata, alles gehou binne 'n lêer bekend as 'n konfigurasie-item, 'n CI. Hierdie diens is streek spesifiek.
'n Konfigurasie-item of CI soos dit bekend staan, is 'n sleutelkomponent van AWS Config. Dit bestaan uit 'n JSON-lêer wat die konfigurasie-inligting, verhouding-inligting en ander metadata as 'n tydstip-snapshot van 'n ondersteunde hulpbron bevat. Alle inligting wat AWS Config vir 'n hulpbron kan registreer, word binne die CI vasgevang. 'n CI word elke keer geskep wanneer 'n ondersteunde hulpbron 'n verandering aan sy konfigurasie op enige manier ondergaan. Benewens die registrasie van die besonderhede van die geraakte hulpbron, sal AWS Config ook CIs vir enige direk verwante hulpbronne registreer om te verseker dat die verandering nie daardie hulpbronne ook beïnvloed het nie.
Metadata: Bevat besonderhede oor die konfigurasie-item self. 'n Weergawe-ID en 'n konfigurasie-ID, wat die CI uniek identifiseer. Ander inligting kan 'n MD5Hash insluit wat jou toelaat om ander CIs wat reeds teen dieselfde hulpbron geregistreer is, te vergelyk.
Attributes: Dit hou algemene attribuutinligting teen die werklike hulpbron. Binne hierdie afdeling het ons ook 'n unieke hulpbron-ID, en enige sleutelwaarde-tags wat aan die hulpbron geassosieer is. Die hulpbron tipe word ook gelys. Byvoorbeeld, as dit 'n CI vir 'n EC2-instantie was, kan die hulpbron tipes wat gelys word die netwerkinterfaan of die elastiese IP-adres vir daardie EC2-instantie wees.
Relationships: Dit hou inligting vir enige gekonnekteerde verhouding wat die hulpbron mag hê. So binne hierdie afdeling, sal dit 'n duidelike beskrywing van enige verhouding met ander hulpbronne wat hierdie hulpbron gehad het, toon. Byvoorbeeld, as die CI vir 'n EC2-instantie was, kan die verhouding afdeling die verbinding met 'n VPC saam met die subnet wat die EC2-instantie woon, toon.
Huidige konfigurasie: Dit sal dieselfde inligting vertoon wat gegenereer sou word as jy 'n beskrywing of lys API-oproep deur die AWS CLI sou uitvoer. AWS Config gebruik dieselfde API-oproepe om dieselfde inligting te verkry.
Verwante gebeurtenisse: Dit verwys na AWS CloudTrail. Dit sal die AWS CloudTrail gebeurtenis-ID wat verband hou met die verandering wat die skepping van hierdie CI geaktiveer het vertoon. Daar word 'n nuwe CI gemaak vir elke verandering wat teen 'n hulpbron gemaak word. As gevolg hiervan, sal verskillende CloudTrail gebeurtenis-ID's geskep word.
Konfigurasiegeskiedenis: Dit is moontlik om die konfigurasiegeskiedenis van hulpbronne te verkry danksy die konfigurasie-items. 'n Konfigurasiegeskiedenis word elke 6 uur gelewer en bevat alle CI's vir 'n spesifieke hulpbron tipe.
Konfigurasie Strome: Konfigurasie-items word na 'n SNS Onderwerp gestuur om analise van die data moontlik te maak.
Konfigurasie Snapshot: Konfigurasie-items word gebruik om 'n tydstip-snapshot van alle ondersteunde hulpbronne te skep.
S3 word gebruik om die Konfigurasie Geskiedenis lêers en enige Konfigurasie snapshots van jou data binne 'n enkele emmer te stoor, wat binne die Konfigurasie-opnemer gedefinieer word. As jy verskeie AWS-rekeninge het, wil jy dalk jou konfigurasiegeskiedenis lêers in dieselfde S3-emmer vir jou primêre rekening saamvoeg. Jy sal egter skrywe toegang vir hierdie diens beginsel, config.amazonaws.com, en jou sekondêre rekeninge met skrywe toegang tot die S3-emmer in jou primêre rekening moet toeken.
Wanneer jy veranderinge aanbring, byvoorbeeld aan 'n sekuriteitsgroep of emmer toegangbeheerlys —> aktiveer as 'n Gebeurtenis wat deur AWS Config opgetel word
Stoor alles in S3-emmer
Afhangende van die opstelling, sodra iets verander, kan dit 'n lambda-funksie aktiveer OF 'n lambda-funksie skeduleer om periodiek deur die AWS Config-instellings te kyk
Lambda voer terug na Config
As 'n reël oortree is, aktiveer Config 'n SNS
Config reëls is 'n uitstekende manier om jou te help spesifieke nakomingskontroles en beheer oor jou hulpbronne af te dwing, en laat jou toe om 'n ideale ontplooiingsspesifikasie vir elkeen van jou hulpbron tipes aan te neem. Elke reël is in wese 'n lambda-funksie wat, wanneer dit opgeroep word, die hulpbron evalueer en 'n paar eenvoudige logika uitvoer om die nakomingsresultaat met die reël te bepaal. Elke keer as 'n verandering gemaak word aan een van jou ondersteunde hulpbronne, sal AWS Config die nakoming teen enige konfigurasie reëls wat jy in plek het, nagaan. AWS het 'n aantal voorgedefinieerde reëls wat onder die sekuriteitsdak val en gereed is om te gebruik. Byvoorbeeld, Rds-storage-encrypted. Dit kontroleer of stoorversleuteling geaktiveer is deur jou RDS-databasisinstansies. Encrypted-volumes. Dit kontroleer of enige EBS-volumes wat 'n aangehegte toestand het, versleuteld is.
AWS Beheerde reëls: Stel van voorgedefinieerde reëls wat baie beste praktyke dek, so dit is altyd die moeite werd om hierdie reëls eers te blaai voordat jy jou eie opstel, aangesien daar 'n kans is dat die reël dalk reeds bestaan.
Pasgemaakte reëls: Jy kan jou eie reëls skep om spesifieke pasgemaakte konfigurasies na te gaan.
Beperking van 50 konfigurasie reëls per streek voordat jy AWS moet kontak vir 'n verhoging. Nie-nakomende resultate word NIE verwyder nie.
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
