Last updated
学习和实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习和实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)
AWS Config 捕获资源变化,因此对 Config 支持的任何资源的更改都可以被记录,这将 记录更改内容以及其他有用的元数据,所有这些都保存在一个称为配置项的文件中,即 CI。此服务是 区域特定的。
配置项或 CI 是 AWS Config 的一个关键组件。它由一个 JSON 文件组成,包含配置信息、关系信息和其他元数据,作为对支持资源的时间点快照视图。AWS Config 可以为资源记录的所有信息都包含在 CI 中。每当支持的资源以任何方式更改其配置时,都会创建一个 CI。除了记录受影响资源的详细信息外,AWS Config 还将记录任何直接相关资源的 CI,以确保更改没有影响到这些资源。
元数据:包含有关配置项本身的详细信息。版本 ID 和配置 ID,唯一标识 CI。其他信息可以包括一个 MD5Hash,允许您将已记录的其他 CI 与同一资源进行比较。
属性:这包含与实际资源相关的常见 属性信息。在此部分中,我们还具有唯一资源 ID,以及与资源相关的任何键值标签。资源类型也会列出。例如,如果这是一个 EC2 实例的 CI,则列出的资源类型可能是网络接口或该 EC2 实例的弹性 IP 地址。
关系:这包含资源可能具有的任何连接 关系的信息。因此,在此部分中,它将清楚地描述该资源与其他资源之间的任何关系。例如,如果 CI 是针对 EC2 实例的,则关系部分可能显示与 VPC 的连接以及 EC2 实例所在的子网。
当前配置: 这将显示如果您执行 AWS CLI 的描述或列出 API 调用时生成的相同信息。AWS Config 使用相同的 API 调用获取相同的信息。
相关事件:这与 AWS CloudTrail 相关。这将显示 与触发此 CI 创建的更改相关的 AWS CloudTrail 事件 ID。每次对资源进行更改时,都会创建一个新的 CI。因此,将创建不同的 CloudTrail 事件 ID。
配置历史:得益于配置项,可以获取资源的配置历史。配置历史每 6 小时交付一次,包含特定资源类型的所有 CI。
配置流:配置项被发送到 SNS 主题,以便对数据进行分析。
配置快照:配置项用于创建所有支持资源的时间点快照。
S3 用于存储 配置历史文件和您数据的任何配置快照,所有这些都存储在一个单一的存储桶中,该存储桶在配置记录器中定义。如果您有多个 AWS 账户,您可能希望将配置历史文件聚合到主账户的同一个 S3 存储桶中。但是,您需要为此服务原则 config.amazonaws.com 授予写入访问权限,并为您的次要账户授予对主账户 S3 存储桶的写入访问权限。
当进行更改时,例如对安全组或存储桶访问控制列表进行更改 —> 触发 AWS Config 捕获的事件
将所有内容存储在 S3 存储桶中
根据设置,一旦发生更改,可能会触发一个 lambda 函数,或者定期调度 lambda 函数查看 AWS Config 设置
Lambda 将反馈给 Config
如果规则被违反,Config 将触发 SNS
Config 规则是帮助您 在资源之间强制特定合规检查 和控制的好方法,并允许您为每种资源类型采用理想的部署规范。每个规则 本质上是一个 lambda 函数,在调用时评估资源并执行一些简单逻辑以确定与规则的合规结果。每次对支持资源进行更改时,AWS Config 将检查与您已设置的任何配置规则的合规性。 AWS 有许多 预定义规则,属于安全范围,随时可用。例如,Rds-storage-encrypted。此规则检查您的 RDS 数据库实例是否启用了存储加密。Encrypted-volumes。此规则检查是否有任何附加状态的 EBS 卷被加密。
AWS 管理规则:一组预定义规则,涵盖许多最佳实践,因此在设置自己的规则之前,浏览这些规则总是值得的,因为规则可能已经存在。
自定义规则:您可以创建自己的规则以检查特定的自定义配置。
每个区域限制 50 个配置规则,之后您需要联系 AWS 以增加配额。 不合规的结果不会被删除。
学习和实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习和实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)
