AWS - Config Enum

Supportez HackTricks

AWS Config

AWS Config capture les changements de ressources, donc tout changement apporté à une ressource prise en charge par Config peut être enregistré, ce qui enregistrera ce qui a changé ainsi que d'autres métadonnées utiles, le tout conservé dans un fichier connu sous le nom d'élément de configuration, un CI. Ce service est spécifique à la région.

Un élément de configuration ou CI comme on l'appelle, est un composant clé d'AWS Config. Il est composé d'un fichier JSON qui contient les informations de configuration, les informations de relation et d'autres métadonnées sous forme de vue instantanée à un moment donné d'une ressource prise en charge. Toutes les informations qu'AWS Config peut enregistrer pour une ressource sont capturées dans le CI. Un CI est créé chaque fois qu'une ressource prise en charge subit un changement dans sa configuration de quelque manière que ce soit. En plus d'enregistrer les détails de la ressource affectée, AWS Config enregistrera également des CIs pour toutes les ressources directement liées afin de s'assurer que le changement n'a pas également affecté ces ressources.

  • Métadonnées : Contient des détails sur l'élément de configuration lui-même. Un ID de version et un ID de configuration, qui identifient de manière unique le CI. D'autres informations peuvent inclure un MD5Hash qui vous permet de comparer d'autres CIs déjà enregistrés contre la même ressource.

  • Attributs : Cela contient des informations d'attributs communs par rapport à la ressource réelle. Dans cette section, nous avons également un ID de ressource unique, et toutes les balises de valeur clé qui sont associées à la ressource. Le type de ressource est également listé. Par exemple, si c'était un CI pour une instance EC2, les types de ressources listés pourraient être l'interface réseau, ou l'adresse IP élastique pour cette instance EC2.

  • Relations : Cela contient des informations sur toute relation connectée que la ressource peut avoir. Donc, dans cette section, il montrerait une description claire de toute relation avec d'autres ressources que cette ressource avait. Par exemple, si le CI était pour une instance EC2, la section des relations pourrait montrer la connexion à un VPC ainsi que le sous-réseau dans lequel l'instance EC2 réside.

  • Configuration actuelle : Cela affichera les mêmes informations qui seraient générées si vous effectuiez un appel API de description ou de liste effectué par l'AWS CLI. AWS Config utilise les mêmes appels API pour obtenir les mêmes informations.

  • Événements liés : Cela se rapporte à AWS CloudTrail. Cela affichera l'ID d'événement AWS CloudTrail qui est lié au changement qui a déclenché la création de ce CI. Un nouveau CI est créé pour chaque changement apporté à une ressource. En conséquence, différents IDs d'événements CloudTrail seront créés.

Historique de configuration : Il est possible d'obtenir l'historique de configuration des ressources grâce aux éléments de configuration. Un historique de configuration est livré toutes les 6 heures et contient tous les CI pour un type de ressource particulier.

Flux de configuration : Les éléments de configuration sont envoyés à un sujet SNS pour permettre l'analyse des données.

Instantanés de configuration : Les éléments de configuration sont utilisés pour créer un instantané à un moment donné de toutes les ressources prises en charge.

S3 est utilisé pour stocker les fichiers d'historique de configuration et tous les instantanés de configuration de vos données dans un seul bucket, qui est défini dans l'enregistreur de configuration. Si vous avez plusieurs comptes AWS, vous voudrez peut-être agréger vos fichiers d'historique de configuration dans le même bucket S3 pour votre compte principal. Cependant, vous devrez accorder un accès en écriture pour ce principe de service, config.amazonaws.com, et vos comptes secondaires avec un accès en écriture au bucket S3 dans votre compte principal.

Fonctionnement

  • Lorsque des changements sont effectués, par exemple sur un groupe de sécurité ou une liste de contrôle d'accès de bucket —> déclenche un événement capté par AWS Config

  • Stocke tout dans un bucket S3

  • En fonction de la configuration, dès qu'un changement se produit, cela pourrait déclencher une fonction lambda OU planifier une fonction lambda pour examiner périodiquement les paramètres AWS Config

  • Lambda renvoie des informations à Config

  • Si une règle a été enfreinte, Config déclenche un SNS

Règles de configuration

Les règles de configuration sont un excellent moyen de vous aider à appliquer des contrôles et des vérifications de conformité spécifiques sur vos ressources, et vous permettent d'adopter une spécification de déploiement idéale pour chacun de vos types de ressources. Chaque règle est essentiellement une fonction lambda qui, lorsqu'elle est appelée, évalue la ressource et effectue une logique simple pour déterminer le résultat de conformité avec la règle. Chaque fois qu'un changement est apporté à l'une de vos ressources prises en charge, AWS Config vérifiera la conformité par rapport à toutes les règles de configuration que vous avez en place. AWS a un certain nombre de règles prédéfinies qui relèvent du domaine de la sécurité et qui sont prêtes à l'emploi. Par exemple, Rds-storage-encrypted. Cela vérifie si le chiffrement de stockage est activé par vos instances de base de données RDS. Encrypted-volumes. Cela vérifie si des volumes EBS qui ont un état attaché sont chiffrés.

  • Règles gérées par AWS : Ensemble de règles prédéfinies qui couvrent de nombreuses meilleures pratiques, donc il vaut toujours la peine de parcourir ces règles d'abord avant de configurer les vôtres, car il y a une chance que la règle existe déjà.

  • Règles personnalisées : Vous pouvez créer vos propres règles pour vérifier des configurations personnalisées spécifiques.

Limite de 50 règles de configuration par région avant de devoir contacter AWS pour une augmentation. Les résultats non conformes NE sont PAS supprimés.

Supportez HackTricks

Last updated