AWS - Config Enum
Last updated
Last updated
AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE) GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)
AWS Config संसाधन परिवर्तनों को कैप्चर करता है, इसलिए Config द्वारा समर्थित किसी भी संसाधन में परिवर्तन को रिकॉर्ड किया जा सकता है, जो यह रिकॉर्ड करेगा कि क्या बदला गया है साथ ही अन्य उपयोगी मेटाडेटा, सभी एक फ़ाइल में जो एक कॉन्फ़िगरेशन आइटम के रूप में जानी जाती है, एक CI। यह सेवा क्षेत्र विशेष है।
एक कॉन्फ़िगरेशन आइटम या CI जैसा कि इसे कहा जाता है, AWS Config का एक प्रमुख घटक है। यह एक JSON फ़ाइल से बना है जो कॉन्फ़िगरेशन जानकारी, संबंध जानकारी और अन्य मेटाडेटा को एक समर्थित संसाधन के समय-विशिष्ट स्नैपशॉट दृश्य के रूप में रखता है। AWS Config द्वारा किसी संसाधन के लिए रिकॉर्ड की जा सकने वाली सभी जानकारी CI के भीतर कैप्चर की जाती है। एक CI हर बार बनाया जाता है जब किसी समर्थित संसाधन में किसी भी तरह से इसके कॉन्फ़िगरेशन में परिवर्तन किया जाता है। प्रभावित संसाधन के विवरण को रिकॉर्ड करने के अलावा, AWS Config किसी भी सीधे संबंधित संसाधनों के लिए भी CIs को रिकॉर्ड करेगा ताकि यह सुनिश्चित किया जा सके कि परिवर्तन ने उन संसाधनों को भी प्रभावित नहीं किया।
मेटाडेटा: कॉन्फ़िगरेशन आइटम के बारे में विवरण शामिल करता है। एक संस्करण ID और एक कॉन्फ़िगरेशन ID, जो CI को अद्वितीय रूप से पहचानता है। अन्य जानकारी में एक MD5Hash शामिल हो सकता है जो आपको पहले से रिकॉर्ड किए गए अन्य CIs की तुलना करने की अनुमति देता है।
गुण: यह वास्तविक संसाधन के खिलाफ सामान्य गुण जानकारी रखता है। इस अनुभाग में, हमारे पास एक अद्वितीय संसाधन ID है, और किसी भी कुंजी मान टैग जो संसाधन से जुड़े हैं। संसाधन प्रकार भी सूचीबद्ध है। उदाहरण के लिए, यदि यह एक EC2 उदाहरण के लिए CI था, तो सूचीबद्ध संसाधन प्रकार नेटवर्क इंटरफेस या उस EC2 उदाहरण के लिए इलास्टिक IP पता हो सकते हैं।
संबंध: यह किसी भी जुड़े संबंध के लिए जानकारी रखता है जो संसाधन हो सकता है। इसलिए इस अनुभाग में, यह इस संसाधन के अन्य संसाधनों के साथ किसी भी संबंध का स्पष्ट विवरण दिखाएगा। उदाहरण के लिए, यदि CI एक EC2 उदाहरण के लिए था, तो संबंध अनुभाग VPC के साथ कनेक्शन और उस सबनेट को दिखा सकता है जिसमें EC2 उदाहरण स्थित है।
वर्तमान कॉन्फ़िगरेशन: यह वही जानकारी प्रदर्शित करेगा जो AWS CLI द्वारा किए गए वर्णन या सूची API कॉल करने पर उत्पन्न होगी। AWS Config समान जानकारी प्राप्त करने के लिए समान API कॉल का उपयोग करता है।
संबंधित घटनाएँ: यह AWS CloudTrail से संबंधित है। यह AWS CloudTrail घटना ID को प्रदर्शित करेगा जो इस CI के निर्माण को ट्रिगर करने वाले परिवर्तन से संबंधित है। प्रत्येक संसाधन के खिलाफ किए गए प्रत्येक परिवर्तन के लिए एक नया CI बनाया जाता है। परिणामस्वरूप, विभिन्न CloudTrail घटना IDs बनाई जाएंगी।
कॉन्फ़िगरेशन इतिहास: संसाधनों के कॉन्फ़िगरेशन इतिहास को कॉन्फ़िगरेशन आइटम के कारण प्राप्त करना संभव है। एक कॉन्फ़िगरेशन इतिहास हर 6 घंटे में वितरित किया जाता है और एक विशेष संसाधन प्रकार के लिए सभी CIs को शामिल करता है।
कॉन्फ़िगरेशन स्ट्रीम: डेटा के विश्लेषण को सक्षम करने के लिए कॉन्फ़िगरेशन आइटम को एक SNS टॉपिक पर भेजा जाता है।
कॉन्फ़िगरेशन स्नैपशॉट: सभी समर्थित संसाधनों का समय-विशिष्ट स्नैपशॉट बनाने के लिए कॉन्फ़िगरेशन आइटम का उपयोग किया जाता है।
S3 का उपयोग किया जाता है कॉन्फ़िगरेशन इतिहास फ़ाइलों और आपके डेटा के किसी भी कॉन्फ़िगरेशन स्नैपशॉट को एकल बकेट में स्टोर करने के लिए, जिसे कॉन्फ़िगरेशन रिकॉर्डर के भीतर परिभाषित किया गया है। यदि आपके पास कई AWS खाते हैं, तो आप अपने प्राथमिक खाते के लिए एक ही S3 बकेट में अपने कॉन्फ़िगरेशन इतिहास फ़ाइलों को एकत्रित करना चाह सकते हैं। हालाँकि, आपको इस सेवा के सिद्धांत, config.amazonaws.com, और आपके द्वितीयक खातों के लिए प्राथमिक खाते में S3 बकेट पर लिखने की अनुमति देने की आवश्यकता होगी।
जब परिवर्तन किए जाते हैं, उदाहरण के लिए सुरक्षा समूह या बकेट एक्सेस कंट्रोल सूची में —> AWS Config द्वारा उठाए गए एक इवेंट के रूप में फायर करें
सब कुछ S3 बकेट में स्टोर करें
सेटअप के आधार पर, जैसे ही कुछ बदलता है, यह एक लैंब्डा फ़ंक्शन को ट्रिगर कर सकता है या AWS Config सेटिंग्स के माध्यम से समय-समय पर देखने के लिए लैंब्डा फ़ंक्शन को शेड्यूल कर सकता है
लैंब्डा Config को फीडबैक देता है
यदि नियम का उल्लंघन किया गया है, तो Config एक SNS को सक्रिय करता है
Config नियम आपके संसाधनों के बीच विशिष्ट अनुपालन जांच और नियंत्रण लागू करने में मदद करने का एक शानदार तरीका है, और आपको प्रत्येक संसाधन प्रकार के लिए एक आदर्श तैनाती विनिर्देश अपनाने की अनुमति देता है। प्रत्येक नियम आधारभूत रूप से एक लैंब्डा फ़ंक्शन है जो जब बुलाया जाता है तो संसाधन का मूल्यांकन करता है और नियम के साथ अनुपालन परिणाम निर्धारित करने के लिए कुछ सरल लॉजिक करता है। जब भी आपके समर्थित संसाधनों में से किसी एक में परिवर्तन किया जाता है, तो AWS Config किसी भी कॉन्फ़िगरेशन नियमों के खिलाफ अनुपालन की जांच करेगा जो आपके पास हैं। AWS के पास सुरक्षा छत्र के तहत कई पूर्वनिर्धारित नियम हैं जो उपयोग के लिए तैयार हैं। उदाहरण के लिए, Rds-storage-encrypted। यह जांचता है कि क्या आपके RDS डेटाबेस उदाहरणों द्वारा स्टोरेज एन्क्रिप्शन सक्रिय है। Encrypted-volumes। यह जांचता है कि क्या कोई EBS वॉल्यूम जो एक संलग्न स्थिति में है, एन्क्रिप्टेड है।
AWS प्रबंधित नियम: पूर्वनिर्धारित नियमों का एक सेट जो बहुत से सर्वोत्तम प्रथाओं को कवर करता है, इसलिए अपने स्वयं के सेटअप करने से पहले इन नियमों को ब्राउज़ करना हमेशा फायदेमंद होता है क्योंकि नियम पहले से ही मौजूद हो सकते हैं।
कस्टम नियम: आप विशिष्ट कस्टम कॉन्फ़िगरेशन की जांच करने के लिए अपने स्वयं के नियम बना सकते हैं।
प्रत्येक क्षेत्र में 50 कॉन्फ़िगरेशन नियमों की सीमा है इससे पहले कि आपको वृद्धि के लिए AWS से संपर्क करना पड़े। गैर-अनुपालन परिणामों को हटाया नहीं जाता है।
AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE) GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)