AWS - Config Enum

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE) GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks का समर्थन करें

सदस्यता योजनाएँ देखें!
हमारे साथ जुड़ें 💬 Discord समूह या टेलीग्राम समूह या हमारा अनुसरण करें Twitter 🐦 @hacktricks_live.
हैकिंग ट्रिक्स साझा करें HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PR सबमिट करके।

AWS Config

AWS Config संसाधन परिवर्तनों को कैप्चर करता है, इसलिए Config द्वारा समर्थित किसी भी संसाधन में परिवर्तन को रिकॉर्ड किया जा सकता है, जो यह रिकॉर्ड करेगा कि क्या बदला गया है साथ ही अन्य उपयोगी मेटाडेटा, सभी को एक फ़ाइल में रखा गया है जिसे कॉन्फ़िगरेशन आइटम कहा जाता है, एक CI। यह सेवा क्षेत्र विशेष है।

एक कॉन्फ़िगरेशन आइटम या CI जैसा कि इसे कहा जाता है, AWS Config का एक प्रमुख घटक है। यह एक JSON फ़ाइल से बना होता है जो कॉन्फ़िगरेशन जानकारी, संबंध जानकारी और अन्य मेटाडेटा को एक समर्थित संसाधन के समय-विशिष्ट स्नैपशॉट दृश्य के रूप में रखता है। AWS Config द्वारा किसी संसाधन के लिए रिकॉर्ड की जा सकने वाली सभी जानकारी CI के भीतर कैप्चर की जाती है। एक CI हर बार बनाया जाता है जब किसी समर्थित संसाधन में किसी भी तरह से इसके कॉन्फ़िगरेशन में परिवर्तन किया जाता है। प्रभावित संसाधन के विवरण को रिकॉर्ड करने के अलावा, AWS Config किसी भी सीधे संबंधित संसाधनों के लिए भी CIs को रिकॉर्ड करेगा ताकि यह सुनिश्चित किया जा सके कि परिवर्तन ने उन संसाधनों को भी प्रभावित नहीं किया।

मेटाडेटा: कॉन्फ़िगरेशन आइटम के बारे में विवरण शामिल करता है। एक संस्करण ID और एक कॉन्फ़िगरेशन ID, जो CI को अद्वितीय रूप से पहचानता है। अन्य जानकारी में एक MD5Hash शामिल हो सकता है जो आपको पहले से रिकॉर्ड किए गए अन्य CIs की तुलना करने की अनुमति देता है।
विशेषताएँ: यह वास्तविक संसाधन के खिलाफ सामान्य विशेषता जानकारी रखता है। इस अनुभाग में, हमारे पास एक अद्वितीय संसाधन ID है, और किसी भी कुंजी मान टैग जो संसाधन से जुड़े हैं। संसाधन प्रकार भी सूचीबद्ध है। उदाहरण के लिए, यदि यह एक EC2 उदाहरण के लिए CI था, तो सूचीबद्ध संसाधन प्रकार नेटवर्क इंटरफेस या उस EC2 उदाहरण के लिए इलास्टिक IP पता हो सकते हैं।
संबंध: यह किसी भी जुड़े संबंध के लिए जानकारी रखता है जो संसाधन हो सकता है। इसलिए इस अनुभाग में, यह अन्य संसाधनों के साथ किसी भी संबंध का स्पष्ट विवरण दिखाएगा जो इस संसाधन के पास था। उदाहरण के लिए, यदि CI एक EC2 उदाहरण के लिए था, तो संबंध अनुभाग VPC के साथ कनेक्शन और उस सबनेट को दिखा सकता है जिसमें EC2 उदाहरण स्थित है।
वर्तमान कॉन्फ़िगरेशन: यह वही जानकारी प्रदर्शित करेगा जो AWS CLI द्वारा किए गए वर्णन या सूची API कॉल के दौरान उत्पन्न होगी। AWS Config समान जानकारी प्राप्त करने के लिए समान API कॉल का उपयोग करता है।
संबंधित घटनाएँ: यह AWS CloudTrail से संबंधित है। यह AWS CloudTrail घटना ID को प्रदर्शित करेगा जो इस CI के निर्माण को ट्रिगर करने वाले परिवर्तन से संबंधित है। प्रत्येक संसाधन के खिलाफ किए गए प्रत्येक परिवर्तन के लिए एक नया CI बनाया जाता है। परिणामस्वरूप, विभिन्न CloudTrail घटना IDs बनाई जाएंगी।

कॉन्फ़िगरेशन इतिहास: संसाधनों के कॉन्फ़िगरेशन इतिहास को कॉन्फ़िगरेशन आइटम के कारण प्राप्त करना संभव है। एक कॉन्फ़िगरेशन इतिहास हर 6 घंटे में वितरित किया जाता है और एक विशेष संसाधन प्रकार के लिए सभी CIs को शामिल करता है।

कॉन्फ़िगरेशन स्ट्रीम: डेटा के विश्लेषण को सक्षम करने के लिए कॉन्फ़िगरेशन आइटम को एक SNS टॉपिक पर भेजा जाता है।

कॉन्फ़िगरेशन स्नैपशॉट: सभी समर्थित संसाधनों का समय-विशिष्ट स्नैपशॉट बनाने के लिए कॉन्फ़िगरेशन आइटम का उपयोग किया जाता है।

S3 का उपयोग किया जाता है कॉन्फ़िगरेशन इतिहास फ़ाइलों और आपके डेटा के किसी भी कॉन्फ़िगरेशन स्नैपशॉट को एकल बकेट में स्टोर करने के लिए, जिसे कॉन्फ़िगरेशन रिकॉर्डर के भीतर परिभाषित किया गया है। यदि आपके पास कई AWS खाते हैं, तो आप अपने प्राथमिक खाते के लिए एक ही S3 बकेट में अपने कॉन्फ़िगरेशन इतिहास फ़ाइलों को एकत्रित करना चाह सकते हैं। हालाँकि, आपको इस सेवा के सिद्धांत, config.amazonaws.com, और आपके द्वितीयक खातों को आपके प्राथमिक खाते में S3 बकेट के लिए लिखने की अनुमति देनी होगी।

कार्यप्रणाली

जब परिवर्तन किए जाते हैं, उदाहरण के लिए सुरक्षा समूह या बकेट एक्सेस कंट्रोल सूची में —> AWS Config द्वारा उठाए गए एक इवेंट के रूप में फायर करें
सब कुछ S3 बकेट में स्टोर करें
सेटअप के आधार पर, जैसे ही कुछ बदलता है, यह एक लैम्ब्डा फ़ंक्शन को ट्रिगर कर सकता है या AWS Config सेटिंग्स के माध्यम से समय-समय पर देखने के लिए लैम्ब्डा फ़ंक्शन को शेड्यूल कर सकता है
लैम्ब्डा Config को फीडबैक देता है
यदि नियम का उल्लंघन किया गया है, तो Config एक SNS को सक्रिय करता है

Config नियम

Config नियम आपके संसाधनों के बीच विशिष्ट अनुपालन जांच और नियंत्रण लागू करने में मदद करने का एक शानदार तरीका है, और आपको प्रत्येक संसाधन प्रकार के लिए एक आदर्श तैनाती विनिर्देश अपनाने की अनुमति देता है। प्रत्येक नियम आधारभूत रूप से एक लैम्ब्डा फ़ंक्शन है जो जब बुलाया जाता है तो संसाधन का मूल्यांकन करता है और नियम के साथ अनुपालन परिणाम निर्धारित करने के लिए कुछ सरल लॉजिक करता है। जब भी आपके समर्थित संसाधनों में से किसी एक में परिवर्तन किया जाता है, AWS Config किसी भी कॉन्फ़िगरेशन नियमों के खिलाफ अनुपालन की जांच करेगा जो आपके पास हैं। AWS के पास सुरक्षा छाते के तहत उपयोग के लिए तैयार कई पूर्वनिर्धारित नियम हैं। उदाहरण के लिए, Rds-storage-encrypted। यह जांचता है कि क्या आपके RDS डेटाबेस उदाहरणों द्वारा स्टोरेज एन्क्रिप्शन सक्रिय है। Encrypted-volumes। यह जांचता है कि क्या किसी भी EBS वॉल्यूम जो एक संलग्न स्थिति में हैं, एन्क्रिप्टेड हैं।

AWS प्रबंधित नियम: पूर्वनिर्धारित नियमों का एक सेट जो बहुत से सर्वोत्तम प्रथाओं को कवर करता है, इसलिए अपने स्वयं के सेटअप करने से पहले इन नियमों को ब्राउज़ करना हमेशा फायदेमंद होता है क्योंकि नियम पहले से ही मौजूद हो सकते हैं।
कस्टम नियम: आप विशिष्ट कस्टम कॉन्फ़िगरेशन की जांच के लिए अपने स्वयं के नियम बना सकते हैं।

प्रत्येक क्षेत्र में 50 कॉन्फ़िगरेशन नियमों की सीमा है, इससे पहले कि आपको वृद्धि के लिए AWS से संपर्क करना पड़े। गैर-अनुपालन परिणामों को हटाया नहीं जाता है।

HackTricks का समर्थन करें

सदस्यता योजनाएँ देखें!
हमारे साथ जुड़ें 💬 Discord समूह या टेलीग्राम समूह या हमारा अनुसरण करें Twitter 🐦 @hacktricks_live.
हैकिंग ट्रिक्स साझा करें HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PR सबमिट करके।

PreviousAWS - CloudWatch Enum NextAWS - Control Tower Enum

Last updated 1 month ago