AWS - Config Enum
Last updated
Last updated
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)
AWS Configはリソースの変更をキャプチャしますので、Configがサポートするリソースに対する変更はすべて記録され、何が変更されたかと他の有用なメタデータが記録され、構成アイテムとして知られるファイルに保持されます。このサービスはリージョン固有です。
構成アイテム、またはCIとして知られるものは、AWS Configの重要なコンポーネントです。これは、構成情報、関係情報、およびサポートされているリソースの時点でのスナップショットビューとしての他のメタデータを保持するJSONファイルで構成されています。AWS Configがリソースのために記録できるすべての情報はCI内にキャプチャされます。CIは、サポートされているリソースの構成に対して何らかの変更が行われるたびに作成されます。影響を受けたリソースの詳細を記録するだけでなく、AWS Configは、変更が他のリソースにも影響を与えなかったことを確認するために、直接関連するリソースのCIも記録します。
メタデータ:構成アイテム自体に関する詳細を含みます。CIを一意に識別するバージョンIDと構成ID。その他の情報には、同じリソースに対してすでに記録された他のCIと比較するためのMD5ハッシュが含まれる場合があります。
属性:これは実際のリソースに対する一般的な属性情報を保持します。このセクション内には、一意のリソースIDとリソースに関連付けられた任意のキー値タグもあります。リソースタイプもリストされます。たとえば、これがEC2インスタンスのCIである場合、リストされるリソースタイプは、そのEC2インスタンスのネットワークインターフェースやエラスティックIPアドレスである可能性があります。
関係:これはリソースが持つ可能性のある接続された関係に関する情報を保持します。このセクション内では、このリソースが持つ他のリソースとの関係の明確な説明が表示されます。たとえば、CIがEC2インスタンスのものである場合、関係セクションには、EC2インスタンスが存在するサブネットとともにVPCへの接続が表示されるかもしれません。
現在の構成:これは、AWS CLIによって行われたdescribeまたはlist API呼び出しを実行した場合に生成されるのと同じ情報を表示します。AWS Configは、同じ情報を取得するために同じAPI呼び出しを使用します。
関連イベント:これはAWS CloudTrailに関連します。これは、このCIの作成を引き起こした変更に関連するAWS CloudTrailイベントIDを表示します。リソースに対して行われた変更ごとに新しいCIが作成されます。その結果、異なるCloudTrailイベントIDが作成されます。
構成履歴:構成アイテムのおかげで、リソースの構成履歴を取得することが可能です。構成履歴は6時間ごとに配信され、特定のリソースタイプのすべてのCIを含みます。
構成ストリーム:構成アイテムはSNSトピックに送信され、データの分析を可能にします。
構成スナップショット:構成アイテムは、すべてのサポートされているリソースの時点でのスナップショットを作成するために使用されます。
S3は構成履歴ファイルとデータの構成スナップショットを単一のバケット内に保存するために使用され、これは構成レコーダー内で定義されます。複数のAWSアカウントがある場合、主要アカウントの同じS3バケットに構成履歴ファイルを集約したい場合があります。ただし、このサービスプリンシパルconfig.amazonaws.comと、主要アカウントのS3バケットへの書き込みアクセスを持つ二次アカウントに書き込みアクセスを付与する必要があります。
変更を加えると、たとえばセキュリティグループやバケットのアクセス制御リストに対して —> AWS Configによって拾われるイベントを発火させます
すべてをS3バケットに保存します
設定によっては、何かが変更されるとすぐにラムダ関数をトリガーするか、定期的にAWS Config設定を確認するためにラムダ関数をスケジュールすることができます
ラムダはConfigにフィードバックします
ルールが破られた場合、ConfigはSNSを発火させます
Configルールは、リソース全体で特定のコンプライアンスチェック およびコントロールを強制するのに役立つ素晴らしい方法であり、各リソースタイプに対して理想的なデプロイメント仕様を採用することを可能にします。各ルールは本質的にラムダ関数であり、呼び出されるとリソースを評価し、ルールに対するコンプライアンス結果を決定するための簡単なロジックを実行します。サポートされているリソースのいずれかに変更が加えられるたびに、AWS Configは、あなたが設定した任意のConfigルールに対してコンプライアンスをチェックします。 AWSには、使用する準備が整ったセキュリティの傘下にある事前定義されたルール**がいくつかあります。たとえば、Rds-storage-encrypted。これは、RDSデータベースインスタンスによってストレージ暗号化が有効になっているかどうかをチェックします。Encrypted-volumes。これは、接続状態のEBSボリュームが暗号化されているかどうかを確認します。
AWS管理ルール:多くのベストプラクティスをカバーする事前定義されたルールのセットであり、独自のルールを設定する前にこれらのルールを確認する価値があります。ルールがすでに存在する可能性があります。
カスタムルール:特定のカスタム構成をチェックするために独自のルールを作成できます。
リージョンごとに50のConfigルールの制限があり、増加が必要な場合はAWSに連絡する必要があります。 非準拠の結果は削除されません。
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)