Polish - Ht Cloud
HackTricks TrainingTwitterLinkedinSponsor

AWS - Config Enum

Wsparcie dla HackTricks

AWS Config

AWS Config rejestruje zmiany zasobów, więc każda zmiana w zasobie obsługiwanym przez Config może być zarejestrowana, co zarejestruje, co się zmieniło wraz z innymi przydatnymi metadanymi, wszystko przechowywane w pliku znanym jako element konfiguracji, CI. Ta usługa jest specyficzna dla regionu.

Element konfiguracji lub CI, jak to jest znane, jest kluczowym komponentem AWS Config. Składa się z pliku JSON, który przechowuje informacje o konfiguracji, informacje o relacjach i inne metadane jako widok migawki w danym momencie obsługiwanego zasobu. Wszystkie informacje, które AWS Config może zarejestrować dla zasobu, są przechwytywane w CI. CI jest tworzony za każdym razem, gdy w obsługiwanym zasobie dokonano jakiejkolwiek zmiany w jego konfiguracji. Oprócz rejestrowania szczegółów dotyczących dotkniętego zasobu, AWS Config zarejestruje również CI dla wszelkich bezpośrednio powiązanych zasobów, aby upewnić się, że zmiana nie wpłynęła również na te zasoby.

  • Metadane: Zawiera szczegóły dotyczące samego elementu konfiguracji. Identyfikator wersji i identyfikator konfiguracji, który unikalnie identyfikuje CI. Inne informacje mogą obejmować MD5Hash, który pozwala porównywać inne CI już zarejestrowane w odniesieniu do tego samego zasobu.

  • Atrybuty: Zawiera wspólne informacje o atrybutach w odniesieniu do rzeczywistego zasobu. W tej sekcji mamy również unikalny identyfikator zasobu oraz wszelkie kluczowe tagi wartości, które są związane z zasobem. Typ zasobu jest również wymieniony. Na przykład, jeśli był to CI dla instancji EC2, typy zasobów wymienione mogą obejmować interfejs sieciowy lub elastyczny adres IP dla tej instancji EC2.

  • Relacje: Zawiera informacje o wszelkich połączeniach relacji, które zasób może mieć. W tej sekcji wyświetli jasny opis wszelkich relacji z innymi zasobami, które ten zasób miał. Na przykład, jeśli CI dotyczyło instancji EC2, sekcja relacji może pokazać połączenie z VPC wraz z podsiecią, w której znajduje się instancja EC2.

  • Bieżąca konfiguracja: Wyświetli te same informacje, które byłyby generowane, gdybyś wykonał wywołanie API opisujące lub listujące za pomocą AWS CLI. AWS Config używa tych samych wywołań API, aby uzyskać te same informacje.

  • Powiązane zdarzenia: To odnosi się do AWS CloudTrail. Wyświetli identyfikator zdarzenia AWS CloudTrail, który jest związany ze zmianą, która wywołała utworzenie tego CI. Dla każdej zmiany dokonanej w zasobie tworzony jest nowy CI. W rezultacie będą tworzone różne identyfikatory zdarzeń CloudTrail.

Historia konfiguracji: Możliwe jest uzyskanie historii konfiguracji zasobów dzięki elementom konfiguracji. Historia konfiguracji jest dostarczana co 6 godzin i zawiera wszystkie CI dla danego typu zasobu.

Strumienie konfiguracji: Elementy konfiguracji są wysyłane do tematu SNS, aby umożliwić analizę danych.

Migawki konfiguracji: Elementy konfiguracji są używane do tworzenia migawki w danym momencie wszystkich obsługiwanych zasobów.

S3 jest używane do przechowywania plików historii konfiguracji i wszelkich migawek konfiguracji twoich danych w jednym koszyku, który jest definiowany w rejestratorze konfiguracji. Jeśli masz wiele kont AWS, możesz chcieć zgrupować pliki historii konfiguracji w tym samym koszyku S3 dla swojego głównego konta. Jednak będziesz musiał przyznać dostęp do zapisu dla tego zasady usługi, config.amazonaws.com, oraz twoich drugorzędnych kont z dostępem do zapisu do koszyka S3 w twoim głównym koncie.

Działanie

  • Gdy dokonujesz zmian, na przykład w grupie zabezpieczeń lub liście kontroli dostępu do koszyka —> wywołaj jako zdarzenie przechwycone przez AWS Config

  • Przechowuje wszystko w koszyku S3

  • W zależności od konfiguracji, gdy coś się zmienia, może to wywołać funkcję lambda LUB zaplanować funkcję lambda, aby okresowo przeszukiwać ustawienia AWS Config

  • Lambda przekazuje informacje z powrotem do Config

  • Jeśli zasada została naruszona, Config uruchamia SNS

Reguły Config

Reguły Config to świetny sposób, aby pomóc ci egzekwować konkretne kontrole zgodności i kontrole w całych zasobach, i pozwala ci przyjąć idealną specyfikację wdrożenia dla każdego z twoich typów zasobów. Każda reguła jest zasadniczo funkcją lambda, która, gdy jest wywoływana, ocenia zasób i wykonuje prostą logikę, aby określić wynik zgodności z regułą. Za każdym razem, gdy dokonuje się zmiany w jednym z twoich obsługiwanych zasobów, AWS Config sprawdzi zgodność z wszelkimi regułami konfiguracji, które masz w miejscu. AWS ma szereg zdefiniowanych reguł, które mieszczą się w ramach bezpieczeństwa i są gotowe do użycia. Na przykład, Rds-storage-encrypted. To sprawdza, czy szyfrowanie pamięci masowej jest aktywowane przez twoje instancje bazy danych RDS. Encrypted-volumes. To sprawdza, czy jakiekolwiek wolumeny EBS, które mają stan podłączenia, są szyfrowane.

  • Zarządzane reguły AWS: Zestaw zdefiniowanych reguł, które obejmują wiele najlepszych praktyk, więc zawsze warto najpierw przeszukać te reguły, zanim utworzysz własne, ponieważ istnieje szansa, że reguła może już istnieć.

  • Reguły niestandardowe: Możesz tworzyć własne reguły, aby sprawdzić konkretne niestandardowe konfiguracje.

Limit 50 reguł konfiguracji na region, zanim będziesz musiał skontaktować się z AWS w celu zwiększenia. Wyniki niezgodne nie są USUWANE.

Wsparcie dla HackTricks
PreviousAWS - CloudWatch EnumNextAWS - Control Tower Enum

Last updated