Last updated
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
AWS Config inakamata mabadiliko ya rasilimali, hivyo mabadiliko yoyote kwa rasilimali inayoungwa mkono na Config yanaweza kurekodiwa, ambayo itarekodi kilichobadilika pamoja na metadata nyingine muhimu, yote yakiwa ndani ya faili inayojulikana kama kipengele cha usanidi, CI. Huduma hii ni maalum kwa eneo.
Kipengele cha usanidi au CI kama inavyojulikana, ni sehemu muhimu ya AWS Config. Inajumuisha faili ya JSON ambayo ina habari za usanidi, habari za uhusiano na metadata nyingine kama muonekano wa picha ya wakati wa sasa wa rasilimali inayoungwa mkono. Taarifa zote ambazo AWS Config inaweza kurekodi kwa rasilimali zinakamatwa ndani ya CI. CI inaundwa kila wakati rasilimali inayoungwa mkono inapopewa mabadiliko yoyote kwenye usanidi wake. Mbali na kurekodi maelezo ya rasilimali iliyoathiriwa, AWS Config pia itarekodi CIs kwa rasilimali zozote zinazohusiana moja kwa moja ili kuhakikisha mabadiliko hayo hayakuhusisha rasilimali hizo pia.
Metadata: Inajumuisha maelezo kuhusu kipengele cha usanidi chenyewe. Kitambulisho cha toleo na kitambulisho cha usanidi, ambacho kinatambulisha kipekee CI. Taarifa nyingine zinaweza kujumuisha MD5Hash inayokuruhusu kulinganisha CIs nyingine ambazo tayari zimeandikwa dhidi ya rasilimali hiyo hiyo.
Attributes: Hii inashikilia habari za kawaida za attributes dhidi ya rasilimali halisi. Ndani ya sehemu hii, pia tuna kitambulisho cha kipekee cha rasilimali, na vitambulisho vyovyote vya thamani muhimu vinavyohusishwa na rasilimali hiyo. Aina ya rasilimali pia inatajwa. Kwa mfano, ikiwa hii ilikuwa CI kwa mfano wa EC2, aina za rasilimali zilizoorodheshwa zinaweza kuwa kiunganishi cha mtandao, au anwani ya IP elastic kwa mfano huo wa EC2.
Relationships: Hii inashikilia habari za uhusiano wowote uliounganishwa ambao rasilimali inaweza kuwa nao. Hivyo ndani ya sehemu hii, itatoa maelezo wazi ya uhusiano wowote na rasilimali nyingine ambazo rasilimali hii ilikuwa nayo. Kwa mfano, ikiwa CI ilikuwa kwa mfano wa EC2, sehemu ya uhusiano inaweza kuonyesha kiunganishi kwa VPC pamoja na subnet ambayo mfano wa EC2 unakaa.
Current configuration: Hii itaonyesha habari sawa ambayo ingezalishwa ikiwa ungeweza kufanya wito wa kuelezea au orodha ya API iliyofanywa na AWS CLI. AWS Config inatumia wito sawa wa API kupata habari sawa.
Related events: Hii inahusiana na AWS CloudTrail. Hii itaonyesha kitambulisho cha tukio la AWS CloudTrail kinachohusiana na mabadiliko yaliyosababisha uundaji wa CI hii. Kuna CI mpya inayoundwa kwa kila mabadiliko yaliyofanywa dhidi ya rasilimali. Kama matokeo, vitambulisho tofauti vya tukio la CloudTrail vitaundwa.
Historia ya Usanidi: Inawezekana kupata historia ya usanidi wa rasilimali kutokana na vipengele vya usanidi. Historia ya usanidi inatolewa kila masaa 6 na ina CIs zote za aina fulani ya rasilimali.
Mito ya Usanidi: Vipengele vya usanidi vinatumwa kwa SNS Topic ili kuwezesha uchambuzi wa data.
Picha za Usanidi: Vipengele vya usanidi vinatumika kuunda picha ya wakati wa sasa ya rasilimali zote zinazoungwa mkono.
S3 inatumika kuhifadhi faili za Historia ya Usanidi na picha zozote za Usanidi za data yako ndani ya ndoo moja, ambayo inafafanuliwa ndani ya rekodi ya usanidi. Ikiwa una akaunti nyingi za AWS unaweza kutaka kuunganisha faili zako za historia ya usanidi ndani ya ndoo moja ya S3 kwa akaunti yako kuu. Hata hivyo, utahitaji kutoa ruhusa ya kuandika kwa kanuni hii ya huduma, config.amazonaws.com, na akaunti zako za sekondari zikiwa na ruhusa ya kuandika kwenye ndoo ya S3 katika akaunti yako kuu.
Wakati unafanya mabadiliko, kwa mfano kwa kundi la usalama au orodha ya udhibiti wa ufikiaji wa ndoo —> itazindua kama Tukio lililochukuliwa na AWS Config
Huhifadhi kila kitu kwenye ndoo ya S3
Kulingana na mipangilio, mara tu kitu kinapobadilika kinaweza kuanzisha kazi ya lambda AU kupanga kazi ya lambda kuangalia mara kwa mara mipangilio ya AWS Config
Lambda inarudisha taarifa kwa Config
Ikiwa sheria imevunjwa, Config inazindua SNS
Sheria za Config ni njia nzuri ya kukusaidia kuthibitisha ukaguzi maalum wa ufuatiliaji na udhibiti katika rasilimali zako, na inakuwezesha kupitisha spesifikesheni bora ya uanzishaji kwa kila aina ya rasilimali zako. Kila sheria kimsingi ni kazi ya lambda ambayo inapoitwa inakagua rasilimali na inatekeleza mantiki rahisi ili kubaini matokeo ya ufuatiliaji na sheria. Kila wakati mabadiliko yanapofanywa kwa moja ya rasilimali zako zinazoungwa mkono, AWS Config itakagua ufuatiliaji dhidi ya sheria zozote za config ambazo umeweka. AWS ina sheria kadhaa zilizowekwa awali ambazo ziko chini ya kivuli cha usalama ambazo ziko tayari kutumika. Kwa mfano, Rds-storage-encrypted. Hii inakagua ikiwa usimbaji wa hifadhi umewezeshwa na mifano yako ya RDS. Encrypted-volumes. Hii inakagua kuona ikiwa kuna EBS volumes zozote ambazo zina hali iliyoambatanishwa zimeandikwa.
Sheria za AWS Zinasimamiwa: Seti ya sheria zilizowekwa awali ambazo zinashughulikia mazoea bora mengi, hivyo daima inafaa kuangalia sheria hizi kwanza kabla ya kuweka zako mwenyewe kwani kuna uwezekano kwamba sheria hiyo inaweza tayari kuwepo.
Sheria za Kihandisi: Unaweza kuunda sheria zako mwenyewe ili kuangalia usanidi maalum.
Kikomo cha sheria 50 za config kwa kila eneo kabla ya kuhitaji kuwasiliana na AWS kwa ongezeko. Matokeo yasiyofuata sheria hayafutwi.
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
