Swahili - Ht Cloud
HackTricks TrainingTwitterLinkedinSponsor

AWS - Config Enum

Support HackTricks

AWS Config

AWS Config inakamata mabadiliko ya rasilimali, hivyo mabadiliko yoyote kwa rasilimali inayoungwa mkono na Config yanaweza kurekodiwa, ambayo it rekodi kile kilichobadilika pamoja na metadata nyingine muhimu, yote yakiwa ndani ya faili inayojulikana kama kipengele cha usanidi, CI. Huduma hii ni maalum kwa eneo.

Kipengele cha usanidi au CI kama inavyojulikana, ni sehemu muhimu ya AWS Config. Inajumuisha faili ya JSON ambayo ina habari za usanidi, habari za uhusiano na metadata nyingine kama muonekano wa picha ya wakati wa sasa wa rasilimali inayoungwa mkono. Taarifa zote ambazo AWS Config inaweza kurekodi kwa rasilimali zinakamatwa ndani ya CI. CI inaundwa kila wakati rasilimali inayoungwa mkono inapopewa mabadiliko yoyote kwenye usanidi wake. Mbali na kurekodi maelezo ya rasilimali iliyoathirika, AWS Config pia itarekodi CIs kwa rasilimali zozote zinazohusiana moja kwa moja ili kuhakikisha mabadiliko hayo hayakuhusisha rasilimali hizo pia.

  • Metadata: Inajumuisha maelezo kuhusu kipengele cha usanidi chenyewe. Kitambulisho cha toleo na kitambulisho cha usanidi, ambacho kinatambulisha kipekee CI. Taarifa nyingine zinaweza kujumuisha MD5Hash inayokuruhusu kulinganisha CIs nyingine ambazo tayari zimeandikwa dhidi ya rasilimali hiyo hiyo.

  • Attributes: Hii inashikilia habari za kawaida za sifa dhidi ya rasilimali halisi. Ndani ya sehemu hii, pia tuna kitambulisho cha kipekee cha rasilimali, na vitambulisho vyovyote vya thamani muhimu vinavyohusishwa na rasilimali. Aina ya rasilimali pia inatajwa. Kwa mfano, ikiwa hii ilikuwa CI kwa mfano wa EC2, aina za rasilimali zilizoorodheshwa zinaweza kuwa kiunganishi cha mtandao, au anwani ya IP elastic kwa mfano huo wa EC2.

  • Relationships: Hii inashikilia habari za uhusiano wowote uliounganishwa ambao rasilimali inaweza kuwa nao. Hivyo ndani ya sehemu hii, itatoa maelezo wazi ya uhusiano wowote na rasilimali nyingine ambazo rasilimali hii ilikuwa nayo. Kwa mfano, ikiwa CI ilikuwa kwa mfano wa EC2, sehemu ya uhusiano inaweza kuonyesha kiunganishi kwa VPC pamoja na subnet ambayo mfano wa EC2 unakaa.

  • Current configuration: Hii itaonyesha habari sawa ambayo ingezalishwa ikiwa ungeweza kufanya wito wa kuelezea au orodha ya API iliyofanywa na AWS CLI. AWS Config inatumia wito sawa wa API kupata habari sawa.

  • Related events: Hii inahusiana na AWS CloudTrail. Hii itaonyesha kitambulisho cha tukio la AWS CloudTrail kinachohusiana na mabadiliko yaliyosababisha kuundwa kwa CI hii. Kuna CI mpya inayoundwa kwa kila mabadiliko yaliyofanywa dhidi ya rasilimali. Kama matokeo, vitambulisho tofauti vya tukio la CloudTrail vitaundwa.

Historia ya Usanidi: Inawezekana kupata historia ya usanidi wa rasilimali kutokana na vipengele vya usanidi. Historia ya usanidi inatolewa kila masaa 6 na ina CIs zote za aina fulani ya rasilimali.

Mito ya Usanidi: Vipengele vya usanidi vinatumwa kwa SNS Topic ili kuwezesha uchambuzi wa data.

Picha za Usanidi: Vipengele vya usanidi vinatumika kuunda picha ya wakati wa sasa ya rasilimali zote zinazoungwa mkono.

S3 inatumika kuhifadhi faili za Historia ya Usanidi na picha zozote za Usanidi za data yako ndani ya ndoo moja, ambayo inafafanuliwa ndani ya rekodi ya usanidi. Ikiwa una akaunti nyingi za AWS unaweza kutaka kuunganisha faili zako za historia ya usanidi ndani ya ndoo moja ya S3 kwa akaunti yako kuu. Hata hivyo, utahitaji kutoa ruhusa ya kuandika kwa kanuni hii ya huduma, config.amazonaws.com, na akaunti zako za sekondari zikiwa na ruhusa ya kuandika kwenye ndoo ya S3 katika akaunti yako kuu.

Kazi

  • Wakati unafanya mabadiliko, kwa mfano kwa kundi la usalama au orodha ya udhibiti wa ufikiaji wa ndoo —> itawasha kama Tukio lililochukuliwa na AWS Config

  • Hifadhi kila kitu kwenye ndoo ya S3

  • Kulingana na usanidi, mara tu kitu kinapobadilika kinaweza kuanzisha kazi ya lambda AU kupanga kazi ya lambda kuangalia mara kwa mara mipangilio ya AWS Config

  • Lambda inarudisha kwa Config

  • Ikiwa sheria imevunjwa, Config inawasha SNS

Sheria za Config

Sheria za Config ni njia nzuri ya kukusaidia kuimarisha ukaguzi maalum wa ufuatiliaji na udhibiti katika rasilimali zako, na inakuwezesha kupitisha spesifikesheni bora ya kutekeleza kwa kila aina ya rasilimali zako. Kila sheria kimsingi ni kazi ya lambda ambayo inapoitwa inakagua rasilimali na inatekeleza mantiki rahisi ili kubaini matokeo ya ufuatiliaji na sheria. Kila wakati mabadiliko yanapofanywa kwa moja ya rasilimali zako zinazoungwa mkono, AWS Config itakagua ufuatiliaji dhidi ya sheria zozote za config ambazo umeweka. AWS ina sheria kadhaa zilizowekwa awali ambazo ziko chini ya kivuli cha usalama ambazo ziko tayari kutumika. Kwa mfano, Rds-storage-encrypted. Hii inakagua ikiwa usimbaji wa kuhifadhi umewezeshwa na mifano yako ya RDS. Encrypted-volumes. Hii inakagua kuona ikiwa kuna EBS volumes zozote ambazo zina hali iliyoambatanishwa zimewekwa usimbaji.

  • Sheria za AWS Zinasimamiwa: Seti ya sheria zilizowekwa awali ambazo zinashughulikia mazoea bora mengi, hivyo daima inafaa kuangalia sheria hizi kwanza kabla ya kuanzisha zako mwenyewe kwani kuna nafasi kwamba sheria hiyo inaweza tayari kuwepo.

  • Sheria za Kihandisi: Unaweza kuunda sheria zako mwenyewe kuangalia usanidi maalum wa kawaida.

Kikomo cha sheria 50 za config kwa kila eneo kabla ya kuhitaji kuwasiliana na AWS kwa kuongeza. Matokeo yasiyofuata hayatatolewa.

Support HackTricks
PreviousAWS - CloudWatch EnumNextAWS - Control Tower Enum

Last updated