AWS - Config Enum
Last updated
Last updated
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)
AWS Config kaynak değişikliklerini yakalar, bu nedenle Config tarafından desteklenen bir kaynağa yapılan herhangi bir değişiklik kaydedilebilir, bu da değişenleri ve diğer yararlı meta verileri içeren bir dosya olan bir yapılandırma öğesi (CI) içinde tutulur. Bu hizmet bölgeye özgüdür.
Bir yapılandırma öğesi veya CI olarak bilinen şey, AWS Config'in temel bir bileşenidir. Bu, yapılandırma bilgilerini, ilişki bilgilerini ve desteklenen bir kaynağın anlık görüntü görünümünü içeren bir JSON dosyasından oluşur. AWS Config'in bir kaynak için kaydedebileceği tüm bilgiler CI içinde yakalanır. Bir CI, desteklenen bir kaynağın yapılandırmasında herhangi bir değişiklik yapıldığında her seferinde oluşturulur. Etkilenen kaynağın ayrıntılarını kaydetmenin yanı sıra, AWS Config, bu değişikliğin diğer kaynakları etkilemediğinden emin olmak için doğrudan ilgili kaynaklar için de CI'ler kaydedecektir.
Meta veriler: Yapılandırma öğesinin kendisi hakkında ayrıntılar içerir. CI'yi benzersiz şekilde tanımlayan bir sürüm kimliği ve bir yapılandırma kimliği. Diğer bilgiler, aynı kaynakla karşılaştırmanıza olanak tanıyan bir MD5Hash'ı içerebilir.
Özellikler: Bu, gerçek kaynakla ilgili ortak özellik bilgilerini tutar. Bu bölümde, ayrıca benzersiz bir kaynak kimliği ve kaynağa bağlı olan herhangi bir anahtar değer etiketi bulunur. Kaynak türü de listelenir. Örneğin, bu bir EC2 örneği için bir CI ise, listelenen kaynak türleri ağ arayüzü veya o EC2 örneği için elastik IP adresi olabilir.
İlişkiler: Bu, kaynağın sahip olabileceği herhangi bir bağlı ilişki hakkında bilgi tutar. Bu bölümde, bu kaynağın diğer kaynaklarla olan ilişkisini açık bir şekilde tanımlayan bir açıklama gösterilecektir. Örneğin, CI bir EC2 örneği içinse, ilişki bölümü, EC2 örneğinin bulunduğu alt ağ ile birlikte bir VPC'ye bağlantıyı gösterebilir.
Mevcut yapılandırma: Bu, AWS CLI tarafından yapılan bir tanım veya liste API çağrısı gerçekleştirildiğinde üretilen aynı bilgileri gösterecektir. AWS Config, aynı bilgileri almak için aynı API çağrılarını kullanır.
İlgili olaylar: Bu, AWS CloudTrail ile ilgilidir. Bu, bu CI'nin oluşturulmasına neden olan değişiklikle ilgili AWS CloudTrail olay kimliğini gösterecektir. Bir kaynağa yapılan her değişiklik için yeni bir CI oluşturulur. Sonuç olarak, farklı CloudTrail olay kimlikleri oluşturulacaktır.
Yapılandırma Geçmişi: Yapılandırma öğeleri sayesinde kaynakların yapılandırma geçmişini elde etmek mümkündür. Bir yapılandırma geçmişi her 6 saatte bir teslim edilir ve belirli bir kaynak türü için tüm CI'leri içerir.
Yapılandırma Akışları: Yapılandırma öğeleri, verilerin analizini sağlamak için bir SNS Konusuna gönderilir.
Yapılandırma Anlık Görüntüleri: Yapılandırma öğeleri, tüm desteklenen kaynakların anlık görüntüsünü oluşturmak için kullanılır.
S3, yapılandırma geçmişi dosyalarını ve verilerinizin herhangi bir yapılandırma anlık görüntüsünü tek bir kovada saklamak için kullanılır; bu kova yapılandırma kaydedicisinde tanımlanmıştır. Birden fazla AWS hesabınız varsa, yapılandırma geçmişi dosyalarınızı birincil hesabınız için aynı S3 kovasında toplamak isteyebilirsiniz. Ancak, bu hizmet ilkesine, config.amazonaws.com, ve birincil hesabınızdaki S3 kovasına yazma erişimi olan ikincil hesaplarınıza yazma erişimi vermeniz gerekecektir.
Değişiklik yaptığınızda, örneğin güvenlik grubu veya kova erişim kontrol listesine —> AWS Config tarafından alınan bir Olay olarak ateşlenir
Her şeyi S3 kovasında saklar
Kuruluma bağlı olarak, bir şey değiştiğinde bir lambda işlevini tetikleyebilir veya AWS Config ayarlarını periyodik olarak kontrol etmek için bir lambda işlevesi planlayabilir
Lambda, Config'e geri besleme yapar
Kural ihlal edilmişse, Config bir SNS başlatır
Config kuralları, kaynaklarınız arasında belirli uyum kontrollerini ve kontrolleri uygulamanıza yardımcı olmak için harika bir yoldur ve her bir kaynak türü için ideal bir dağıtım spesifikasyonu benimsemenizi sağlar. Her kural temelde bir lambda işlevidir ve çağrıldığında kaynağı değerlendirir ve kural ile uyum sonucunu belirlemek için bazı basit mantık yürütür. Desteklenen kaynaklarınızdan birinde her değişiklik yapıldığında, AWS Config, mevcut olan herhangi bir config kuralına karşı uyumu kontrol edecektir. AWS, kullanıma hazır olan güvenlik şemsiyesi altındaki bir dizi önceden tanımlanmış kural sunmaktadır. Örneğin, Rds-storage-encrypted. Bu, depolama şifrelemesinin RDS veritabanı örnekleriniz tarafından etkinleştirilip etkinleştirilmediğini kontrol eder. Encrypted-volumes. Bu, bağlı durumda olan herhangi bir EBS hacminin şifrelenip şifrelenmediğini kontrol eder.
AWS Yönetilen kurallar: Birçok en iyi uygulamayı kapsayan önceden tanımlanmış kurallar seti, bu nedenle kendi kurallarınızı ayarlamadan önce bu kuralları gözden geçirmek her zaman faydalıdır çünkü kuralın zaten mevcut olma ihtimali vardır.
Özel kurallar: Belirli özel yapılandırmaları kontrol etmek için kendi kurallarınızı oluşturabilirsiniz.
Bölge başına 50 config kuralı sınırı vardır, artırma için AWS ile iletişime geçmeniz gerekir. Uyumsuz sonuçlar SİLİNMEZ.
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)
