AWS Config

AWS Config cattura le modifiche alle risorse, quindi qualsiasi modifica a una risorsa supportata da Config può essere registrata, registrando cosa è cambiato insieme ad altri metadati utili, il tutto contenuto in un file noto come elemento di configurazione, un CI. Questo servizio è specifico per la regione.

Un elemento di configurazione o CI come è noto, è un componente chiave di AWS Config. È composto da un file JSON che contiene le informazioni di configurazione, le informazioni sulle relazioni e altri metadati come vista istantanea a un punto nel tempo di una risorsa supportata. Tutte le informazioni che AWS Config può registrare per una risorsa sono catturate all'interno del CI. Un CI viene creato ogni volta che viene apportata una modifica alla configurazione di una risorsa supportata in qualsiasi modo. Oltre a registrare i dettagli della risorsa interessata, AWS Config registrerà anche CI per eventuali risorse direttamente correlate per garantire che la modifica non abbia interessato anche quelle risorse.

• Metadati: Contiene dettagli sull'elemento di configurazione stesso. Un ID versione e un ID configurazione, che identifica univocamente il CI. Altre informazioni possono includere un MD5Hash che consente di confrontare altri CI già registrati contro la stessa risorsa.

• Attributi: Questo contiene informazioni comuni sugli attributi effettivi della risorsa. All'interno di questa sezione, abbiamo anche un ID risorsa univoco e eventuali tag chiave valore associati alla risorsa. È inoltre elencato il tipo di risorsa. Ad esempio, se si trattasse di un CI per un'istanza EC2, i tipi di risorsa elencati potrebbero essere l'interfaccia di rete o l'indirizzo IP elastico per quella istanza EC2.

• Relazioni: Questo contiene informazioni per qualsiasi relazione connessa che la risorsa potrebbe avere. Quindi, all'interno di questa sezione, verrebbe mostrata una chiara descrizione di qualsiasi relazione con altre risorse che questa risorsa potrebbe avere. Ad esempio, se il CI fosse per un'istanza EC2, la sezione delle relazioni potrebbe mostrare la connessione a un VPC insieme alla subnet in cui risiede l'istanza EC2.

• Configurazione corrente: Visualizzerà le stesse informazioni che verrebbero generate se si eseguisse una chiamata API di descrizione o elenco effettuata tramite AWS CLI. AWS Config utilizza le stesse chiamate API per ottenere le stesse informazioni.

• Eventi correlati: Questo si riferisce a AWS CloudTrail. Visualizzerà l'ID evento AWS CloudTrail che è correlato alla modifica che ha attivato la creazione di questo CI. Viene creato un nuovo CI per ogni modifica apportata a una risorsa. Di conseguenza, verranno creati ID evento CloudTrail diversi.

Cronologia della configurazione: È possibile ottenere la cronologia della configurazione delle risorse grazie agli elementi di configurazione. Una cronologia della configurazione viene fornita ogni 6 ore e contiene tutti i CI per un particolare tipo di risorsa.

Flussi di configurazione: Gli elementi di configurazione vengono inviati a un topic SNS per abilitare l'analisi dei dati.

Snapshot delle configurazioni: Gli elementi di configurazione vengono utilizzati per creare un'istantanea a un punto nel tempo di tutte le risorse supportate.

S3 viene utilizzato per memorizzare i file della cronologia della configurazione e eventuali snapshot della configurazione dei dati all'interno di un singolo bucket, definito all'interno del registratore di configurazione. Se si dispone di più account AWS, è possibile aggregare i file della cronologia della configurazione nello stesso bucket S3 per il proprio account principale. Tuttavia, sarà necessario concedere l'accesso in scrittura per questo principio di servizio, config.amazonaws.com, e i propri account secondari con accesso in scrittura al bucket S3 nel proprio account principale.

Funzionamento

• Quando si apportano modifiche, ad esempio al gruppo di sicurezza o alla lista di controllo degli accessi al bucket —> scatta come un evento rilevato da AWS Config

• Memorizza tutto nel bucket S3

• A seconda della configurazione, non appena qualcosa cambia potrebbe attivare una funzione lambda OPPURE pianificare una funzione lambda per esaminare periodicamente le impostazioni di AWS Config

• Lambda fornisce feedback a Config

• Se una regola è stata violata, Config attiva un SNS

Regole di Config

Le regole di Config sono un ottimo modo per aiutarti a applicare controlli e verifiche di conformità specifici su tutte le tue risorse, e ti consentono di adottare una specifica di distribuzione ideale per ciascuno dei tuoi tipi di risorse. Ogni regola è essenzialmente una funzione lambda che, quando chiamata, valuta la risorsa e esegue una logica semplice per determinare il risultato di conformità con la regola. Ogni volta che viene apportata una modifica a una delle tue risorse supportate, AWS Config verificherà la conformità rispetto a eventuali regole di configurazione che hai in atto. AWS dispone di una serie di regole predefinite che rientrano nell'ambito della sicurezza e sono pronte all'uso. Ad esempio, Rds-storage-encrypted. Questo verifica se la crittografia dello storage è attivata dalle istanze del database RDS. Encrypted-volumes. Questo verifica se eventuali volumi EBS che hanno uno stato allegato sono crittografati.

• Regole gestite da AWS: Insieme di regole predefinite che coprono molte best practice, quindi vale sempre la pena esaminare prima queste regole prima di impostarne una propria in quanto potrebbe già esistere una regola.

• Regole personalizzate: È possibile creare regole personalizzate per controllare configurazioni personalizzate specifiche.

Limite di 50 regole di configurazione per regione prima di dover contattare AWS per un aumento. I risultati non conformi NON vengono eliminati.