AWS - Config Enum

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

AWS Config

AWS Configはリソースの変更をキャプチャするため、Configがサポートするリソースに対する変更はすべて記録されます。これにより、変更内容と他の有用なメタデータが記録され、構成アイテム（CI）と呼ばれるファイル内に保持されます。このサービスはリージョン固有です。

構成アイテム、またはCIは、AWS Configの重要なコンポーネントです。これは、構成情報、関係情報、およびサポートされているリソースのスナップショットビューとしての他のメタデータを保持するJSONファイルで構成されています。AWS Configがリソースに対して記録できるすべての情報はCI内にキャプチャされます。CIは、サポートされているリソースの構成に変更が加えられるたびに作成されます。影響を受けたリソースの詳細を記録するだけでなく、AWS Configは直接関連するリソースのCIも記録して、変更がそれらのリソースにも影響を与えなかったことを確認します。

メタデータ: 構成アイテム自体の詳細を含みます。バージョンIDと構成IDがあり、CIを一意に識別します。他の情報には、同じリソースに対して既に記録されている他のCIと比較するためのMD5Hashが含まれることがあります。
属性: これは、実際のリソースに対する共通の属性情報を保持します。このセクションには、ユニークなリソースIDやリソースに関連付けられたキー値タグも含まれます。リソースタイプもリストされます。例えば、これはEC2インスタンスのCIであれば、リソースタイプにはネットワークインターフェースやそのEC2インスタンスのElastic IPアドレスがリストされる可能性があります。
関係: これは、リソースが持つ可能性のある関係に関する情報を保持します。このセクションには、このリソースが持つ他のリソースとの関係の明確な説明が表示されます。例えば、CIがEC2インスタンスのものであれば、関係セクションにはVPCとの接続やEC2インスタンスが存在するサブネットが表示されるかもしれません。
現在の構成: これは、AWS CLIによって行われたdescribeまたはlist APIコールによって生成されるのと同じ情報を表示します。AWS Configは同じAPIコールを使用して同じ情報を取得します。
関連イベント: これはAWS CloudTrailに関連します。これは、このCIの作成を引き起こした変更に関連するAWS CloudTrailイベントIDを表示します。リソースに対して変更が行われるたびに新しいCIが作成されます。その結果、異なるCloudTrailイベントIDが作成されます。

構成履歴: 構成アイテムのおかげで、リソースの構成履歴を取得することが可能です。構成履歴は6時間ごとに配信され、特定のリソースタイプのすべてのCIを含みます。

構成ストリーム: 構成アイテムはデータの分析を可能にするためにSNSトピックに送信されます。

構成スナップショット: 構成アイテムは、サポートされているすべてのリソースのスナップショットを作成するために使用されます。

S3は、構成履歴ファイルおよび構成スナップショットを単一のバケット内に保存するために使用されます。構成レコーダー内で定義されます。複数のAWSアカウントを持っている場合、構成履歴ファイルをプライマリアカウントの同じS3バケットに集約することを検討するかもしれません。ただし、このサービスプリンシパルconfig.amazonaws.comおよびセカンダリアカウントに対してS3バケットへの書き込みアクセスを付与する必要があります。

機能

例えば、セキュリティグループやバケットアクセス制御リストに変更を加えると、AWS Configによってイベントとしてトリガーされます
すべてがS3バケットに保存されます
設定に応じて、何かが変更されるとすぐにlambda関数をトリガーするか、または定期的にAWS Config設定を確認するようにlambda関数をスケジュールすることができます
LambdaはConfigにフィードバックします
ルールが破られた場合、ConfigはSNSを起動します

Config Rules

Configルールは、特定のコンプライアンスチェック およびリソース全体のコントロールを強制するのに役立ち、各リソースタイプの理想的なデプロイメント仕様を採用することができます。各ルールは基本的にlambda関数であり、呼び出されるとリソースを評価し、ルールに対するコンプライアンス結果を判断するための簡単なロジックを実行します。サポートされているリソースに変更が加えられるたびに、AWS Configは設定されているconfigルールに対するコンプライアンスをチェックします。 AWSには、使用可能なセキュリティに関連する事前定義されたルールが多数あります。例えば、Rds-storage-encrypted。これは、RDSデータベースインスタンスによってストレージ暗号化が有効になっているかどうかをチェックします。Encrypted-volumes。これは、アタッチされた状態のEBSボリュームが暗号化されているかどうかをチェックします。

AWS Managed rules: 多くのベストプラクティスをカバーする事前定義されたルールのセットです。独自のルールを設定する前にこれらのルールを確認する価値があります。既に存在する可能性があるためです。
Custom rules: 特定のカスタム構成をチェックするために独自のルールを作成できます。

リージョンごとに50のconfigルールの制限があり、増加を希望する場合はAWSに連絡する必要があります。非準拠の結果は削除されません。

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousAWS - CloudWatch Enum NextAWS - Control Tower Enum

Last updated 1 month ago