AWS Konfiguracija

AWS Config snima promene resursa, tako da se svaka promena resursa podržanog od strane Config-a može zabeležiti, što će zabeležiti šta se promenilo zajedno sa drugim korisnim metapodacima, sve smešteno u datoteku poznatu kao konfiguraciona stavka, CI. Ova usluga je specifična za region.

Konfiguraciona stavka ili CI kako je poznata, ključna je komponenta AWS Config-a. Sastoji se od JSON datoteke koja drži informacije o konfiguraciji, informacije o odnosima i druge metapodatke kao trenutni prikaz podržanog resursa. Sve informacije koje AWS Config može zabeležiti za resurs su zabeležene unutar CI-ja. CI se kreira svaki put kada se podržani resurs promeni na bilo koji način. Pored zabeleženih detalja o pogođenom resursu, AWS Config će takođe zabeležiti CI-jeve za sve direktno povezane resurse kako bi se osiguralo da promena nije uticala na te resurse.

• Metapodaci: Sadrži detalje o samoj konfiguracionoj stavci. ID verzije i ID konfiguracije, koji jedinstveno identifikuju CI. Ostale informacije mogu uključivati MD5Hash koji vam omogućava poređenje drugih već zabeleženih CI-jeva protiv istog resursa.

• Atributi: Ovde se drže zajedničke informacije o atributima protiv stvarnog resursa. U okviru ove sekcije, takođe imamo jedinstveni ID resursa, i sve oznake ključnih vrednosti koje su povezane sa resursom. Takođe je naveden tip resursa. Na primer, ako je ovo CI za instancu EC2, navedeni tipovi resursa mogu biti mrežni interfejs ili elastična IP adresa za tu instancu EC2.

• Odnosi: Ovde se drže informacije o bilo kojem povezanom odnosu koji resurs može imati. Dakle, u ovoj sekciji bi se prikazao jasan opis bilo kog odnosa sa drugim resursima koje ovaj resurs ima. Na primer, ako je CI za instancu EC2, sekcija odnosa može prikazati povezanost sa VPC-om zajedno sa podmrežom u kojoj se nalazi instanca EC2.

• Trenutna konfiguracija: Prikazaće iste informacije koje bi bile generisane ako biste izvršili API poziv za opis ili listu putem AWS CLI-ja. AWS Config koristi iste API pozive da bi dobio iste informacije.

• Povezani događaji: Odnosi se na AWS CloudTrail. Prikazaće ID događaja AWS CloudTrail-a koji je povezan sa promenom koja je pokrenula kreiranje ovog CI-ja. Za svaku promenu napravljenu protiv resursa kreira se novi CI. Kao rezultat toga, biće kreirani različiti ID-ovi događaja CloudTrail-a.

Istorija konfiguracije: Moguće je dobiti istoriju konfiguracije resursa zahvaljujući konfiguracionim stavkama. Istorija konfiguracije se isporučuje svakih 6 sati i sadrži sve CI-jeve za određeni tip resursa.

Tokovi konfiguracije: Konfiguracione stavke se šalju na SNS temu kako bi se omogućila analiza podataka.

Snapshotovi konfiguracije: Konfiguracione stavke se koriste za kreiranje trenutnog snimka svih podržanih resursa.

S3 se koristi za skladištenje datoteka istorije konfiguracije i svih snimaka konfiguracije vaših podataka unutar jedne kante, koja je definisana unutar snimača konfiguracije. Ako imate više AWS naloga, možda ćete želeti da agregirate datoteke istorije konfiguracije u istu S3 kantu za vaš primarni nalog. Međutim, moraćete da odobrite pristup za pisanje ovom servisnom principu, config.amazonaws.com, i vašim sekundarnim nalozima sa pristupom za pisanje u S3 kantu u vašem primarnom nalogu.

Funkcionisanje

• Kada napravite promene, na primer u kontrolnoj listi pristupa sigurnosnoj grupi ili kanti —> pokreće se kao događaj koji prepoznaje AWS Config

• Sve se čuva u S3 kanti

• Zavisno od postavke, čim se nešto promeni, to bi moglo pokrenuti lambda funkciju ILI zakazati lambda funkciju da periodično pregleda postavke AWS Config-a

• Lambda vraća povratnu informaciju Config-u

• Ako je pravilo prekršeno, Config pokreće SNS

Pravila konfiguracije

Pravila konfiguracije su odličan način da vam pomognu sprovedete određene provere usaglašenosti i kontrole preko vaših resursa, i omogućavaju vam da usvojite idealnu specifikaciju implementacije za svaku vrstu resursa. Svako pravilo je u osnovi lambda funkcija koja kada se pozove procenjuje resurs i sprovodi neku jednostavnu logiku kako bi odredila usaglašenost sa pravilom. Svaki put kada se napravi promena na jednom od vaših podržanih resursa, AWS Config će proveriti usaglašenost sa svim pravilima konfiguracije koje imate. AWS ima nekoliko unapred definisanih pravila koja spadaju pod sigurnosni kišobran i spremna su za upotrebu. Na primer, Rds-storage-encrypted. Ovo proverava da li je enkripcija skladišta aktivirana za vaše RDS baze podataka. Encrypted-volumes. Ovo proverava da li su enkriptovani bilo koji EBS volumeni koji imaju priloženo stanje.

• AWS Upravljana pravila: Set unapred definisanih pravila koja pokrivaju mnoge najbolje prakse, pa je uvek vredno pregledati ova pravila pre nego što postavite svoja jer postoji šansa da pravilo već postoji.

• Prilagođena pravila: Možete kreirati svoja pravila da proverite specifične prilagođene konfiguracije.

Limit od 50 pravila konfiguracije po regionu pre nego što morate kontaktirati AWS za povećanje. Nesaglasni rezultati NISU izbrisani.