Swahili - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

AWS - Config Enum

Support HackTricks

AWS Config

AWS Config hurekodi mabadiliko ya rasilimali, hivyo mabadiliko yoyote kwenye rasilimali inayoungwa mkono na Config yanaweza kurekodiwa, ambayo yatarekodi kile kilichobadilika pamoja na metadata nyingine muhimu, yote yakiwa ndani ya faili inayojulikana kama kipengee cha usanidi, CI. Huduma hii ni maalum kwa eneo.

Kipengee cha usanidi au CI kama kinavyojulikana, ni sehemu muhimu ya AWS Config. Kinajumuisha faili ya JSON ambayo inashikilia taarifa za usanidi, taarifa za uhusiano na metadata nyingine kama mwonekano wa wakati mmoja wa rasilimali inayoungwa mkono. Taarifa zote ambazo AWS Config inaweza kurekodi kwa rasilimali zinakamatwa ndani ya CI. CI inaundwa kila wakati rasilimali inayoungwa mkono inapofanyiwa mabadiliko kwa njia yoyote. Mbali na kurekodi maelezo ya rasilimali iliyoathiriwa, AWS Config pia itarekodi CIs kwa rasilimali yoyote inayohusiana moja kwa moja ili kuhakikisha mabadiliko hayakuathiri rasilimali hizo pia.

  • Metadata: Inajumuisha maelezo kuhusu kipengee cha usanidi chenyewe. Kitambulisho cha toleo na kitambulisho cha usanidi, ambacho kinatambulisha kipekee CI. Taarifa nyingine zinaweza kujumuisha MD5Hash ambayo inakuwezesha kulinganisha CIs nyingine zilizorekodiwa tayari dhidi ya rasilimali hiyo hiyo.

  • Attributes: Hii inashikilia taarifa za kawaida za sifa dhidi ya rasilimali halisi. Ndani ya sehemu hii, pia tuna kitambulisho cha kipekee cha rasilimali, na vitambulisho vya thamani muhimu vinavyohusishwa na rasilimali. Aina ya rasilimali pia imeorodheshwa. Kwa mfano, ikiwa hii ilikuwa CI kwa mfano wa EC2, aina za rasilimali zilizoorodheshwa zinaweza kuwa kiolesura cha mtandao, au anwani ya elastic IP kwa mfano wa EC2.

  • Relationships: Hii inashikilia taarifa kwa uhusiano wowote uliounganishwa ambao rasilimali inaweza kuwa nao. Kwa hivyo ndani ya sehemu hii, ingeonyesha maelezo wazi ya uhusiano wowote na rasilimali nyingine ambayo rasilimali hii ilikuwa nayo. Kwa mfano, ikiwa CI ilikuwa kwa mfano wa EC2, sehemu ya uhusiano inaweza kuonyesha uhusiano na VPC pamoja na subnet ambayo mfano wa EC2 unakaa.

  • Current configuration: Hii itaonyesha taarifa sawa ambayo ingekusanywa ikiwa ungefanya API call ya kuelezea au orodha iliyotolewa na AWS CLI. AWS Config hutumia API calls sawa kupata taarifa hiyo hiyo.

  • Related events: Hii inahusiana na AWS CloudTrail. Hii itaonyesha kitambulisho cha tukio cha AWS CloudTrail kinachohusiana na mabadiliko yaliyosababisha kuundwa kwa CI hii. Kuna CI mpya inayoundwa kwa kila mabadiliko yaliyofanywa dhidi ya rasilimali. Kama matokeo, vitambulisho tofauti vya tukio la CloudTrail vitaundwa.

Configuration History: Inawezekana kupata historia ya usanidi wa rasilimali kutokana na vipengee vya usanidi. Historia ya usanidi hutolewa kila baada ya saa 6 na inajumuisha CI zote kwa aina fulani ya rasilimali.

Configuration Streams: Vipengee vya usanidi vinatumwa kwa SNS Topic kuwezesha uchambuzi wa data.

Configuration Snapshots: Vipengee vya usanidi vinatumika kuunda mwonekano wa wakati mmoja wa rasilimali zote zinazoungwa mkono.

S3 inatumika kuhifadhi faili za Historia ya Usanidi na picha zozote za Usanidi wa data yako ndani ya ndoo moja, ambayo inafafanuliwa ndani ya kinasa usanidi. Ikiwa una akaunti nyingi za AWS unaweza kutaka kuunganisha faili zako za historia ya usanidi kwenye ndoo hiyo hiyo ya S3 kwa akaunti yako ya msingi. Hata hivyo, utahitaji kutoa ruhusa ya kuandika kwa kanuni hii ya huduma, config.amazonaws.com, na akaunti zako za sekondari zenye ruhusa ya kuandika kwenye ndoo ya S3 katika akaunti yako ya msingi.

Utendaji

  • Unapofanya mabadiliko, kwa mfano kwenye security group au bucket access control list —> inachochea kama Tukio linalochukuliwa na AWS Config

  • Inahifadhi kila kitu kwenye ndoo ya S3

  • Kulingana na mipangilio, mara tu kitu kinapobadilika kinaweza kuchochea lambda function AU kupanga lambda function kuchunguza mara kwa mara mipangilio ya AWS Config

  • Lambda inarudisha maoni kwa Config

  • Ikiwa sheria imevunjwa, Config inachochea SNS

Config Rules

Sheria za Config ni njia nzuri ya kukusaidia kutekeleza ukaguzi maalum wa kufuata sheria na udhibiti kwenye rasilimali zako, na inakuwezesha kupitisha maelezo bora ya utekelezaji kwa kila aina ya rasilimali zako. Kila sheria kimsingi ni lambda function ambayo inapoitwa inatathmini rasilimali na kufanya mantiki rahisi ili kubaini matokeo ya kufuata sheria. Kila wakati mabadiliko yanapofanywa kwa moja ya rasilimali zako zinazoungwa mkono, AWS Config itakagua kufuata sheria dhidi ya sheria zozote za config ulizo nazo. AWS ina idadi ya sheria zilizotangulia kufafanuliwa ambazo ziko chini ya mwavuli wa usalama ambazo ziko tayari kutumika. Kwa mfano, Rds-storage-encrypted. Hii inakagua ikiwa usimbaji wa hifadhi umewezeshwa na mifano yako ya hifadhidata ya RDS. Encrypted-volumes. Hii inakagua kuona ikiwa volumes yoyote ya EBS ambayo ina hali ya kuambatishwa imefichwa.

  • AWS Managed rules: Seti ya sheria zilizotangulia kufafanuliwa ambazo zinashughulikia mazoea bora mengi, hivyo ni vyema kila wakati kuangalia sheria hizi kwanza kabla ya kuanzisha zako mwenyewe kwani kuna nafasi kwamba sheria hiyo inaweza kuwa tayari ipo.

  • Custom rules: Unaweza kuunda sheria zako mwenyewe kukagua usanidi maalum wa kawaida.

Kikomo cha sheria 50 za config kwa kila eneo kabla ya kuhitaji kuwasiliana na AWS kwa ongezeko. Matokeo yasiyofuatana HAYAFUTIWI.

Support HackTricks
PreviousAWS - CloudWatch EnumNextAWS - Control Tower Enum

Last updated