ПЖ — 11 років! 🎂
Як налаштувати AWS Config
У попередній частині цієї серії ми розглянули ключові можливості AWS Config і його роль у забезпеченні відповідності нормативним вимогам та політикам безпеки.
Тепер перейдемо до практичного налаштування AWS Config. Ви дізнаєтесь, як увімкнути сервіс, налаштувати керовані й кастомні правила, використовувати Conformance Packs і Aggregators для управління відповідністю у кількох регіонах та облікових записах AWS.
У результаті ви матимете чітке розуміння, як реалізувати безперервний контроль відповідності за допомогою AWS Config.
Налаштування AWS Config
Крок 1. Створіть обліковий запис AWS. Передусім вам потрібен обліковий запис AWS, щоб виконувати всі подальші дії. Дотримуйтесь покрокової інструкції від AWS, щоб створити обліковий запис.
Крок 2. Увімкніть AWS Config у консолі. У консолі AWS перейдіть до сервісу AWS Config і натисніть
- створить усі необхідні ресурси, включно з ролями AWS IAM та S3-бакетом для збереження конфігураційних записів;
- налаштує AWS Config Recorder для неперервного відстеження конфігурацій усіх ресурсів — за винятком AWS IAM.
Налаштування правил AWS
Керовані правила AWS Config
AWS пропонує велику бібліотеку попередньо створених правил AWS Config. Налаштуймо одне з них.
1. У сервісі AWS Config перейдіть до розділу Rules та натисніть Add rule.
2. Виберіть тип правила AWS managed rule та одне з правил для EC2 — ec2-instance-managed-by-systems-manager. Це правило перевіряє, чи всі EC2-інстанси мають налаштований агент AWS Systems Manager, що дозволяє централізовано керувати ними через AWS SSM.
3. Після створення першого правила ви зможете знайти його в AWS Config і переглянути деталі, натиснувши кнопку View details.
4. На сторінці з деталями ви побачите опис правила, типи ресурсів, до яких воно застосовується, режим оцінювання та час останньої успішної перевірки.
5. Щоб переглянути ресурси, які AWS Config виявив, а також їхній статус відповідності, прокрутіть вниз до розділу Resources in scope. Натисніть Expand, а потім виберіть All, щоб побачити всі ресурси, пов’язані з правилом. Щоб видалити правило, прокрутіть угору, натисніть Actions, розгорніть меню та виберіть Delete rule.
У моєму випадку тут перелічені EC2-інстанси зі статусом Compliant, що означає: кожен інстанс має налаштований і доступний агент AWS SSM.
6. Щоб видалити правило, прокрутіть угору, натисніть Actions, розгорніть меню та виберіть Delete rule.
Кастомні правила AWS Config
Тепер розглянемо детальніше кастомні правила AWS Config, які допомагають вирішувати специфічні сценарії. У моєму випадку я створю політику CF Guard (CF Guard policy) для визначення власного правила AWS Config.
1. Щоб створити кастомне правило, так само як і для керованих правил, перейдіть до розділу Rules та натисніть Add rule.
2. Тепер виберіть Create custom rule using Guard та перейдіть до наступного кроку.
3. Додайте назву правила, прокрутіть вниз до розділу Rule content та вставте наведене нижче правило. Воно перевірятиме наявність логування лише для тих S3-бакетів, у назві яких відсутнє слово log.
rule S3BucketLogging
when configuration.name != /.*log.*/ {
supplementaryConfiguration.BucketLoggingConfiguration.destinationBucketName is_string
}
4. Коли правило створено, знайдіть його на сторінці Rules та перегляньте результати перевірки. У моєму випадку це виглядає так:
5. Щоб видалити правило, прокрутіть угору, натисніть Actions, розгорніть меню та виберіть Delete rule.
Conformance packs у AWS Config
У багатьох виникає потреба використовувати кілька правил AWS Config одночасно, і Conformance Packs спрощують групування та керування цими правилами. По суті, ці пакети — це шаблони та стеки (stacks) CloudFormation. Якщо ви вже знайомі з CloudFormation, налаштування шаблону з усіма необхідними правилами буде швидким і зручним.
Це також відкриває два способи масового створення правил AWS Config:
- через AWS Config Conformance Packs.
- через AWS CloudFormation.
Переваги Conformance Packs у порівнянні з CloudFormation
- Conformance Packs мають окрему панель, яка відображає зведену інформацію про відповідність для всього набору правил. Це значно спрощує відстеження статусу та звітування без потреби у додатковому кастомному ПЗ.
- Conformance Packs можна розгортати централізовано для всієї організації.
- Доступна історія відповідності для всіх Conformance Packs.
- Усі правила, що входять до пакета, згруповані в AWS Config, що зручніше для формування запитів і створення звітів.
- Ви можете переглядати та фільтрувати правила за статусом і назвою без використання Advanced queries.
Обмеження Conformance Packs
Єдиний недолік — за використання Conformance Packs AWS стягує додаткову плату. Детальніше дивіться на сторінці AWS Config Pricing page. Тому якщо вам не потрібні описані функції, можна сміливо керувати правилами напряму через CloudFormation stacks.
Крім того, AWS надає велику кількість готових шаблонів Conformance pack templates, — чудову відправну точку для створення власного набору правил під потреби проєкту. Наприклад, у шаблоні для HIPAA ви побачите перелік правил і засобів контролю, які вони покривають, а також загальні рекомендації для кожної з них.
Усі шаблони доступні в офіційному репозиторії AWS: official AWS repository.
Instruction
Тепер спробуємо створити conformance pack, використовуючи один із готових шаблонів — Operational Best Practices for HIPAA Security.
1. У сервісі AWS Config перейдіть на сторінку Conformance packs і натисніть Deploy conformance pack.
2. На наступній сторінці виберіть опцію Use sample template та знайдіть шаблон Operational Best Practices for HIPAA Security.
3. На сторінці Conformance pack details задайте назву для свого Conformance pack. Ви також побачите, що доступні вхідні параметри, але наразі їх вказувати не потрібно — просто пропустіть цей розділ і перейдіть до наступної сторінки.
4. Якщо вам потрібно дізнатися, які вхідні параметри доступні, ви завжди можете знайти відповідні шаблони Conformance pack templates у документації AWS та переглянути розділ Parameters. Наприклад:
5. На сторінці Review and deploy натисніть Deploy conformance pack, щоб завершити створення.
6. Через кілька хвилин ви побачите статус розгортання як Completed. Тепер ви можете відкрити дашборд, натиснувши на назву пакета.
7. На сторінці дашборда можна побачити:
- Compliance score — загальний відсоток ресурсів, які відповідають вимогам усіх правил у цьому Conformance pack. Це дозволяє швидко оцінити рівень відповідності у вашій інфраструктурі.
- Compliance score timeline — графік, що відображає зміну показника відповідності (Compliance score) з часом. Допомагає відстежувати прогрес або виявляти періоди, коли з’являлись порушення вимог.
- Parameters — перелік вхідних параметрів, які використовуються цим Conformance pack. Вони дозволяють налаштовувати правила відповідно до потреб вашої організації (наприклад, вказати імена S3-бакетів, CIDR-діапазони, теги тощо).
- Rules — список усіх правил, включених до Conformance pack.
- Щоб видалити Conformance pack, перейдіть на сторінку Conformance packs, виберіть потрібний пакет, натисніть Actions, а потім — Delete.
Підсумок
У цій частині ми розглянули основні кроки для початку роботи з AWS Config:
- Налаштування AWS Config та увімкнення відстеження ресурсів.
- Використання керованих і кастомних правил для забезпечення відповідності.
- Ефективне управління відповідністю за допомогою Conformance Packs.
Завдяки AWS Config ви можете виявляти зміни, застосовувати політики та запобігати порушенням вимог ще до того, як вони стануть проблемою — і все це без необхідності створювати додаткові інструменти.
Незалежно від того, працюєте ви з кількома правилами чи керуєте відповідністю у кількох облікових записах AWS, AWS Config допомагає зберігати безпечне, контрольоване й зручне для аудиту середовище.
Немає коментарів
Додати коментар Підписатись на коментаріВідписатись від коментарів