Вопрос: Возможно ли провести аудит консоли Amazon AWS?


Недавно у нас была ситуация, когда эластичный IP-адрес, назначенный производственному серверу, таинственным образом отключился от этого сервера. У нас было то же самое в прошлом на других (к счастью, непроизводственных) серверах. У нас есть несколько администраторов в консоли, но никто не владеет ошибкой. Есть ли способ проверить действия консоли AWS?


6
2018-05-10 17:59


Источник


Вы когда-нибудь останавливали экземпляры (не перезагружались)? Это приведет к тому, что EIP станет диссоциированным AFAIK. - Peter


Ответы:


редактировать: С тех пор AWS выпустила CloudTrail, которая удовлетворяет эту потребность.

Нет. Если вам нужен аудит, вам, скорее всего, придется обернуть свой собственный интерфейс API AWS. Если вы платили поддержку AWS май быть в состоянии смотреть на их внутренние журналы, я не знаю.

Следует отметить, что исключенный экземпляр ECC, не являющийся VPC, потеряет EIP. У экземпляров VPC также сохраняется их связь (и их внутренний IP) во время остановок.


8
2018-05-10 18:06



Ах, я не понимал, что о остановленных экземплярах VPC. Хорошо знать. - Brien Malone
В принципе, если вы собираетесь делать что-либо помимо проекта хобби на EC2, используйте VPC. AWS фактически делает это по умолчанию для новых учетных записей. - ceejayoz


Я еще не пользовался услугой, но похоже, что для регистрации активности AWS API есть служба под названием CloudTrail:

С CloudTrail вы можете получить историю вызовов AWS API для вашей учетной записи, включая вызовы API, выполненные через консоль управления AWS, SDK AWS, инструменты командной строки и службы AWS более высокого уровня (такие как AWS CloudFormation). История вызовов AWS API, созданная CloudTrail, включает анализ безопасности, отслеживание изменений ресурсов и аудит соответствия.


7
2018-02-13 18:05





В зависимости от вашего региона, я согласен с forforf и рекомендую проверить CloudTrail. Вы также можете просмотреть текущую позицию безопасности в AWS в целом.

Мы столкнулись с тем же вопросом с более чем 20 администраторами в AWS. На кухне было слишком много поваров. Затем мы решили предоставить SU доступ к нашим 2 архитекторам предприятия, а затем сегментировали доступ в IAM на основе роли админов. Dev, Operations, Engineering, Security и т. Д. Таким образом, если бы произошли изменения, мы могли бы по крайней мере выяснить, кто внес изменения между 1-2 людьми, а не 20 ..

Кроме того, мы также внедрили шеф-повара, который помогал в проведении аудитов и т. Д. Однако зависит от вашей среды, потребностей и т. Д.

Для вашей ситуации - если бы это был я ... Я бы собрал IP-адреса всех моих экземпляров и нажал на Elastic Network Interfaces в консоли AWS. Найдите ENI через эти IP-адреса. Нажмите на каждый ENI и измените поведение завершения при завершении на False. Затем перейдите в IAM и запретите разрешения для присоединения и отсоединения EIP к нескольким администраторам.

Я бы также включил защиту завершения для каждого экземпляра. Если ваш в среде VPC любой связанный с EIP или внутренний IP-адрес не изменится после остановки экземпляра или перезагрузки ... если экземпляр в ec2 classic, он будет.


1
2018-02-17 23:35