DEV Community

Rodrigo Fernandes
Rodrigo Fernandes

Posted on

AWS Config

#aws #cloud #devops #security

Anotações sobre o AWS Config para ajudar na preparação das certificações AWS.
Até o momento as anotações são para as certificações abaixo:

Image description

Definição do fornecedor

É um serviço que permite acessar, auditar e avaliar as configurações dos recursos da AWS.

Anotações gerais

  • Auditoria e Compliance
  • Controla e grava todas as alterações de configuração nos recursos
  • Pode trabalhar junto com o AWS Config onde captura as alterações feitas nos recursos
  • Pode salvar os dados no S3 e analisar pelo Athena
  • Publish for SNS
  • Provê a lista detalhada de recursos da conta AWS
  • Pode-se configurar uma Lambda para ser invocada por uma AWS Config Rule
  • Custom Config Role pode ser trigada periodicamente a cada hora
  • Default period is 7 years
  • Pode integrar com o Lambda para remediação automática
  • AWS Config aciona a Lambda diretamente, sem a necessidade do CloudWath Event
  • *É necessário uma Trust Policy(sts:AssumeRole) na Role *
  • As regras do AWS Config podem ser usadas para alertar sobre quaisquer alterações e o Config pode ser usado para verificar o histórico de alterações.
  • O AWS Config também pode ajudar a verificar a conformidade de AMIs aprovadas

Casos de uso

  • Auditoria no IAM Policy antes ou depois de um evento ou incidente
  • Detectar se o CloudTrail foi desabilitado
  • Verificar se todas as EC2 estão rodando com AMI aprovada
  • Detectar regras 0.0.0.0/0 ou portas SSH, RDP e etc
  • Detectar se tem Internet Gateway adicionado a VPC não autorizada
  • Detectar EBS criptografado
  • create-api-key - Monitora chamadas feitas pelo usuário root
  • approved-amis-by-id - Verifica se as EC2 estão com AMI´s aprovadas

Especificar triggers para as regras AWS Config

Documentação oficial

- Configuration changes - A cada alteração na configuração

  • Frequência(Periodic) - 1h, 3h, 6h, 12h e 24 horas.

Conformance Packs

Documentação oficial

  • É uma coleção de regras do AWS Config e ações de correção que podem ser facilmente implantadas como uma única entidade em uma conta e em uma região, ou em uma organização no AWS Organizations
  • Os Conformance Packs são criados usando um modelo YAML criado por você que contenha a lista de regras gerenciadas ou personalizadas do AWS Config e as ações de correção
  • *É possível implantar o modelo usando o console do AWS Config ou a AWS CLI *
  • Para começar rapidamente e avaliar o ambiente da AWS, use um dos modelos do Conformance Packs de exemplo

Aggegator

Documentação oficial

AWS Config Rules

AWS Managed Rules
Documentação oficial

  • basic

Customer Managed Rules
Documentação oficial

Referências

Top comments (0)