问题标签 [aws-config]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
amazon-web-services - 导出具有严重性的不合规 AWS Config 规则
我正在尝试导出包含严重性的不合规 AWS Config 规则列表,以帮助确定现有问题的优先级。
谁能解释如何将严重性添加到正确返回的数据中?我试过这个:
但是严重性列是空白的:
我们试图获取这些数据的原因是我们可以使用它来优先处理最严重的问题。我也看不到任何方法可以从 Security Hub 干净地导出这些数据。如果有办法从那里获取信息,那也对我们有用。
amazon-web-services - 使用 AWS 配置为每个创建的 ec2 创建事件规则,并且警报应该具有创建者信息和 ec2 的 ID
我正在为每个创建捕获以下信息的 EC2 创建事件规则:
- 谁创建了ec2
- 创建的 EC2 的唯一标识。此外,我需要使用 SNS 主题将这些警报发送到电子邮件。
我研究并找出了使用以下链接创建的每个 ec2 的事件规则的解决方案。我使用此链接收到电子邮件警报,指定以下信息:
链接如下:https ://aws.amazon.com/premiumsupport/knowledge-center/config-email-resource-created/
现在我想将事件规则添加到与谁相关的上面。创建了 EC2 实例。我研究了使用 AWS 云跟踪使用 AWS api 是可行的。
我尝试在上述解决方案中添加代码,但无法配置相同的 SNS 主题,因此没有收到任何警报。谁能建议我应该使用什么事件来捕获创建的实例状态并合并两个事件规则并帮助我配置 SNS 主题以获得两个条件的单个警报。
amazon-web-services - 如何测试不返回任何内容的 AWS Lambda?
我被要求对 lambda 进行一些基本的集成测试,这基本上只是校准 lambda 并验证一切顺利。唯一的问题是,我尝试测试的 lambda 是由 AWS Config 作为自定义规则调用的。它不返回任何东西。处理程序内部的逻辑是调用 EC2 描述实例,检查它是否被认为是合规/不合规的,并执行 put_evalutions 以将结果添加到 aws config。当它什么都不返回时,你将如何测试它?
amazon-web-services - 通过 Cloudformation (yaml) 创建配置修复规则时出错
我在最后一个参数中遇到错误,我必须提到 TrailName 和 KMSKeyId 的值。从 yaml 文件创建 CFT 时,这两者都变得不正确。确切的错误是:(服务:AmazonConfig;状态代码:400;错误代码:InvalidParameterValueException;请求 ID:78f748ce-c07e-4552-8d6b-d156b83475b7;代理:null) 
请帮助我使用正确的语法来手动修复参数值。
amazon-web-services - 如何检查 AWS Named Configure 配置文件是否存在
在尝试使用命名配置文件之前,如何检查它是否存在?
aws cli如果我尝试使用不存在的配置文件会抛出一个丑陋的错误,所以我想做这样的事情:
json - AWS ConfigService - 如何附加账户 ID
我正在尝试附加帐户 ID 列表,因为我无权访问组织,但是每当我这样做时,以前的帐户都会被新帐户 ID 替换,我只想附加它们。请让我知道该怎么做。
amazon-web-services - 如何解决 s3-bucket-policy-grantee-check 不合规问题?
我通过 AWS Config 在我的 AWS 账户上部署了NIST CSF一致性包,以改善我的安全状况。由于s3-bucket-policy-grantee-check未通过,我的一项资源不符合要求。首先,尽管读了好几遍,我还是不明白它用简单的英语是什么意思(我希望有人能更简单地为我提供这种语言)。
我有以下存储桶政策,但似乎无法弄清楚为什么我无法摆脱这种违规行为:
我究竟做错了什么?
PS。这是针对我在 CloudTrail 上创建跟踪时预置的存储桶,它将此存储桶创建为跟踪日志存储桶。
amazon-web-services - 抑制或删除控制塔默认创建的资源的调查结果和违规(安全中心/配置)?
我在 ca-central-1 区域部署了控制塔,并通过专用管理员帐户启用了安全中心和 aws config(默认情况下通过控制塔提供审计帐户)。
然后我启用了以下安全标准:
- PCI DSS v3.2.1
- 独联体 AWS 基础基准 v1.2.0
- AWS 基础安全最佳实践 v1.0.0
对于 AWS Config,我部署了以下一致性包:
- NIST CSF 的操作最佳实践
- CIS AWS Foundations Benchmark v1.3 级别 1 的运营最佳实践
- CIS AWS Foundations Benchmark v1.3 Level 2 的运营最佳实践
- AWS 架构完善的框架安全支柱的运营最佳实践
在启用这些安全中心标准和配置一致性包后,我在各自的资源上发现了以下发现和违规行为:
- s3-bucket-logging-enabled(控制塔默认创建的存储桶:aws-controltower-s3-access-logs-ca-central-1)
- s3-bucket-default-lock-enabled(控制塔默认创建的存储桶:aws-controltower-s3-access-logs-ca-central-1 & aws-controltower-s3-logs-ca-central-1)
- Lambda 函数应该在 VPC 中(控制塔默认创建的 lambda:aws-controltower-NotificationForwarder)
- Lambda 函数应配置死信队列(控制塔默认创建的 lambda:aws-controltower-NotificationForwarder)
为了摆脱这些违规行为,我需要以某种方式进行补救或抑制/删除这些发现。请记住,由于严格的 SCP 会阻止对上述资源及其配置进行更改,因此修复可能会很困难且令人讨厌。为了能够补救,您必须删除 SCP,将您的控制塔置于漂移状态,进行必要的更改,然后修复控制塔。您可以看到为什么这不是一个好主意。
从合规性的角度来看,是否可以压制或删除这些发现/违规行为?
amazon-web-services - 如何在 AWS CloudTrail 中根据 IP 地址查找终止的实例
我正在尝试基于主私有 IP 在 CloudTrail 中找到终止的 EC2 实例,但没有运气。
我还尝试查看 AWS Config 资源时间线。也不精通 AWS Config Advance 查询。即使在那种情况下,我也需要查找与 IP 信息相对应的 CloudTrail“事件记录”参数。
任何帮助是极大的赞赏。
amazon-web-services - 如何使用 API 获取所有 aws 资源?
我尝试在 aws config 中使用 list_discovered_resources ,我们可以在其中提供 resourceType 并获取该类型的资源。但是当我使用描述 API 检查时,它没有显示所有资源。您能帮我一次获得所有资源吗?