Назад | Перейти на главную страницу

Можно ли провести аудит консоли Amazon AWS?

Недавно у нас была ситуация, когда эластичный IP-адрес, назначенный производственному серверу, загадочным образом отделился от этого сервера. В прошлом то же самое происходило с другими (к счастью, непроизводственными) серверами. У нас в консоли несколько админов, но никто не признает ошибку. Есть ли способ проверить действия консоли AWS?

редактировать: AWS с тех пор выпустила CloudTrail, что удовлетворяет эту потребность.

Нет. Если вам нужен аудит, вам, вероятно, придется обернуть собственный интерфейс на основе API AWS. Если у вас платная поддержка AWS может можно посмотреть их внутренние журналы, я не знаю.

Следует отметить, что остановленный инстанс EC2 без VPC потеряет свой EIP. Экземпляры VPC сохраняют свою связь (а также свой внутренний IP-адрес) во время остановок.

Я еще не пользовался сервисом, но похоже, что есть сервис CloudTrail для регистрации активности AWS API:

С помощью CloudTrail вы можете получить историю вызовов API AWS для своей учетной записи, включая вызовы API, выполненные через Консоль управления AWS, SDK AWS, инструменты командной строки и высокоуровневые сервисы AWS (например, AWS CloudFormation). История вызовов API AWS, созданная CloudTrail, позволяет анализировать безопасность, отслеживать изменения ресурсов и проводить аудит соответствия.

В зависимости от вашего региона я согласен с forforf и рекомендую попробовать CloudTrail. Вы также можете пересмотреть текущее состояние безопасности в AWS в целом.

Мы столкнулись с той же проблемой с более чем 20 администраторами в AWS. На кухне было слишком много поваров. Затем мы решили предоставить SU доступ двум нашим корпоративным архитекторам, а затем сегментированный доступ в IAM на основе роли администратора. Dev, Operations, Engineering, Security и т. Д. Таким образом, если бы было внесено изменение, мы могли бы, по крайней мере, выяснить, кто внес это изменение, между 1-2 людьми, а не 20 ..

Также мы внедрили Chef, который помог с аудитами и т. Д. Однако все зависит от вашей среды, потребностей и т. Д.

Для вашей ситуации - если бы это был я ... Я бы собрал IP-адреса всех своих экземпляров и нажал на Elastic Network Interfaces в консоли AWS. Найдите ENI по этим IP-адресам. Щелкните каждый ENI и измените поведение завершения при завершении на False. Затем войдите в IAM и запретите разрешения на прикрепление и отключение EIP нескольким администраторам.

Я бы также включил защиту прерывания для каждого экземпляра. Если вы находитесь в среде VPC, любой связанный с EIP или внутренний IP-адрес не изменится при остановке или перезапуске экземпляра ... если экземпляр находится в классическом ec2, он изменится.