审计指南 - Amazon IoT Core
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

审计指南

本教程提供有关如何配置定期审计、设置告警、查看审计结果和减少审计问题的说明。

Prerequisites

要完成本教程,您需要:

  • 一个 Amazon Web Services 账户 。如果您尚未拥有账户,请参阅设置

启用审计检查

在以下流程中,您可以启用审计检查以查看账户和设备设置及策略,以确保安全措施已就绪。在本教程中,我们指导您启用所有审计检查,但您可以仅选择所需的检查。

审计定价是按每月每台设备计数制定的(连接到 Amazon IoT 机群设备)。因此,在使用此功能时,添加或删除审计检查不会影响您的月度账单。

  1. Amazon IoT 控制台的导航窗格中,展开 Defend(防护),然后选择 Get started with an audit(审计入门)。

  2. Get started with Device Defender Audit(Device Defender 审计入门)页面概览了启用审计检查所需的步骤。查看完该页面的内容后,选择 Next(下一步)。

  3. 如果您已有要使用的角色,可以选择该角色。否则请选择 Create Role(创建角色)并将其命名为 AWSIoTDeviceDefenderAudit

    您应看到所需权限自动附加到了角色。请选择 Permissions(权限)和 Trust relationship(信任关系)胖的三角形以查看授予了哪些权限。当您准备好继续前进时,选择 Next(下一步)。

  4. Select checks(选择检查)页面,您将看到可以选择的所有审计检查。在本教程中,我们将指示您选择所有检查,但您也可以选择任何所需的检查。每个审计检查旁边有一个帮助图标,用于描述审计检查的功能。有关审计检查的详细信息,请参阅审核检查

    选择好您的检查后,请选择 Next(下一步)。

    您可以在 Settings(设置)中随时更改已配置的审计检查。

  5. Configure SNS (optional)(配置 SNS(可选))页面中,选择 Enable audit(启用审计)。如果您希望启用 SNS 通知,请参阅 启用 SNS 通知(可选)

  6. 您将被重定向至 Audit(审计)项下的 Schedules(安排)。

查看审计结果

以下流程介绍如何查看审计结果。在本教程中,您将看到在 启用审计检查 教程设置的审计检查的审计结果。

查看审计结果

  1. Amazon IoT 控制台的导航窗格中,展开 Defend(防护),选择 Audit(审计),然后选择 Results(结果)。

  2. Summary(摘要)会告诉您是否存在任何不合规的检查。

  3. 选择您想要调查的审计检查的 Name(名称)。

  4. 使用问号获取有关如何使您的不合规检查合规的指导。例如,您可以按照 启用日志记录(可选) 中的步骤让“禁用日志记录”检查合规。

创建审计缓解操作

在以下流程中,您将创建一个 Amazon IoT Device Defender 审计缓解操作以启用 Amazon IoT 日志记录。每个审计检查都已映射缓解操作,这些操作将影响您为想要修复的审计检查所选择的操作类型。有关更多信息,请参阅缓解操作

使用 Amazon IoT 控制台创建缓解操作

  1. 打开 Amazon IoT 控制台

  2. 在左侧导航窗格中,选择防护,然后选择 Mitigation Actions (缓解操作)

  3. Mitigation Actions (缓解操作) 页面上,选择创建

  4. Create a Mitigation Action(创建缓解操作)页面,在 Action name(操作名称)中为您的缓解操作输入唯一名称,例如 EnableErrorLoggingAction

  5. Action type(操作类型)中,请选择 Enable IoT logging(启用 IoT 日志记录)。

  6. Action execution role(操作执行角色)中,选择 Create Role(创建角色)。对于 Name(名称),使用 IoTMitigationActionErrorLoggingRole。然后选择 Create role(创建角色)。

  7. Parameters(参数)中,在 Role for logging(用于日志记录的角色)中,选择 AWSIoTLoggingRole。对于 Log level(日志级别),选择 Error

    
                        创建新的缓解操作窗口。
  8. 选择保存可将缓解操作保存到您的 Amazon 账户。

  9. 创建后,您将看到以下页面指示,表明您的缓解操作已成功创建。

    
                        缓解操作成功创建窗口。

将缓解操作应用于审计查找结果

以下流程介绍如何将缓解操作应用于审计结果。

减少不合规审计查找结果

  1. 打开 Amazon IoT 控制台

  2. 在左侧导航窗格中,选择 Audit(审计),然后选择 Results(结果)。选择要响应的审计名称。

  3. 检查您的结果。注意 Logging disabled 位于 Non-compliant checks(不合规检查)项下。

  4. 选择 Start mitigation actions(启动缓解操作)。

    
                        审计查找结果窗口。
  5. Select actions(选择操作)中,为每个不合规的结果选择适当的操作以解决这些问题。

    
                        开启新的缓解操作窗口。
  6. 选择 Confirm(确认)。

  7. 缓解操作一旦启动,可能需要几分钟时间才能运行。

    
                        开启新的缓解操作窗口。

要检查缓解操作是否有效

  1. 在 Amazon 控制台的导航窗格中,选择 Settings(设置)。

  2. 确认 Logs(日志)为 EnabledLevel of verbosity(详细程度级别)为 Error

启用 SNS 通知(可选)

在以下流程中,您可以启用 Simple Notifications Service (SNS) 通知,以便在审计发现任何不合规的资源时向您发出提示。在本教程中,您将为 启用审计检查 教程中启用的审计检查设置通知。

  1. 首先,您需要创建一个 IAM 策略以通过 Amazon 管理控制台提供 Amazon SNS 的访问权限。您可以按照 创建 Amazon IoT Device Defender 审计 IAM 角色(可选) 进程操作,但应在第 8 步中选择 AWSIoTDeviceDefenderPublishFindingsToSNSMitigationAction

  2. Amazon IoT 控制台的导航窗格中,展开 Defend(防护),然后选择 Settings(设置)。

  3. SNS alerts(SNS 提示)中,选择 Edit(编辑)。

  4. Edit SNS alerts(编辑 SNS 提示)页面中,选择 Enabled(已启用)。在 Topic(主题)中,选择 Create(创建)。将主题命名为 IoTDDNotifications,然后选择 Create(创建)。在 Role(角色)中,选择您创建的 AWSIoTDeviceDefenderAudit 的角色。

    Select Update(更新)。

    如果您希望通过 SNS 在运维平台上接收电子邮件或文本,请参阅使用 Amazon SNS 发送用户通知

启用日志记录(可选)

本流程介绍如何启用 Amazon IoT 将信息记录到 CloudWatch Logs 中。这将允许您查看您的审计结果。启用日志记录可能会导致费用产生。

要启用日志记录:

  1. 在 Amazon 控制台的导航窗格中,选择 Settings(设置)。

  2. Logs(日志)项下,选择 Edit(编辑)。

  3. Leve of verbosity(详细程度级别)项下,选择 Debug (most verbosity(调试(最详细))。

  4. Set role(设置角色)项下,选择 Ceate Role(创建角色)并将角色命名为 AWSIoTLoggingRole。策略将自动附加。

    Select Update(更新)。

创建 Amazon IoT Device Defender 审计 IAM 角色(可选)

在以下流程中,您将创建一个 Amazon IoT Device Defender 审计 IAM 角色,为 Amazon IoT Device Defender 提供 Amazon IoT 的读取访问权限。

  1. 通过以下网址导航到 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择 Users(用户),然后选择 Add user(添加用户)。

  3. 对于 User name (用户名),输入 Administrator

  4. 选中 Amazon Management Console access(亚马逊云科技管理控制台访问权限)旁边的复选框。然后选择自定义密码,并在文本框中输入新密码。

  5. (可选)预设情况下,Amazon 要求新用户在首次登录时创建新密码。您可以清除 User must create a new password at next sign-in (用户必须在下次登录时创建新密码) 旁边的复选框以允许新用户在登录后重置其密码。

  6. 选择 Next: Permissions(下一步:权限)。

  7. Set permissions (设置权限) 下,选择 Attach existing policies directly (直接附加现有策略)

  8. 在策略列表中,选中 AWSIoTDeviceDefenderAudit 旁边的复选框。

  9. 选择下一步: 标签

  10. 选择 Next: Review (下一步: 审核) 以查看要添加到新用户的组成员资格的列表。如果您已准备好继续,请选择 Create user