通过以下方式跟踪 X-Ray 加密配置更改Amazon Config - Amazon X-Ray
创建 Lambda 函数触发器为 x-ray 创建自定义Amazon Config规则结果示例Amazon SNS 通知
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

通过以下方式跟踪 X-Ray 加密配置更改Amazon Config

Amazon X-Ray与集成Amazon Config以记录对您的 X-Ray 加密资源所做的配置更改。您可以使用Amazon Config清点 X-Ray 加密资源、审计 X-Ray 配置历史记录以及根据资源更改发送通知。

Amazon Config支持将以下 X-Ray 加密资源更改记录为事件:

  • 配置更改-更改或添加加密密钥,或恢复为默认 X-Ray 加密设置。

使用以下说明学习如何在 X-Ray 和之间创建基本连接Amazon Config。

创建 Lambda 函数触发器

您必须拥有自定义 Amazon Lambda 函数的 ARN 才能生成自定义 Amazon Config 规则。按照以下说明,通过 Node.js 创建一个基本函数,该函数基于 XrayEncryptionConfig 资源的状态将合规或不合规值返回给 Amazon Config。

创建带有 AWS::XrayEncryptionConfig 变更触发器的 Lambda 函数

  1. 打开 Lambda 控制台。选择 Create function(创建函数)。

  2. 选择蓝图,然后筛选蓝图的config-rule-change-triggered蓝图库。单击蓝图名称中的链接,或选择 Configure (配置) 以继续。

  3. 定义以下字段来配置蓝图:

    • 对于 Name (名称),键入名称。

    • 对于 Role,请选择 Create new role from template(s)

    • 对于 Role name,请输入名称。

    • 对于 Policy templates (策略模板),选择 Amazon Config Rules permissions (&CC; 规则权限)

  4. 选择 Create function (创建函数) 以在 Amazon Lambda 控制台中创建和显示函数。

  5. 编辑您的函数代码以AWS::EC2::Instance替换为AWS::XrayEncryptionConfig。您还可以更新描述字段来反映此更改。

    默认代码

        if (configurationItem.resourceType !== 'AWS::EC2::Instance') {
        return 'NOT_APPLICABLE';
    } else if (ruleParameters.desiredInstanceType === configurationItem.configuration.instanceType) {
        return 'COMPLIANT';
    }
        return 'NON_COMPLIANT';

    更新的代码

        if (configurationItem.resourceType !== 'AWS::XRay::EncryptionConfig') {
        return 'NOT_APPLICABLE';
    } else if (ruleParameters.desiredInstanceType === configurationItem.configuration.instanceType) {
        return 'COMPLIANT';
    }
        return 'NON_COMPLIANT';

  6. 将以下内容添加到您在 IAM 中的执行角色以访问 X-Ray。这些权限允许对 X-Ray 资源进行只读访问。如果无法提供对相应资源的访问权限,则会导致在评估与规则关联的 Lambda 函数Amazon Config时出现超出范围的消息。

        {
        "Sid": "Stmt1529350291539",
        "Action": [
            "xray:GetEncryptionConfig"
        ],
        "Effect": "Allow",
        "Resource": "*"
     }

为 x-ray 创建自定义Amazon Config规则

创建 Lambda 函数时,记下该函数的 ARN,然后前往Amazon Config控制台创建您的自定义规则。

为 X----Ray 创建Amazon Config规则

  1. 打开 控制台的 Rules (规则)Amazon Config 页面

  2. 选择 Add rule (添加规则),然后选择 Add custom rule (添加自定义规则)

  3. Amazon Lambda函数 ARN 中,插入与您要使用的 Lambda 函数关联的 ARN。

  4. 选择要设置的触发器类型:

    • 配置更改-当任何与规则范围相匹配的资源在配置中发生变化时Amazon Config触发评估。在 Amazon Config 发送配置项更改通知后,评估便会运行。

    • 定期 — 按您选择的频率(例如,每 24 小时)Amazon Config运行规则评估。

  5. 对于资源类型,请EncryptionConfig在 X-Ray 部分中选择。

  6. 选择 Save(保存)。

Amazon Config 控制台将立即开始评估规则的合规性。完成评估可能需要几分钟时间。

由于此规则合规,因此 Amazon Config 可以开始编译审核历史记录。Amazon Config 以时间线的形式记录资源变化。对于事件时间轴中的每次变化,Amazon Config 都会用“从/更改为”格式生成一个表,以显示加密密钥的 JSON 表示有哪些变化。与之相关的两个字段更改 EncryptionConfig 是Configuration.typeConfiguration.keyID

结果示例

以下 Amazon Config 时间轴示例显示了在特定日期和时间所做的更改。

Amazon Config时间轴。

以下是一个 Amazon Config 更改条目示例。from/to 格式说明了更改的内容。此示例显示默认 X-Ray 加密设置已更改为已定义的加密密钥。

X-Ray 加密配置更改条目。

Amazon SNS 通知

对于配置更改的通知,设置Amazon Config Amazon SNS 发布 Amazon SNS 通知。有关更多信息,请参阅通过电子邮件监控 Amazon Config 资源更改