使用EC2 IAM角色访问AWS资源

您可以在AWS的环境中使用亚马逊弹性计算云(EC2)实例,而不依赖于IAM键或IAM用户安全地创建您的InsightIDR收集器和您的AWS服务之间的连接。此过程涉及在AWS EC2实例上安装InsightIdr收集器,并指定该服务器的角色而不是依赖IAM键。

当您使用InsightIdr添加AWS事件源时,收集器可以使用其角色权限而不是IAM键创建安全连接。

利用insightidr收集器的这种安全通信方法:

  1. 为AWS相关的事件源配置IAM策略
  2. 为AWS相关的事件源配置IAM角色
  3. 创建为同一角色配置的EC2实例
  4. 在EC2实例上安装InsightIdr收集器
  5. 管理AWS相关的事件源

配置IAM Policy.

要配置IAM策略:

  1. 登录您的AWS控制台。
  2. 从“服务”标签,选择我是。
  3. 从左菜单中,选择政策页。
  4. 点击创建政策页面顶部的按钮。
  1. 选择杰森标签。
  2. 从“事件源”帮助页面复制并粘贴策略IAM。
  3. 输入组织和AWS帐户的相关信息。
  4. 点击审查政策按钮。
  5. 在“名称”字段中,输入IAM策略的名称。
  6. 点击创建政策按钮。
  7. 在“策略”页面上,单击刷新页面右上角的图标。

创建IAM角色

要创建IAM角色:

  1. 从左菜单中,选择角色页。
  2. 点击创建角色按钮。
  3. 在“选择类型的可信实体”部分中,选择AWS服务选项。
  4. 在“选择将使用此角色的服务”部分中,选择EC2.选项。
  5. 点击下一步:权限按钮。
  6. 在“搜索”栏中,输入您在上一步中创建的策略的名称,然后单击策略右侧的复选框。
  7. 点击下一篇:标签按钮。
  8. 点击下一篇:评论按钮。
  9. 在“名称”字段中,输入IAM角色的名称。
  10. 点击创建角色按钮。
  11. 在“角色”页面上,单击刷新页面右上角的图标。

阅读更多关于IAM角色的内容:https://docs.aws.amazon.com/awsec2/latest/userguide/iam-roles-for-amazon-ec2.html.

创建EC2实例

要创建EC2实例:

  1. 在您的AWS控制台中,选择服务标签在页面左上角。
  2. 选择EC2.页面下的“compute”部分。
  3. 点击启动实例按钮。
  1. 在“选择AMI”页面上,找到要安装EC2实例的收集器的OS并单击选择按钮。
  2. 点击下一页:配置实例详细信息按钮。
  3. 在“IAM角色”部分中,查找并选择先前已配置的IAM角色。
  4. 点击审查和推出按钮。
  5. 在“实例”页面上,您将看到刚刚创建的EC2实例的详细信息。复制“IPv4公共IP”地址。

在EC2实例上安装收集器

要在EC2实例上安装收集器:

  1. 使用复制的IP地址打开命令提示符和ssh进入新创建的EC2实例。
  2. 下载收集器安装程序文件到您的计算机上,然后将安装程序从下载位置复制到EC2实例上SCP.命令。
  3. 使用以下命令在EC2实例上安装收集器,更改为匹配您的操作系统和AMI包操作系统类型:
         
1
chmod + x Insightsetup-linux64.sh
2
sudo ./insightsetup-linux64.sh.sh.
  1. 按照安装程序的文本提示。

有关此过程的更多信息,请阅读AWS EC2文档:https://docs.aws.amazon.com/awsec2/latest/userguide/accessinginsinstanslunux.html.

管理AWS事件源

将收集器安装到EC2实例上后,此收集器上运行的任何AWS相关的事件源都可以使用IAM角色的权限。

要使这些变化:

更新IAM角色权限

  1. 在您的AWS控制台中,选择角色从左侧导航菜单。
  2. 找到使用搜索栏创建的IAM角色。
  3. 点击图标要展开各种选项,然后选择编辑政策按钮。
  4. 选择杰森标签。
  5. 在新的JSON块中添加为新的JSON语句并在相应的信息中添加。
  6. 点击审查政策按钮。

您可以配置以下AWS相关的事件源:

然后,完成以下内容以添加事件源:

  1. 从您的InsightIdr仪表板,选择数据采集在左手菜单上
  2. 在页面右上角,选择“设置事件源”的下拉目,然后选择添加事件源
  3. 为AWS事件源选择适当的图标。
    • AWS CloudTrail是一个云服务
    • AWS GuardDuty是第三方警报
    • AWS SQS是一个自定义日志收集方法
  4. 选择在EC2实例中托管的收集器所配置的收集器。
  5. 选择AWS事件源。为命名此事件源是可选的。
  6. 如果适用,选择发送未经过滤的日志
  7. 在“AWS身份验证”下,选择EC2实例配置文件凭据选项。
  8. 配置AWS事件源的其余步骤。
  9. 点击节省按钮。

如果您有现有的AWS事件源当前使用IAM键,则可以切换事件源以使用IAM角色。

要更新任何先前配置的AWS事件源:

  1. 停止InsightIdr中的事件源。去数据集>事件源并找到您的活动来源。点击停止运转按钮。
  1. 使用EC2实例上的IAM角色使用来自早期部分的步骤创建收集器。
  2. 在具有相同名称的新收集器上创建新事件源。这允许新的事件源将新日志写入相同的日志集,而不是在日志搜索中创建新的日志集。
  3. 使用以下更改配置新的AWS事件源:
    • 选择在EC2实例上安装的收集器。如果在不设置EC2实例的情况下选择此选项,则会在收集器上看到以下错误消息:“无法从EC2服务中检索凭证。”
    • 在“AWS身份验证”下,选择EC2实例凭据选项。
  4. 使用原始事件源的信息更新其余事件源设置。
  5. 确认新事件源成功写入新日志并运行而不会错误。
  6. 从InsightIdr删除旧事件源。这不会从InsightIdr日志搜索中删除历史记录。