使用EC2 IAM角色访问AWS资源

您可以在AWS的环境中使用亚马逊弹性计算云（EC2）实例，而不依赖于IAM键或IAM用户安全地创建您的InsightIDR收集器和您的AWS服务之间的连接。此过程涉及在AWS EC2实例上安装InsightIdr收集器，并指定该服务器的角色而不是依赖IAM键。

当您使用InsightIdr添加AWS事件源时，收集器可以使用其角色权限而不是IAM键创建安全连接。

利用insightidr收集器的这种安全通信方法：

1. 为AWS相关的事件源配置IAM策略
2. 为AWS相关的事件源配置IAM角色
3. 创建为同一角色配置的EC2实例
4. 在EC2实例上安装InsightIdr收集器
5. 管理AWS相关的事件源

配置IAM Policy.

要配置IAM策略：

1. 登录您的AWS控制台。
2. 从“服务”标签，选择我是。
3. 从左菜单中，选择政策页。
4. 点击创建政策页面顶部的按钮。

5. 选择杰森标签。
6. 从“事件源”帮助页面复制并粘贴策略IAM。
   • 例如，AWS CloudTrail.帮助页面。
7. 输入组织和AWS帐户的相关信息。
8. 点击审查政策按钮。
9. 在“名称”字段中，输入IAM策略的名称。
10. 点击创建政策按钮。
11. 在“策略”页面上，单击刷新页面右上角的图标。

创建IAM角色

要创建IAM角色：

1. 从左菜单中，选择角色页。
2. 点击创建角色按钮。
3. 在“选择类型的可信实体”部分中，选择AWS服务选项。
4. 在“选择将使用此角色的服务”部分中，选择EC2.选项。
5. 点击下一步：权限按钮。
6. 在“搜索”栏中，输入您在上一步中创建的策略的名称，然后单击策略右侧的复选框。
7. 点击下一篇：标签按钮。
8. 点击下一篇：评论按钮。
9. 在“名称”字段中，输入IAM角色的名称。
10. 点击创建角色按钮。
11. 在“角色”页面上，单击刷新页面右上角的图标。

阅读更多关于IAM角色的内容：https://docs.aws.amazon.com/awsec2/latest/userguide/iam-roles-for-amazon-ec2.html.

创建EC2实例

要创建EC2实例：

1. 在您的AWS控制台中，选择服务标签在页面左上角。
2. 选择EC2.页面下的“compute”部分。
3. 点击启动实例按钮。

4. 在“选择AMI”页面上，找到要安装EC2实例的收集器的OS并单击选择按钮。
5. 点击下一页：配置实例详细信息按钮。
6. 在“IAM角色”部分中，查找并选择先前已配置的IAM角色。
7. 点击审查和推出按钮。
8. 在“实例”页面上，您将看到刚刚创建的EC2实例的详细信息。复制“IPv4公共IP”地址。

在EC2实例上安装收集器

要在EC2实例上安装收集器：

1. 使用复制的IP地址打开命令提示符和ssh进入新创建的EC2实例。
2. 下载收集器安装程序文件到您的计算机上，然后将安装程序从下载位置复制到EC2实例上SCP.命令。
3. 使用以下命令在EC2实例上安装收集器，更改为匹配您的操作系统和AMI包操作系统类型：

         

          

           
          
         

          

           

            1
           chmod + x Insightsetup-linux64.sh
          
          

           

            2
           sudo ./insightsetup-linux64.sh.sh.
          

4. 按照安装程序的文本提示。

有关此过程的更多信息，请阅读AWS EC2文档：https://docs.aws.amazon.com/awsec2/latest/userguide/accessinginsinstanslunux.html.

管理AWS事件源

将收集器安装到EC2实例上后，此收集器上运行的任何AWS相关的事件源都可以使用IAM角色的权限。

要使这些变化：

• 更新IAM角色权限
• 添加AWS相关的事件源
• 更新AWS相关的事件源

更新IAM角色权限

1. 在您的AWS控制台中，选择角色从左侧导航菜单。
2. 找到使用搜索栏创建的IAM角色。
3. 点击箭图标要展开各种选项，然后选择编辑政策按钮。
4. 选择杰森标签。
5. 在新的JSON块中添加为新的JSON语句并在相应的信息中添加。
6. 点击审查政策按钮。

添加AWS相关的事件源

您可以配置以下AWS相关的事件源：

• AWS CloudTrail.
• AWS SQS.
• AWS Guardduty.

然后，完成以下内容以添加事件源：

1. 从您的InsightIdr仪表板，选择数据采集在左手菜单上
2. 在页面右上角，选择“设置事件源”的下拉目，然后选择添加事件源
3. 为AWS事件源选择适当的图标。
   • AWS CloudTrail是一个云服务
   • AWS GuardDuty是第三方警报
   • AWS SQS是一个自定义日志收集方法
4. 选择在EC2实例中托管的收集器所配置的收集器。
5. 选择AWS事件源。为命名此事件源是可选的。
6. 如果适用，选择发送未经过滤的日志。
7. 在“AWS身份验证”下，选择EC2实例配置文件凭据选项。
8. 配置AWS事件源的其余步骤。
9. 点击节省按钮。

更新AWS相关的事件源

如果您有现有的AWS事件源当前使用IAM键，则可以切换事件源以使用IAM角色。

要更新任何先前配置的AWS事件源：

1. 停止InsightIdr中的事件源。去数据集>事件源并找到您的活动来源。点击停止运转按钮。

2. 使用EC2实例上的IAM角色使用来自早期部分的步骤创建收集器。
3. 在具有相同名称的新收集器上创建新事件源。这允许新的事件源将新日志写入相同的日志集，而不是在日志搜索中创建新的日志集。
4. 使用以下更改配置新的AWS事件源：
   • 选择在EC2实例上安装的收集器。如果在不设置EC2实例的情况下选择此选项，则会在收集器上看到以下错误消息：“无法从EC2服务中检索凭证。”
   • 在“AWS身份验证”下，选择EC2实例凭据选项。
5. 使用原始事件源的信息更新其余事件源设置。
6. 确认新事件源成功写入新日志并运行而不会错误。
7. 从InsightIdr删除旧事件源。这不会从InsightIdr日志搜索中删除历史记录。