使用EC2 IAM角色访问AWS资源
您可以在AWS的环境中使用亚马逊弹性计算云(EC2)实例,而不依赖于IAM键或IAM用户安全地创建您的InsightIDR收集器和您的AWS服务之间的连接。此过程涉及在AWS EC2实例上安装InsightIdr收集器,并指定该服务器的角色而不是依赖IAM键。
当您使用InsightIdr添加AWS事件源时,收集器可以使用其角色权限而不是IAM键创建安全连接。
利用insightidr收集器的这种安全通信方法:
配置IAM Policy.
要配置IAM策略:
- 登录您的AWS控制台。
- 从“服务”标签,选择我是。
- 从左菜单中,选择政策页。
- 点击创建政策页面顶部的按钮。
- 选择杰森标签。
- 从“事件源”帮助页面复制并粘贴策略IAM。
- 例如,AWS CloudTrail.帮助页面。
- 输入组织和AWS帐户的相关信息。
- 点击审查政策按钮。
- 在“名称”字段中,输入IAM策略的名称。
- 点击创建政策按钮。
- 在“策略”页面上,单击刷新页面右上角的图标。
创建IAM角色
要创建IAM角色:
- 从左菜单中,选择角色页。
- 点击创建角色按钮。
- 在“选择类型的可信实体”部分中,选择AWS服务选项。
- 在“选择将使用此角色的服务”部分中,选择EC2.选项。
- 点击下一步:权限按钮。
- 在“搜索”栏中,输入您在上一步中创建的策略的名称,然后单击策略右侧的复选框。
- 点击下一篇:标签按钮。
- 点击下一篇:评论按钮。
- 在“名称”字段中,输入IAM角色的名称。
- 点击创建角色按钮。
- 在“角色”页面上,单击刷新页面右上角的图标。
阅读更多关于IAM角色的内容:https://docs.aws.amazon.com/awsec2/latest/userguide/iam-roles-for-amazon-ec2.html.
创建EC2实例
要创建EC2实例:
- 在您的AWS控制台中,选择服务标签在页面左上角。
- 选择EC2.页面下的“compute”部分。
- 点击启动实例按钮。
- 在“选择AMI”页面上,找到要安装EC2实例的收集器的OS并单击选择按钮。
- 点击下一页:配置实例详细信息按钮。
- 在“IAM角色”部分中,查找并选择先前已配置的IAM角色。
- 点击审查和推出按钮。
- 在“实例”页面上,您将看到刚刚创建的EC2实例的详细信息。复制“IPv4公共IP”地址。
在EC2实例上安装收集器
要在EC2实例上安装收集器:
- 使用复制的IP地址打开命令提示符和ssh进入新创建的EC2实例。
- 下载收集器安装程序文件到您的计算机上,然后将安装程序从下载位置复制到EC2实例上
SCP.
命令。 - 使用以下命令在EC2实例上安装收集器,更改为匹配您的操作系统和AMI包操作系统类型:
1chmod + x Insightsetup-linux64.sh2sudo ./insightsetup-linux64.sh.sh.
- 按照安装程序的文本提示。
有关此过程的更多信息,请阅读AWS EC2文档:https://docs.aws.amazon.com/awsec2/latest/userguide/accessinginsinstanslunux.html.
管理AWS事件源
将收集器安装到EC2实例上后,此收集器上运行的任何AWS相关的事件源都可以使用IAM角色的权限。
要使这些变化:
更新IAM角色权限
- 在您的AWS控制台中,选择角色从左侧导航菜单。
- 找到使用搜索栏创建的IAM角色。
- 点击箭图标要展开各种选项,然后选择编辑政策按钮。
- 选择杰森标签。
- 在新的JSON块中添加为新的JSON语句并在相应的信息中添加。
- 点击审查政策按钮。
添加AWS相关的事件源
您可以配置以下AWS相关的事件源:
然后,完成以下内容以添加事件源:
- 从您的InsightIdr仪表板,选择数据采集在左手菜单上
- 在页面右上角,选择“设置事件源”的下拉目,然后选择添加事件源
- 为AWS事件源选择适当的图标。
- AWS CloudTrail是一个云服务
- AWS GuardDuty是第三方警报
- AWS SQS是一个自定义日志收集方法
- 选择在EC2实例中托管的收集器所配置的收集器。
- 选择AWS事件源。为命名此事件源是可选的。
- 如果适用,选择发送未经过滤的日志。
- 在“AWS身份验证”下,选择EC2实例配置文件凭据选项。
- 配置AWS事件源的其余步骤。
- 点击节省按钮。
更新AWS相关的事件源
如果您有现有的AWS事件源当前使用IAM键,则可以切换事件源以使用IAM角色。
要更新任何先前配置的AWS事件源:
- 停止InsightIdr中的事件源。去数据集>事件源并找到您的活动来源。点击停止运转按钮。
- 使用EC2实例上的IAM角色使用来自早期部分的步骤创建收集器。
- 在具有相同名称的新收集器上创建新事件源。这允许新的事件源将新日志写入相同的日志集,而不是在日志搜索中创建新的日志集。
- 使用以下更改配置新的AWS事件源:
- 选择在EC2实例上安装的收集器。如果在不设置EC2实例的情况下选择此选项,则会在收集器上看到以下错误消息:“无法从EC2服务中检索凭证。”
- 在“AWS身份验证”下,选择EC2实例凭据选项。
- 使用原始事件源的信息更新其余事件源设置。
- 确认新事件源成功写入新日志并运行而不会错误。
- 从InsightIdr删除旧事件源。这不会从InsightIdr日志搜索中删除历史记录。
这个页面对你有帮助吗?