AWS云路
亚马逊网络服务(AWS)是一种云服务集成,允许您跟踪企业云服务的使用情况。
必需的信息
为了将您的AWS Cloud Trail连接到InsightOps,您需要事先获得以下信息:
- 凭证
- 秘密密钥
- S3 Bucket名称
- S3键前缀
- 桶地区名称
- 刷新率(分钟)
要收集这些信息,请按照下面的步骤进行配置。
在你开始之前
取决于CloudTrail日志存储的区域,收集器需要能够到达以下URL来收集日志:
S3地区 |
URL |
|---|---|
US_STANDARD |
|
US_WEST_OREGON |
|
US_WEST_N_CALIFORNIA |
|
EU_IRELAND |
|
EU_FRANKFURT |
|
AP_SINGAPORE |
|
AP_SYDNEY |
|
AP_TOKYO |
|
SA_SAO_PAULO |
在所有区域启用CloudTrails
要获得CloudTrails监视的最大覆盖率,您应该在所有区域中启用CloudTrails,即使您没有在所有区域中运行任何EC2实例或其他AWS资源。这有助于确保,如果攻击者破坏了您AWS帐户中允许他们在其他区域创建/修改资源的资源,您将能够监视和警告该行为。
- 在AWS控制台中,进入CloudTrails→Trails→Add new trail
- 在“路径名称”中为您的路径添加一个名称
- 选择“将trail应用到所有区域”选项
- 在“Create a new S3 bucket”选项中选择Yes
- 为S3桶添加一个名称。为以后的步骤记录这个。
创建我的政策
- 在AWS控制台中,进入IAM→Policies→Create Policy→Create Your Own Policy
- 为您的策略添加名称和描述。把名字记录在某个地方——你以后需要它
- 使用以下策略模板,它基于最小权限原则,只允许访问为CloudTrails日志创建的特定S3桶:
文本
1
{
2
“版本”:“2012-10-17”,
3.
“声明”:[
4
{
5
“效应”:“允许”,
6
“行动”(
7
“s3: *”,
8
“s3:列表*”
9
],
10
“资源”:(
11
“攻击:aws: s3::: CloudTrailsS3BucketNameGoesHere”,
12
“攻击:aws: s3::: CloudTrailsS3BucketNameGoesHere / *”
13
]
14
}
15
]
16
}
创建我组
- 在AWS控制台中,进入IAM→组→创建新组
- 创建组名,选择“下一步”
- 选择前面创建的IAM Policy,并选择“Next Step”
创建并配置IAM User
- 在AWS控制台中,执行IAM→Groups→Add user
- 添加一个用户名,并在“访问类型”部分中选择“编程访问”,然后选择Next: Permissions
- 选择前面创建的Group并选择Next: Review
- 在“完成”页面,选择“秘密访问密钥”上的“显示”。复制并保存此用户的访问密钥和秘密密钥到一个安全的位置。在insighttops中设置CloudTrails事件源时,您将需要它。
设置S3桶策略
- 找到与收集器中配置的访问密钥相关联的用户的ARN:
- 找到为CloudTrail日志配置的桶:
- 转到S3中的桶属性,点击Edit bucket Policy:
- 向匹配用户ARN的桶添加List*和GetObject权限
文本
1
{
2
“版本”:“2012-10-17”,
3.
“声明”:[
4
{
5
“席德”:“AWSCloudTrailAclCheck20150319”,
6
“效应”:“允许”,
7
“主要”:{
8
“服务”:“cloudtrail.amazonaws.com”
9
},
10
“行动”:“s3: GetBucketAcl”,
11
"Resource": "arn:aws:s3:::CLOUDTRAILS s3桶名"
12
},
13
{
14
“席德”:“AWSCloudTrailWrite20150319”,
15
“效应”:“允许”,
16
“主要”:{
17
“服务”:“cloudtrail.amazonaws.com”
18
},
19
“行动”:“s3: propertynames”,
20.
"Resource": "arn:aws:s3:::CLOUDTRAILS s3 BUCKET NAME/ awlogs / aws ACCOUNT NUMBER/*",
21
"条件":{
22
" StringEquals ": {
23
“s3: x-amz-acl”:“bucket-owner-full-control”
24
}
25
}
26
},
27
{
28
“席德”:“”,
29
“效应”:“允许”,
30.
“主要”:{
31
“AWS”:“arn: AWS:iam::AWS ACCOUNT NUMBER:user/ iam user NAME”
32
},
33
“行动”:“s3:列表*”,
34
“资源”:(
35
“arn:aws:s3:::CLOUDTRAILS s3桶名”,
36
"arn:aws:s3:::CLOUDTRAILS s3桶名/*"
37
]
38
},
39
{
40
“席德”:“”,
41
“效应”:“允许”,
42
“主要”:{
43
"AWS": "arn: AWS:iam::AWS ACCOUNT NUMBER:user/CLOUDTRAILS S3 BUCKET NAME"
44
},
45
“行动”:“s3: GetObject”,
46
"Resource": "arn:aws:s3:::CLOUDTRAILS s3桶名/*"
47
}
48
]
49
}
如何配置事件源
- 点击顶部导航栏的“添加数据”按钮
- 从安全数据部分选择云服务图标
- 选择收集器,并可选地命名事件源
- 从事件源选项列表中,选择AWS CloudTrail
- 可以选择发送未过滤的日志
- 选择您现有的凭据或创建一个新的凭据。
- 输入前面步骤中创建的Secret Key。
- 输入上一步创建的S3桶名。
- 输入上一步创建的S3 Key Prefix。
- 选择桶区域名称。
- 输入刷新速率,单位为分钟。
- 配置任何高级事件源设置。
常见问题/故障处理
如果您发现InsightOps没有接收日志,并且数据没有出现,请执行以下操作:
- 请检查IAM policy是否正确
- 检查您是否使用了正确的区域
- 确保S3桶中有实际的日志
这个页面对你有帮助吗?