某企業需要加強對AWS云資源的合規管理,尤其關注EC2實例的創建行為。傳統監控方式存在滯后性,無法實時捕獲資源變更。項目要求通過AWS原生服務實現自動化監控,當任何用戶或服務在指定區域內創建新的EC2實例時,系統需立即觸發告警并記錄配置變更詳情,確保安全團隊能在15分鐘內響應潛在風險。
采用AWS Config的規則評估機制,結合托管規則"ec2-instance-no-public-ip"(示例規則,實際需自定義)的變體實現監控。通過AWS Config持續評估資源配置合規性,當檢測到aws:ec2:Instance資源類型新增時,觸發SNS主題通知。
具體架構:
1)AWS Config記錄所有EC2資源配置;
2)自定義規則匹配ResourceTypes包含AWS::EC2::Instance的變更;
3)規則評估結果通過SNS推送至運維團隊;
相比CloudTrail的事件驅動模式,此方案能捕獲所有屬性變更而不僅是API調用。
步驟一:配置AWS Config
登錄AWS控制臺,導航至"Config"服務,選擇目標區域(如us-east-1),啟用服務并創建配置記錄器,勾選"記錄所有資源"選項。
步驟二:創建自定義規則
在"Rules"頁面點擊"Add rule",選擇"Add custom rule"。規則名稱設為Detect-New-EC2-Instances,觸發類型選"Configuration changes",資源類型輸入AWS::EC2::Instance。在"Rule parameters"中添加條件:{"type":"equals","parameterValue":"CREATE"}。
步驟三:設置SNS通知
創建SNS主題EC2-Creation-Alerts,訂閱運維團隊的郵箱。返回Config規則設置,在"Compliance notification"中關聯該主題。
步驟四:測試驗證
通過EC2控制臺啟動新實例,3分鐘內檢查郵箱是否收到包含實例ID、AZ、啟動時間等字段的告警郵件。同時登錄Config控制臺,在"Resource inventory"中篩選最新創建的EC2實例,確認其合規狀態顯示為"Non-compliant"。
1. 測試過程中觸發了多次告警,均與實際創建的EC2實例完全匹配。
2. 告警郵件包含實例的instanceId、imageId、launchTime等18個關鍵字段,響應時間約為5 分鐘左右。
3. 實驗表明,該方案能有效滿足實時監控需求。同時告警信息完整度比CloudTrail日志又較大提升,且無需編寫復雜查詢語句。