Wie überwache ich Änderungen an Sicherheitsgruppen, die auf meiner EC2-Linux-Instanz mit EventBridge und Amazon SNS eingerichtet wurden?

Kurzbeschreibung

Erstellen Sie eine EventsBridge-Regel, die ausgelöst wird, wenn ein API-Aufruf zur Änderung Ihrer Sicherheitsgruppen erfolgt. Konfigurieren Sie dann eine Amazon SNS-Benachrichtigung für Ereignisse, die Ihrer Regel entsprechen.

Behebung

Erstellen und abonnieren Sie ein Amazon SNS-Thema

1.    Öffnen Sie dieAmazon-SNS-Konsole.

2.    Wählen** Sie auf dem SNS-Dashboard die Option Themen** und anschließend die Option** Thema erstellen.**.

3.    Geben Sie einen Namen für das Thema ein (z. B. mein-Thema).

4.    Wählen SieThema erstellen.

5.    Notieren Sie sich den Amazon-Ressourcennamen (ARN) des Themas (z. B. arn:aws:sns:us-east- 1:123123123123:mein-Thema).

6.    Wählen SieAbonnement erstellen.

7.    Bei Thema-ARN geben Sie den ARN ein, den Sie bei Schritt 5 notiert haben.

8.    Für Protokollwählen Sie E-Mail.

9.UnterEndpunktgeben Sie eine E-Mail-Adresse ein, die die Benachrichtigungen erhalten soll und wählen Sie dannAbonnement erstellen.

Sie erhalten dann eine E-Mail zur Bestätigung des Abonnements. Nachdem Sie das Abonnement bestätigt haben, erhält die E-Mail-Adresse Benachrichtigungen, wenn das SNS-Thema ausgelöst wird.

Erstellen Sie mithilfe der EventBridge-Konsole eine EventBridge-Regel, die bei einem Ereignis ausgelöst wird

1.    Öffnen Sie die EventBridge-Konsole.

2.    Wählen Sie Regel erstellen.

3.    Geben Sie einen Namen für Ihre Regel ein. Sie können optional eine Beschreibung eingeben.

4.    Wählen Sie unter Muster definieren die Option Ereignis-Muster aus.

5.    Wählen Sienach Service vordefinierte Muster.

6.    AlsDienstanbieterwählen SieAWS.

7.    Als Dienstnamenwählen Sie EC2.

8.    Als Ereignistyp wählen Sie AWS API Call via CloudTrail.

9.Wählen SieSpezifischer Vorgangund kopieren Sie die folgenden API-Aufrufe und fügen Sie nacheinander in das Textfeld ein. Wählen Sie nach jeder Hinzufügung Hinzufügen. Diese API-Aufrufe werden verwendet, um Sicherheitsgruppenregeln hinzuzufügen oder zu entfernen.

AuthorizeSecurityGroupIngress
AuthorizeSecurityGroupEgress
RevokeSecurityGroupIngress
RevokeSecurityGroupEgress

Diese Einstellungen erzeugen das folgende Ereignismuster:

{
  "source": [
    "aws.ec2"
  ],
  "detail-type": [
    "AWS API Call via CloudTrail"
  ],
  "detail": {
    "eventSource": [
      "ec2.amazonaws.com"
    ],
    "eventName": [
      "AuthorizeSecurityGroupIngress",
      "AuthorizeSecurityGroupEgress",
      "RevokeSecurityGroupIngress",
      "RevokeSecurityGroupEgress"
    ]
  }
}

10.UnterZiele auswählen,wählen SieSNS-Themain der**Ziel-**Dropdown-Liste.

11.    Geben Sie unter Thema das Thema ein, das Sie zuvor erstellt haben.

Hinweis: Standardmäßig ist ** unter Eingabe konfigurierendie Option Abgestimmtes Ereignis ausgewählt. Abgestimmtes Ereignis übergibt die gesamte JSON-Ausgabe des Ereignisses an das SNS-Thema. Wenn Sie nicht die gesamte JSON-Ausgabe weitergeben möchten, wählen Sie Eingabetransformator aus, um die Ereignisinformationen zu filtern. Verwenden Sie den Eingabetransformator, um den Text eines Ereignisses anzupassen und eine leicht lesbare Nachricht zu erstellen, anstatt die gesamte JSON-Ausgabe an Ihr Ziel zu senden. Sie können beispielsweise die folgenden Schlüssel-Wert-Paare für denEingabepfad verwenden**.

{"name":"$.detail.requestParameters.groupId","source":"$.detail.eventName","time":"$.time","value":"$.detail"}

Geben Sie unterEingabemaskeden Text und die Variablen ein, die in der Nachricht erscheinen sollen:

"A <source> API call was made against the security group <name> on <time> with the below details"
" <value> "

Weitere Informationen zur Verwendung der Option Eingangsübertrager finden Sie imTutorial: Verwenden Sie den Input-Transformer, um festzulegen, was EventBridge an das Ereignisziel weitergibt.

12.Wählen SieErstellen.

---

Verwandte Informationen

Tutorial: Erstellen einer Amazon EventBridge-Regel für AWS Cloudtrail-API-Aufrufe