Come posso monitorare le modifiche ai gruppi di sicurezza configurati sulla mia istanza EC2 Linux utilizzando EventBridge e Amazon SNS?

Breve descrizione

Crea una regola EventsBridge da attivare quando viene effettuata una chiamata API per modificare i tuoi gruppi di sicurezza. Quindi, configura una notifica Amazon SNS per gli eventi che corrispondono alla tua regola.

Risoluzione

Crea e iscriviti a un argomento Amazon SNS

1.    Apri la console Amazon SNS.

2.    Nella dashboard di SNS, seleziona Argomenti, quindi scegli Crea argomento.

3.    Inserisci un nome per l'argomento (ad esempio, my-topic).

4.    Seleziona Crea argomento.

5.    Prendi nota del nome della risorsa Amazon (ARN) dell'argomento (ad esempio, arn:aws:sns:us-east- 1:123123123123:my-topic).

6.    Seleziona Crea iscrizione.

7.    Per Argomento ARN, inserisci l'ARN di cui hai preso nota nel passaggio 5.

8.    Per Protocollo, seleziona E-mail.

9.    Per Endpoint, inserisci un indirizzo e-mail per ricevere le notifiche, quindi seleziona Crea iscrizione.

Riceverai un'e-mail di conferma dell'iscrizione. Dopo aver confermato l'iscrizione, l'indirizzo email riceve notifiche quando viene attivato l'argomento SNS.

Crea una regola EventBridge che si attiva su un evento utilizzando la console EventBridge

1.    Apri la console EventBridge.

2.    Seleziona Crea regola.

3.    Inserisci un Nome per la tua regola. Facoltativamente, puoi inserire una Descrizione.

4.    In Definisci modello, seleziona Modello evento.

5.    Seleziona Modello predefinito per servizio.

6.    Per Fornitore di servizi, seleziona AWS.

7.    Per Nome del servizio, seleziona EC2.

8.    Per Tipo evento, seleziona Chiamata API AWS tramite CloudTrail.

9.    Seleziona Operazione specifica, quindi copia e incolla una alla volta le seguenti chiamate API nella casella di testo. Seleziona Aggiungi dopo ogni aggiunta. Queste chiamate API vengono utilizzate per aggiungere o rimuovere le regole dei gruppi di sicurezza.

AuthorizeSecurityGroupIngress
AuthorizeSecurityGroupEgress
RevokeSecurityGroupIngress
RevokeSecurityGroupEgress

Tali impostazioni consentono di creare il seguente schema di eventi:

{
  "source": [
    "aws.ec2"
  ],
  "detail-type": [
    "AWS API Call via CloudTrail"
  ],
  "detail": {
    "eventSource": [
      "ec2.amazonaws.com"
    ],
    "eventName": [
      "AuthorizeSecurityGroupIngress",
      "AuthorizeSecurityGroupEgress",
      "RevokeSecurityGroupIngress",
      "RevokeSecurityGroupEgress"
    ]
  }
}

10.    In Seleziona destinazioni, seleziona l'argomento SNS dall'elenco a discesa Destinazione.

11.    In Argomento, inserisci l'argomento che hai creato in precedenza.

Nota: per impostazione predefinita, l'evento corrispondente è selezionato in Configura input. L’evento corrispondente trasferisce l'intero output JSON dell'evento all'argomento SNS. Se non desideri trasferire l'intero output JSON, seleziona Trasformatore di input per filtrare i dati relativi all'evento. Usa il trasformatore di input per personalizzare il testo di un evento per creare un messaggio di facile lettura, anziché inviare l'intero output JSON alla propria destinazione. Ad esempio, è possibile utilizzare le seguenti coppie chiave-valore per il percorso di input.

{"name":"$.detail.requestParameters.groupId","source":"$.detail.eventName","time":"$.time","value":"$.detail"}

In Modello di input, inserisci il testo e le variabili che desideri vengano visualizzati nel messaggio:

"A <source> API call was made against the security group <name> on <time> with the below details"
" <value> "

Per ulteriori informazioni sull'utilizzo dell'opzione del trasformatore di input, vedere Tutorial: uso del trasformatore di input per personalizzare ciò che EventBridge trasferisce alla destinazione dell'evento.

12.    Seleziona Crea.

---

Informazioni correlate

Tutorial: creazione di una regola Amazon EventBridge per le chiamate API AWS CloudTrail