View a markdown version of this page

AWSPremiumSupport-DDoSResiliencyAssessment - AWS Systems Manager Referenz zum Automatisierungs-Runbook

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWSPremiumSupport-DDoSResiliencyAssessment

Beschreibung

Das AWSPremiumSupport-DDoSResiliencyAssessment AWS Systems Manager Automation-Runbook hilft Ihnen dabei, DDoS-Schwachstellen und die Konfiguration der Ressourcen entsprechend Ihrem AWS Shield Advanced Schutz zu überprüfen. AWS-Konto Es enthält einen Bericht über die Konfigurationseinstellungen für Ressourcen, die anfällig für Distributed Denial of Service (DDoS) -Angriffe sind. Es wird verwendet, um die folgenden Ressourcen zu sammeln, zu analysieren und zu bewerten: Amazon Route 53, Amazon Load Balancers, CloudFront Amazon-Distributionen AWS Global Accelerator und AWS Elastic IPs für ihre Konfigurationseinstellungen gemäß den empfohlenen Best Practices für AWS Shield Advanced den Schutz. Der endgültige Konfigurationsbericht ist in einem Amazon S3 S3-Bucket Ihrer Wahl als HTML-Datei verfügbar.

Wie funktioniert er?

Dieses Runbook enthält eine Reihe von Prüfungen für die verschiedenen Arten von Ressourcen, die für den öffentlichen Zugriff aktiviert sind, und ob für sie Schutzmaßnahmen gemäß den Empfehlungen im AWS DDoS-Whitepaper zu Best Practices konfiguriert wurden. Das Runbook führt Folgendes aus:

  • Prüft, ob ein Abonnement für aktiviert AWS Shield Advanced ist.

  • Wenn aktiviert, findet es heraus, ob Shield Advanced-geschützte Ressourcen vorhanden sind.

  • Es findet alle globalen und regionalen Ressourcen im AWS-Konto und prüft, ob diese durch Shield geschützt sind.

  • Es erfordert die Resource Type-Parameter für die Bewertung, den Amazon S3 S3-Bucket-Namen und die Amazon S3 AWS-Konto S3-Bucket-ID (S3BucketOwner).

  • Es gibt die Ergebnisse als HTML-Bericht zurück, der im bereitgestellten Amazon S3 S3-Bucket gespeichert ist.

Die Eingabeparameter AssessmentType entscheiden, ob die Prüfungen für alle Ressourcen durchgeführt werden. Standardmäßig sucht das Runbook nach allen Arten von Ressourcen. Wenn nur der RegionalResources Parameter GlobalResources oder ausgewählt ist, führt das Runbook Prüfungen nur für die ausgewählten Ressourcentypen durch.

Wichtig

  • Für den Zugriff auf AWSPremiumSupport-* Runbooks ist ein Abonnement für Business + Support, Enterprise Support oder Unified Operations erforderlich. Weitere Informationen finden Sie unter AWS Support Tarife vergleichen.

  • Für dieses Runbook ist ein ACTIVE AWS Shield Advanced Abonnement erforderlich.

Führen Sie diese Automatisierung aus (Konsole)

Art des Dokuments

Automatisierung

Eigentümer

Amazon

Plattformen

LinuxmacOS, Windows

Parameter

  • AutomationAssumeRole

    Typ: Zeichenfolge

    Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der AWS Identity and Access Management (IAM) -Rolle, mit der Systems Manager Automation die Aktionen in Ihrem Namen ausführen kann. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.

  • AssessmentType

    Typ: Zeichenfolge

    Beschreibung: (Optional) Legt den Typ der Ressourcen fest, die für die Bewertung der DDoS-Resilienz bewertet werden sollen. Standardmäßig bewertet das Runbook sowohl globale als auch regionale Ressourcen. Für regionale Ressourcen beschreibt das Runbook alle Load Balancer für Anwendungen (ALB) und Netzwerke (NLB) sowie die gesamte Auto Scaling Scaling-Gruppe in Ihrer /region. AWS-Konto

    Zulässige Werte: ['Global Resources', 'Regional Resources', 'Global and Regional Resources']

    Standard: Globale und regionale Ressourcen

  • S3BucketName

    Typ: AWS::S3::Bucket::Name

    Beschreibung: (Erforderlich) Der Amazon S3 S3-Bucket-Name, in den der Bericht hochgeladen wird.

    Zulässiges Muster: ^[0-9a-z][a-z0-9\-\.]{3,63}$

  • S3BucketOwnerAccount

    Typ: Zeichenfolge

    Beschreibung: (Optional) Derjenige AWS-Konto , dem der Amazon S3 S3-Bucket gehört. Bitte geben Sie diesen Parameter an, wenn der Amazon S3 S3-Bucket zu einem anderen gehört. AWS-Konto Andernfalls können Sie diesen Parameter leer lassen.

    Zulässiges Muster: ^$|^[0-9]{12,13}$

  • S3BucketOwnerRoleArn

    Typ: AWS::IAM::Role::Arn

    Beschreibung: (Optional) Der ARN einer IAM-Rolle mit der Berechtigung, den Amazon S3 S3-Bucket zu beschreiben und den öffentlichen Zugriff zu AWS-Konto blockieren, falls sich der Bucket in einem anderen AWS-Konto befindet. Wenn dieser Parameter nicht angegeben ist, verwendet das Runbook den AutomationAssumeRole oder den IAM-Benutzer, der dieses Runbook startet (falls AutomationAssumeRole nicht angegeben). Weitere Informationen finden Sie im Abschnitt „Erforderliche Berechtigungen“ in der Runbook-Beschreibung.

    Zulässiges Muster: ^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso|aws-iso-b):iam::[0-9]{12,13}:role/.*$

  • S3BucketPrefix

    Typ: Zeichenfolge

    Beschreibung: (Optional) Das Präfix für den Pfad innerhalb von Amazon S3 zum Speichern der Ergebnisse.

    Zulässiges Muster: ^[a-zA-Z0-9][-./a-zA-Z0-9]{0,255}$|^$

Erforderliche IAM-Berechtigungen

Der AutomationAssumeRole Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.

  • autoscaling:DescribeAutoScalingGroups

  • cloudfront:ListDistributions

  • ec2:DescribeAddresses

  • ec2:DescribeNetworkAcls

  • ec2:DescribeInstances

  • elasticloadbalancing:DescribeLoadBalancers

  • elasticloadbalancing:DescribeTargetGroups

  • globalaccelerator:ListAccelerators

  • iam:GetRole

  • iam:ListAttachedRolePolicies

  • route53:ListHostedZones

  • route53:GetHealthCheck

  • shield:ListProtections

  • shield:GetSubscriptionState

  • shield:DescribeSubscription

  • shield:DescribeEmergencyContactSettings

  • shield:DescribeDRTAccess

  • waf:GetWebACL

  • waf:GetRateBasedRule

  • wafv2:GetWebACL

  • wafv2:GetWebACLForResource

  • waf-regional:GetWebACLForResource

  • waf-regional:GetWebACL

  • s3:ListBucket

  • s3:GetBucketAcl

  • s3:GetBucketLocation

  • s3:GetBucketPublicAccessBlock

  • s3:GetBucketPolicyStatus

  • s3:GetBucketEncryption

  • s3:GetAccountPublicAccessBlock

  • s3:PutObject

Beispiel für eine IAM-Richtlinie für die Funktion „Automation Assume Role“

JSON

                {
                        "Version":"2012-10-17",
                        "Statement": [
                            {
                                "Action": [
                                    "s3:ListBucket",
                                    "s3:GetBucketAcl",
                                    "s3:GetAccountPublicAccessBlock"
                                ],
                                "Resource": "*",
                                "Effect": "Allow"
                            },
                            {
                                "Action": [
                                    "s3:ListBucket",
                                    "s3:GetBucketAcl",
                                    "s3:GetBucketLocation",
                                    "s3:GetBucketPublicAccessBlock",
                                    "s3:GetBucketPolicyStatus",
                                    "s3:GetEncryptionConfiguration"
                                ],
                                "Resource": "arn:aws:s3:::<bucket-name>",
                                "Effect": "Allow"
                            },
                            {
                                "Action": [
                                    "s3:PutObject"
                                ],
                                "Resource": "arn:aws:s3:::<bucket-name>/*",
                                "Effect": "Allow"
                            },
                            {
                                "Action": [
                                    "autoscaling:DescribeAutoScalingGroups",
                                    "cloudfront:ListDistributions",
                                    "ec2:DescribeInstances",
                                    "ec2:DescribeAddresses",
                                    "ec2:DescribeNetworkAcls",
                                    "elasticloadbalancing:DescribeLoadBalancers",
                                    "elasticloadbalancing:DescribeTargetGroups",
                                    "globalaccelerator:ListAccelerators",
                                    "iam:GetRole",
                                    "iam:ListAttachedRolePolicies",
                                    "route53:ListHostedZones",
                                    "route53:GetHealthCheck",
                                    "shield:ListProtections",
                                    "shield:GetSubscriptionState",
                                    "shield:DescribeSubscription",
                                    "shield:DescribeEmergencyContactSettings",
                                    "shield:DescribeDRTAccess",
                                    "waf:GetWebACL",
                                    "waf:GetRateBasedRule",
                                    "wafv2:GetWebACL",
                                    "wafv2:GetWebACLForResource",
                                    "waf-regional:GetWebACLForResource",
                                    "waf-regional:GetWebACL"
                                ],
                                "Resource": "*",
                                "Effect": "Allow"
                            },
                            {
                                "Action": "iam:PassRole",
                                "Resource": "arn:aws:iam::111122223333:role/automation-assume-role-name",
                                "Effect": "Allow"
                            }
                        ]
                    }

Anweisungen

  1. Navigieren Sie AWSPremiumSupport-DDoSResiliencyAssessmentin der AWS Systems Manager Konsole zu.

  2. Wählen Sie Automatisierung ausführen

  3. Geben Sie für Eingabeparameter Folgendes ein:

    • AutomationAssumeRole(Fakultativ):

      Der Amazon-Ressourcenname (ARN) der Rolle AWS Identity and Access Management (IAM), der es Systems Manager Automation ermöglicht, die Aktionen in Ihrem Namen durchzuführen. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.

    • AssessmentType(Optional):

      Legt die Art der Ressourcen fest, die für die Bewertung der DDoS-Resilienz bewertet werden sollen. Standardmäßig bewertet das Runbook sowohl globale als auch regionale Ressourcen.

    • S3BucketName(Erforderlich):

      Der Name des Amazon S3 S3-Buckets, in dem der Bewertungsbericht im HTML-Format gespeichert werden soll.

    • S3BucketOwner(Fakultativ):

      Die AWS-Konto ID des Amazon S3 S3-Buckets für die Eigentumsverifizierung. Die AWS-Konto ID ist erforderlich, wenn der Bericht in einem kontoübergreifenden Amazon S3 S3-Bucket veröffentlicht werden muss, und optional, wenn sich der Amazon S3 S3-Bucket in derselben Phase befindet AWS-Konto wie die Initiierung der Automatisierung.

    • S3BucketPrefix(Fakultativ):

      Beliebiges Präfix für den Pfad innerhalb von Amazon S3 zum Speichern der Ergebnisse.

    Eingabeparameterformular mit den Feldern IAM Rolle, S3-Bucket, Bucket-Besitzer und Ressourcentyp.

  4. Wählen Sie Ausführen aus.

  5. Die Automatisierung wird eingeleitet.

  6. Das Dokument führt die folgenden Schritte aus:

    • CheckShieldAdvancedState:

      Überprüft, ob das abonniert AWS-Konto ist AWS Shield Advanced und ob das Runbook Zugriff auf den Amazon S3 S3-Bucket hat.

    • S3BucketSecurityChecks:

      Überprüft, ob der im Feld "S3BucketName" angegebene Amazon S3 S3-Bucket anonyme oder öffentliche Lese- oder Schreibzugriffsberechtigungen gewährt, ob für den Bucket die Verschlüsselung im Ruhezustand aktiviert ist und ob die in "S3BucketOwner" angegebene AWS-Konto ID der Besitzer des Amazon S3 S3-Buckets ist.

    • BranchOnShieldAdvancedStatus:

      Branches dokumentieren Schritte auf der Grundlage des AWS Shield Advanced Abonnementstatus and/or Amazon S3 Bucket Ownership Status.

    • ShieldAdvancedConfigurationReview:

      Überprüft die Shield Advanced-Konfigurationen, um sicherzustellen, dass die mindestens erforderlichen Details vorhanden sind. Zum Beispiel: IAM-Zugriff für das AWS Shield Response-Team (SRT) -Team, Kontaktlistendetails und SRT-Status für proaktives Engagement.

    • ListShieldAdvancedProtections:

      Listet die durch Shield geschützten Ressourcen auf und erstellt für jeden Dienst eine Gruppe geschützter Ressourcen.

    • BranchOnResourceTypeAndCount:

      Verzweigt Dokumentschritte auf der Grundlage des Werts des Parameters Resource Type und der Anzahl der durch Shield geschützten globalen Ressourcen.

    • ReviewGlobalResources:

      Überprüft die von Shield Advanced geschützten globalen Ressourcen wie Route 53 Hosted Zones, CloudFront Distributions und Global Accelerators.

    • BranchOnResourceType:

      Branches dokumentieren die Schritte auf der Grundlage des ausgewählten Ressourcentyps (Global, Regional oder beides).

    • ReviewRegionalResources:

      Überprüft die von Shield Advanced geschützten regionalen Ressourcen wie Application Load Balancers, Network Load Balancers, Classic Load Balancers und Amazon Elastic Compute Cloud (Amazon EC2) -Instances (Elastic IPs).

    • SendReportToS3:

      Lädt die Details des DDoS-Bewertungsberichts in den Amazon S3 S3-Bucket hoch.

  7. Nach Abschluss des Vorgangs wird der URI für die HTML-Datei des Bewertungsberichts im Amazon S3 S3-Bucket bereitgestellt:

    S3-Konsolenlink und Amazon S3 S3-URI für den Bericht über die erfolgreiche Ausführung des Runbooks

    Der Ausführungsstatus zeigt den Gesamterfolg an: 9 Schritte wurden ausgeführt, 9 waren erfolgreich, 0 sind fehlgeschlagen.

Referenzen

Systems Manager Automation

AWS Servicedokumentation