{"id":18707,"date":"2021-04-23T11:03:00","date_gmt":"2021-04-23T09:03:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=18707"},"modified":"2021-04-19T10:10:42","modified_gmt":"2021-04-19T08:10:42","slug":"konfigurationshistorie-von-aws-ressourcen-richtig-nachvollziehen","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=18707","title":{"rendered":"Konfigurationshistorie von AWS Ressourcen richtig nachvollziehen"},"content":{"rendered":"\n

Um \u00c4nderungen an der Konfiguration von Ressourcen sinnvoll und vollst\u00e4ndig nachvollziehen zu k\u00f6nnen, bietet die AWS-Cloud geeignete Werkzeuge an. Mit dem Dienst AWS Config werden Modifikationen der Einstellungen sichtbar. Hier kann die komplette Konfigurationshistorie abgefragt werden. Mittels der AWS CloudFormation StackSets ist dies f\u00fcr verschiedene Nutzerkonten und Regionen m\u00f6glich. Dabei dienen die gesammelten Informationen, Dienste zu \u00fcberwachen und zu optimieren. Dies hilft Administratoren, Probleme zu beheben und geltende IT-Richtlinien einzuhalten.<\/p>\n\n\n\n

\"\"<\/a>
Grafik: AWS<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Um Ihre Ressourcen l\u00fcckenlos zu verfolgen, w\u00e4hlen Sie beim Aufsetzen von AWS Config die Option „All resources“ aus. Dadurch werden alle nach der Einrichtung des Tools neu hinzukommenden Ressourcen eines Typs automatisch in die Beobachtung aufgenommen. AWS Config unterst\u00fctzt mehr als 60 verschiedene Ressourcentypen. Sie k\u00f6nnen entweder den Konfigurationsstatus periodisch abfragen oder jede \u00c4nderung der Einstellungen automatisch dokumentieren lassen. F\u00fcr Dienste, die AWS Config noch nicht unterst\u00fctzt, richten Sie \u00fcber eine Custom Rule eine periodische Abfrage ein.<\/p>\n\n\n\n

Um die Konfigurationshistorie zu sichern, legen Sie fest, dass ein Amazon S3 Bucket die Informationen und Snapshot-Daten erh\u00e4lt. Ein Snapshot sollte t\u00e4glich vorgenommen werden. Um ein unbefugtes Ver\u00e4ndern dieser Sicherung zu verhindern, aktivieren Sie unter „AWS Config Rules“ die Regeln „s3-bucket-public-write-prohibited“ und „s3-bucket-public-read-prohibited“.<\/p>\n\n\n\n

AWS Config leitet nach der Einrichtung alle Ver\u00e4nderungen an ein Ereginisziel unter Amazon Simple Notification Service (SNS) und zus\u00e4tzlich an den Dienst Amazon CloudWatch Events weiter. Mittels nativer Filterfunktionen in CloudWatch Events k\u00f6nnen Sie einstellen, dass Benachrichtigungen an andere Ziele, etwa eine E-Mail-Adresse, externe IT-Service-Management-L\u00f6sungen oder Tools f\u00fcr die Verwaltung von Konfigurationsdatenbanken gesendet werden.<\/p>\n\n\n\n

In der AWS Config Konsole suchen Sie mit der „AWS CloudTrail Lookup“- API nach \u00c4nderungen. Ein Beispiel einer Abfrage-Syntax im JSON-Format finden Sie hier:<\/p>\n\n\n\n

{<\/p>\n\n\n\n

  „EndTime<\/a>„: number<\/em><\/code>,<\/p>\n\n\n\n

  „EventCategory<\/a>„: „string<\/em><\/code>„,<\/p>\n\n\n\n

  „LookupAttributes<\/a>„: [<\/p>\n\n\n\n

   {<\/p>\n\n\n\n

     „AttributeKey<\/a>„: „string<\/em><\/code>„,<\/p>\n\n\n\n

     „AttributeValue<\/a>„: „string<\/em><\/code>„<\/p>\n\n\n\n

   }<\/p>\n\n\n\n

  ],<\/p>\n\n\n\n

  „MaxResults<\/a>„: number<\/em><\/code>,<\/p>\n\n\n\n

  „NextToken<\/a>„: „string<\/em><\/code>„,<\/p>\n\n\n\n

  „StartTime<\/a>„: number<\/em><\/code><\/p>\n\n\n\n

}<\/p>\n\n\n\n

Mit den Suchparametern „EndTime“ und „StartTime“ grenzen Sie ein, aus welchem Zeitraum Daten abgefragt werden sollen. „LookupAttributes“ erm\u00f6glicht das Filtern der Ergebnisse nach Kriterien wie Name und Typ der Ressource oder Anwendername. \u00dcber „MaxResults“ geben Sie an, wie viele Ereignisse maximal angezeigt werden sollen. „NextToken“ ist ein Token, um zur n\u00e4chsten Seite der Ergebnisse zu gelangen. Wird dieses nicht angezeigt, liegen keine weiteren Ergebnisse vor. Wenn im urspr\u00fcnglichen Call der „Attribute Key“ \u201eUsername\u201c den Wert \u201eRoot\u201c hatte, muss NextToken auch denselben Wert haben.<\/p>\n\n\n\n

Die entsprechende Response Syntax lautet:<\/p>\n\n\n\n

{<\/p>\n\n\n\n

  „Events<\/a>„: [<\/p>\n\n\n\n

   {<\/p>\n\n\n\n

     „AccessKeyId<\/a>„: „string<\/strong><\/em>„,<\/p>\n\n\n\n

     „CloudTrailEvent<\/a>„: „string<\/strong><\/em>„,<\/p>\n\n\n\n

     „EventId<\/a>„: „string<\/strong><\/em>„,<\/p>\n\n\n\n

     „EventName<\/a>„: „string<\/strong><\/em>„,<\/p>\n\n\n\n

     „EventSource<\/a>„: „string<\/strong><\/em>„,<\/p>\n\n\n\n

     „EventTime<\/a>„: number<\/strong><\/em>,<\/p>\n\n\n\n

     „ReadOnly<\/a>„: „string<\/strong><\/em>„,<\/p>\n\n\n\n

     „Resources<\/a>„: [<\/p>\n\n\n\n

      {<\/p>\n\n\n\n

        „ResourceName<\/a>„: „string<\/strong><\/em>„,<\/p>\n\n\n\n

        „ResourceType<\/a>„: „string<\/strong><\/em>„<\/p>\n\n\n\n

      }<\/p>\n\n\n\n

     ],<\/p>\n\n\n\n

     „Username<\/a>„: „string<\/strong><\/em>„<\/p>\n\n\n\n

   }<\/p>\n\n\n\n

  ],<\/p>\n\n\n\n

  „NextToken<\/a>„: „string<\/strong><\/em>„<\/p>\n\n\n\n

}<\/p>\n\n\n\n

Die Ergebnisse werden als HTTP-Antwort zur\u00fcckgesendet.<\/p>\n","protected":false},"excerpt":{"rendered":"

Um \u00c4nderungen an der Konfiguration von Ressourcen sinnvoll und vollst\u00e4ndig nachvollziehen zu k\u00f6nnen, bietet die AWS-Cloud geeignete Werkzeuge an. Mit dem Dienst AWS Config werden Modifikationen der Einstellungen sichtbar. Hier kann die komplette Konfigurationshistorie abgefragt werden. Mittels der AWS CloudFormation StackSets ist dies f\u00fcr verschiedene Nutzerkonten und Regionen m\u00f6glich. Dabei dienen die gesammelten Informationen, Dienste zu \u00fcberwachen und zu optimieren. Dies hilft Administratoren, Probleme zu beheben und geltende IT-Richtlinien einzuhalten.<\/p>\n","protected":false},"author":1,"featured_media":18708,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[22,6],"tags":[4135,11273,4550,14819,1362,14820],"class_list":["post-18707","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cloud","category-tipps","tag-aws","tag-bucket","tag-cloudformation","tag-config","tag-konfiguration","tag-stackset"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18707","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=18707"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18707\/revisions"}],"predecessor-version":[{"id":18710,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18707\/revisions\/18710"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/18708"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=18707"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=18707"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=18707"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}