概觀
Amazon Elastic Compute Cloud (Amazon EC2) 安全群組是限制存取 AWS 基礎設施的重要控制項。為了改善此控制項的有效性,您可以監控安全群組的設定是否有未經授權的變更。在這個實驗室中,您會學習如何使用 AWS Config 規則搭配 AWS Lambda 函數來監控與 EC2 安全群組相關聯的傳入連接埠。每當修改安全群組時,就會叫用 Lambda 函數。如果傳入規則組態與 Lambda 函數中的不同,該函數會將傳入規則還原回適當的組態。
涵蓋的主題
此實驗室結束後,您將能夠:
- 啟用 AWS Config
- 建立和啟用自訂 AWS Config 規則
- 驗證 AWS Config 規則評估的結果
技術知識先決條件
若要順利完成此實驗室,您應熟悉 EC2 安全群組以及 AWS Management Console 的基本導覽。
什麼是 AWS Config?
AWS Config 提供 AWS 帳戶中 AWS 資源組態的詳細檢視。這包含資源彼此之間的關係和之前的組態方式,所以您可以看到一段時間中組態和關係的變化。您可以使用 AWS Config 執行下列工作:
- 評估您的 AWS 資源組態是否有所需的設定。
- 取得與 AWS 帳戶關聯的支援資源目前組態的快照。
- 擷取帳戶中一或多個資源的組態。
- 擷取一或多個資源的歷史組態。
- 在建立、修改或刪除資源時收到通知。
- 檢視資源之間的關係。例如,您可能想要尋找使用特定安全群組的所有資源。
在這個實驗室中,您會建立自訂規則,每當安全群組進行變更時就會叫用 Lambda 函數。Lambda 函數會判斷傳入規則是否與預先設定的模式不同。
如需有關使用 AWS Config 的詳細資訊,請參閱官方的 Amazon Web Services 文件,網址為:https://aws.amazon.com/documentation/config/。如需定價詳細資訊,請參閱 https://aws.amazon.com/config/pricing/。
什麼是 AWS Lambda?
AWS Lambda 是一項無伺服器的運算服務,可在雲端中提供可調整大小的運算容量,讓開發人員更輕鬆地進行 Web 規模運算。您可以將程式碼上傳到 Lambda,而服務可以使用 AWS 基礎設施代表您執行程式碼。Lambda 支援多種程式語言,例如 Node.js、Java、Python、Go、.Net 和 Ruby。
上傳程式碼並建立 Lambda 函數之後,AWS Lambda 會負責佈建和管理用來執行程式碼的伺服器。在這個實驗室中,您將使用 AWS Lambda 做為觸發導向的運算服務,AWS Lambda 會在其中執行程式碼,以回應 Amazon EC2 安全群組的變更。Lambda 函數的程式碼會在 S3 儲存貯體中提供。
如需有關使用 AWS Lambda 的詳細資訊,請參閱官方的 Amazon Web Services 文件,網址為:https://aws.amazon.com/documentation/lambda/。如需定價詳情,請參閱 https://aws.amazon.com/lambda/pricing/。
圖示圖例
此實驗室使用各種圖示提醒您注意不同類型的指示和注意事項。以下清單說明各圖示的用途:
- 您可使用的範例輸出,以驗證命令的輸出內容或經過編輯的檔案
- 提示、秘訣或重要指引
- 可獲得更多資訊的地方
- 有特殊影響或重要性的資訊 (如果您錯過此資訊,不會對設備或資料造成太大的問題,但可能會導致需要重複特定步驟)
- 顯示您需要執行的指令碼或檔案內容的程式碼區塊,這是為您預先建立的內容
- 您將有機會檢測您的知識並測試您學到的內容
- 您可能需要重新整理 Web 瀏覽器頁面或顯示新資訊清單的時機