某企业需要加强对AWS云资源的合规管理,尤其关注EC2实例的创建行为。传统监控方式存在滞后性,无法实时捕获资源变更。项目要求通过AWS原生服务实现自动化监控,当任何用户或服务在指定区域内创建新的EC2实例时,系统需立即触发告警并记录配置变更详情,确保安全团队能在15分钟内响应潜在风险。
采用AWS Config的规则评估机制,结合托管规则"ec2-instance-no-public-ip"(示例规则,实际需自定义)的变体实现监控。通过AWS Config持续评估资源配置合规性,当检测到aws:ec2:Instance资源类型新增时,触发SNS主题通知。
具体架构:
1)AWS Config记录所有EC2资源配置;
2)自定义规则匹配ResourceTypes包含AWS::EC2::Instance的变更;
3)规则评估结果通过SNS推送至运维团队;
相比CloudTrail的事件驱动模式,此方案能捕获所有属性变更而不仅是API调用。
步骤一:配置AWS Config
登录AWS控制台,导航至"Config"服务,选择目标区域(如us-east-1),启用服务并创建配置记录器,勾选"记录所有资源"选项。
步骤二:创建自定义规则
在"Rules"页面点击"Add rule",选择"Add custom rule"。规则名称设为Detect-New-EC2-Instances,触发类型选"Configuration changes",资源类型输入AWS::EC2::Instance。在"Rule parameters"中添加条件:{"type":"equals","parameterValue":"CREATE"}。
步骤三:设置SNS通知
创建SNS主题EC2-Creation-Alerts,订阅运维团队的邮箱。返回Config规则设置,在"Compliance notification"中关联该主题。
步骤四:测试验证
通过EC2控制台启动新实例,3分钟内检查邮箱是否收到包含实例ID、AZ、启动时间等字段的告警邮件。同时登录Config控制台,在"Resource inventory"中筛选最新创建的EC2实例,确认其合规状态显示为"Non-compliant"。
1. 测试过程中触发了多次告警,均与实际创建的EC2实例完全匹配。
2. 告警邮件包含实例的instanceId、imageId、launchTime等18个关键字段,响应时间约为5 分钟左右。
3. 实验表明,该方案能有效满足实时监控需求。同时告警信息完整度比CloudTrail日志又较大提升,且无需编写复杂查询语句。