Beschränken des Agentenzugriffs in einem AWS Konto - AWS DevOps Agentin
Grundlegendes zu den IAM-Rollen für Agenten AWS DevOpsWählen Sie Ihre RessourcengrenzenEinschränken des ServicezugriffsBeschränkung des RessourcenzugriffsBeschränkung des regionalen ZugriffsBenutzerdefinierte IAM-Richtlinien erstellenBewährte Methoden für benutzerdefinierte Richtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beschränken des Agentenzugriffs in einem AWS Konto

AWS DevOps Der Agent verwendet IAM-Rollen, um AWS Ressourcen bei der Untersuchung von Vorfällen und präventiven Bewertungen zu ermitteln und zu beschreiben. Sie können die Zugriffsebene des Agenten steuern, indem Sie IAM-Richtlinien konfigurieren, die diesen Rollen zugeordnet sind. Die Anwendungstopologie zeigt nicht alles, worauf der Agent Zugriff hat. IAM-Richtlinien sind die einzige Möglichkeit, die AWS Dienste APIs und Ressourcen, auf die der Agent zugreifen kann, wirklich einzuschränken.

Grundlegendes zu den IAM-Rollen für Agenten AWS DevOps

AWS DevOps Der Agent verwendet IAM-Rollen, um auf Ressourcen in zwei Arten von Konten zuzugreifen:

  • Primäre Kontorolle — Gewährt dem Agenten Zugriff auf Ressourcen in dem AWS Konto, in dem Sie den Agent Space erstellen.

  • Sekundäre Kontorollen — Gewährt dem Agenten Zugriff auf Ressourcen in zusätzlichen AWS Konten, die Sie mit dem Agent Space verbinden.

Für beide Kontotypen können Sie einschränken, auf welche AWS Dienste der Agent zugreifen kann, den Zugriff auf bestimmte Ressourcen innerhalb dieser Dienste einschränken und steuern, in welchen Regionen der Agent tätig sein kann.

Wählen Sie Ihre Ressourcengrenzen

Wenn Sie den Ressourcenzugriff einschränken, müssen Sie genügend Berechtigungen angeben, damit der Agent Anwendungsvorfälle erfolgreich untersuchen kann. Dies umfasst:

  • Alle Ressourcen für in den Anwendungsbereich fallende Anwendungen, die der Agent überwachen und untersuchen sollte

  • Die gesamte unterstützende Infrastruktur, von der diese Anwendungen abhängen

Die unterstützende Infrastruktur kann Folgendes umfassen:

  • Netzwerkkomponenten (VPCs, Subnetze, Load Balancer, API-Gateways)

  • Datenspeicher (Datenbanken, Caches, Objektspeicher)

  • Rechenressourcen (EC2-Instances, Lambda-Funktionen, Container)

  • Überwachungs- und Protokollierungsdienste (CloudWatch,) CloudTrail

  • Ressourcen für die Identitäts- und Zugriffsverwaltung sind erforderlich, um die Berechtigungen zu verstehen

Wenn Sie den Zugriff zu eng einschränken, ist der Agent möglicherweise nicht in der Lage, die Hauptursachen zu identifizieren, die auf die unterstützende Infrastruktur außerhalb Ihrer definierten Grenzen zurückzuführen sind.

Einschränken des Servicezugriffs

Sie können einschränken, auf welche AWS Dienste der Agent zugreifen kann, indem Sie die IAM-Richtlinien ändern, die den Rollen des Agenten zugeordnet sind. Beachten Sie bei der Erstellung benutzerdefinierter Richtlinien die folgenden bewährten Methoden:

  • Nur Leseberechtigungen gewähren — Der Agent muss während der Untersuchungen Ressourcenkonfigurationen, Metriken und Protokolle lesen. Vermeiden Sie es, dem Agenten Berechtigungen zu erteilen, die es ihm ermöglichen, Ressourcen zu ändern oder zu löschen.

  • Beschränken Sie sich auf notwendige Dienste — Schließen Sie nur die AWS Dienste ein, die Ressourcen enthalten, die für Ihre Anwendungen relevant sind. Wenn Ihre Anwendung beispielsweise Amazon RDS nicht verwendet, nehmen Sie keine RDS-Berechtigungen in die Richtlinie auf.

  • Verwenden Sie bestimmte Aktionen anstelle von Platzhaltern — Anstatt service:* Berechtigungen zu gewähren, geben Sie einzelne Aktionen wie cloudwatch:GetMetricData oder ec2:DescribeInstances an.

Beispiel für eine Richtlinie, die auf bestimmte Dienste beschränkt ist:

json

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudwatch:GetMetricData",
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:DescribeAlarms",
        "logs:GetLogEvents",
        "logs:FilterLogEvents",
        "ec2:DescribeInstances",
        "lambda:GetFunction",
        "lambda:GetFunctionConfiguration"
      ],
      "Resource": "*"
    }
  ]
}

Beschränkung des Ressourcenzugriffs

Um den Agenten auf bestimmte Ressourcen innerhalb eines Dienstes zu beschränken, verwenden Sie in Ihren IAM-Richtlinien Berechtigungen auf Ressourcenebene. Auf diese Weise können Sie nur Ressourcen Zugriff gewähren, die bestimmten Mustern entsprechen.

Verwenden von Ressourcen-ARN-Mustern:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "lambda:GetFunction",
        "lambda:GetFunctionConfiguration"
      ],
      "Resource": "arn:aws:lambda:*:*:function:production-*"
    }
  ]
}

In diesem Beispiel wird der Agent darauf beschränkt, nur auf Lambda-Funktionen zuzugreifen, deren Namen mit „production-“ beginnen.

Verwendung von tagbasierten Einschränkungen:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeInstances",
        "ec2:DescribeInstanceStatus"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Environment": "production"
        }
      }
    }
  ]
}

In diesem Beispiel wird der Agent darauf beschränkt, nur auf EC2-Instances zuzugreifen, die mit gekennzeichnet sind. Environment=production

Beschränkung des regionalen Zugriffs

Um einzuschränken, auf welche AWS Regionen der Agent zugreifen kann, verwenden Sie den aws:RequestedRegion Bedingungsschlüssel in Ihren IAM-Richtlinien:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:Describe*",
        "lambda:Get*",
        "cloudwatch:Get*"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestedRegion": [
            "us-east-1",
            "us-west-2"
          ]
        }
      }
    }
  ]
}

In diesem Beispiel wird der Agent darauf beschränkt, nur auf Ressourcen in den Regionen us-east-1 und us-west-2 zuzugreifen.

Benutzerdefinierte IAM-Richtlinien erstellen

Wenn Sie einen Agent Space erstellen oder sekundäre Konten hinzufügen, haben Sie die Möglichkeit, mithilfe einer Richtlinienvorlage eine benutzerdefinierte IAM-Rolle zu erstellen. Auf diese Weise können Sie das Prinzip der geringsten Rechte implementieren.

Beim Erstellen eines Agent Space

Von der DevOps Agent-Konsole in der AWS Management-Konsole aus...

  • Wählen Sie Neue DevOps Agentenrolle mithilfe eines Richtliniendokuments erstellen und folgen Sie den Anweisungen

Beim Bearbeiten eines Agentenbereichs

Von der DevOps Agent-Konsole in der AWS Management-Konsole aus...

  • Wählen Sie die Registerkarte Funktionen

  • Wählen Sie im Cloud-Bereich das sekundäre Konto aus, das Sie bearbeiten möchten, und klicken Sie auf Bearbeiten

  • Wählen Sie Neue DevOps Agentenrichtlinie mithilfe einer Vorlage erstellen und folgen Sie den Anweisungen

Bewährte Methoden für benutzerdefinierte Richtlinien

  • Nur Leseberechtigungen gewähren — Vermeiden Sie Berechtigungen, die das Ändern oder Löschen von Ressourcen ermöglichen

  • Verwenden Sie nach Möglichkeit Berechtigungen auf Ressourcenebene — Beschränken Sie den Zugriff auf bestimmte Ressourcen mithilfe von ARN-Mustern oder -Tags

  • Regelmäßige Überprüfung und Prüfung der Berechtigungen — Überprüfen Sie regelmäßig die IAM-Richtlinien des Agenten, um sicherzustellen, dass sie weiterhin Ihren Sicherheitsanforderungen entsprechen