Monitoring Security Groups with AWS Config (Simplified Chinese)

概览

Amazon Elastic Compute Cloud (Amazon EC2) 安全组是一种重要的控制措施，可以限制对 AWS 基础设施的访问。为了提高这一控制措施的有效性，您可以监控安全组的配置，以防止未经授权的更改。在本实验中，您将学习如何结合使用 AWS Config 规则和 AWS Lambda 函数来监控与 EC2 安全组关联的入口端口。该 Lambda 函数会在安全组被修改时被调用。如果入口规则配置与 Lambda 函数中的配置不同，该函数会将入口规则恢复为正确的配置。

涵盖的主题

在本实验结束时，您将能够：

• 激活 AWS Config
• 创建并激活自定义 AWS Config 规则
• 验证 AWS Config 规则评估的结果

技术知识先决条件

要成功完成本实验，您应该熟悉 EC2 安全组和 AWS Management Console 的基本导航操作。

什么是 AWS Config？

AWS Config 可以提供关于您的 AWS 账户中的 AWS 资源配置的详细信息。其中包括资源之间的关系以及以前的资源配置方式，让您可以了解配置和关系随着时间的变化情况。使用 AWS Config，您可以：

• 评估 AWS 资源配置中是否有所需的设置。
• 获取与您的 AWS 账户关联的受支持资源的当前配置的简要说明。
• 检索账户中的一项或多项资源的配置。
• 检索一项或多项资源的历史配置。
• 在资源被创建、修改或删除时接收通知。
• 查看资源之间的关系。例如，您可能希望查找使用特定安全组的所有资源。

在本实验中，您将创建一条自定义规则，用来在安全组发生更改时调用 Lambda 函数。该 Lambda 函数会确定入口规则是否与预先配置的模式不同。

有关使用 AWS Config 的更多信息，请参阅 Amazon Web Services 官方文档：https://aws.amazon.com/documentation/config/。有关定价详细信息，请参阅 https://aws.amazon.com/config/pricing/。

什么是 AWS Lambda？

AWS Lambda 是一项无服务器计算服务，可以在云中提供大小可调的计算容量，让开发人员能够更轻松地进行 Web 级计算。您可以将代码上传到 AWS Lambda，而该服务可以使用 AWS 基础设施为您运行代码。Lambda 支持 Node.js、Java、Python、Go、.NET, 和 Ruby 等多种编程语言。

在您上传代码并创建 Lambda 函数后，AWS Lambda 会负责预置和管理您用来运行代码的服务器。在本实验中，您将使用 AWS Lambda 作为被触发的计算服务，如果 Amazon EC2 安全组发生更改，AWS Lambda 就会运行您的代码。Lambda 函数的代码将放置于 S3 存储桶。

有关使用 AWS Lambda 的更多信息，请参阅 Amazon Web Services 官方文档：https://aws.amazon.com/documentation/lambda/。有关定价详细信息，请参阅 https://aws.amazon.com/lambda/pricing/。

图标键

本实验中使用了不同图标，以提醒大家注意各种类型的说明和备注。下面的列表解释了每个图标的用途：

• 您可以用来验证命令或已编辑文件输出的示例输出
• 某种提示、技巧或重要指导
• 查找详细信息的位置
• 特别相关或特别重要的信息（不查看该信息并不会对设备或数据造成问题，但可能导致需要重复某些步骤）
• 一种代码块，显示了已为您预先创建的脚本或文件的内容，您需要运行该脚本或文件
• 检查您的知识掌握情况和测试您学到的知识
• 您可能需要刷新 Web 浏览器页面或列表才能显示新信息