Monitoring Security Groups with AWS Config (Traditional Chinese)

概觀

Amazon Elastic Compute Cloud (Amazon EC2) 安全群組是限制存取 AWS 基礎設施的重要控制項。為了改善此控制項的有效性，您可以監控安全群組的設定是否有未經授權的變更。在這個實驗室中，您會學習如何使用 AWS Config 規則搭配 AWS Lambda 函數來監控與 EC2 安全群組相關聯的傳入連接埠。每當修改安全群組時，就會叫用 Lambda 函數。如果傳入規則組態與 Lambda 函數中的不同，該函數會將傳入規則還原回適當的組態。

涵蓋的主題

此實驗室結束後，您將能夠：

• 啟用 AWS Config
• 建立和啟用自訂 AWS Config 規則
• 驗證 AWS Config 規則評估的結果

技術知識先決條件

若要順利完成此實驗室，您應熟悉 EC2 安全群組以及 AWS Management Console 的基本導覽。

什麼是 AWS Config？

AWS Config 提供 AWS 帳戶中 AWS 資源組態的詳細檢視。這包含資源彼此之間的關係和之前的組態方式，所以您可以看到一段時間中組態和關係的變化。您可以使用 AWS Config 執行下列工作：

• 評估您的 AWS 資源組態是否有所需的設定。
• 取得與 AWS 帳戶關聯的支援資源目前組態的快照。
• 擷取帳戶中一或多個資源的組態。
• 擷取一或多個資源的歷史組態。
• 在建立、修改或刪除資源時收到通知。
• 檢視資源之間的關係。例如，您可能想要尋找使用特定安全群組的所有資源。

在這個實驗室中，您會建立自訂規則，每當安全群組進行變更時就會叫用 Lambda 函數。Lambda 函數會判斷傳入規則是否與預先設定的模式不同。

如需有關使用 AWS Config 的詳細資訊，請參閱官方的 Amazon Web Services 文件，網址為：https://aws.amazon.com/documentation/config/。如需定價詳細資訊，請參閱 https://aws.amazon.com/config/pricing/。

什麼是 AWS Lambda？

AWS Lambda 是一項無伺服器的運算服務，可在雲端中提供可調整大小的運算容量，讓開發人員更輕鬆地進行 Web 規模運算。您可以將程式碼上傳到 Lambda，而服務可以使用 AWS 基礎設施代表您執行程式碼。Lambda 支援多種程式語言，例如 Node.js、Java、Python、Go、.Net 和 Ruby。

上傳程式碼並建立 Lambda 函數之後，AWS Lambda 會負責佈建和管理用來執行程式碼的伺服器。在這個實驗室中，您將使用 AWS Lambda 做為觸發導向的運算服務，AWS Lambda 會在其中執行程式碼，以回應 Amazon EC2 安全群組的變更。Lambda 函數的程式碼會在 S3 儲存貯體中提供。

如需有關使用 AWS Lambda 的詳細資訊，請參閱官方的 Amazon Web Services 文件，網址為：https://aws.amazon.com/documentation/lambda/。如需定價詳情，請參閱 https://aws.amazon.com/lambda/pricing/。

圖示圖例

此實驗室使用各種圖示提醒您注意不同類型的指示和注意事項。以下清單說明各圖示的用途：

• 您可使用的範例輸出，以驗證命令的輸出內容或經過編輯的檔案
• 提示、秘訣或重要指引
• 可獲得更多資訊的地方
• 有特殊影響或重要性的資訊 (如果您錯過此資訊，不會對設備或資料造成太大的問題，但可能會導致需要重複特定步驟)
• 顯示您需要執行的指令碼或檔案內容的程式碼區塊，這是為您預先建立的內容
• 您將有機會檢測您的知識並測試您學到的內容
• 您可能需要重新整理 Web 瀏覽器頁面或顯示新資訊清單的時機