AWS - Config Enum

Reading time: 6 minutes

tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें

AWS Config

AWS Config संसाधन परिवर्तनों को कैप्चर करता है, इसलिए Config द्वारा समर्थित किसी भी संसाधन में परिवर्तन को रिकॉर्ड किया जा सकता है, जो यह रिकॉर्ड करेगा कि क्या बदला गया है साथ ही अन्य उपयोगी मेटाडेटा, सभी को एक फ़ाइल में रखा गया है जिसे कॉन्फ़िगरेशन आइटम कहा जाता है, एक CI। यह सेवा क्षेत्र विशेष है।

एक कॉन्फ़िगरेशन आइटम या CI जैसा कि इसे कहा जाता है, AWS Config का एक प्रमुख घटक है। यह एक JSON फ़ाइल से बना है जो कॉन्फ़िगरेशन जानकारी, संबंध जानकारी और अन्य मेटाडेटा को एक समर्थित संसाधन के समय-विशिष्ट स्नैपशॉट दृश्य के रूप में रखता है। सभी जानकारी जो AWS Config किसी संसाधन के लिए रिकॉर्ड कर सकता है, CI के भीतर कैप्चर की जाती है। एक CI हर बार बनाया जाता है जब किसी समर्थित संसाधन की कॉन्फ़िगरेशन में किसी भी तरह से परिवर्तन किया जाता है। प्रभावित संसाधन के विवरण को रिकॉर्ड करने के अलावा, AWS Config किसी भी सीधे संबंधित संसाधनों के लिए भी CIs को रिकॉर्ड करेगा ताकि यह सुनिश्चित किया जा सके कि परिवर्तन ने उन संसाधनों को भी प्रभावित नहीं किया।

  • मेटाडेटा: कॉन्फ़िगरेशन आइटम के बारे में विवरण शामिल करता है। एक संस्करण ID और एक कॉन्फ़िगरेशन ID, जो CI को अद्वितीय रूप से पहचानता है। अन्य जानकारी में एक MD5Hash शामिल हो सकता है जो आपको पहले से रिकॉर्ड किए गए अन्य CIs की तुलना करने की अनुमति देता है।
  • विशेषताएँ: यह वास्तविक संसाधन के खिलाफ सामान्य विशेषता जानकारी रखता है। इस अनुभाग में, हमारे पास एक अद्वितीय संसाधन ID और किसी भी कुंजी मान टैग होते हैं जो संसाधन से जुड़े होते हैं। संसाधन प्रकार भी सूचीबद्ध है। उदाहरण के लिए, यदि यह एक EC2 उदाहरण के लिए CI था, तो सूचीबद्ध संसाधन प्रकार नेटवर्क इंटरफेस या उस EC2 उदाहरण के लिए इलास्टिक IP पता हो सकते हैं।
  • संबंध: यह किसी भी जुड़े संबंध के लिए जानकारी रखता है जो संसाधन हो सकता है। इसलिए इस अनुभाग में, यह इस संसाधन के अन्य संसाधनों के साथ किसी भी संबंध का स्पष्ट विवरण दिखाएगा। उदाहरण के लिए, यदि CI एक EC2 उदाहरण के लिए था, तो संबंध अनुभाग VPC के साथ कनेक्शन और उस सबनेट को दिखा सकता है जिसमें EC2 उदाहरण स्थित है।
  • वर्तमान कॉन्फ़िगरेशन: यह वही जानकारी प्रदर्शित करेगा जो AWS CLI द्वारा किए गए वर्णन या सूची API कॉल करने पर उत्पन्न होगी। AWS Config समान जानकारी प्राप्त करने के लिए समान API कॉल का उपयोग करता है।
  • संबंधित घटनाएँ: यह AWS CloudTrail से संबंधित है। यह AWS CloudTrail घटना ID को प्रदर्शित करेगा जो इस CI के निर्माण को ट्रिगर करने वाले परिवर्तन से संबंधित है। प्रत्येक संसाधन के खिलाफ किए गए प्रत्येक परिवर्तन के लिए एक नया CI बनाया जाता है। परिणामस्वरूप, विभिन्न CloudTrail घटना IDs बनाई जाएंगी।

कॉन्फ़िगरेशन इतिहास: संसाधनों के कॉन्फ़िगरेशन इतिहास को कॉन्फ़िगरेशन आइटम के लिए प्राप्त करना संभव है। एक कॉन्फ़िगरेशन इतिहास हर 6 घंटे में वितरित किया जाता है और एक विशेष संसाधन प्रकार के लिए सभी CIs को शामिल करता है।

कॉन्फ़िगरेशन स्ट्रीम: डेटा के विश्लेषण को सक्षम करने के लिए कॉन्फ़िगरेशन आइटम को एक SNS टॉपिक पर भेजा जाता है।

कॉन्फ़िगरेशन स्नैपशॉट: सभी समर्थित संसाधनों का समय-विशिष्ट स्नैपशॉट बनाने के लिए कॉन्फ़िगरेशन आइटम का उपयोग किया जाता है।

S3 का उपयोग किया जाता है कॉन्फ़िगरेशन इतिहास फ़ाइलों और आपके डेटा के किसी भी कॉन्फ़िगरेशन स्नैपशॉट को एकल बकेट में स्टोर करने के लिए, जिसे कॉन्फ़िगरेशन रिकॉर्डर के भीतर परिभाषित किया गया है। यदि आपके पास कई AWS खाते हैं, तो आप अपने प्राथमिक खाते के लिए एक ही S3 बकेट में अपने कॉन्फ़िगरेशन इतिहास फ़ाइलों को एकत्रित करना चाह सकते हैं। हालाँकि, आपको इस सेवा के सिद्धांत, config.amazonaws.com, और आपके द्वितीयक खातों को आपके प्राथमिक खाते में S3 बकेट के लिए लिखने की अनुमति देने की आवश्यकता होगी।

कार्यप्रणाली

  • जब परिवर्तन किए जाते हैं, उदाहरण के लिए सुरक्षा समूह या बकेट एक्सेस कंट्रोल सूची में —> AWS Config द्वारा उठाए गए एक घटना के रूप में फायर करें
  • सब कुछ S3 बकेट में स्टोर करें
  • सेटअप के आधार पर, जैसे ही कुछ बदलता है, यह एक लैम्ब्डा फ़ंक्शन को ट्रिगर कर सकता है या AWS Config सेटिंग्स के माध्यम से समय-समय पर देखने के लिए लैम्ब्डा फ़ंक्शन को शेड्यूल कर सकता है
  • लैम्ब्डा Config को फीडबैक करता है
  • यदि नियम टूट गया है, तो Config एक SNS को सक्रिय करता है

Config नियम

Config नियम आपके संसाधनों के बीच विशिष्ट अनुपालन जांच और नियंत्रण लागू करने में मदद करने का एक शानदार तरीका है, और आपको प्रत्येक संसाधन प्रकार के लिए एक आदर्श तैनाती विनिर्देश अपनाने की अनुमति देता है। प्रत्येक नियम आधारभूत रूप से एक लैम्ब्डा फ़ंक्शन है जो जब बुलाया जाता है तो संसाधन का मूल्यांकन करता है और नियम के साथ अनुपालन परिणाम निर्धारित करने के लिए कुछ सरल लॉजिक करता है। जब भी एक परिवर्तन किया जाता है आपके समर्थित संसाधनों में से एक पर, AWS Config किसी भी कॉन्फ़िगरेशन नियमों के खिलाफ अनुपालन की जांच करेगा जो आपके पास हैं
AWS के पास सुरक्षा छाते के तहत कई पूर्वनिर्धारित नियम हैं जो उपयोग के लिए तैयार हैं। उदाहरण के लिए, Rds-storage-encrypted। यह जांचता है कि क्या आपके RDS डेटाबेस उदाहरणों द्वारा स्टोरेज एन्क्रिप्शन सक्रिय है। Encrypted-volumes। यह जांचता है कि क्या कोई EBS वॉल्यूम जो एक संलग्न स्थिति में है, एन्क्रिप्टेड है।

  • AWS प्रबंधित नियम: पूर्वनिर्धारित नियमों का एक सेट जो बहुत से सर्वोत्तम प्रथाओं को कवर करता है, इसलिए अपने स्वयं के सेटअप करने से पहले इन नियमों को ब्राउज़ करना हमेशा फायदेमंद होता है क्योंकि नियम पहले से ही मौजूद होने की संभावना होती है।
  • कस्टम नियम: आप विशिष्ट कस्टम कॉन्फ़िगरेशन की जांच करने के लिए अपने स्वयं के नियम बना सकते हैं।

आपको AWS से वृद्धि के लिए संपर्क करने से पहले प्रति क्षेत्र 50 कॉन्फ़िगरेशन नियमों की सीमा है।
गैर-अनुपालन परिणामों को हटाया नहीं जाता है।

tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें