AWS 最近推了不少 Tracking 的服務,如 AWS Config,CloudTrail 等等。站在稽核和管理 的角度,這類服務當然是越完整越好。但隨著事業越做越多,AWS account 也越來越多,透過 Management Console 或是 AWS CLI 設定越顯得不切實際。
在已經預見未來的痛苦下,還是現在辛苦一點會比較明智。我們把對我們來說開 AWS account 一定會需要的設定工作寫成 gem 並 open source,相信它可以一定程度的簡化 AWS account 的設定工作。
AWS Configurer 可以幫你打開指定 region 的 CloudTrail,將 CloudTrail 的 log 送進 S3 和 CloudWatch Logs,以及加上 Root Account Usage 的監控。
CloudTrail 很好理解,Root Account Usage 指的是透過 root access key 操作 AWS resource。一般來說 AWS 建議使用 IAM user 或是 role 來管理 AWS resource,root access key 不應該被拿來用,甚至不應該被產生出來。AWS Security Blog 上有篇文章在說明要如何加上對於 Root Account Usage 的監控,只要有發現 root account 有被使用就會透過 SNS 通知。這個監控需要整合 CloudTrail,CloudWatch Logs,CloudWatch 和 SNS,過程有些繁鎖,而 AWS Configurer 則是將其簡化的實作。
安裝、設定和使用方式在 GitHub 上都有,這邊就不贅述。如果有遇到什麼 bug 或是想要的 feature,也歡迎開 issue 給我們。不過如果是 AWS Config 就不用提了,我們會在下一版把它加進去 XD
This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.