使用EC2 IAM角色访问AWS资源

您可以在AWS环境中使用Amazon Elastic Compute Cloud (EC2)实例,安全地在InsightIDR Collector和AWS服务之间创建连接,而无需依赖IAM Keys或IAM Users。这个过程包括在AWS EC2实例上安装InsightIDR Collector,并为该服务器指定角色,而不是依赖IAM Keys。

当您使用InsightIDR添加AWS事件源时,Collector可以使用其角色权限而不是IAM Key来创建安全连接。

为您的InsightIDR收集器使用此安全通信方法:

  1. 配置aws相关事件源的IAM Policy
  2. 配置aws相关事件源的IAM角色
  3. 创建为相同角色配置的EC2实例
  4. 在EC2实例上安装InsightIDR收集器
  5. 管理AWS相关事件源

配置我的政策

配置IAM policy。

  1. 登录到AWS控制台。
  2. 从“服务”选项卡中选择我。
  3. 从左边的菜单中选择政策页面。
  4. 单击创建政策按钮在页面的顶部。
  1. 选择JSON选项卡。
  2. 从“事件源”帮助页面复制粘贴Policy IAM。
  3. 为您的组织和AWS帐户输入相关信息。
  4. 单击审查政策按钮。
  5. 在“Name”字段中输入IAM policy的名称。
  6. 单击创建政策按钮。
  7. 在“策略”页面,单击刷新在页面右上方的图标。

创建IAM角色

创建IAM角色。

  1. 从左边的菜单中选择角色页面。
  2. 单击创建角色按钮。
  3. 在“选择受信任实体的类型”部分中,选择AWS服务选择。
  4. 在“选择将使用此角色的服务”部分中,选择EC2选择。
  5. 单击下一个:权限按钮。
  6. 在搜索栏中输入您在前面步骤中创建的策略的名称,并单击策略右侧的复选框。
  7. 单击下一个:标签按钮。
  8. 单击下一个:审查按钮。
  9. 2 .在“Name”中输入IAM Role的名称。
  10. 单击创建角色按钮。
  11. 在“角色”页面,单击刷新在页面右上方的图标。

更多关于IAM角色的信息请参看:https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html

创建一个EC2实例

创建一个EC2实例:

  1. 在AWS控制台中,选择服务TAB在页面的左上方。
  2. 选择EC2页下的“计算”部分。
  3. 单击启动实例按钮。
  1. 在“选择一个AMI”页面上,找到要安装EC2实例的Collector的操作系统,然后单击选择按钮。
  2. 单击接下来:配置实例详细信息按钮。
  3. 在“IAM Role”中,找到并选择之前配置的IAM Role。
  4. 单击审查和发布按钮。
  5. 在“实例”页面上,您将看到刚刚创建的EC2实例的详细信息。复制“IPv4公共IP”地址。

在EC2实例上安装Collector

要在您的EC2实例上安装收集器:

  1. 使用复制的IP地址打开命令提示符并SSH到新创建的EC2实例中。
  2. 下载Collector安装程序文件,然后将安装程序从下载位置复制到EC2实例scp命令。
  3. 使用以下命令在您的EC2实例上安装Collector,更改以匹配您的操作系统和AMI包操作系统类型:
         

          

           
          

         

          

           

            1

           chmod + x InsightSetup-Linux64.sh
          

          

           

            2

           sudo。/ InsightSetup-Linux64.sh
  1. 按照安装程序的文本提示。

有关此过程的更多信息,请阅读AWS EC2文档:https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstancesLinux.html

管理AWS事件源

将Collector安装到EC2实例后,运行在该Collector上的任何aws相关事件源都可以使用IAM Role的权限。

要做出这些改变:

更新IAM角色权限

  1. 在AWS控制台中,选择角色从左边的导航菜单。
  2. 在搜索栏中找到您创建的IAM角色。
  3. 单击箭头图标以展开各种选项,并选择编辑政策按钮。
  4. 选择JSON选项卡。
  5. 在新的JSON块中添加一个新的JSON语句,并添加适当的信息。
  6. 单击审查政策按钮。

您可以配置以下AWS相关的事件源:

然后,完成以下操作添加事件源:

  1. 从InsightIDR仪表板中选择数据收集在左边的菜单上
  2. 在页面的右上方,选择“设置事件源”的下拉菜单,然后选择添加事件源
  3. 为AWS事件源选择适当的图标。
    • AWS CloudTrail是一种云服务
    • AWS GuardDuty是第三方警报
    • AWS SQS是一种自定义日志收集方法
  4. 选择您配置的托管在EC2实例中的Collector。
  5. 选择AWS事件源。命名此事件源是可选的。
  6. 如果适用,选择发送未经过滤的日志
  7. 在“AWS认证”下,选择EC2实例概要文件凭据选择。
  8. 配置AWS事件源的其余步骤。
  9. 单击保存按钮。

如果已有AWS事件源正在使用IAM Key,则可以将事件源切换为使用IAM Role。

要更新任何以前配置的AWS事件源:

  1. 停止InsightIDR中的事件源。去数据收集>事件源找到事件源。单击停止运行按钮。
  1. 使用前面小节中的步骤在EC2实例上使用IAM Roles创建收集器。
  2. 在新的Collector上用相同的名称创建一个新的事件源。这允许新的事件源将新的日志写入相同的日志集,而不是在日志搜索中创建新的日志集。
  3. 使用以下更改配置新的AWS事件源:
    • 选择安装在EC2实例上的Collector。如果选择此选项而不设置EC2实例,您将在收集器上看到以下错误消息:“无法从EC2服务检索凭据。”
    • 在“AWS认证”下,选择EC2实例的凭证选择。
  4. 使用来自原始事件源的信息更新其余事件源设置。
  5. 确认新事件源成功写入新日志并运行无误。
  6. 从InsightIDR中删除旧的事件源。这不会从InsightIDR日志搜索中删除历史日志。