AWS Inspector permite analizar y escanear recursos en AWS para identificar vulnerabilidades y configuraciones inseguras. Para hacer un análisis más detallado o respaldar los hallazgos, es útil exportarlos directamente a un bucket en S3. Aquí te explico cómo hacerlo en pocos pasos.
Validar los permisos de tu usuario
Deberias contar con permisos para poder realizar esta configuracion, en aws los permisos son asignados por acciones y para este fin necesitas estos dos permisos
inspector2:ListFindings
inspector2:CreateFindingsReport
Para poder exportar tal como se visualiza en la imagen se requiere tambien el uso de una llave KMS (Key Management Service) y las acciones o permisos son los siguientes
kms:GetKeyPolicy
kms:PutKeyPolicy
kms:DescribeKey
kms:ListAliases
Finalmente para el bucket s3 requieres de estos permisos
s3:CreateBucket
s3:DeleteObject
s3:PutBucketAcl
s3:PutBucketPolicy
s3:PutBucketPublicAccessBlock
s3:PutObject
s3:PutObjectAcl
Configurar el Bucket S3
Crear el bucket s3 donde se va a almacenar el reporte de hallazgos, asegúrate de que el bucket S3 de destino esté configurado correctamente.
Permisos: Verifica que el bucket tenga permisos adecuados para que AWS Inspector pueda escribir en él. Puedes otorgar permisos específicos mediante la politica detallada mas adelante, en donde debes reemplazar los valores de cuenta asi como el nombre del bucket s3 creado.
- Inicie sesión con sus credenciales y, a continuación, abra la consola de Amazon S3 en https://console.aws.amazon.com/s3.
- En el panel de navegación, seleccione Buckets.
- Seleccione el bucket de S3 en el que desea almacenar el informe de hallazgos.
- Seleccione la pestaña Permisos.
- En la sección Política de bucket, seleccione Editar y agregar la siguiente politica
- Guardar los cambios.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "allow-inspector",
"Effect": "Allow",
"Principal": {
"Service": "inspector2.amazonaws.com"
},
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:AbortMultipartUpload"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:inspector2:Region:111122223333:report/*"
}
}
}
]
}
Creacion de KMS para asociar a la exportacion de hallazgos
- Inicie sesión con sus credenciales y, a continuación, abra la consola de Amazon S3 en https://console.aws.amazon.com/s3.
- En el panel de navegación, seleccione KMS
Ubicarse en customer managed Keys e dar click en create key
Seguir de la siguiente manera
- Escoger el usuario administrador de la llave y de uso para las dos opciones siguientes
- Revisar que cuente con la siguiente configuracion y crear la llave.
Posterior a esto editar la politica de la kms y agregar la sigueinte politica que va a permitir el acceso a inspector de igual manera reemplazar los valores.
{
"Sid": "Allow Amazon Inspector to use the key",
"Effect": "Allow",
"Principal": {
"Service": "inspector2.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:inspector2:Region:111122223333:report/*"
}
}
}
Finalmente regresar a la opcion de inspector y escoger si deseas un reporte completo o solamente las vulnerabilidades activas
Asi tambien si deseas el archivo en formato json o csv.
En la opcion de bucket s3 y kms escogemos los recursos previamente creados y selecccionamos export,
esperamos unos minutos dependiendo tambien de la cantidad de recursos que tengas, recordemos que inspector revisa vulnerabilidades en los siguientes recursos
Imagenes de contenedores
Instancias Ec2
Funciones Lambda
espero te sirva este tutorial para tus procesos de seguridad.
Fuente
https://docs.aws.amazon.com/inspector/latest/user/findings-managing-exporting-reports.html
Top comments (0)