Link Search Menu Expand Document

Découvertes Amazon Web Services

Il est possible de lister l’ensemble de vos instances EC2 d’une région AWS.

Configurer les accès AWS

Pour accéder à vos informations AWS, Cyberwatch a besoin d’une clé d’accès. Elles peuvent être créées depuis la console AWS en cliquant sur le nom du compte en haut à droite, puis « Mes identifiants de sécurité ». Voir aussi la documentation détaillée d’AWS pour plus d’informations : https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys.

Il est recommandé de créer un compte dédié à Cyberwatch avec les droits minimaux pour lister en lecture seule les instances.

Une fois la clé d’accès créée, vous devrez l’enregistrer depuis le menu « Identifiants enregistrés » de la barre latérale, puis en cliquant sur le bouton Ajouter. Dans le formulaire, sélectionner Amazon Web Services, puis entrez votre ID de clé d’accès et sa clé d’accès secrète.

Créer la découverte

  1. Aller dans le menu Découvertes, et cliquer sur Ajouter. Dans la partie Infrastructure cloud, cliquer sur Amazon Web Services.
  2. Saisir le nom donné au scan de découverte.
  3. Sélectionner les éventuels groupes associés au scan.
  4. Sélectionner la source du scan (le scanner Cyberwatch qui lancera l’opération).
  5. Sélectionner dans Identifiants le compte AWS précédemment enregistré.
  6. Choisir la région à parcourir (ex. eu-central-1).
  7. Sélectionner le mode de découverte afin de choisir la façon dont seront remontés les actifs découverts.
  8. Définir une période. La valeur par défaut 0 jours aura pour effet de lancer le scan une seule fois.
  9. Optionnel - Sélectionner un identifiant de connexion mode sans-agent.
  10. Cliquer sur Confirmer.

À sa création, la découverte sera immédiatement lancée en tâche de fond. L’état de la découverte est consultable depuis Découvertes.

Paramètres avancés

Afin de compartimenter les droits d’accès à différents projets, AWS permet d’associer des rôles à un compte de service. Cyberwatch est capable d’utiliser l’API AWS Security Token Service pour demander successivement l’accès à chacun des rôles configurés sur la découverte afin de lister les actifs disponibles à partir de chaque rôle.

Les rôles à utiliser doivent être renseignés sous forme d’ARN (Amazon Resource Names) dans la sous-section Paramètres avancés de la découverte AWS. Que des rôles soient configurés ou non, les actifs accessibles à partir des accès par défaut du compte de service seront listés, en plus de ceux spécifiques aux rôles.

Afin de pouvoir facilement retracer les accès aux rôles AWS, il est possible de personnaliser le nom de la session utilisé. Cette personnalisation ne concerne que les découvertes utilisant des ARN de rôles explicites, et n’affecte pas les découvertes avec les droits par défaut.