Découvertes Amazon Web Services

Il est possible de lister l’ensemble de vos instances EC2 d’une région AWS.

Configurer les accès AWS

Pour accéder à vos informations AWS, Cyberwatch a besoin d’une clé d’accès. Elles peuvent être créées depuis la console AWS en cliquant sur le nom du compte en haut à droite, puis « Mes identifiants de sécurité ». Voir aussi la documentation détaillée d’AWS pour plus d’informations : https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys.

Il est recommandé de créer un compte dédié à Cyberwatch avec les droits minimaux pour lister en lecture seule les instances.

Une fois la clé d’accès créée, vous devrez l’enregistrer depuis le menu « Identifiants enregistrés » de la barre latérale, puis en cliquant sur le bouton Ajouter. Dans le formulaire, sélectionner Amazon Web Services, puis entrez votre ID de clé d’accès et sa clé d’accès secrète.

Créer la découverte

  1. Aller dans le menu Découvertes, et cliquer sur Ajouter. Dans la partie Infrastructure cloud, cliquer sur Amazon Web Services.
  2. Saisir le nom donné au scan de découverte.
  3. Sélectionner les éventuels groupes associés au scan.
  4. Sélectionner la source du scan (le scanner Cyberwatch qui lancera l’opération).
  5. Sélectionner dans Identifiants le compte AWS précédemment enregistré.
  6. Choisir la région à parcourir (ex. eu-central-1).
  7. Sélectionner le mode de découverte afin de choisir la façon dont seront remontés les actifs découverts.
  8. Définir une période. La valeur par défaut 0 jours aura pour effet de lancer le scan une seule fois.
  9. Optionnel - Sélectionner un identifiant de connexion mode sans-agent.
  10. Cliquer sur Confirmer.

À sa création, la découverte sera immédiatement lancée en tâche de fond. L’état de la découverte est consultable depuis Découvertes.

Enregistrer les actifs découverts via AWS Session Manager

Les actifs découverts peuvent être enregistrés en mode sans-agent de la manière suivante :

  1. Depuis le menu Découvertes, accéder à la liste des actifs découverts en cliquant sur le bouton Liste correspondant à droite du tableau.
  2. Sélectionner les actifs à ajouter.
  3. Cliquer sur Actions groupées > Scanner avec des connexions mode sans-agent.
  4. Sélectionner un jeu d’identifiants de type Amazon Web Services ce qui créera une connexion de type AWS Session Manager. Ce type de connexion doit être autorisé dans le menu Administration > Gestion des connecteurs en cochant la case AWS Session Manager.

Précisions :

  • Les actifs à scanner doivent être compatibles avec l’usage de SSM et configurés pour que SSM soit autorisé, tel que spécifié dans la documentation officielle.
  • Le compte AWS doit disposer de privilèges suffisants à l’usage de SSM sur les ressources voulues (voir documentation officielle).
  • Les champs adresse et région de la connexion mode sans-agent seront pré-remplis avec l’ID et la région de l’actif.
  • Il est également possible d’ajouter l’actif directement sans passer par une découverte en utilisant Connexion mode sans-agent > Ajouter et en sélectionnant le type AWS Session Manager.
  • Seul les actifs Windows et Linux sont supportés.

Utiliser les rôles AWS

Afin de compartimenter les droits d’accès à différents projets, AWS permet d’associer des rôles à un compte de service. Cyberwatch est capable d’utiliser la fonctionnalité Assume Role de l’API AWS Security Token Service pour demander successivement l’accès à chacun des rôles configurés sur la découverte afin de lister les actifs disponibles à partir de chaque rôle.

La configuration des rôles AWS est définie dans la sous-section Paramètres avancés de la découverte.

Lorsque cette fonctionnalité est utilisée, Cyberwatch peut utiliser un nom de session arbitrairement défini afin que l’administrateur AWS puisse mieux retracer l’activité dans les journaux de connexion AWS.

Énumération automatique

Les découvertes AWS sont capables de lister automatiquement les comptes de l’organisation à laquelle est rattachée leur clé d’API, et de lister les actifs visibles depuis chacun de ces comptes.

Pour activer cette fonctionnalité, il faut spécifier le Rôle des comptes découverts à utiliser. Cette configuration suppose que le compte de service Cyberwatch puisse effectuer un Assume Role sur les ARN de la forme arn:aws:iam::<ID de compte>:role/<Rôle spécifié> pour chaque compte AWS trouvé. En cas de problème de permission sur un compte spécifique, le compte sera sauté.

Si un ARN maitre est configuré, Cyberwatch utilisera le rôle désigné pour réaliser l’énumération des comptes de l’organisation.

Énumération manuelle

Dans le cas où l’énumération automatique n’est pas souhaitée, ou bien insuffisante, il est possible de renseigner manuellement une liste d’ARN de rôles à utiliser dans le champ ARN supplémentaires.

Dans le cas où l’énumération automatique est également configurée, les ARN supplémentaires seront utilisés en plus des ARN automatiquement énumérés.

Retour en haut