Découvertes Amazon Web Services

Il est possible de lister l’ensemble de vos instances EC2 d’une région AWS.

Prérequis

  • Clé d’accès API créée par un utilisateur spécifique (et son ID)
  • Permission AmazonEC2ReadOnlyAccess pour cet utilisateur

Prérequis AWS EKS

Si vous souhaitez lister les images docker déployées sur un cluster Amazon Elastic Kubernetes Service, il est nécessaire de :

  • Fournir un jeu d’identifiants avec les droits ViewOnlyAccess

Configurer les accès AWS

Pour accéder à vos informations AWS, Cyberwatch a besoin d’une clé d’accès. Elles peuvent être créées depuis la console AWS en cliquant sur le nom du compte en haut à droite, puis « Mes identifiants de sécurité ». Voir aussi la documentation détaillée d’AWS pour plus d’informations : https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys.

Il est recommandé de créer un compte dédié à Cyberwatch avec les droits minimaux pour lister en lecture seule les instances.

Une fois la clé d’accès créée, vous devrez l’enregistrer depuis le menu « Identifiants enregistrés » de la barre latérale, puis en cliquant sur le bouton Ajouter. Dans le formulaire, sélectionner Amazon Web Services, puis entrez votre ID de clé d’accès et sa clé d’accès secrète.

Créer la découverte

  1. Aller dans le menu Découvertes, et cliquer sur Ajouter. Dans la partie Infrastructure cloud, cliquer sur Amazon Web Services.
  2. Saisir le nom donné au scan de découverte.
  3. Sélectionner les éventuels groupes associés au scan.
  4. Sélectionner la source du scan (le scanner Cyberwatch qui lancera l’opération).
  5. Sélectionner dans Identifiants le compte AWS précédemment enregistré.
  6. Choisir la région à parcourir (ex. eu-central-1).
  7. Sélectionner le mode de découverte afin de choisir la façon dont seront remontés les actifs découverts.
  8. Définir une période. La valeur par défaut 0 jours aura pour effet de lancer le scan une seule fois.
  9. Optionnel - Sélectionner un identifiant de connexion mode sans-agent.
  10. Cliquer sur Confirmer.

À sa création, la découverte sera immédiatement lancée en tâche de fond. L’état de la découverte est consultable depuis Découvertes.

Enregistrer les actifs découverts via AWS Session Manager

Consulter notre guide d’exemple expliquant comment superviser des actifs dans Cyberwatch à l’aide de AWS Session Manager.

Utiliser les rôles AWS

Afin de compartimenter les droits d’accès à différents projets, AWS permet d’associer des rôles à un compte de service. Cyberwatch est capable d’utiliser la fonctionnalité Assume Role de l’API AWS Security Token Service pour demander successivement l’accès à chacun des rôles configurés sur la découverte afin de lister les actifs disponibles à partir de chaque rôle.

La configuration des rôles AWS est définie dans la sous-section Paramètres avancés de la découverte.

Lorsque cette fonctionnalité est utilisée, Cyberwatch peut utiliser un nom de session arbitrairement défini afin que l’administrateur AWS puisse mieux retracer l’activité dans les journaux de connexion AWS.

Énumération automatique

Les découvertes AWS sont capables de lister automatiquement les comptes de l’organisation à laquelle est rattachée leur clé d’API, et de lister les actifs visibles depuis chacun de ces comptes.

Pour activer cette fonctionnalité, il faut spécifier le Rôle des comptes découverts à utiliser. Cette configuration suppose que le compte de service Cyberwatch puisse effectuer un Assume Role sur les ARN de la forme arn:aws:iam::<ID de compte>:role/<Rôle spécifié> pour chaque compte AWS trouvé. En cas de problème de permission sur un compte spécifique, le compte sera sauté.

Si un ARN maitre est configuré, Cyberwatch utilisera le rôle désigné pour réaliser l’énumération des comptes de l’organisation.

Énumération manuelle

Dans le cas où l’énumération automatique n’est pas souhaitée, ou bien insuffisante, il est possible de renseigner manuellement une liste d’ARN de rôles à utiliser dans le champ ARN supplémentaires.

Dans le cas où l’énumération automatique est également configurée, les ARN supplémentaires seront utilisés en plus des ARN automatiquement énumérés.


Retour en haut