Descubrimientos Amazon EC2

Es posible listar todas sus instancias EC2.

Requisitos previos

Para crear un descubrimiento Amazon EC2, se necesitan credenciales AWS. La página dedicada documenta cómo configurarlas.

Para crear manualmente credenciales y usarlas únicamente para un descubrimiento Amazon EC2, la única política necesaria es AmazonEC2ReadOnlyAccess.

Crear el descubrimiento

Es posible crear un descubrimiento Amazon EC2 desde el asistente cloud.

Alternativamente:

  1. Ir al menú Descubrimientos y hacer clic en Añadir

En la sección Infraestructura cloud, hacer clic en Amazon EC2

  1. Introducir el nombre dado al escaneo de descubrimiento
  2. Seleccionar los posibles grupos asociados al escaneo
  3. Seleccionar la fuente del escaneo (el escáner Cyberwatch que lanzará la operación)
  4. Seleccionar en Credenciales la cuenta AWS previamente registrada
  5. Opcional - Elegir las regiones a recorrer (ej.: eu-central-1)
  6. Seleccionar el modo de descubrimiento para elegir cómo se reportarán los activos descubiertos
  7. Definir un periodo. El valor por defecto 0 días hará que el escaneo se ejecute una sola vez
  8. Opcional - Seleccionar una credencial de conexión en modo sin agente
  9. Hacer clic en Confirmar

Al crearse, el descubrimiento se lanzará inmediatamente en segundo plano. El estado del descubrimiento se puede consultar desde Descubrimientos.

Registrar los activos descubiertos mediante AWS Session Manager

Consulte nuestra guía de ejemplo que explica cómo supervisar activos en Cyberwatch con AWS Session Manager.

Usar roles AWS IAM

Para compartimentar los derechos de acceso a distintos proyectos, AWS permite asociar roles a una cuenta de servicio. Cyberwatch es capaz de utilizar la funcionalidad Assume Role de la API AWS Security Token Service para solicitar sucesivamente el acceso a cada uno de los roles configurados en el descubrimiento a fin de listar los activos disponibles desde cada rol.

La configuración de los roles AWS IAM se define en la subsección Parámetros avanzados del descubrimiento.

Cuando esta funcionalidad se utiliza, Cyberwatch puede emplear un nombre de sesión configurado arbitrariamente para que el administrador de AWS pueda rastrear mejor la actividad en los registros de conexión de AWS.

Enumeración automática

Los descubrimientos AWS pueden listar automáticamente las cuentas de la organización a la que está asociada su clave de API y enumerar los activos visibles desde cada una de estas cuentas.

Para activar esta funcionalidad, es necesario especificar el Rol de cuentas descubiertas a utilizar. Esta configuración supone que la cuenta de servicio de Cyberwatch pueda realizar un Assume Role en los ARN de la forma arn:aws:iam::<ID de cuenta>:role/<Rol especificado> para cada cuenta AWS encontrada. En caso de problema de permisos en una cuenta específica, se omitirá esa cuenta.

Si se configura un ARN maestro, Cyberwatch utilizará el rol designado para realizar la enumeración de las cuentas de la organización.

Enumeración manual

En el caso de que la enumeración automática no sea deseada o sea insuficiente, es posible indicar manualmente una lista de ARN de roles a utilizar en el campo ARN adicionales.

En caso de que la enumeración automática también esté configurada, los ARN adicionales se usarán además de los ARN enumerados automáticamente.

Volver arriba

English Français Español