Découvertes Amazon EC2

Il est possible de lister l’ensemble de vos instances EC2.

Prérequis

Pour créer une découverte Amazon EC2, il faut des identifiants AWS. La page dédiée documente comment en configurer.

Pour créer manuellement des identifiants et les utiliser uniquement pour une découverte Amazon EC2, la seule politique nécessaire est AmazonEC2ReadOnlyAccess.

Créer la découverte

Il est possible de créer une découverte Amazon EC2 depuis l’assistant cloud.

Alternativement :

  1. Aller dans le menu Découvertes, et cliquer sur Ajouter

Dans la partie Infrastructure cloud, cliquer sur Amazon EC2

  1. Saisir le nom donné au scan de découverte
  2. Sélectionner les éventuels groupes associés au scan
  3. Sélectionner la source du scan (le scanner Cyberwatch qui lancera l’opération)
  4. Sélectionner dans Identifiants le compte AWS précédemment enregistré
  5. Optionnel - Choisir les régions à parcourir (ex. eu-central-1)
  6. Sélectionner le mode de découverte afin de choisir la façon dont seront remontés les actifs découverts
  7. Définir une période. La valeur par défaut 0 jours aura pour effet de lancer le scan une seule fois
  8. Optionnel - Sélectionner un identifiant de connexion mode sans-agent
  9. Cliquer sur Confirmer

À sa création, la découverte sera immédiatement lancée en tâche de fond. L’état de la découverte est consultable depuis Découvertes.

Enregistrer les actifs découverts via AWS Session Manager

Consulter notre guide d’exemple expliquant comment superviser des actifs dans Cyberwatch à l’aide de AWS Session Manager.

Utiliser les rôles AWS IAM

Afin de compartimenter les droits d’accès à différents projets, AWS permet d’associer des rôles à un compte de service. Cyberwatch est capable d’utiliser la fonctionnalité Assume Role de l’API AWS Security Token Service pour demander successivement l’accès à chacun des rôles configurés sur la découverte afin de lister les actifs disponibles à partir de chaque rôle.

La configuration des rôles AWS IAM est définie dans la sous-section Paramètres avancés de la découverte.

Lorsque cette fonctionnalité est utilisée, Cyberwatch peut utiliser un nom de session arbitrairement défini afin que l’administrateur AWS puisse mieux retracer l’activité dans les journaux de connexion AWS.

Énumération automatique

Les découvertes AWS sont capables de lister automatiquement les comptes de l’organisation à laquelle est rattachée leur clé d’API, et de lister les actifs visibles depuis chacun de ces comptes.

Pour activer cette fonctionnalité, il faut spécifier le Rôle des comptes découverts à utiliser. Cette configuration suppose que le compte de service Cyberwatch puisse effectuer un Assume Role sur les ARN de la forme arn:aws:iam::<ID de compte>:role/<Rôle spécifié> pour chaque compte AWS trouvé. En cas de problème de permission sur un compte spécifique, le compte sera sauté.

Si un ARN maitre est configuré, Cyberwatch utilisera le rôle désigné pour réaliser l’énumération des comptes de l’organisation.

Énumération manuelle

Dans le cas où l’énumération automatique n’est pas souhaitée, ou bien insuffisante, il est possible de renseigner manuellement une liste d’ARN de rôles à utiliser dans le champ ARN supplémentaires.

Dans le cas où l’énumération automatique est également configurée, les ARN supplémentaires seront utilisés en plus des ARN automatiquement énumérés.

Retour en haut