Cómo crear una cuenta de Amazon Web Services para un usuario con permisos mínimos
Artículos técnicos ID:
KB82936
Última modificación: 13/10/2021
Entorno
Cloud Workload Security McAfee (CWS) 5.x para Amazon Web Services (AWS)
Resumen
Para que el CWS se comunique con la nube de AWS, debe registrar una cuenta de AWS con ePolicy Orchestrator. AWS los usuarios deben tener, al menos, permisos de solo lectura configurados para el servicio Web de Amazon de Cloud EC2.
NOTA: El CWS ofrece tres niveles de permisos a la hora de registrar una cuenta de AWS. Puede configurar su cuenta de AWS según sus necesidades. Para crear una AWS cuenta de usuario para un usuario con permisos mínimos, siga los pasos que se indican en este artículo.
Solución
Para crear una cuenta de usuario AWS:
- Cree un usuario:
- Inicie sesión en la consola de administración de AWS.
- Cargar la Administración de identidades y acceso (IAM).
- En el Usuarios , haga clic en Cree usuario.
- Escriba un nombre de usuario.
- Seleccione la opción Generar una clave de acceso para cada usuarioy, a continuación, haga clic en Crear.
- Haga clic en Credenciales de descargay, a continuación, guarde el archivo. csv archivo. Estas credenciales contienen tanto la clave de acceso como la clave secreta.
- Cierre la ventana.
- Cree una directiva:
- En el panel de navegación, haga clic en Las, Cree nueva Directiva.
- En el Cree Directiva , haga clic en Cree su propia Directiva.
- Escriba un nombre y una descripción.
- Copie y pegue una o varias de las siguientes directivas, según sus requisitos:
Ec2-Directiva de solo lectura (descubrimiento/visibilidad) -
Este conjunto de reglas solo permite un permiso limitado de usuario con privilegios para descubrir activos de EC2 y leer reglas de firewall.
{
"Versión": "2012-10-17",
"Instrucción": [
{
"Effect": "permitir",
"Acción": "EC2: describe *",
"Recurso": "*"
}
]
}
Directiva de corrección -Este conjunto de reglas permite a un usuario corregir grupos de seguridad.
{
"Versión": "2012-10-17",
"Instrucción": [
{
"Sid": "",
"Effect": "permitir",
"Acción": [
"EC2: AuthorizeSecurityGroupEgress",
"EC2: AuthorizeSecurityGroupIngress",
"EC2: CreateSecurityGroup",
"EC2: DeleteSecurityGroup",
"EC2: ModifyInstanceAttribute",
"EC2: ModifyNetworkInterfaceAttribute",
"EC2: RevokeSecurityGroupEgress",
"EC2: RevokeSecurityGroupIngress",
"EC2: CreateTags"
],
"Recurso": [
"*"
]
}
]
}
Directiva de descubrimiento de tráfico de red -Este conjunto de reglas permite a un usuario activar registros de flujos de tráfico de red en los niveles de VPC. Con esta Directiva, el CWS puede descubrir registros de tráfico de red.
{
"Versión": "2012-10-17",
"Instrucción": [
{
"Sid": "",
"Effect": "permitir",
"Acción": [
"registros: CreateLogGroup",
"registros: DeleteLogGroup",
"registros: DescribeLogGroups",
"registros: DescribeLogStreams",
"registros: FilterLogEvents",
"registros: GetLogEvents",
"registros: CreateLogStream",
"registros: PutLogEvents",
"IAM: GetUser",
"EC2: CreateFlowLogs",
"EC2: DeleteFlowLogs"
],
"Recurso": [
"*"
]
}
]
}
Directiva de GuardDuty de Amazon -Esta directiva permite que el CWS Descubra Amazon eventos de GuardDuty (CWS 5.0.1 y posteriores).
{
"Version": "2012-10-17",
"Statement": [
"Sid": "DiscoverGuardGuty",
"Effect": "Allow",
"Action": [
"guardduty:GetThreatIntelSet",
"guardduty:GetIPSet",
"guardduty:ListIPSets",
"guardduty:GetFindings",
"guardduty:ListThreatIntelSets",
"guardduty:GetThreatIntelSet",
"guardduty:GetMasterAccount",
"guardduty:GetIPSet",
"guardduty:ListFindings",
"guardduty:GetMembers",
"guardduty:GetFindingsStatistics",
"guardduty:GetDetector",
"guardduty:ListMembers",
"guardduty:ListDetectors",
"guardduty:GetInvitationsCount",
"guardduty:ListInvitations"
Directiva de cierre de carga de trabajo -Este conjunto de reglas le permite cerrar la carga de trabajo seleccionada como medida de corrección (CWS 5.0.1 y posteriores).
{
"Version": "2012-10-17",
"Statement": [
{ "Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "ec2:StopInstances",
"Resource": "*"
}
- Cree una IAM función con registros de flujos para su cuenta de AWS:
NOTA: Para acceder a los registros de flujos de sus redes virtuales, debe crear una función IAM con directivas de registro de flujos. A continuación, puede ver los registros de flujo de tráfico de sus redes virtuales en el CWS.
- Inicie sesión en la consola de administración de AWS.
- Para cargar el panel IAM, seleccione IAM.
- Escriba el nombre McafeeFlowLogger para su función y, a continuación, haga clic en Siguiente.
NOTA: El nombre de la función debe ser McafeeFlowLoggery distingue entre mayúsculas y minúsculas.
- En la página Seleccione tipo de función junto a Amazon EC2, haga clic en Seleccione.
- En la página adjuntar Directiva, haga clic en Siguiente paso.
- En la página revisar, anote el ARN para su función y, a continuación, haga clic en Cree función.
- Escriba un nombre para su función.
- En permisos, expanda la sección directivas en línea y, a continuación, haga clic en Haga clic aquí.
- Seleccione directiva personalizada y, a continuación, haga clic en Activa.
- Copie esta directiva y péguela en la ventana del documento de directiva. Escriba un nombre para la Directiva en el campo Nombre de directiva y, a continuación, haga clic en Aplicar Directiva.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
- Esta Directiva activa el registro de flujo de VPC en el nivel de VPC, para la cuenta AWS:
- Seleccione la opción Editar relación de confianza.
- Elimine cualquier documento de directiva existente.
- Copie y pegue esta directiva y haga clic en Actualizar directiva de confianza.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
- Asignar la Directiva a un usuario:
Lo Clave de acceso secreto se genera al crear la Clave de acceso. Utilice la clave de acceso y la clave de acceso secreta al registrar su cuenta en la nube mediante el CWS en ePO.
- En el Usuarios , seleccione el usuario y, a continuación, haga clic en Adjuntar Directiva.
- En la página Resumen, haga clic en Agregar permisos y seleccione Adjuntar directivas existentes directamente.
- Seleccione la Directiva que ha creado y adjunte la Directiva.
- Vuelva a la página Resumen y haga clic en el botón Credenciales de seguridad pestaña.
- Haga clic en Cree acceso importantes.
NOTA: Para obtener más información sobre las directivas de AWS, los permisos, las funciones y el acceso entre cuentas, consulte los correspondientes Cloud Workload Security guía de instalación.
Para obtener documentos de productos de McAfee, vaya al portal Documentación de producto empresarial en https://docs.mcafee.com.
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
|
